Creazione di criteri per controllare l'accesso alla rete e alle risorse correlate alle funzioni
Scopri come creare criteri per controllare l'accesso sia degli utenti che del servizio OCI Functions alle risorse di rete e correlate alle funzioni.
Prima che gli utenti possano iniziare a utilizzare OCI Functions per creare e distribuire funzioni, in qualità di amministratore della tenancy è necessario creare una serie di istruzioni dei criteri Oracle Cloud Infrastructure per concedere l'accesso alle risorse di rete e correlate alle funzioni.
Utilizzare Policy Builder per creare un criterio appropriato, selezionando Funzioni come Caso d'uso criterio, quindi selezionando il modello di criteri Consenti agli utenti di creare, distribuire e gestire funzioni e applicazioni. Tale modello di criteri contiene tutte le istruzioni di criteri necessarie per utilizzare OCI Functions. Vedere Scrittura di istruzioni criteri con Costruzione guidata criteri.
In alternativa, è possibile creare uno o più criteri contenenti le istruzioni dei criteri (seguire le istruzioni riportate nella sezione Per creare un criterio).
Istruzioni criteri
| Scopo: | Crea in: | Istruzione: |
|---|---|---|
| Consente agli utenti di ottenere la stringa dello spazio di nomi dello storage degli oggetti della tenancy | Compartimento radice |
Allow group <group-name> to read objectstorage-namespaces in tenancy
|
| Consente agli utenti di accedere ai repository in Oracle Cloud Infrastructure Registry | Compartimento proprietario del repository o del compartimento radice | Allow group <group-name> to manage repos in tenancy|<compartment-name> |
Quando gli utenti di OCI Functions utilizzano le funzioni, devono accedere ai repository in Oracle Cloud Infrastructure Registry. Gli utenti possono accedere solo ai repository a cui appartengono i gruppi per i quali dispongono dell'accesso. Per consentire agli utenti di accedere a un repository, le istruzioni dei criteri devono concedere ai gruppi l'accesso a tale repository.
L'istruzione dei criteri Allow group <group-name> to read objectstorage-namespaces in tenancy consente agli utenti di ottenere la stringa dello spazio di nomi dello storage degli oggetti generata automaticamente della tenancy, necessaria per eseguire il login a Oracle Cloud Infrastructure Registry. Questa istruzione sui criteri fornisce inoltre l'accesso ai log delle funzioni memorizzati in un bucket di storage in Oracle Cloud Infrastructure Object Storage (vedere Memorizzazione e visualizzazione dei log delle funzioni).
Se si utilizza l'istruzione dei criteri Allow group <group-name> to manage repos in tenancy per concedere agli utenti l'accesso ai repository in Oracle Cloud Infrastructure Registry, tenere presente che questa istruzione dei criteri concede al gruppo l'autorizzazione per gestire tutti i repository nella tenancy. Se si ritiene che ciò sia troppo permissivo, è possibile limitare i repository a cui il gruppo ha accesso includendo una clausola WHERE nell'istruzione manage repos. Tenere presente che se si include una clausola WHERE, è necessario includere anche una seconda istruzione nel criterio per consentire al gruppo di ispezionare tutti i repository nella tenancy (quando si utilizza la console). Ad esempio, le seguenti istruzioni dei criteri limitano il gruppo all'accesso solo ai repository con nomi che avviano 'acme-web-app', ma consentono anche al gruppo di ispezionare tutti i repository nella tenancy:
Allow group acme-functions-developers to inspect repos in tenancyAllow group acme-functions-developers to manage repos in tenancy where all {target.repo.name=/acme-web-app*/ }| Scopo: | Crea in: | Istruzione: |
|---|---|---|
| Consente agli utenti di accedere alle risorse correlate alle funzioni | Compartimento proprietario di risorse correlate alla funzione | Allow group <group-name> to manage functions-family in compartment <compartment-name>
|
| Fornisce agli utenti l'accesso alle metriche emesse da OCI Functions | Compartimento proprietario di risorse correlate alla funzione | Allow group <group-name> to read metrics in compartment <compartment-name> |
Quando gli utenti di OCI Functions creano funzioni e applicazioni, devono specificare un compartimento per tali risorse correlate alle funzioni (anche per le metriche emesse da OCI Functions). Gli utenti possono specificare solo un compartimento a cui è stato concesso l'accesso ai gruppi a cui appartengono. Per consentire agli utenti di specificare un compartimento, le istruzioni dei criteri devono concedere ai gruppi l'accesso a tale compartimento.
L'istruzione criterio Allow group <group-name> to manage functions-family in compartment <compartment-name> consente agli utenti di accedere alle risorse correlate alle funzioni.
L'istruzione dei criteri Allow group <group-name> to read metrics in compartment <compartment-name> consente agli utenti di accedere alle metriche emesse dalle funzioni OCI.
| Scopo: | Crea in: | Istruzione: |
|---|---|---|
| Consente agli utenti di accedere alle risorse di log | Compartimento radice |
|
Quando gli utenti di OCI Functions definiscono un'applicazione, possono abilitare il log per memorizzare e visualizzare i log delle funzioni nel servizio Oracle Cloud Infrastructure Logging. Gli utenti possono visualizzare solo i log a cui hanno accesso i gruppi a cui appartengono. Per consentire agli utenti di memorizzare e visualizzare i log delle funzioni nel servizio Oracle Cloud Infrastructure Logging, un'istruzione criterio deve concedere ai gruppi l'accesso alle risorse di log.
L'istruzione criterio Allow group <group-name> to manage logging-family in compartment <compartment-name> offre agli utenti l'accesso completo alle risorse di log nel compartimento che saranno proprietarie delle risorse di log
| Scopo: | Crea in: | Istruzione: |
|---|---|---|
| Consente agli utenti di accedere alle risorse di rete | Compartimento proprietario delle risorse di rete | Allow group <group-name> to use virtual-network-family in compartment <compartment-name>
|
Quando gli utenti di OCI Functions creano una funzione o un'applicazione, devono specificare una VCN e una subnet in cui crearle. Gli utenti possono specificare solo VCN e subnet nei compartimenti a cui è stato concesso l'accesso ai gruppi a cui appartengono. Per consentire agli utenti di specificare una VCN e una subnet, un'istruzione criterio deve concedere ai gruppi l'accesso al compartimento.
Quando gli utenti di OCI Functions desiderano definire regole di entrata e uscita che si applicano a tutte le funzioni di una particolare applicazione utilizzando un gruppo NSG, possono aggiungere l'applicazione a tale gruppo NSG. Per aggiungere un'applicazione a un gruppo NSG, un'istruzione criterio simile deve concedere ai gruppi a cui gli utenti appartengono l'accesso al compartimento a cui appartiene il gruppo NSG. Tenere presente che il gruppo NSG potrebbe appartenere a un compartimento diverso dalla subnet della funzione. Per ulteriori informazioni, vedere Aggiunta di applicazioni ai gruppi di sicurezza di rete (NSG).
| Scopo: | Crea in: | Istruzione: |
|---|---|---|
| Fornisce al servizio OCI Functions l'accesso alle risorse di trace | Compartimento proprietario delle risorse di trace o del compartimento radice |
|
| Consente agli utenti di accedere alle risorse di trace | Compartimento proprietario delle risorse di trace o del compartimento radice |
|
Quando gli utenti di OCI Functions desiderano scoprire perché una funzione non viene eseguita o non funziona come previsto, possono utilizzare il trace per eseguire il debug dei problemi di esecuzione e prestazioni. Per utilizzare il trace, gli utenti devono abilitare il trace per l'applicazione che contiene la funzione e quindi abilitare il trace per una o più funzioni. Gli utenti possono quindi visualizzare i trace delle funzioni in Application Performance Monitoring (APM) Trace Explorer. Per ulteriori informazioni, vedere Trace distribuito per le funzioni.
Gli utenti possono abilitare il trace solo se il gruppo a cui appartengono può accedere ai domini APM esistenti (o creare nuovi domini APM) e se OCI Functions può accedere ai domini APM. Per consentire agli utenti di attivare il trace e visualizzare i trace, le istruzioni dei criteri devono concedere al gruppo e alle funzioni OCI l'accesso ai domini APM.
L'istruzione criterio Allow group <group-name> to use apm-domains in tenancy|compartment <compartment-name> consente agli utenti di accedere alle risorse di trace nel compartimento o nell'intera tenancy. Se si desidera consentire agli utenti di creare nuovi domini APM ed eliminare i domini APM, specificare manage apm-domains anziché use apm-domains.
L'istruzione dei criteri Allow service faas to use apm-domains in tenancy|compartment <compartment-name> consente a OCI Functions di accedere ai domini APM nel compartimento o nell'intera tenancy.
| Scopo: | Crea in: | Istruzione: |
|---|---|---|
| Fornisce l'accesso al servizio OCI Functions per verificare le chiavi di cifratura master in Oracle Cloud Infrastructure Vault | Compartimento proprietario del vault e/o della chiave di cifratura master o del compartimento radice |
Se sono necessarie istruzioni dei criteri più restrittive, vedere di seguito per alcuni esempi. |
| Fornisce al servizio OCI Functions l'accesso alle immagini firmate in Oracle Cloud Infrastructure Registry | Compartimento radice |
|
| Fornisce agli utenti l'accesso ai vault e alle chiavi di cifratura master in Oracle Cloud Infrastructure Vault | Compartimento proprietario del vault e/o della chiave di cifratura master o del compartimento radice |
Se sono necessarie istruzioni dei criteri più restrittive, vedere di seguito per alcuni esempi. |
| Consente agli utenti di accedere alle immagini firmate in Oracle Cloud Infrastructure Registry | Compartimento radice |
|
Gli utenti possono configurare le applicazioni OCI Functions in modo da consentire solo la creazione, l'aggiornamento, la distribuzione e il richiamo di funzioni basate sulle immagini in Oracle Cloud Infrastructure Registry firmate da particolari chiavi di cifratura master.
Per creare un criterio di verifica della firma e per creare e distribuire immagini delle funzioni firmate, gli utenti devono avere accesso alle chiavi di cifratura master nei vault definiti in Oracle Cloud Infrastructure Vault. Allo stesso modo, per applicare un criterio di verifica della firma definito per un'applicazione, OCI Functionsservice deve anche avere accesso alle chiavi di cifratura master definite in Oracle Cloud Infrastructure Vault.
È possibile limitare le chiavi di cifratura master utilizzabili per la firma dell'immagine della funzione e la verifica della firma. Ad esempio, utilizzando criteri quali:
Allow service faas to {KEY_READ} in compartment <compartment-name> where target.key.id = '<ocid-of-key-in-verification-policy>' and request.operation = 'GetKeyVersion'Allow service faas to {KEY_VERIFY} in compartment <compartment-name> where target.key.id = '<ocid-of-key-in-verification-policy>' and request.operation = 'Verify'Allow group <groupname> to {KEY_READ} in compartment <compartment-name> where ALL {target.key.id = '<ocid-of-key-in-verification-policy>', ANY {request.operation = 'GetKey', request.operation = 'GetKeyVersion'}}Allow group <groupname> to {KEY_VERIFY} in compartment <compartment-name> where target.key.id = '<ocid-of-key-in-verification-policy>' and request.operation = 'Verify'
Per ulteriori informazioni ed esempi, vedere Firma di immagini di funzioni e applicazione dell'uso di immagini firmate dal registro.