Stratégies Secure Desktops
Chaque service d'Oracle Cloud Infrastructure s'intègre à Identity and Access Management (IAM) pour l'authentification et l'autorisation sur toutes les interfaces (console, kit SDK ou interface de ligne de commande, et API REST).
Par exemple, stratégies Secure Desktops et informations sur les groupes dynamiques requis, reportez-vous à Création de stratégies pour le service et à Création de stratégies pour l'autorisation utilisateur.
L'administrateur de location doit créer des stratégies au niveau de la location ou du compartiment pour autoriser les bureaux sécurisés et utiliser les ressources dont il a besoin. Ils doivent également configurer des groupes, des compartiments et des stratégies qui contrôlent l'accès des utilisateurs au service. Reportez-vous à Création de stratégies pour le service et à Création de stratégies pour l'autorisation utilisateur.
Pour obtenir une introduction aux stratégies, reportez-vous à Initiation aux stratégies.
La création d'une stratégie nécessite des privilèges appropriés. Contactez l'administrateur de location pour obtenir les privilèges ou pour que les stratégies soient créées pour vous.
Stratégies IAM requises
Dans le compartiment racine
Allow dynamic-group <dynamic-group> to {DOMAIN_INSPECT, DOMAIN_READ} in tenancy
Allow dynamic-group <dynamic-group> to inspect users in tenancy
Allow dynamic-group <dynamic-group> to inspect compartments in tenancy
Allow dynamic-group <dynamic-group> to use tag-namespaces in tenancy
Dans le compartiment racine ou au-dessus des compartiments de pool de bureaux que vous gérezAllow dynamic-group <dynamic-group> to use virtual-network-family in compartment <desktops-network-compartment>
Allow dynamic-group <dynamic-group> to {VCN_ATTACH, VCN_DETACH} in compartment <desktops-network-compartment>
Allow dynamic-group <dynamic-group> to manage virtual-network-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to read instance-images in compartment <image-compartment>
Allow dynamic-group <dynamic-group> to manage instance-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage volume-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage dedicated-vm-hosts in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage orm-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to {VNIC_CREATE, VNIC_DELETE} in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage instance-configurations in compartment <desktop-compartment>
- Si <desktops-network-compartment> n'est pas un enfant des compartiments au-dessus des compartiments de pool de bureaux, la stratégie doit être indiquée dans le compartiment racine.
- Si vous envisagez de créer des pools de bureaux privés, des stratégies supplémentaires peuvent être requises. Pour plus d'informations, reportez-vous à la section Enabling Private Desktop Access.
Pour l'administrateur bureau
Allow group <desktop-administrators> to manage desktop-pool-family in compartment <desktop-compartment>
Allow group <desktop-administrators> to read all-resources in compartment <desktop-compartment>
Allow group <desktop-administrators> to use virtual-network-family in compartment <desktops-network-compartment>
Allow group <desktop-administrators> to use instance-images in compartment <images-compartment>
Pour l'utilisateur de bureau
Tous les pools de bureaux d'un compartiment :
Allow group <desktop-users> to use published-desktops in compartment <desktop-compartment>
Pools de bureaux spécifiques au sein d'un compartiment :
Allow group <desktop-users> to use published-desktops in compartment <desktop-compartment>
where all {target.desktoppool.name = '<pool_name>', target.desktoppool.id = '<pool_ocid>'}
Détails de stratégie pour les bureaux sécurisés
Dans une instruction de stratégie, vous utilisez des verbes, des types de ressource et des variables pour accorder l'accès aux services et aux ressources. Vous pouvez également utiliser des droits d'accès ou des opérations d'API pour réduire la portée des accès accordés par un verbe particulier.
Pour plus d'informations sur les droits d'accès, reportez-vous à Droits d'accès.
Type agrégé de ressource
desktop-pool-family
Types individuels de ressource
desktop-pool
desktop
Variables prises en charge
Les opérations pour ce type de ressource... |
Peuvent utiliser ces variables... |
Type de variable |
Commentaires |
---|---|---|---|
desktop-pool |
target.desktopPool.id |
Entité (OCID) | |
desktop |
target.desktop.id |
Entité (OCID) |
Détails des combinaisons de verbe et de type de ressource
Les tableaux suivants indiquent les droits d'accès et les opérations d'API que couvre chaque verbe. Le niveau d'accès est cumulatif à mesure que vous passez d'un verbe à l'autre, dans l'ordre suivant : inspect
> read
> use
> manage
. Le signe plus (+) dans une cellule du tableau indique un accès incrémentiel par rapport à la cellule directement au-dessus, alors que la mention "aucun élément supplémentaire" n'indique aucun accès incrémentiel.
Verbes | Droits d'accès | API entièrement couvertes | API partiellement couvertes |
---|---|---|---|
inspect |
|
|
Aucun |
lu |
INSPECT +
|
|
Aucun |
utiliser |
READ + |
|
Aucun |
manage |
USE +
|
|
Aucun |
Verbes | Droits d'accès | API entièrement couvertes | API partiellement couvertes |
---|---|---|---|
inspect |
|
|
Aucun |
lu |
INSPECT +
|
|
Aucun |
utiliser |
READ +
|
|
Aucun |
manage |
USE +
|
|
Aucun |
Droits d'accès requis pour chaque opération d'API
Opération d'API | Droits d'accès requis pour utiliser l'opération |
---|---|
ListDesktopPools |
DESKTOP_POOL_INSPECT |
CreateDesktopPool |
DESKTOP_POOL_CREATE |
GetDesktopPool |
DESKTOP_POOL_READ |
DeleteDesktopPool |
DESKTOP_POOL_DELETE |
UpdateDesktopPool |
DESKTOP_POOL_UPDATE |
ChangeDesktopPoolCompartment |
DESKTOP_POOL_MOVE |
StartDesktopPool |
DESKTOP_POOL_UPDATE |
StopDesktopPool |
DESKTOP_POOL_UPDATE |
ListDesktopPoolVolumes |
DESKTOP_POOL_READ |
ListDesktopPoolDesktops |
DESKTOP_POOL_READ |
ListDesktopPoolErrors |
DESKTOP_POOL_READ |
ListDesktops |
DESKTOP_INSPECT |
GetDesktop |
DESKTOP_READ |
DeleteDesktop |
DESKTOP_DELETE |
UpdateDesktop |
DESKTOP_UPDATE |
StartDesktop |
DESKTOP_UPDATE |
StopDesktop |
DESKTOP_UPDATE |
ListDesktopErrors |
DESKTOP_READ |