Criterio IAM aggiuntivo quando un cluster e uno spazio di nomi tag si trovano in compartimenti diversi

Quando si utilizza Kubernetes Engine (OKE), è possibile ottenere informazioni su un criterio IAM aggiuntivo da creare se si desidera applicare tag definite da uno spazio di nomi tag appartenente a un compartimento specifico a risorse correlate al cluster appartenenti a un compartimento diverso.

Per applicare le tag definite da uno spazio di nomi tag appartenente a un compartimento alle risorse correlate al cluster appartenenti a un compartimento diverso, è necessario includere un'istruzione criterio simile alla seguente in un criterio IAM:

Allow any-user to use tag-namespace in tenancy where all {request.principal.type = 'cluster'}

Se si considera questa istruzione dei criteri troppo permissiva, è possibile limitare le autorizzazioni per specificare in modo esplicito il compartimento a cui appartiene lo spazio di nomi tag e/o per specificare in modo esplicito il cluster che appartiene a un altro compartimento. Ad esempio:

Allow any-user to use tag-namespace in compartment <compartment-ocid> where all { request.principal.id = '<cluster-ocid>' }