Stratégies Secure Desktops

Chaque service d'Oracle Cloud Infrastructure s'intègre à Identity and Access Management (IAM) pour l'authentification et l'autorisation sur toutes les interfaces (console, kit SDK ou interface de ligne de commande, et API REST).

Remarque

Par exemple, stratégies Secure Desktops et informations sur les groupes dynamiques requis, reportez-vous à Création de stratégies pour le service et à Création de stratégies pour l'autorisation utilisateur.

L'administrateur de location doit créer des stratégies au niveau de la location ou du compartiment pour autoriser les bureaux sécurisés et utiliser les ressources dont il a besoin. Ils doivent également configurer des groupes, des compartiments et des stratégies qui contrôlent l'accès des utilisateurs au service. Reportez-vous à Création de stratégies pour le service et à Création de stratégies pour l'autorisation utilisateur.

Pour obtenir une introduction aux stratégies, reportez-vous à Initiation aux stratégies.

Remarque

La création d'une stratégie nécessite des privilèges appropriés. Contactez l'administrateur de location pour obtenir les privilèges ou pour que les stratégies soient créées pour vous.

Stratégies IAM requises

Dans le compartiment racine

Allow dynamic-group <dynamic-group> to {DOMAIN_INSPECT, DOMAIN_READ} in tenancy 
Allow dynamic-group <dynamic-group> to inspect users in tenancy 
Allow dynamic-group <dynamic-group> to inspect compartments in tenancy
Allow dynamic-group <dynamic-group> to use tag-namespaces in tenancy
Dans le compartiment racine ou au-dessus des compartiments de pool de bureaux que vous gérez
Allow dynamic-group <dynamic-group> to use virtual-network-family in compartment <desktops-network-compartment>
Allow dynamic-group <dynamic-group> to {VCN_ATTACH, VCN_DETACH} in compartment <desktops-network-compartment>
Allow dynamic-group <dynamic-group> to manage virtual-network-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to read instance-images in compartment <image-compartment>
Allow dynamic-group <dynamic-group> to manage instance-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage volume-family in compartment <desktop-compartment> 
Allow dynamic-group <dynamic-group> to manage dedicated-vm-hosts in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage orm-family in compartment <desktop-compartment> 
Allow dynamic-group <dynamic-group> to {VNIC_CREATE, VNIC_DELETE} in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage instance-configurations in compartment <desktop-compartment>
Remarque

  • Si <desktops-network-compartment> n'est pas un enfant des compartiments au-dessus des compartiments de pool de bureaux, la stratégie doit être indiquée dans le compartiment racine.
  • Si vous envisagez de créer des pools de bureaux privés, des stratégies supplémentaires peuvent être requises. Pour plus d'informations, reportez-vous à la section Enabling Private Desktop Access.

Pour l'administrateur bureau

Allow group <desktop-administrators> to manage desktop-pool-family in compartment <desktop-compartment>
Allow group <desktop-administrators> to read all-resources in compartment <desktop-compartment>
Allow group <desktop-administrators> to use virtual-network-family in compartment <desktops-network-compartment>
Allow group <desktop-administrators> to use instance-images in compartment <images-compartment>

Pour l'utilisateur de bureau

Tous les pools de bureaux d'un compartiment :

Allow group <desktop-users> to use published-desktops in compartment <desktop-compartment>

Pools de bureaux spécifiques au sein d'un compartiment :

Allow group <desktop-users> to use published-desktops in compartment <desktop-compartment>
                where all {target.desktoppool.name = '<pool_name>', target.desktoppool.id = '<pool_ocid>'}

Détails de stratégie pour les bureaux sécurisés

Dans une instruction de stratégie, vous utilisez des verbes, des types de ressource et des variables pour accorder l'accès aux services et aux ressources. Vous pouvez également utiliser des droits d'accès ou des opérations d'API pour réduire la portée des accès accordés par un verbe particulier.

Pour plus d'informations sur les droits d'accès, reportez-vous à Droits d'accès.

Type agrégé de ressource

desktop-pool-family

Types individuels de ressource

desktop-pool

desktop

Variables prises en charge

Les opérations pour ce type de ressource...

Peuvent utiliser ces variables...

Type de variable

Commentaires
desktop-pool target.desktopPool.id Entité (OCID)
desktop target.desktop.id Entité (OCID)

Détails des combinaisons de verbe et de type de ressource

Les tableaux suivants indiquent les droits d'accès et les opérations d'API que couvre chaque verbe. Le niveau d'accès est cumulatif à mesure que vous passez d'un verbe à l'autre, dans l'ordre suivant : inspect > read > use > manage. Le signe plus (+) dans une cellule du tableau indique un accès incrémentiel par rapport à la cellule directement au-dessus, alors que la mention "aucun élément supplémentaire" n'indique aucun accès incrémentiel.

desktop-pool
Verbes Droits d'accès API entièrement couvertes API partiellement couvertes

inspect

DESKTOP_POOL_INSPECT

ListDesktopPools

Aucun

lu

INSPECT +

DESKTOP_POOL_READ

GetDesktopPool

ListDesktopPoolVolumes

ListDesktopPoolDesktops

ListDesktopPoolErrors

Aucun

utiliser

READ +

UpdateDesktopPool

StartDesktopPool

StopDesktopPool

Aucun

manage

USE +

DESKTOP_POOL_CREATE

DESKTOP_POOL_DELETE

DESKTOP_POOL_MOVE

CreateDesktopPool

DeleteDesktopPool

ChangeDesktopPoolCompartment

Aucun

bureau
Verbes Droits d'accès API entièrement couvertes API partiellement couvertes

inspect

DESKTOP_INSPECT

ListDesktops

Aucun

lu

INSPECT +

DESKTOP_READ

GetDesktop

ListDesktopErrors

Aucun

utiliser

READ +

DESKTOP_UPDATE

UpdateDesktop

StartDesktop

StopDesktop

Aucun

manage

USE +

DESKTOP_DELETE

DeleteDesktop

Aucun

Droits d'accès requis pour chaque opération d'API

Opération d'API Droits d'accès requis pour utiliser l'opération
ListDesktopPools DESKTOP_POOL_INSPECT
CreateDesktopPool DESKTOP_POOL_CREATE
GetDesktopPool DESKTOP_POOL_READ
DeleteDesktopPool DESKTOP_POOL_DELETE
UpdateDesktopPool DESKTOP_POOL_UPDATE
ChangeDesktopPoolCompartment DESKTOP_POOL_MOVE
StartDesktopPool DESKTOP_POOL_UPDATE
StopDesktopPool DESKTOP_POOL_UPDATE
ListDesktopPoolVolumes DESKTOP_POOL_READ
ListDesktopPoolDesktops DESKTOP_POOL_READ
ListDesktopPoolErrors DESKTOP_POOL_READ
ListDesktops DESKTOP_INSPECT
GetDesktop DESKTOP_READ
DeleteDesktop DESKTOP_DELETE
UpdateDesktop DESKTOP_UPDATE
StartDesktop DESKTOP_UPDATE
StopDesktop DESKTOP_UPDATE
ListDesktopErrors DESKTOP_READ