Criteri comuni
Questa sezione include alcuni criteri comuni che è possibile utilizzare nell'organizzazione.
Questi criteri utilizzano nomi di gruppo e compartimento di esempio. Assicurati di sostituirli con i tuoi nomi.
Tipo di accesso: Possibilità di creare, aggiornare ed eliminare gli utenti e le relative credenziali. Non include la possibilità di inserire gli utenti in gruppi.
Dove creare il criterio: nella tenancy, poiché gli utenti risiedono nella tenancy.
Allow group HelpDesk to manage users in tenancy
Tipo di accesso: possibilità di elencare le risorse in tutti i compartimenti. Tenere presente che:
- L'operazione per elencare i criteri IAM include il contenuto dei criteri stessi
- Le operazioni di lista per i tipi di risorse di networking restituiscono tutte le informazioni (ad esempio, il contenuto delle liste di sicurezza e delle tabelle di instradamento)
- L'operazione per elencare le istanze richiede il verbo
read
anzichéinspect
e i contenuti includono i metadati forniti dall'utente. -
L'operazione per visualizzare gli eventi del servizio di audit richiede il verbo
read
anzichéinspect
.
Dove creare il criterio: nella tenancy. A causa del concetto di ereditarietà dei criteri, gli auditor possono quindi ispezionare sia la tenancy che tutti i compartimenti al di sotto di essa. In alternativa, potresti scegliere di concedere agli auditor l'accesso solo a compartimenti specifici se non hanno bisogno dell'accesso all'intera tenancy.
Allow group Auditors to inspect all-resources in tenancy
Allow group Auditors to read instances in tenancy
Allow group Auditors to read audit-events in tenancy
-
Database protetti
-
Subnet servizio di recupero
- Criteri di protezione
Questo criterio è applicabile se si desidera consentire a un singolo set di amministratori del servizio di recupero di gestire tutte le risorse del servizio di recupero in tutti i compartimenti.
Dove creare il criterio: nella tenancy in modo che l'accesso venga concesso facilmente a tutti i compartimenti tramite l'ereditarietà dei criteri. Per ridurre l'ambito dell'accesso alle risorse del servizio di recupero in un determinato compartimento, specificare il compartimento richiesto anziché la tenancy.
Allow group RecoveryServiceGroup to manage recovery-service-family in tenancy
Tipo di accesso: possibilità di gestire i criteri di protezione in tutti i compartimenti.
Questo criterio è applicabile se si desidera consentire a un singolo set di amministratori della conformità di gestire i criteri di protezione in tutti i compartimenti.
Dove creare il criterio: nella tenancy in modo che l'accesso venga concesso facilmente a tutti i compartimenti tramite l'ereditarietà dei criteri. Per ridurre l'ambito dell'accesso ai criteri di protezione in un determinato compartimento, specificare il compartimento richiesto anziché la tenancy.
Allow group ComplianceGroup to manage recovery-service-policy in tenancy
Tipo di accesso: la possibilità di gestire tutti i componenti in Networking. Ciò include reti cloud, subnet, gateway, circuiti virtuali, liste di sicurezza, tabelle di instradamento e così via. Se gli amministratori di rete devono avviare le istanze per eseguire il test della connettività di rete, vedere Consenti agli utenti di avviare le istanze di computazione.
Dove creare il criterio: nella tenancy. A causa del concetto di ereditarietà dei criteri, NetworkAdmins può quindi gestire una rete cloud in qualsiasi compartimento. Per ridurre l'ambito di accesso a un determinato compartimento, specificare tale compartimento anziché la tenancy.
Allow group NetworkAdmins to manage virtual-network-family in tenancy
Per i criteri utilizzati per connettere un DRG a VCN e DRG in altre aree e tenancy, vedere Criteri IAM per l'instradamento tra VCN.
Tipo di accesso: possibilità di gestire tutti i componenti nel load balancer. Se il gruppo deve avviare le istanze, vedere Consenti agli utenti di avviare le istanze di calcolo.
Dove creare il criterio: nella tenancy. A causa del concetto di ereditarietà dei criteri, NetworkAdmins può quindi gestire i load balancer in qualsiasi compartimento. Per ridurre l'ambito di accesso a un determinato compartimento, specificare tale compartimento anziché la tenancy.
Allow group NetworkAdmins to manage load-balancers in tenancy
Se il gruppo desidera gestire i load balancer e i load balancer di rete, sono necessari criteri aggiuntivi per utilizzare le risorse di rete associate:
Allow group NetworkAdmins to manage load-balancers in tenancy
Allow group NetworkAdmins to use virtual-network-family in tenancy
Allow group NetworkAdmins to manage instances in tenancy
Se un determinato gruppo deve aggiornare i load balancer esistenti, ad esempio modificare il set backend, ma non crearli o eliminarli, utilizzare la seguente istruzione:
Allow group LBUsers to use load-balancers in tenancy
Tipo di accesso: possibilità di eseguire qualsiasi operazione con le istanze avviate nella rete cloud e nelle subnet nel compartimento XYZ e collegare/scollegare eventuali volumi esistenti già esistenti nel compartimento ABC. La prima istruzione consente inoltre al gruppo di creare e gestire le immagini delle istanze nel compartimento ABC. Se il gruppo non deve collegare o scollegare i volumi, è possibile eliminare l'istruzione volume-family
.
Dove creare il criterio: l'approccio più semplice consiste nell'inserire questo criterio nella tenancy. Se si desidera che gli amministratori dei singoli compartimenti (ABC e XYZ) abbiano il controllo sulle singole istruzioni dei criteri per i relativi compartimenti, vedere Allegato ai criteri.
Allow group InstanceLaunchers to manage instance-family in compartment ABC
Allow group InstanceLaunchers to read app-catalog-listing in tenancy
Allow group InstanceLaunchers to use volume-family in compartment ABC
Allow group InstanceLaunchers to use virtual-network-family in compartment XYZ
Per consentire agli utenti di creare nuove reti e subnet cloud, vedere Consentire agli amministratori di rete di gestire una rete cloud.
Per consentire agli utenti di determinare se la capacità è disponibile per una forma specifica prima di creare un'istanza, aggiungere la seguente istruzione al criterio:
Allow group InstanceLaunchers to manage compute-capacity-reports in tenancy
Tipo di accesso: possibilità di avviare le istanze nella rete cloud e nelle subnet nel compartimento XYZ utilizzando solo l'immagine personalizzata specificata. Il criterio include anche la possibilità di collegare/scollegare eventuali volumi esistenti già esistenti nel compartimento ABC. Se il gruppo non deve collegare/scollegare i volumi, è possibile eliminare l'istruzione volume-family
.
Per specificare più immagini personalizzate, è possibile utilizzare le condizioni.
Dove creare il criterio: l'approccio più semplice consiste nell'inserire questo criterio nella tenancy. Se si desidera che gli amministratori dei singoli compartimenti (ABC e XYZ) abbiano il controllo sulle singole istruzioni dei criteri per i relativi compartimenti, vedere Allegato ai criteri.
Allow group ImageUsers to inspect instance-images in compartment ABC
Allow group ImageUsers to {INSTANCE_IMAGE_READ} in compartment ABC where target.image.id='<image_OCID>'
Allow group ImageUsers to manage instances in compartment ABC
Allow group ImageUsers to read app-catalog-listing in tenancy
Allow group ImageUsers to use volume-family in compartment ABC
Allow group ImageUsers to use virtual-network-family in compartment XYZ
Tipo di accesso: possibilità di eseguire qualsiasi operazione con immagini personalizzate e istanze di computazione. Include anche la possibilità di eseguire qualsiasi operazione con i bucket di storage degli oggetti, gli oggetti e gli spazi di nomi nel compartimento Y (per creare immagini da oggetti e creare richieste preautenticate alle immagini), collegare/scollegare eventuali volumi esistenti nel compartimento X e avviare le istanze nella rete cloud e nelle subnet nel compartimento Z (per creare nuove istanze su cui basare un'immagine). Se il gruppo non deve collegare/scollegare i volumi, è possibile eliminare l'istruzione volume-family
.
Dove creare il criterio: l'approccio più semplice consiste nell'inserire questo criterio nella tenancy. Se si desidera che gli amministratori dei singoli compartimenti (X, Y e Z) abbiano il controllo sulle singole istruzioni dei criteri per i relativi compartimenti, vedere Allegato ai criteri.
Allow group ImageAdmins to manage instances in compartment X
Allow group ImageAdmins to manage instance-images in compartment X
Allow group ImageAdmins to read app-catalog-listing in tenancy
Allow group ImageAdmins to manage object-family in compartment Y
Allow group ImageAdmins to use volume-family in compartment X
Allow group ImageAdmins to use virtual-network-family in compartment Z
Tipo di accesso: possibilità di eseguire tutte le operazioni con le configurazioni dell'istanza, i pool di istanze e le reti di cluster in tutti i compartimenti.
Dove creare il criterio: nella tenancy in modo che l'accesso venga concesso facilmente a tutti i compartimenti tramite l'ereditarietà dei criteri. Per ridurre l'ambito dell'accesso solo alle configurazioni delle istanze, ai pool di istanze e alle reti cluster in un determinato compartimento, specificare tale compartimento anziché la tenancy.
Allow group InstancePoolAdmins to manage compute-management-family in tenancy
Se un gruppo deve creare configurazioni di istanze utilizzando istanze esistenti come modello e utilizza l'API, gli SDK o l'interfaccia a riga di comando (CLI, Command Line Interface) per eseguire questa operazione, aggiungere le istruzioni riportate di seguito al criterio.
Allow group InstancePoolAdmins to read instance-family in tenancy
Allow group InstancePoolAdmins to inspect volumes in tenancy
Se un determinato gruppo deve avviare, arrestare o reimpostare le istanze nei pool di istanze esistenti, ma non deve creare o eliminare i pool di istanze, utilizzare questa istruzione:
Allow group InstancePoolUsers to use instance-pools in tenancy
Se le risorse utilizzate dal pool di istanze contengono tag predefinite, aggiungere l'istruzione seguente al criterio per concedere al gruppo l'autorizzazione per lo spazio di nomi tag Oracle-Tags
:
Allow group InstancePoolUsers to use tag-namespaces in tenancy where target.tag-namespace.name = 'oracle-tags'
Se la configurazione dell'istanza utilizzata dal pool di istanze avvia le istanze in un'assegnazione capacità, aggiungere la seguente istruzione al criterio:
Allow service compute_management to use compute-capacity-reservations in tenancy
Se il volume di avvio utilizzato nella configurazione dell'istanza per creare un pool di istanze è cifrato con una chiave KMS, aggiungere l'istruzione seguente al criterio
allow service compute, blockstorage, compute_management to use key-family in compartment <compartment_id/<tenant_id>>
Tipo di accesso: possibilità di creare, aggiornare ed eliminare le configurazioni di scala automatica.
Dove creare il criterio: nella tenancy in modo che l'accesso venga concesso facilmente a tutti i compartimenti tramite l'ereditarietà dei criteri. Per ridurre l'ambito dell'accesso solo alle configurazioni di ridimensionamento automatico in un determinato compartimento, specificare tale compartimento anziché la tenancy.
Allow group AutoscalingAdmins to manage auto-scaling-configurations in tenancy
Allow group AutoscalingAdmins to manage instance-pools in tenancy
Tipo di accesso: possibilità di elencare e creare sottoscrizioni alle immagini nel catalogo di immagini partner. Non include la possibilità di creare istanze utilizzando le immagini del catalogo di immagini partner (vedere Consenti agli utenti di avviare le istanze di computazione).
Dove creare il criterio: nella tenancy. Per ridurre l'ambito di accesso alla semplice creazione di sottoscrizioni in un determinato compartimento, specificare tale compartimento anziché la tenancy nella terza istruzione.
Allow group CatalogSubscribers to inspect app-catalog-listing in tenancy
Allow group CatalogSubscribers to read app-catalog-listing in tenancy
Allow group CatalogSubscribers to manage app-catalog-listing in tenancy
Tipo di accesso: possibilità di creare connessioni alla console dell'istanza.
Dove creare il criterio: nella tenancy.
Allow group <group_name> to manage instance-console-connection in tenancy
Allow group <group_name> to read instance in tenancy
Tipo di accesso: possibilità di creare, aggiornare ed eliminare host Virtual Machine dedicati e avviare istanze in host Virtual Machine dedicati.
Dove creare il criterio: nella tenancy in modo che l'accesso venga concesso facilmente a tutti i compartimenti tramite l'ereditarietà dei criteri. Per ridurre l'ambito di accesso solo agli host e alle istanze della virtual machine dedicate in un determinato compartimento, specificare tale compartimento anziché la tenancy.
Allow group DedicatedVMHostAdmins to manage dedicated-vm-hosts in tenancy
Allow group DedicatedVMHostAdmins to manage instances in tenancy
Tipo di accesso: possibilità di avviare istanze in host virtual machine dedicati.
Dove creare il criterio: nella tenancy in modo che l'accesso venga concesso facilmente a tutti i compartimenti tramite l'ereditarietà dei criteri. Per ridurre l'ambito di accesso solo agli host e alle istanze della virtual machine dedicate in un determinato compartimento, specificare tale compartimento anziché la tenancy.
Allow group DedicatedVMHostAdmins to use dedicated-vm-hosts in tenancy
Allow group DedicatedVMHostAdmins to manage instances in tenancy
Tipo di accesso: possibilità di eseguire tutte le operazioni con i volumi di storage a blocchi, i backup dei volumi e i gruppi di volumi in tutti i compartimenti, ad eccezione della copia dei backup dei volumi in più aree. Ciò ha senso se desideri che un singolo set di amministratori dei volumi gestisca tutti i volumi, i backup dei volumi e i gruppi di volumi in tutti i compartimenti. La seconda istruzione è necessaria per collegare/scollegare i volumi dalle istanze.
Dove creare il criterio: nella tenancy in modo che l'accesso venga concesso facilmente a tutti i compartimenti tramite l'ereditarietà dei criteri. Per ridurre l'ambito di accesso solo ai volumi/backup e alle istanze in un determinato compartimento, specificare tale compartimento anziché la tenancy.
Allow group VolumeAdmins to manage volume-family in tenancy
Allow group VolumeAdmins to use instance-family in tenancy
Se il gruppo deve anche copiare i backup dei volumi e dei volumi di avvio in più aree, aggiungere le istruzioni riportate di seguito al criterio.
Allow group VolumeAdmins to use volume-backups in tenancy where request.permission='VOLUME_BACKUP_COPY'
Allow group VolumeAdmins to use boot-volume-backups in tenancy where request.permission='BOOT_VOLUME_BACKUP_COPY'
Tipo di accesso: possibilità di eseguire tutte le operazioni con i backup dei volumi, ma non di creare e gestire i volumi stessi. Ciò ha senso se desideri che un singolo set di amministratori dei backup dei volumi gestisca tutti i backup dei volumi in tutti i compartimenti. La prima istruzione fornisce l'accesso necessario al volume di cui viene eseguito il backup; la seconda istruzione consente la creazione del backup (e la possibilità di eliminare i backup). La terza istruzione consente la creazione e la gestione di criteri di backup definiti dall'utente; la quarta istruzione consente l'assegnazione e la rimozione di criteri di backup.
Dove creare il criterio: nella tenancy in modo che l'accesso venga concesso facilmente a tutti i compartimenti tramite l'ereditarietà dei criteri. Per ridurre l'ambito dell'accesso solo ai volumi e ai backup in un determinato compartimento, specificare tale compartimento anziché la tenancy.
Allow group VolumeBackupAdmins to use volumes in tenancy
Allow group VolumeBackupAdmins to manage volume-backups in tenancy
Allow group VolumeBackupAdmins to manage backup-policies in tenancy
Allow group VolumeBackupAdmins to manage backup-policy-assignments in tenancy
Se il gruppo utilizzerà la console, il criterio seguente offre una migliore esperienza utente:
Allow group VolumeBackupAdmins to use volumes in tenancy
Allow group VolumeBackupAdmins to manage volume-backups in tenancy
Allow group VolumeBackupAdmins to inspect volume-attachments in tenancy
Allow group VolumeBackupAdmins to inspect instances in tenancy
Allow group VolumeBackupAdmins to manage backup-policies in tenancy
Allow group VolumeBackupAdmins to manage backup-policy-assignments in tenancy
Le ultime due istruzioni non sono necessarie per gestire i backup dei volumi. Tuttavia, consentono alla console di visualizzare tutte le informazioni su un determinato volume e sui criteri di backup disponibili.
Tipo di accesso: possibilità di eseguire tutte le operazioni con i backup dei volumi di avvio, ma non creare e gestire i volumi di avvio stessi. Ciò ha senso se desideri che un singolo set di amministratori dei backup dei volumi di avvio gestisca tutti i backup dei volumi di avvio in tutti i compartimenti. La prima istruzione fornisce l'accesso necessario al volume di avvio di cui viene eseguito il backup; la seconda istruzione consente di creare il backup (e di eliminare i backup). La terza istruzione consente la creazione e la gestione di criteri di backup definiti dall'utente; la quarta istruzione consente l'assegnazione e la rimozione di criteri di backup.
Dove creare il criterio: nella tenancy in modo che l'accesso venga concesso facilmente a tutti i compartimenti tramite l'ereditarietà dei criteri. Per ridurre l'ambito di accesso solo ai volumi di avvio e ai backup in un determinato compartimento, specificare tale compartimento anziché la tenancy.
Allow group BootVolumeBackupAdmins to use volumes in tenancy
Allow group BootVolumeBackupAdmins to manage boot-volume-backups in tenancy
Allow group BootVolumeBackupAdmins to manage backup-policies in tenancy
Allow group BootVolumeBackupAdmins to manage backup-policy-assignments in tenancy
Se il gruppo utilizzerà la console, il criterio seguente offre una migliore esperienza utente:
Allow group BootVolumeBackupAdmins to use volumes in tenancy
Allow group BootVolumeBackupAdmins to manage boot-volume-backups in tenancy
Allow group BootVolumeBackupAdmins to inspect instances in tenancy
Allow group BootVolumeBackupAdmins to manage backup-policies in tenancy
Allow group BootVolumeBackupAdmins to manage backup-policy-assignments in tenancy
Le ultime due istruzioni non sono necessarie per gestire i backup dei volumi. Tuttavia, consentono alla console di visualizzare tutte le informazioni su un determinato volume di avvio e sui criteri di backup disponibili.
Tipo di accesso: consente di creare un gruppo di volumi da un set di volumi.
Dove creare il criterio: nella tenancy in modo che l'accesso venga concesso facilmente a tutti i compartimenti tramite l'ereditarietà dei criteri. Per ridurre l'ambito di accesso solo ai volumi e ai gruppi di volumi in un determinato compartimento, specificare tale compartimento anziché la tenancy.
Allow group VolumeGroupCreators to inspect volumes in tenancy
Allow group VolumeGroupCreators to manage volume-groups in tenancy
Tipo di accesso: possibilità di duplicare un gruppo di volumi da un gruppo di volumi esistente.
Dove creare il criterio: nella tenancy in modo che l'accesso venga concesso facilmente a tutti i compartimenti tramite l'ereditarietà dei criteri. Per ridurre l'ambito di accesso solo ai volumi e ai gruppi di volumi in un determinato compartimento, specificare tale compartimento anziché la tenancy.
Allow group VolumeGroupCloners to inspect volumes in tenancy
Allow group VolumeGroupCloners to manage volume-groups in tenancy
Allow group VolumeGroupCloners to manage volumes in tenancy
Tipo di accesso: possibilità di creare il backup di un gruppo di volumi.
Dove creare il criterio: nella tenancy in modo che l'accesso venga concesso facilmente a tutti i compartimenti tramite l'ereditarietà dei criteri. Per ridurre l'ambito dell'accesso solo ai volumi/backup e ai gruppi di volumi/backup dei gruppi di volumi in un determinato compartimento, specificare tale compartimento anziché la tenancy.
Allow group VolumeGroupBackupAdmins to inspect volume-groups in tenancy
Allow group VolumeGroupBackupAdmins to manage volumes in tenancy
Allow group VolumeGroupBackupAdmins to manage volume-group-backups in tenancy
Allow group VolumeGroupBackupAdmins to manage volume-backups in tenancy
Tipo di accesso: possibilità di creare un gruppo di volumi ripristinando il backup di un gruppo di volumi.
Dove creare il criterio: nella tenancy in modo che l'accesso venga concesso facilmente a tutti i compartimenti tramite l'ereditarietà dei criteri. Per ridurre l'ambito dell'accesso solo ai volumi/backup e ai gruppi di volumi/backup dei gruppi di volumi in un determinato compartimento, specificare tale compartimento anziché la tenancy.
Allow group VolumeGroupBackupAdmins to inspect volume-group-backups in tenancy
Allow group VolumeGroupBackupAdmins to read volume-backups in tenancy
Allow group VolumeGroupBackupAdmins to manage volume-groups in tenancy
Allow group VolumeGroupBackupAdmins to manage volumes in tenancy
Tipo di accesso: possibilità di creare, gestire o eliminare un file system o un clone di file system. Le funzioni amministrative per un file system includono la possibilità di rinominarlo, eliminarlo o disconnettersi da esso.
Dove creare il criterio: nella tenancy, in modo che la possibilità di creare, gestire o eliminare un file system sia facilmente concessa a tutti i compartimenti mediante l'ereditarietà dei criteri. Per ridurre l'ambito di queste funzioni amministrative ai file system di un determinato compartimento, specificare tale compartimento anziché la tenancy.
Allow group StorageAdmins to manage file-family in tenancy
Tipo di accesso: possibilità di creare un file system o un clone di file system.
Dove creare il criterio: nella tenancy, in modo che la possibilità di creare un file system sia facilmente concessa a tutti i compartimenti tramite l'ereditarietà dei criteri. Per ridurre l'ambito di queste funzioni amministrative ai file system di un determinato compartimento, specificare tale compartimento anziché la tenancy.
Allow group Managers to manage file-systems in tenancy
Allow group Managers to read mount-targets in tenancy
La seconda istruzione è necessaria quando gli utenti creano un file system utilizzando la console. Consente alla console di visualizzare una lista di destinazioni di accesso alle quali è possibile associare il nuovo file system.
Tipo di accesso: possibilità di fare tutte le cose con i bucket di storage degli oggetti e gli oggetti in tutti i compartimenti.
Dove creare il criterio: nella tenancy in modo che l'accesso venga concesso facilmente a tutti i compartimenti tramite l'ereditarietà dei criteri. Per ridurre l'ambito dell'accesso solo ai bucket e agli oggetti in un determinato compartimento, specificare tale compartimento anziché la tenancy.
Allow group ObjectAdmins to manage buckets in tenancy
Allow group ObjectAdmins to manage objects in tenancy
Tipo di accesso: possibilità di scrivere oggetti in qualsiasi bucket di storage degli oggetti nel compartimento ABC (immaginare una situazione in cui un client deve scrivere regolarmente file di log in un bucket). Consiste nella possibilità di elencare i bucket nel compartimento, elencare gli oggetti in un bucket e creare un nuovo oggetto in un bucket. Sebbene la seconda istruzione offra un ampio accesso con il verbo manage
, tale accesso viene quindi limitato solo alle autorizzazioni OBJECT_INSPECT
e OBJECT_CREATE
con la condizione alla fine dell'istruzione.
Dove creare il criterio: l'approccio più semplice consiste nell'inserire questo criterio nella tenancy. Se si desidera che gli amministratori del compartimento ABC abbiano il controllo sul criterio, vedere Allegato ai criteri.
Allow group ObjectWriters to read buckets in compartment ABC
Allow group ObjectWriters to manage objects in compartment ABC where any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}
Accesso limitato a un bucket specifico: per limitare l'accesso a un bucket specifico in un determinato compartimento, aggiungere la condizione where target.bucket.name='<bucket_name>'
. Il criterio riportato di seguito consente all'utente di elencare tutti i bucket in un determinato compartimento, ma può solo elencare gli oggetti in e caricare gli oggetti in BucketA:
Allow group ObjectWriters to read buckets in compartment ABC
Allow group ObjectWriters to manage objects in compartment ABC where all {target.bucket.name='BucketA', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}
Accesso limitato ai bucket con una tag definita specifica: per limitare l'accesso ai bucket con una tag specifica in un determinato compartimento, aggiungere la condizione where target.bucket.tag.<TagNamespace>.<TagKeyDefinition>='<TagValue>'
. Il criterio riportato di seguito consente all'utente di elencare tutti i bucket nel compartimento ABC, tuttavia può elencare solo gli oggetti in entrata e caricare gli oggetti nel bucket con la tag MyTagNamespace.TagKey='MyTagValue'
.
Allow group ObjectWriters to read buckets in compartment ABC
Allow group ObjectWriters to manage objects in compartment ABC where all {target.bucket.tag.MyTagNamespace.TagKey='MyTagValue', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}
Per ulteriori informazioni sull'utilizzo delle condizioni, vedere Funzioni dei criteri avanzati.
Tipo di accesso: possibilità di scaricare oggetti da qualsiasi bucket di storage degli oggetti nel compartimento ABC. Consiste nella possibilità di elencare i bucket nel compartimento, elencare gli oggetti in un bucket e leggere gli oggetti esistenti in un bucket.
Dove creare il criterio: l'approccio più semplice consiste nell'inserire questo criterio nella tenancy. Se si desidera che gli amministratori del compartimento ABC abbiano il controllo sul criterio, vedere Allegato ai criteri.
Allow group ObjectReaders to read buckets in compartment ABC
Allow group ObjectReaders to read objects in compartment ABC
Accesso limitato a un bucket specifico: per limitare l'accesso a un bucket specifico in un determinato compartimento, aggiungere la condizione where target.bucket.name='<bucket_name>'
. Il criterio riportato di seguito consente all'utente di elencare tutti i bucket in un determinato compartimento, ma può solo leggere e scaricare gli oggetti in BucketA:
Allow group ObjectReaders to read buckets in compartment ABC
Allow group ObjectReaders to read objects in compartment ABC where target.bucket.name='BucketA'
Accesso limitato ai bucket con una tag definita specifica
Per limitare l'accesso ai bucket con una tag specifica in un determinato compartimento, aggiungere la condizione where target.bucket.tag.<TagNamespace>.<TagKeyDefinition>='<TagValue>'
. Il criterio riportato di seguito consente all'utente di elencare tutti i bucket nel compartimento ABC, ma può solo leggere gli oggetti e scaricare gli oggetti dal bucket con la tag MyTagNamespace.TagKey='MyTagValue'
:
Allow group ObjectReaders to read buckets in compartment ABC
Allow group ObjectReaders to read objects in compartment ABC where target.bucket.tag.MyTagNamespace.TagKey='MyTagValue'
Per ulteriori informazioni sull'utilizzo delle condizioni, vedere Funzioni dei criteri avanzati.
Tipo di accesso: possibilità di creare una chiave gestita dal cliente. Consiste nella possibilità di impostare criteri per accedere ai dati cifrati con chiave gestita dal cliente.
allow group <group_in_tenancy> to manage vaults in compartment <key_located_compartment>
allow group <group_in_tenancy> to manage keys in compartment <key_located_compartment>
allow group <group_in_tenancy> to manage key-delegate in compartment <key_located_compartment>
allow group <group_in_tenancy> to use object-family in compartment <key_located_compartment>
allow service objectstorage-<region_name> to use keys in compartment <key_located_compartment>
L'ultima istruzione nell'esempio di criterio precedente è specifica dell'area. Ciò significa che i clienti devono scrivere ripetutamente questa affermazione per ogni regione. Per impostare i criteri di convenienza, i clienti possono utilizzare il seguente esempio di impostazione dei criteri:
allow group <group_in_tenancy> to manage vaults in compartment <key_located_compartment>
allow group <group_in_tenancy> to manage keys in compartment <key_located_compartment>
allow group <group_in_tenancy> to manage key-delegate in compartment <key_located_compartment>
allow group <group_in_tenancy> to use object-family in compartment <key_located_compartment>
allow any-group to use keys in compartment <key_located_compartment> where all {request.principal.type = 'service', request.service.name = /objectstorage-*/}
Tipo di accesso: la capacità di un gruppo di utenti di eseguire tutte le azioni per un bucket di storage degli oggetti e i relativi oggetti.
Dove creare il criterio: nella tenancy in cui risiedono gli utenti.
ALLOW group test-group TO manage objects IN TENANCY where all {target.bucket.name = 'test-bucket', target.object.name = 'prod/*'}
Tipo di accesso: la possibilità per un gruppo di utenti di avere accesso in sola lettura a un bucket di storage degli oggetti e ai relativi oggetti.
Dove creare il criterio: nella tenancy in cui risiedono gli utenti.
ALLOW group test-group TO manage objects IN TENANCY where all {target.bucket.name = 'test-bucket', target.object.name = 'prod/*', any{request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}
Tipo di accesso: la possibilità per un gruppo di utenti di avere accesso in sola scrittura a una cartella di oggetti all'interno di un bucket. Gli utenti non possono visualizzare una lista di oggetti nel bucket né eliminare gli oggetti in esso contenuti.
Dove creare il criterio: nella tenancy in cui risiedono gli utenti.
ALLOW group test-group TO manage objects IN TENANCY where all {target.bucket.name = 'test-bucket', target.object.name = 'prod/*', any{request.permission='OBJECT_CREATE'}}
Tipo di accesso: la possibilità per un gruppo di utenti di avere accesso in lettura e scrittura a una cartella di oggetti all'interno di un bucket di storage degli oggetti. Gli utenti non possono generare un elenco di oggetti nella cartella né sovrascrivere alcun oggetto esistente nella cartella.
Dove creare il criterio: nella tenancy in cui risiedono gli utenti.
ALLOW group test-group TO manage objects IN TENANCY where all {target.bucket.name = 'test-bucket', target.object.name = 'prod/*', any{request.permission='OBJECT_CREATE', request.permission='OBJECT_READ'}}
Tipo di accesso: la capacità di un utente specificato di avere accesso completo a tutti gli oggetti che corrispondono a un pattern specificato all'interno di un bucket di storage degli oggetti.
Dove creare il criterio: nella tenancy in cui risiede l'utente.
ALLOW any-group TO manage objects IN TENANCY where all {target.bucket.name = 'test-bucket', target.object.name = '*.pdf', request.user.id='ocid1.user.oc1..exampleuniqueID'}
- Exadata Database Service on Dedicated Infrastructure - Istanze
- sistemi DB bare metal
- sistemi DB virtual machine
Ciò ha senso se desideri che un singolo set di amministratori di database gestisca tutti i sistemi Bare Metal, Virtual Machine ed Exadata in tutti i compartimenti.
Dove creare il criterio: nella tenancy in modo che l'accesso venga concesso facilmente a tutti i compartimenti tramite l'ereditarietà dei criteri. Per ridurre l'ambito di accesso solo ai sistemi di database in un determinato compartimento, specificare tale compartimento anziché la tenancy.
Allow group DatabaseAdmins to manage database-family in tenancy
Tipo di accesso: possibilità di eseguire tutte le operazioni con le risorse Exadata Database Service on Cloud@Customer in tutti i compartimenti. È utile se si desidera che un singolo set di amministratori del database gestisca tutti i sistemi Exadata Database Service on Cloud@Customer in tutti i compartimenti.
Dove creare il criterio: nella tenancy in modo che l'accesso venga concesso facilmente a tutti i compartimenti tramite l'ereditarietà dei criteri. Per ridurre l'ambito di accesso solo a Exadata Database Service on Cloud@Customer
in un determinato compartimento, specificare tale compartimento anziché la tenancy.
Allow group ExaCCAdmins to manage database-family in tenancy
Tipo di accesso:
Possibilità di eseguire tutte le operazioni con le risorse MySQL Database e MySQL HeatWave in tutti i compartimenti. La creazione e la gestione dei sistemi DB MySQL Database richiede anche un accesso limitato a VCN, subnet e spazi di nomi tag nella tenancy.
Allow group <group_name> to {
COMPARTMENT_INSPECT,
VCN_READ,
SUBNET_READ, SUBNET_ATTACH, SUBNET_DETACH,
NETWORK_SECURITY_GROUP_UPDATE_MEMBERS,
VNIC_CREATE, VNIC_UPDATE, VNIC_DELETE, VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP
} in tenancy | compartment <compartment_name> | compartment <compartment_ocid>
Allow group <group_name> to manage mysql-family in tenancy | compartment <compartment_name> | compartment <compartment_ocid>
Allow group <group_name> to use tag-namespaces in tenancy
- Risorse del container database esterno OCI
- Risorse del pluggable database esterno OCI
- Risorse di database esterne non di tipo container OCI
- Connettori di database esterni OCI
Ciò ha senso se desideri che un singolo set di amministratori del database gestisca tutte le risorse del database esterno OCI in tutti i compartimenti.
Dove creare il criterio: nella tenancy in modo che l'accesso venga concesso facilmente a tutti i compartimenti tramite l'ereditarietà dei criteri. Per ridurre l'ambito di accesso solo alle risorse di database esterno OCI in un determinato compartimento, specificare tale compartimento anziché la tenancy.
Allow group OnPremDatabaseAdmins to manage external-database-family in tenancy
Tipo di accesso: possibilità di eseguire tutte le operazioni con le istanze di Autonomous Database in tutti i compartimenti. Applicabile se si desidera che un singolo set di amministratori del database gestisca tutti i database Autonomous Database in tutti i compartimenti.
Dove creare il criterio: nella tenancy, in modo che l'accesso venga concesso a tutti i compartimenti tramite l'ereditarietà dei criteri. Per ridurre l'ambito di accesso solo agli Autonomous Database in un determinato compartimento, specificare tale compartimento anziché la tenancy.
Esempio 1: per Ruoli utente associati ad Autonomous Database sull'infrastruttura Exadata dedicata. Consente all'amministratore della flotta di Autonomous Database di accedere a qualsiasi tipo di carico di lavoro e di gestire le seguenti risorse dedicate dell'infrastruttura Exadata: Autonomous Container Database e cluster VM Autonomous.
Allow group DatabaseAdmins to manage autonomous-database-family in tenancy
Il tipo di risorsa aggregato
autonomous-database-family
non copre il tipo di risorsa cloud-exadata-infrastructures
necessario per eseguire il provisioning di Autonomous Database su un'infrastruttura Exadata dedicata. Per informazioni sulle autorizzazioni dell'infrastruttura Exadata Cloud, vedere Dettagli dei criteri per Exadata Database Service on Dedicated Infrastructure. Consulta la sezione relativa al consentire agli amministratori del database di gestire i sistemi di database Oracle Cloud per un criterio di esempio relativo alle risorse dell'infrastruttura Exadata cloud.Se è necessario limitare l'accesso ai tipi di risorsa Cluster VM Autonomous e Autonomous Container Database (applicabile solo all'infrastruttura Exadata dedicata), è possibile farlo creando istruzioni criteri separate per gli amministratori di database che consentono l'accesso solo ai database Autonomous e ai relativi backup. Poiché un'istruzione criterio può specificare un solo tipo di risorsa, è necessario creare istruzioni separate per le risorse di database e backup.
Esempio 2: per Autonomous Database sull'infrastruttura Exadata dedicata. Consente agli amministratori del database Autonomous Database di accedere ai database e ai backup dei vari tipi di carico di lavoro, ma nega l'accesso agli Autonomous Container Database, ai cluster VM Autonomous e alle risorse dell'infrastruttura Exadata Cloud.
Allow group ADB-Admins to manage autonomous-database in tenancy
Allow group ADB-Admins to manage autonomous-backup in tenancy
Per ridurre l'ambito di accesso per i database e i backup a un tipo di carico di lavoro specifico, utilizzare una clausola where
.
Esempio 3: per Autonomous Database sull'infrastruttura Exadata dedicata. Limita l'accesso di Autonomous Database a database e backup per un tipo di carico di lavoro specifico.
Allow group ADB-Admins to manage autonomous-databases in tenancy where target.workloadType = 'workload_type'
Allow group ADB-Admins to manage autonomous-backups in tenancy where target.workloadType = 'workload_type'
Negli esempi di codice precedenti, workload_type
è una delle stringhe elencate nella tabella seguente.
Tipo del carico di lavoro del database | Stringa workload_type per i criteri |
---|---|
Autonomous Database per l'elaborazione delle transazioni e i carichi di lavoro misti | OLTP |
Autonomous Database per l'analitica e il data warehouse | DW |
Autonomous JSON Database | AJD |
Oracle APEX Application Development | APEX |
Tipo di accesso: possibilità di eseguire tutte le operazioni con il servizio Vault in tutti i compartimenti. È applicabile se si desidera che un singolo set di amministratori della sicurezza gestisca tutti i vault, tutte le chiavi e tutti i componenti segreti (inclusi segreti, versioni dei segreti e bundle di segreti) in tutti i compartimenti.
Dove creare il criterio: nella tenancy in modo che l'accesso venga concesso facilmente a tutti i compartimenti tramite l'ereditarietà dei criteri. Per ridurre l'ambito dell'accesso solo ai vault, alle chiavi e ai componenti segreti in un determinato compartimento, specificare tale compartimento anziché la tenancy. Per ridurre l'ambito di accesso solo a vault, chiavi o componenti segreti, includere solo l'istruzione dei criteri relativa al rispettivo tipo di risorsa individuale o aggregata, a seconda dei casi.
Allow group SecurityAdmins to manage vaults in tenancy
Allow group SecurityAdmins to manage keys in tenancy
Allow group SecurityAdmins to manage secret-family in tenancy
Tipo di accesso: possibilità di eseguire tutte le operazioni con le chiavi in un vault specifico nel compartimento ABC.
Dove creare il criterio: l'approccio più semplice consiste nell'inserire questo criterio nella tenancy. Se si desidera che gli amministratori del singolo compartimento (ABC) abbiano il controllo sulle singole istruzioni dei criteri per il proprio compartimento, vedere Allegato ai criteri.
Allow group SecurityAdmins to manage keys in compartment ABC where target.vault.id='<vault_OCID>'
Tipo di accesso: possibilità di elencare, visualizzare ed eseguire operazioni di crittografia con una chiave specifica in un compartimento.
Dove creare il criterio: l'approccio più semplice consiste nell'inserire questo criterio nella tenancy. Se si desidera che gli amministratori del singolo compartimento (ABC) abbiano il controllo sulle singole istruzioni dei criteri per il proprio compartimento, vedere Allegato ai criteri.
Allow group SecurityAdmins to use keys in compartment ABC where target.key.id='<key_OCID>'
Tipo di accesso: possibilità di associare un bucket di storage degli oggetti, un volume del volume a blocchi, un file system di storage di file, un cluster Kubernetes o un pool di flussi di streaming a una chiave specifica autorizzata per l'uso in un compartimento specifico. Con questo criterio, un utente del gruppo specificato non dispone dell'autorizzazione per utilizzare la chiave stessa. Piuttosto, per associazione, la chiave può essere utilizzata dallo storage degli oggetti, dal volume a blocchi, dallo storage di file, dal motore Kubernetes o dallo streaming per conto dell'utente per:
- Crea o aggiorna un bucket, un volume o un file system cifrato e per cifrare o decifrare i dati nel bucket, nel volume o nel file system.
- Crea cluster Kubernetes con segreti Kubernetes cifrati in archivio nello store chiave-valore etcd.
- Creare un pool di flussi per cifrare i dati nei flussi nel pool di flussi.
Questo criterio richiede anche di disporre di un criterio complementare che consenta allo storage degli oggetti, ai volumi a blocchi, allo storage di file, al motore Kubernetes o allo streaming di utilizzare la chiave per eseguire operazioni di crittografia.
Dove creare il criterio: l'approccio più semplice consiste nell'inserire questo criterio nella tenancy. Se si desidera che gli amministratori del singolo compartimento (ABC) abbiano il controllo sulle singole istruzioni dei criteri per il proprio compartimento, vedere Allegato ai criteri.
Allow group ObjectWriters, VolumeWriters, FileWriters, ClusterWriters, StreamWriters to use key-delegate in compartment ABC where target.key.id = '<key_OCID>'
Tipo di accesso: possibilità di associare un volume del volume a blocchi a una chiave specifica autorizzata per l'uso in un compartimento specifico. Con questo criterio, un utente nel gruppo dinamico non dispone dell'autorizzazione per utilizzare la chiave stessa. Piuttosto, per associazione, la chiave può essere utilizzata dal volume a blocchi per conto dell'utente per creare o aggiornare un volume cifrato e per cifrare o decifrare i dati nel volume.
Questo criterio richiede di disporre anche di un criterio di accompagnamento che consenta a Block Volume di utilizzare la chiave per eseguire operazioni crittografiche.
Dove creare il criterio: l'approccio più semplice consiste nell'inserire questo criterio nella tenancy. Se si desidera che gli amministratori del singolo compartimento (ABC) abbiano il controllo sulle singole istruzioni dei criteri per il proprio compartimento, vedere Allegato ai criteri.
Allow dynamic group VolumeWriters to use key-delegate in compartment ABC where target.key.id = '<key_OCID>'
Tipo di accesso: possibilità di elencare, visualizzare ed eseguire operazioni di crittografia con tutte le chiavi nel compartimento ABC. Poiché lo storage degli oggetti è un servizio regionale, dispone di endpoint regionali. Pertanto, devi specificare il nome del servizio regionale per ogni area in cui stai utilizzando lo storage degli oggetti con cifratura del vault. Questo criterio richiede inoltre che tu disponga di un criterio complementare che consente a un gruppo di utenti di utilizzare la chiave delegata che verrà utilizzata da Storage degli oggetti, Volume a blocchi, Motore Kubernetes o Streaming.
Dove creare il criterio: l'approccio più semplice consiste nell'inserire questo criterio nella tenancy. Se si desidera che gli amministratori del singolo compartimento (ABC) abbiano il controllo sulle singole istruzioni dei criteri per il proprio compartimento, vedere Allegato ai criteri.
Allow service blockstorage, objectstorage-<region_name>, oke, streaming to use keys in compartment ABC where target.key.id = '<key_OCID>'
Per lo storage degli oggetti, sostituire <region_name> con l'identificativo di area appropriato, ad esempio:
-
storage degli oggetti - us-phoenix-1
-
storage degli oggetti - us-ashburn-1
-
objectstorage-eu-frankfurt-1
-
objectstorage-uk-london-1
- storage degli oggetti - ap-tokyo-1
Per determinare il valore del nome dell'area di un'area Oracle Cloud Infrastructure, vedere Aree e domini di disponibilità.
Per il motore Kubernetes, il nome del servizio utilizzato nel criterio è oke
.
Per lo streaming, il nome del servizio utilizzato nel criterio è streaming
.
Tipo di accesso: possibilità di eseguire tutte le operazioni con segreti in un vault specifico nel compartimento ABC.
Dove creare il criterio: l'approccio più semplice consiste nell'inserire questo criterio nella tenancy. Se si desidera che gli amministratori del singolo compartimento (ABC) abbiano il controllo sulle singole istruzioni dei criteri per il proprio compartimento, vedere Allegato ai criteri.
Allow group SecurityAdmins to manage secret-family in compartment ABC where target.vault.id='<vault_OCID>'
Tipo di accesso: possibilità di leggere, aggiornare e ruotare tutti i segreti in qualsiasi vault nella tenancy.
Dove creare il criterio: nella tenancy in modo che l'accesso venga concesso facilmente a tutti i compartimenti tramite l'ereditarietà dei criteri. Per ridurre l'ambito dell'accesso solo ai vault, alle chiavi e ai segreti in un determinato compartimento, specificare tale compartimento anziché la tenancy.
Allow group SecretsUsers to use secret-family in tenancy
Non è necessario alcun criterio per consentire agli utenti di gestire le proprie credenziali. Tutti gli utenti possono modificare e reimpostare le proprie password, gestire le proprie chiavi API e gestire i propri token di autenticazione. Per ulteriori informazioni, vedere Credenziali utente.
Tipo di accesso: capacità di gestire tutti gli aspetti di un determinato compartimento. Ad esempio, un gruppo denominato A-Admins potrebbe gestire tutti gli aspetti di un compartimento denominato Project-A, inclusa la scrittura di criteri aggiuntivi che influiscono sul compartimento. Per ulteriori informazioni, vedere Allegato ai criteri. Per un esempio di questo tipo di impostazione e di criteri aggiuntivi utili, vedere Scenario di esempio.
Dove creare il criterio: nella tenancy.
Allow group A-Admins to manage all-resources in compartment Project-A
Tipo di accesso: capacità di gestire le risorse in un'area specifica. Ricorda che le risorse IAM devono essere gestite nell'area di origine. Se l'area specificata non è l'area di origine, l'amministratore non sarà in grado di gestire le risorse IAM. Per ulteriori informazioni sull'area di origine, vedere Gestione delle aree.
Dove creare il criterio: nella tenancy.
Allow group PHX-Admins to manage all-resources in tenancy where request.region='phx'
Il criterio precedente consente agli amministratori PHX di gestire tutti gli aspetti di tutte le risorse nell'ovest degli Stati Uniti (Phoenix).
I membri del gruppo PHX-Admins possono gestire le risorse IAM solo se l'area di origine della tenancy è US West (Phoenix).
Tipo di accesso: possibilità di visualizzare le versioni di riepilogo degli annunci sullo stato operativo dei servizi Oracle Cloud Infrastructure.
Dove creare il criterio: nella tenancy.
Allow group AnnouncementListers to inspect announcements in tenancy
Il criterio precedente consente a AnnouncementListers di visualizzare una lista di annunci di riepilogo.
Tipo di accesso: possibilità di visualizzare i dettagli degli annunci sullo stato operativo dei servizi Oracle Cloud Infrastructure.
Dove creare il criterio: nella tenancy.
Allow group AnnouncementReaders to read announcements in tenancy
Il criterio precedente consente a AnnouncementReaders di visualizzare una lista di annunci di riepilogo e i dettagli di annunci specifici.
Tipo di accesso: possibilità di eseguire tutte le operazioni con il servizio di streaming in tutti i compartimenti.
Dove creare il criterio: nella tenancy in modo che l'accesso venga concesso facilmente a tutti i compartimenti tramite l'ereditarietà dei criteri. Per ridurre l'ambito dell'accesso solo ai flussi in un determinato compartimento, specificare tale compartimento anziché la tenancy.
Allow group StreamAdmins to manage stream-family in tenancy
Tipo di accesso: possibilità di produrre messaggi nei flussi con il servizio di streaming in tutti i compartimenti.
Dove creare il criterio: nella tenancy in modo che l'accesso venga concesso facilmente a tutti i compartimenti tramite l'ereditarietà dei criteri. Per ridurre l'ambito dell'accesso solo ai flussi in un determinato compartimento, specificare tale compartimento anziché la tenancy.
Allow group StreamUsers to use stream-push in tenancy
Tipo di accesso: capacità di produrre messaggi in un flusso con il servizio di streaming.
Dove creare il criterio: nella tenancy in modo che l'accesso venga concesso facilmente a tutti i compartimenti tramite l'ereditarietà dei criteri. Per ridurre l'ambito dell'accesso solo ai flussi in un determinato compartimento, specificare tale compartimento anziché la tenancy.
Allow group StreamUsers to use stream-push in tenancy where target.stream.id = '<stream_OCID>'
Tipo di accesso: capacità di produrre messaggi in un flusso con il servizio di streaming.
Dove creare il criterio: nella tenancy in modo che l'accesso venga concesso facilmente a tutti i compartimenti tramite l'ereditarietà dei criteri. Per ridurre l'ambito dell'accesso solo ai flussi in un determinato compartimento, specificare tale compartimento anziché la tenancy.
Allow group StreamUsers to use stream-push in tenancy where target.streampool.id = '<streampool_OCID>'
Tipo di accesso: possibilità di utilizzare i messaggi dei flussi con il servizio di streaming in tutti i compartimenti.
Dove creare il criterio: nella tenancy in modo che l'accesso venga concesso facilmente a tutti i compartimenti tramite l'ereditarietà dei criteri. Per ridurre l'ambito dell'accesso solo ai flussi in un determinato compartimento, specificare tale compartimento anziché la tenancy.
Allow group StreamUsers to use stream-pull in tenancy
Tipo di accesso: possibilità di elencare le definizioni di metrica in un compartimento specifico. Per ulteriori informazioni, vedere Elenco delle definizioni delle metriche.
Dove creare il criterio: nella tenancy in modo che l'accesso venga concesso facilmente a tutti i compartimenti tramite l'ereditarietà dei criteri. Per ridurre l'ambito di accesso solo alle definizioni delle metriche in un determinato compartimento, specificare tale compartimento anziché la tenancy.
Allow group <group_name> to inspect metrics in compartment <compartment_name>
Tipo di accesso: possibilità di eseguire una query sulle metriche per le risorse supportate in un compartimento specifico. Per ulteriori informazioni, vedere Creazione di una query.
Dove creare il criterio: nella tenancy in modo che l'accesso venga concesso facilmente a tutti i compartimenti tramite l'ereditarietà dei criteri. Per ridurre l'ambito di accesso solo alle metriche in un determinato compartimento, specificare tale compartimento anziché la tenancy.
Allow group <group_name> to read metrics in compartment <compartment_name>
Tipo di accesso: possibilità di eseguire query sulle metriche per le risorse in uno specifico spazio di nomi metrica . Per ulteriori informazioni, vedere Creazione di una query.
Dove creare il criterio: nella tenancy in modo che l'accesso venga concesso facilmente a tutti i compartimenti tramite l'ereditarietà dei criteri. Per ridurre l'ambito di accesso allo spazio di nomi della metrica specificato solo all'interno di un determinato compartimento, specificare tale compartimento anziché la tenancy.
Allow group <group_name> to read metrics in compartment <compartment_name>
where target.metrics.namespace='<metric_namespace>'
Tipo di accesso: possibilità di pubblicare metriche personalizzate in uno specifico spazio di nomi metrica nel servizio di monitoraggio, nonché di visualizzare i dati delle metriche, creare allarmi e argomenti e utilizzare i flussi con allarmi. Per ulteriori informazioni sulla pubblicazione di metriche personalizzate, vedere Pubblicazione di metriche personalizzate.
Dove creare il criterio: nella tenancy in modo che l'accesso venga concesso facilmente a tutti i compartimenti tramite l'ereditarietà dei criteri. Per ridurre l'ambito dell'accesso solo alle metriche in un determinato compartimento, specificare tale compartimento anziché la tenancy.
Per limitare il gruppo alle autorizzazioni necessarie per la selezione dei flussi, sostituire
use streams
con {STREAM_READ, STREAM_PRODUCE}
.Allow group <group_name> to use metrics in tenancy
where target.metrics.namespace=<metric_namespace>'
Allow group <group_name> to read metrics in tenancy
Allow group <group_name> to manage alarms in tenancy
Allow group <group_name> to manage ons-topics in tenancy
Allow group <group_name> to use streams in tenancy
Tipo di accesso: possibilità di chiamare l'API di monitoraggio per l'accesso al monitoraggio delle metriche . Le istanze da cui provengono le richieste API devono essere membri del gruppo dinamico indicato nel criterio. Per ulteriori informazioni sulle istanze di computazione che richiamano le API, vedere Chiamata di servizi da un'istanza.
Dove creare il criterio: nella tenancy.
Allow dynamic-group MetricInstances to read metrics in tenancy
Tipo di accesso: possibilità di ottenere i dettagli dell'allarme e di ottenere la cronologia degli allarmi. Non include la possibilità di creare allarmi né di creare o eliminare argomenti.
Dove creare il criterio: nella tenancy. A causa del concetto di ereditarietà dei criteri, il gruppo può quindi visualizzare gli allarmi in qualsiasi compartimento. Per ridurre l'ambito di accesso a un determinato compartimento, specificare tale compartimento anziché la tenancy.
Allow group <group_name> to read alarms in tenancy
Allow group <group_name> to read metrics in tenancy
Tipo di accesso: possibilità di gestire gli allarmi, utilizzando i flussi e gli argomenti esistenti per le notifiche. Non include la possibilità di creare o eliminare argomenti.
Dove creare il criterio: nella tenancy. A causa del concetto di ereditarietà dei criteri, il gruppo può quindi visualizzare e creare allarmi in qualsiasi compartimento. Per ridurre l'ambito di accesso a un determinato compartimento, specificare tale compartimento anziché la tenancy.
Allow group <group_name> to manage alarms in tenancy
Allow group <group_name> to read metrics in tenancy
Allow group <group_name> to use ons-topics in tenancy
Allow group <group_name> to use streams in tenancy
Tipo di accesso: possibilità di gestire gli allarmi, inclusa la creazione di argomenti (e sottoscrizioni) per le notifiche (e l'utilizzo di flussi per le notifiche).
Dove creare il criterio: nella tenancy. A causa del concetto di ereditarietà dei criteri, il gruppo può quindi visualizzare e creare allarmi in qualsiasi compartimento. Per ridurre l'ambito di accesso a un determinato compartimento, specificare tale compartimento anziché la tenancy.
Allow group <group_name> to manage alarms in tenancy
Allow group <group_name> to read metrics in tenancy
Allow group <group_name> to manage ons-topics in tenancy
Allow group <group_name> to use streams in tenancy
Tipo di accesso: possibilità di visualizzare i report sull'uso per la tenancy. Per ulteriori informazioni sui report sull'utilizzo, vedere Panoramica sui report costi e uso.
Dove creare il criterio: si tratta di un criterio cross-tenancy speciale che deve essere creato nella tenancy. Per ulteriori informazioni, vedere Accesso ai report costi e uso.
define tenancy usage-report as ocid1.tenancy.oc1..aaaaaaaaned4fkpkisbwjlr56u7cj63lf3wffbilvqknstgtvzub7vhqkggq
endorse group Administrators to read objects in tenancy usage-report
Tipo di accesso: possibilità di visualizzare i costi per la tenancy. Vedere Controllo delle spese e dell'uso.
Dove creare il criterio: nella tenancy in modo che gli utenti nel file <Example_Group> possano visualizzare i costi dell'intero account.
Allow group <Example_Group> to read usage-reports in tenancy
Tipo di accesso: possibilità di ottenere, creare, aggiornare ed eliminare gli argomenti nella tenancy, nonché di spostare gli argomenti in compartimenti diversi nella tenancy. Include anche la possibilità di creare sottoscrizioni nella tenancy e di pubblicare messaggi (messaggi di notifica di trasmissione) a tutte le sottoscrizioni nella tenancy.
Dove creare il criterio: nella tenancy.
Allow group TopicManagers to manage ons-topics in tenancy
Tipo di accesso: possibilità di elencare, creare, aggiornare ed eliminare le sottoscrizioni per gli argomenti nella tenancy. Possibilità di spostare le sottoscrizioni in compartimenti diversi nella tenancy.
Dove creare il criterio: nella tenancy.
Allow group SubscriptionUsers to manage ons-subscriptions in tenancy
Tipo di accesso: possibilità di trasmettere i messaggi di notifica a tutte le sottoscrizioni nella tenancy, nonché elencare, creare, aggiornare ed eliminare le sottoscrizioni nella tenancy.
Dove creare il criterio: nella tenancy.
Allow group TopicUsers to use ons-topics in tenancy
Tipo di accesso: possibilità di creare, distribuire e gestire le applicazioni e le funzioni OCI Functions utilizzando Cloud Shell. Queste istruzioni criteri consentono al gruppo di accedere a Cloud Shell, repository in Oracle Cloud Infrastructure Registry, log, metriche, funzioni, reti e trace.
Dove creare il criterio: nella tenancy in modo che l'accesso venga concesso facilmente a tutti i compartimenti tramite l'ereditarietà dei criteri. Per ridurre l'ambito dell'accesso solo alle risorse in un determinato compartimento, è possibile specificare il compartimento anziché la tenancy per la maggior parte delle istruzioni dei criteri. Tuttavia, l'ambito di to use cloud-shell
, to manage repos
e to read objectstorage-namespaces
deve essere sempre applicato alla tenancy.
Allow group functions-developers to use cloud-shell in tenancy
Allow group functions-developers to manage repos in tenancy
Allow group functions-developers to read objectstorage-namespaces in tenancy
Allow group functions-developers to manage logging-family in tenancy
Allow group functions-developers to read metrics in tenancy
Allow group functions-developers to manage functions-family in tenancy
Allow group functions-developers to use virtual-network-family in tenancy
Allow group functions-developers to use apm-domains in tenancy
Allow group functions-developers to read vaults in tenancy
Allow group functions-developers to use keys in tenancy
Allow service faas to use apm-domains in tenancy
Allow service faas to read repos in tenancy where request.operation='ListContainerImageSignatures'
Allow service faas to {KEY_READ} in tenancy where request.operation='GetKeyVersion'
Allow service faas to {KEY_VERIFY} in tenancy where request.operation='Verify'
Tipo di accesso: possibilità di elencare le regole degli eventi.
Dove creare il criterio: nella tenancy.
Allow group RuleReaders to read cloudevents-rules in tenancy
Il criterio precedente consente a RuleReaders di elencare le regole nella tenancy.
Tipo di accesso: possibilità di gestire le regole degli eventi, incluse le regole di creazione, eliminazione e aggiornamento.
Dove creare il criterio: nella tenancy.
Questa riga consente all'utente di ispezionare l'accesso alle risorse nei compartimenti per selezionare le azioni.
allow group <RuleAdmins> to inspect compartments in tenancy
Questa riga consente all'utente di accedere alle tag definite per applicare le tag filtro alle regole.
allow group <RuleAdmins> to use tag-namespaces in tenancy
Queste righe consentono all'utente di accedere alle risorse di streaming per le azioni
allow group <RuleAdmins> to inspect streams in tenancy
allow group <RuleAdmins> to use stream-push in tenancy
allow group <RuleAdmins> to use stream-pull in tenancy
Queste righe consentono all'utente di accedere alle risorse Funzioni per le azioni.
allow group <RuleAdmins> to use virtual-network-family in tenancy
allow group <RuleAdmins> to manage function-family in tenancy
Questa riga consente all'utente di accedere agli argomenti Notifiche per le azioni.
allow group <RuleAdmins> to use ons-topic in tenancy
Questa riga consente all'utente di gestire l'accesso alle regole per gli eventi.
allow group <RuleAdmins> to manage cloudevents-rules in tenancy
Tipo di accesso: accesso in sola lettura a tutto Cloud Guard. Nel criterio di esempio, il gruppo è "CloudGuard_ReadOnly".
allow group CloudGuard_ReadOnly to read cloud-guard-family in tenancy
allow group CloudGuard_ReadOnly to read compartments in tenancy
allow group CloudGuard_ReadOnly to read announcements in tenancy
Tipo di accesso: accesso in sola lettura ai problemi di Cloud Guard. Nel criterio di esempio, il gruppo è "CloudGuard_ReadOnlyProblems".
allow group CloudGuard_ReadOnlyProblems to read cloud-guard-family in tenancy
allow group CloudGuard_ReadOnlyProblems to inspect cloud-guard-detectors in tenancy
allow group CloudGuard_ReadOnlyProblems to inspect cloud-guard-targets in tenancy
allow group CloudGuard_ReadOnlyProblems to inspect cloud-guard-resource-types in tenancy
allow group CloudGuard_ReadOnlyProblems to read announcements in tenancy
allow group CloudGuard_ReadOnlyProblems to read compartments in tenancy
allow group CloudGuard_ReadOnlyProblems to read cloud-guard-config in tenancy
Tipo di accesso: accesso in sola lettura alle ricette del rilevatore Cloud Guard. Nel criterio di esempio, il gruppo è "CloudGuard_ReadOnlyDetectors".
allow group CloudGuard_ReadOnlyDetectors to read cloud-guard-detector-recipes in tenancy
allow group CloudGuard_ReadOnlyDetectors to read announcements in tenancy
allow group CloudGuard_ReadOnlyDetectors to read compartments in tenancy
allow group CloudGuard_ReadOnlyDetectors to read cloud-guard-config in tenancy
Tipo di accesso: accesso in sola lettura a Cloud Guard in un singolo compartimento. Nel criterio di esempio, il gruppo è "CloudGuard_ReadOnly_SingleCompartment" e il nome del compartimento è "cgDemo_RestrictedAccess".
allow group CloudGuard_ReadOnly_SingleCompartment to read compartments in tenancy where target.compartment.name = 'cgDemo_RestrictedAccess'
allow group CloudGuard_ReadOnly_SingleCompartment to read cloud-guard-family in compartment cgDemo_RestrictedAccess
allow group CloudGuard_ReadOnly_SingleCompartment to read announcements in compartment cgDemo_RestrictedAccess
allow group CloudGuard_ReadOnly_SingleCompartment to read cloud-guard-config in tenancy
Tipo di accesso: la possibilità di consentire a un gruppo di essere superutenti per tutte le operazioni Full Stack Disaster Recovery.
Allow group DRUberAdmins to manage disaster-recovery-family in tenancy
Tipo di accesso: consente a un gruppo di creare gruppi di protezione di disaster recovery (DR), piani DR ed eseguire controlli preliminari, ma non creare esecuzioni di piani DR.
Dove creare il criterio: nel compartimento.
Allow group DRMonitors to manage disaster-recovery-protection-groups in compartment ApplicationERP
Allow group DRMonitors to manage disaster-recovery-plans in compartment ApplicationERP
Allow group DRMonitors to manage disaster-recovery-prechecks in compartment ApplicationERP
Tipo di accesso: è possibile consentire a un gruppo di creare gruppi di protezione e piani DR (Disaster Recovery, recupero da errori irreversibili), ma non creare esecuzioni o controlli preliminari dei piani DR.
Allow group DRConfig to manage disaster-recovery-protection-groups in compartment ApplicationERP
Allow group DRConfig to manage disaster-recovery-plans in compartment ApplicationERP
Tipo di accesso: altri servizi da integrare con KMS per utilizzare le chiavi KMS.
Dove creare il criterio: l'approccio più semplice consiste nell'inserire questo criterio nella tenancy. Se si desidera che gli amministratori del singolo compartimento (ABC) abbiano il controllo sulle singole istruzioni dei criteri per il proprio compartimento.
Esempio: Allow service objectstorage-<region> to use keys in compartment ABC where target.key.id = '<key_OCID>'
allow service objectstorage-<region> to use keys in compartment Compartments where target.key.id = ocid1.key.oc1..exampleuniqueID
Tipo di accesso: possibilità di gestire tutte le risorse nel servizio Bastion in tutti i compartimenti. Ciò ha senso se si desidera che un singolo set di amministratori della sicurezza gestisca tutti i bastioni e le sessioni in tutti i compartimenti.
Dove creare il criterio: nella tenancy in modo che l'accesso venga concesso facilmente a tutti i compartimenti tramite l'ereditarietà dei criteri. Per ridurre l'ambito dell'accesso solo ai bastion e alle sessioni bastion in un determinato compartimento, specificare tale compartimento anziché la tenancy.
Allow group SecurityAdmins to manage bastion in tenancy
Allow group SecurityAdmins to manage bastion-session in tenancy
Allow group SecurityAdmins to manage virtual-network-family in tenancy
Allow group SecurityAdmins to read instance-family in tenancy
Allow group SecurityAdmins to read instance-agent-plugins in tenancy
Allow group SecurityAdmins to inspect work-requests in tenancy
Tipo di accesso: possibilità di gestire tutte le sessioni in tutti i bastioni e in tutti i compartimenti, inclusa la creazione, la connessione e l'interruzione delle sessioni.
Dove creare il criterio: nella tenancy in modo che l'accesso venga concesso facilmente a tutti i compartimenti tramite l'ereditarietà dei criteri. Per ridurre l'ambito dell'accesso solo alle sessioni bastion in un determinato compartimento, specificare tale compartimento anziché la tenancy.
Allow group SecurityAdmins to use bastion in tenancy
Allow group SecurityAdmins to manage bastion-session in tenancy
Allow group SecurityAdmins to manage virtual-network-family in tenancy
Allow group SecurityAdmins to read instance-family in tenancy
Allow group SecurityAdmins to read instance-agent-plugins in tenancy
Allow group SecurityAdmins to inspect work-requests in tenancy
Tipo di accesso: possibilità di gestire le sessioni in un bastion in un compartimento specifico e solo per le sessioni che forniscono la connettività a un'istanza di computazione specifica.
Dove creare il criterio: nella tenancy in modo che l'accesso venga concesso facilmente a tutti i compartimenti tramite l'ereditarietà dei criteri.
Allow group SecurityAdmins to use bastion in compartment ABC
Allow group SecurityAdmins to manage bastion-session in compartment ABC where ALL {target.resource.ocid='<instance_OCID>', target.bastion-session.username='<session_username>'}
Allow group SecurityAdmins to manage virtual-network-family in tenancy
Allow group SecurityAdmins to read instance-family in tenancy
Allow group SecurityAdmins to read instance-agent-plugins in tenancy
Allow group SecurityAdmins to inspect work-requests in tenancy
Tipo di accesso: possibilità di configurare Oracle Cloud Infrastructure Vulnerability Scanning Service per eseguire la scansione di tutte le istanze di computazione in tutti i compartimenti e per visualizzare i risultati della scansione. Considerare questo criterio se si desidera che un singolo set di amministratori della sicurezza configuri la scansione delle vulnerabilità per tutte le istanze.
Dove creare il criterio: nella tenancy, che concede l'accesso a tutti i compartimenti tramite l'ereditarietà dei criteri. Per ridurre l'ambito di accesso solo alle istanze di computazione in un determinato compartimento, specificare tale compartimento anziché la tenancy.
Allow group SecurityAdmins to manage vss-family in tenancy
Allow service vulnerability-scanning-service to manage instances in tenancy
Allow service vulnerability-scanning-service to read compartments in tenancy
Allow service vulnerability-scanning-service to read vnics in tenancy
Allow service vulnerability-scanning-service to read vnic-attachments in tenancy
Tipo di accesso: possibilità di visualizzare i risultati della scansione delle istanze di computazione in tutti i compartimenti per rilevare le vulnerabilità della sicurezza. Considerare questo criterio se si dispone di un team dedicato responsabile della revisione o dell'audit della sicurezza dell'intera tenancy.
Dove creare il criterio: nella tenancy, che concede l'accesso a tutti i compartimenti tramite l'ereditarietà dei criteri. Per ridurre l'ambito di accesso solo ai risultati della scansione in un determinato compartimento, specificare tale compartimento anziché la tenancy.
Allow group SecurityReviewers to read vss-family in tenancy
Tipo di accesso: possibilità di elencare, creare, aggiornare ed eliminare i connettori nella tenancy. Possibilità di spostare i connettori in compartimenti diversi nella tenancy.
Dove creare il criterio: nella tenancy.
Allow group A-Admins to manage serviceconnectors in tenancy
Vedere anche Criteri IAM (Protezione dell'hub connettore).
Tipo di accesso: possibilità di chiamare le operazioni di inclusione Ops Insights solo a livello di tenancy.
Dove creare il criterio: nella tenancy.
allow group opsi-users to use opsi-database-insights in tenancy
where any
{request.operation='IngestSqlBucket',
request.operation='IngestSqlText',
request.operation='IngestSqlPlanLines'}
Possibilità di creare, eliminare e modificare aree di lavoro all'interno di un compartimento.
allow group <group-name> to manage dis-workspaces in <compartment-name>
allow group <group-name> to manage dis-work-requests in <compartment-name>
allow group <group-name> to manage tag-namespaces in <compartment-name>
Possibilità di creare, eliminare e modificare aree di lavoro all'interno di una rete virtuale.
allow service dataintegration to use virtual-network-family in <compartment-name>
allow group <group-name> to manage dis-workspaces in <compartment-name>
allow group <group-name> to manage dis-work-requests in <compartment-name>
allow group <group-name> to use virtual-network-family in <compartment-name>
allow group <group-name> to manage tag-namespaces in <compartment-name>
Possibilità di creare e utilizzare gli asset dati dello storage degli oggetti all'interno di tutte le aree di lavoro.
allow any-group to use buckets in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow any-group to manage objects in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow group <group-name> to use object-family in <compartment-name>
Per concedere l'accesso a una singola area di lavoro, specificare l'OCID per l'area di lavoro in cui si desidera consentire l'accesso. Ad esempio:
allow any-group to use buckets in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}
allow any-group to manage objects in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}
Possibilità di creare e utilizzare gli asset di dati del database autonomo all'interno di tutte le aree di lavoro.
allow any-group to use buckets in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow any-group to manage objects in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow group <group-name> to use object-family in <compartment-name>
allow any-group to manage buckets in <compartment-name> where ALL {request.principal.type='disworkspace', request.permission='PAR_MANAGE'}
Per concedere l'accesso a una singola area di lavoro, specificare l'OCID per l'area di lavoro in cui si desidera consentire l'accesso. Ad esempio:
allow any-group to use buckets in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}
allow any-group to manage objects in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}
allow any-group to manage buckets in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>', request.permission='PAR_MANAGE'}
Possibilità di cercare i componenti di Data Integration in una determinata area di lavoro.
Questo criterio deve essere applicato a livello di tenancy (compartimento radice).
allow service dataintegration to {TENANCY_INSPECT} in tenancy
allow service dataintegration to {DIS_METADATA_INSPECT} in tenancy
Possibilità di spostare le aree di lavoro in un nuovo compartimento.
allow service dataintegration to inspect compartments in <compartment-name>
allow group <group-name> to manage dis-workspaces in <compartment-name>
Possibilità di pubblicare i diversi task all'interno di tutte le aree di lavoro nel servizio OCI Data Flow.
allow any-group to manage dataflow-application in <compartment-name> where ALL {request.principal.type='disworkspace'}
Per concedere l'accesso a una singola area di lavoro, specificare l'OCID per l'area di lavoro in cui si desidera consentire l'accesso. Ad esempio:
allow any-group to manage dataflow-application in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}
Possibilità di utilizzare i segreti di OCI Vault all'interno di tutte le aree di lavoro.
allow any-group to read secret-bundles in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow group <group-name> to read secret-bundles in <compartment-name>
Per concedere l'accesso a una singola area di lavoro, specificare l'OCID per l'area di lavoro in cui si desidera consentire l'accesso. Ad esempio:
allow any-group to read secret-bundles in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}
Tipo di accesso: possibilità di gestire le sottoscrizioni che forniscono annunci sullo stato operativo dei servizi Oracle Cloud Infrastructure.
Dove creare il criterio: l'approccio più semplice consiste nell'inserire questo criterio nella tenancy. A causa del concetto di ereditarietà dei criteri, il gruppo a cui si concede l'accesso può quindi gestire le sottoscrizioni agli annunci in qualsiasi compartimento. Per ridurre l'ambito dell'accesso agli annunci per un determinato compartimento, specificare il compartimento anziché la tenancy.
Allow group AnnouncementAdmins to manage announcement-subscriptions in tenancy
Il criterio precedente consente a AnnouncementAdmins di visualizzare una lista di annunci di riepilogo e i dettagli di annunci specifici.