Panoramica del servizio di gestione identità e accessi
Oracle Cloud Infrastructure Identity and Access Management (IAM) ti consente di controllare l'accesso alle tue risorse cloud. È possibile controllare il tipo di accesso di un gruppo di utenti e a quali risorse specifiche. In questa sezione viene fornita una panoramica dei componenti IAM e uno scenario di esempio per comprendere come funzionano insieme.
Questo documento utilizza il termine "voi" in generale per indicare qualsiasi amministratore dell'azienda che ha accesso a lavorare con IAM.
Componenti IAM
IAM utilizza i componenti descritti in questa sezione. Per una migliore comprensione dell'integrazione dei componenti, vedere Scenario di esempio.
- RESOURCE
- Gli oggetti cloud che i dipendenti della tua azienda creano e utilizzano quando interagiscono con Oracle Cloud Infrastructure. Ad esempio: istanze di computazione, volumi di storage a blocchi, reti cloud virtuali (VCN), subnet, tabelle di instradamento e così via.
- UTENTE
- Singolo dipendente o sistema che deve gestire o utilizzare le risorse Oracle Cloud Infrastructure dell'azienda. È possibile che gli utenti debbano avviare istanze, gestire dischi remoti, utilizzare la rete cloud virtuale e così via. Gli utenti finali dell'applicazione in genere non sono utenti IAM. Gli utenti dispongono di una o più credenziali IAM (vedere Credenziali utente).
- GRUPPO
- Raccolta di utenti che hanno tutti bisogno dello stesso tipo di accesso a un determinato set di risorse o compartimento.
- GRUPPO DINAMICO
- Tipo speciale di gruppo contenente risorse (ad esempio istanze di computazione) che corrispondono alle regole definite dall'utente (l'appartenenza può cambiare in modo dinamico quando vengono create o eliminate risorse corrispondenti). Queste istanze fungono da oggetti "principali" e possono effettuare chiamate API ai servizi in base ai criteri definiti per il gruppo dinamico.
- ORIGINE RETE
- Gruppo di indirizzi IP a cui è consentito accedere alle risorse nella tenancy. Gli indirizzi IP possono essere indirizzi IP pubblici o indirizzi IP provenienti da una VCN all'interno della tenancy. Dopo aver creato l'origine di rete, è possibile utilizzare i criteri per limitare l'accesso solo alle richieste originate dagli IP nell'origine di rete.
- COMPARTIMENTO
- Raccolta di risorse correlate. I compartimenti sono un componente fondamentale di Oracle Cloud Infrastructure per organizzare e isolare le tue risorse cloud. Li usi per separare chiaramente le risorse allo scopo di misurare l'uso e la fatturazione, l'accesso (attraverso l'uso dei criteri) e l'isolamento (separando le risorse per un progetto o una business unit da un'altra). Un approccio molto diffuso consiste nella creazione di un compartimento per ogni parte principale dell'organizzazione. Per ulteriori informazioni, vedere Ulteriori informazioni sulle procedure ottimali per l'impostazione della tenancy.
- TENANCY
- Compartimento radice che contiene tutte le risorse Oracle Cloud Infrastructure della tua organizzazione. Oracle crea automaticamente la tenancy della tua azienda. Direttamente all'interno della tenancy ci sono le entità IAM (utenti, gruppi, compartimenti e alcuni criteri; puoi anche inserire i criteri nei compartimenti all'interno della tenancy). Potrete inserire gli altri tipi di risorse cloud, ad esempio istanze, reti virtuali, volumi di storage a blocchi e così via, all'interno dei compartimenti da Voi creati.
- CRITERIO
- Documento che specifica chi può accedere a determinate risorse e in che modo. L'accesso viene concesso a livello di gruppo e compartimento. Ciò significa che è possibile definire un criterio che assegna a un gruppo un tipo specifico di accesso all'interno di un compartimento specifico o nella tenancy stessa. Se si concede a un gruppo l'accesso alla tenancy, il gruppo ottiene automaticamente lo stesso tipo di accesso a tutti i compartimenti all'interno della tenancy. Per ulteriori informazioni, vedere Scenario di esempio e Funzionamento dei criteri. La parola "criterio" viene utilizzata da persone in modi diversi: per indicare una singola istruzione scritta nel linguaggio dei criteri; per indicare una raccolta di istruzioni in un singolo documento denominato "policy" (a cui è assegnato un ID Oracle Cloud (OCID)); e per indicare il corpo complessivo dei criteri utilizzato dall'organizzazione per controllare l'accesso alle risorse.
- AREA DI ORIGINE
- Area in cui risiedono le risorse IAM. Tutte le risorse IAM sono globali e disponibili in tutte le aree, ma il set principale di definizioni risiede in un'unica area, l'area di origine. È necessario apportare modifiche alle risorse IAM nell'area di origine. Le modifiche verranno propagate automaticamente a tutte le aree. Per ulteriori informazioni, vedere Gestione delle aree.
- FEDERAZIONE
- Relazione configurata da un amministratore tra un provider di identità e un provider di servizi. Quando federi Oracle Cloud Infrastructure con un provider di identità, gestisci utenti e gruppi nel provider di identità. Puoi gestire l'autorizzazione nel servizio IAM di Oracle Cloud Infrastructure. Le tenancy di Oracle Cloud Infrastructure sono federate con Oracle Identity Cloud Service per impostazione predefinita.
Servizi a cui è possibile controllare l'accesso
Puoi scrivere criteri per controllare l'accesso a tutti i servizi all'interno di Oracle Cloud Infrastructure.
Gruppo di amministratori e criteri
Quando l'azienda si iscrive a un account Oracle e a un dominio di Identity, Oracle imposta un amministratore predefinito per l'account. Questa persona sarà il primo utente IAM per l'azienda e sarà responsabile dell'impostazione iniziale di ulteriori amministratori. La tenancy viene fornita con un gruppo denominato Amministratori, al quale appartiene automaticamente l'amministratore predefinito. Non è possibile eliminare questo gruppo e deve sempre essere presente almeno un utente.
Inoltre, la tenancy dispone automaticamente di un criterio che consente al gruppo Amministratori di accedere a tutte le operazioni API di Oracle Cloud Infrastructure e a tutte le risorse cloud nella tenancy. Non è possibile modificare né eliminare questo criterio. Tutti gli altri utenti inseriti nel gruppo Administrators avranno accesso completo a tutti i servizi. Ciò significa che possono creare e gestire risorse IAM, ad esempio gruppi, criteri e compartimenti. Inoltre, possono creare e gestire le risorse cloud come le reti cloud virtuali (VCN), le istanze, i volumi di storage a blocchi e qualsiasi altro nuovo tipo di risorse Oracle Cloud Infrastructure che diventerà disponibile in futuro.
Scenario di esempio
L'obiettivo di questo scenario è mostrare come i diversi componenti IAM funzionano insieme e le funzioni di base dei criteri.
In questo scenario, Acme Company ha due team che utilizzeranno le risorse Oracle Cloud Infrastructure per l'infrastruttura: Project A e Project B. In realtà, la tua azienda potrebbe avere molti altri.
L'azienda Acme prevede di utilizzare una singola rete cloud virtuale (VCN) per entrambi i team e desidera che un amministratore di rete gestisca la VCN.
L'azienda Acme desidera inoltre che il team Project A e il team Project B ciascuno disponga del proprio set di istanze e volumi di storage a blocchi. Il team di Project A e i team di Project B non dovrebbero essere in grado di utilizzare le istanze reciproche. Inoltre, non è opportuno consentire a questi due team di modificare le informazioni sulla VCN impostate dall'amministratore di rete. L'azienda Acme desidera che ogni team disponga di amministratori per le risorse di quel team. Gli amministratori del team Progetto A possono decidere chi può utilizzare le risorse cloud di Progetto A e come. Lo stesso vale per il team del progetto B.
L'azienda Acme inizia a usare Oracle Cloud Infrastructure
L'azienda Acme si iscrive a Oracle Cloud Infrastructure e comunica a Oracle che un dipendente di nome Wenpei sarà l'amministratore predefinito. In risposta, Oracle:
- Crea una tenancy per Acme Company (vedere il diagramma riportato di seguito).
- Crea un account utente IAM per Wenpei nella tenancy.
- Crea il gruppo di amministratori nella tenancy e inserisce Wenpei in tale gruppo.
- Crea un criterio nella tenancy dell'azienda Acme che fornisce al gruppo di amministratori l'accesso per gestire tutte le risorse nella tenancy. Ecco questa politica:
Allow group Administrators to manage all-resources in tenancy
L'amministratore predefinito crea alcuni gruppi e un altro amministratore
Wenpei successivamente crea diversi gruppi e utenti (vedere il diagramma seguente). Lei:
- Crea gruppi denominati NetworkAdmins, A-Admins e B-Admins (questi ultimi due sono per il Progetto A e il Progetto B all'interno dell'azienda)
- Crea un utente chiamato Alex e lo inserisce nel gruppo Administrators.
- Lascia vuoti i nuovi gruppi.
Per informazioni su come creare gruppi, vedere Utilizzo dei gruppi. Per informazioni su come creare utenti e inserirli in gruppi, vedere Utilizzo degli utenti.
L'amministratore predefinito crea alcuni compartimenti e criteri
Wenpei crea compartimenti per raggruppare le risorse (vedere il diagramma seguente). Lei:
- Crea un compartimento denominato Reti per controllare l'accesso alla rete VCN, alle subnet, alla VPN da sito a sito e ad altri componenti dell'azienda Acme.
- Crea un compartimento denominato Progetto-A per organizzare le risorse cloud del team di Project A e controllarne l'accesso.
- Crea un compartimento denominato Progetto-B per organizzare le risorse cloud del team del Progetto B e controllarne l'accesso.
Per informazioni su come gestire i compartimenti, vedere Utilizzo dei compartimenti.
Wenpei crea quindi un criterio per concedere agli amministratori per ogni compartimento il livello di accesso richiesto. Collega il criterio alla tenancy, il che significa che solo gli utenti con accesso per gestire i criteri nella tenancy possono aggiornare o eliminare il criterio in un secondo momento. In questo scenario si tratta solo del gruppo Administrators. Il criterio include più istruzioni che:
- Concedere al gruppo NetworkAdmins l'accesso per gestire reti e istanze (al fine di eseguire facilmente il test della rete) nel compartimento Reti
- Consente ai gruppi A-Admins e B-Admins di accedere per utilizzare le reti nel compartimento Reti (in modo che possano creare istanze nella rete).
- Concedere al gruppo A-Admins l'accesso per gestire tutte le risorse nel compartimento Project-A.
- Consente al gruppo B-Admins di gestire tutte le risorse nel compartimento Project-B.
Ecco come appare questo criterio (si noti che contiene più istruzioni):
Allow group NetworkAdmins to manage virtual-network-family in compartment Networks
Allow group NetworkAdmins to manage instance-family in compartment Networks
Allow group A-Admins,B-Admins to use virtual-network-family in compartment Networks
Allow group A-Admins to manage all-resources in compartment Project-A
Allow group B-Admins to manage all-resources in compartment Project-B
Si noti la differenza nei verbi (manage, use) e nelle risorse (virtual-network-family, instance-family, all-resources). Per ulteriori informazioni, vedere Verbi e Tipi di risorse. Per informazioni su come creare i criteri, vedere Per creare un criterio.
A-Admins e B-Admins possono utilizzare la virtual-network-family nelle reti del compartimento. Tuttavia, non possono creare istanze in tale compartimento. Possono creare solo istanze nel compartimento Project-A o Project-B. Tenere presente che un compartimento è un raggruppamento logico, non fisico, pertanto le risorse che costituiscono o risiedono nella stessa VCN possono appartenere a compartimenti diversi.
L'azienda Acme desidera consentire agli amministratori dei compartimenti Project-A e Project-B di decidere quali utenti possono utilizzare le risorse in tali compartimenti. Wenpei crea quindi altri due gruppi: A-Users e B-Users. Aggiunge quindi altre sei istruzioni che forniscono agli amministratori del compartimento l'accesso necessario di cui hanno bisogno per aggiungere e rimuovere utenti da tali gruppi:
Allow group A-Admins to use users in tenancy where target.group.name='A-Users'
Allow group A-Admins to use groups in tenancy where target.group.name='A-Users'
Allow group B-Admins to use users in tenancy where target.group.name='B-Users'
Allow group B-Admins to use groups in tenancy where target.group.name='B-Users'
Allow group A-Admins,B-Admins to inspect users in tenancy
Allow group A-Admins,B-Admins to inspect groups in tenancySi noti che questo criterio non consente agli amministratori del progetto di creare nuovi utenti o gestire le credenziali per gli utenti. Consente loro di decidere quali utenti esistenti possono essere nei gruppi A-Users e B-Users. Le ultime due istruzioni sono necessarie per A-Admins e B-Admins per elencare tutti gli utenti e gruppi, e confermare quali utenti sono in quali gruppi.
| Elemento | Descrizione |
|---|---|
 |
Criteri collegati alla tenancy:
|
Un amministratore crea nuovi utenti
A questo punto, Alex si trova nel gruppo Administrators e ora ha accesso per creare nuovi utenti. Quindi fornisce agli utenti di nome Leslie, Jorge e Cheri e li inserisce rispettivamente nei gruppi NetworkAdmins, A-Admins e B-Admins. Alex crea anche altri utenti che alla fine saranno inseriti nei gruppi A-Users e B-Users dagli amministratori per il Progetto A e il Progetto B.
| Elemento | Descrizione |
|---|---|
|
Criteri collegati alla tenancy:
|
L'amministratore di rete configura la rete
Leslie (nel gruppo NetworkAdmins) ha accesso alla gestione di virtual-network-family e instance-family nel compartimento Networks. Crea una rete cloud virtuale (VCN) con una singola subnet in tale compartimento. Inoltre, imposta un gateway Internet per la VCN e aggiorna la tabella di instradamento della VCN per consentire il traffico tramite tale gateway. Per eseguire il test della connettività della VCN alla rete in locale, avvia un'istanza nella subnet nella VCN. Nell'ambito della richiesta di avvio, deve specificare in quale compartimento deve risiedere l'istanza. Specifica il compartimento Reti, che è l'unico a cui ha accesso. Conferma quindi la connettività dalla rete in locale alla VCN eseguendo il login all'istanza tramite SSH dalla rete in locale.
Leslie termina la sua istanza di test e consente a Jorge e Cheri di sapere che la VCN è attiva e in esecuzione e pronta per essere provata. Fa sapere loro che i loro compartimenti sono chiamati rispettivamente Project-A e Project-B. Per ulteriori informazioni sull'impostazione di una rete cloud, vedere Networking. Per informazioni sull'avvio delle istanze nella rete, vedere Computazione.
Gli amministratori dei compartimenti impostano i propri compartimenti
Jorge e Cheri ora devono allestire i rispettivi compartimenti. Ogni amministratore deve effettuare le operazioni riportate di seguito.
- Avvia istanze nel proprio compartimento
- Metti gli utenti nel gruppo "utenti" (ad esempio, utenti A)
- Decidere il tipo di accesso per concedere a tali utenti e, di conseguenza, allegare un criterio al proprio compartimento
Jorge e Cheri avviano entrambe le istanze nella subnet nella VCN, nei compartimenti del rispettivo team. Creano e collegano volumi a blocchi alle istanze. Solo gli amministratori del compartimento possono avviare/terminare le istanze o collegare/scollegare i volumi a blocchi nei compartimenti del rispettivo team.
Concetti diversi relativi alla topologia di rete e all'accesso al compartimento
È importante comprendere la differenza tra la topologia di rete della VCN e il controllo dell'accesso fornito dai compartimenti. Le istanze lanciate da Jorge risiedono nella VCN da un punto di vista della topologia di rete. Tuttavia, dal punto di vista dell'accesso, si trovano nel compartimento Progetto-A, non nel compartimento Reti in cui si trova la VCN. Leslie (l'amministratore delle reti) non può terminare o riavviare le istanze di Jorge o avviarne di nuove nel compartimento Project-A. Ma Leslie controlla la rete delle istanze, quindi controlla quale traffico verrà indirizzato a loro. Se Jorge avesse specificato il compartimento Networks invece del compartimento Project-A all'avvio delle sue istanze, la sua richiesta sarebbe stata negata. La storia è simile per Cheri e il compartimento Project-B.
Tuttavia, è anche importante notare che Wenpei e Alex nel gruppo Administrators hanno accesso alle risorse all'interno dei compartimenti, poiché dispongono dell'accesso per gestire tutti i tipi di risorse nella tenancy. I compartimenti ereditano tutti i criteri collegati al proprio compartimento padre (la tenancy), pertanto l'accesso degli amministratori si applica anche a tutti i compartimenti all'interno della tenancy.
Successivamente, Jorge mette diversi degli utenti che Alex ha creato nel gruppo A-Users. Cheri fa lo stesso per gli utenti B.
Quindi Jorge scrive un criterio che fornisce agli utenti il livello di accesso di cui hanno bisogno nel compartimento Project-A.
Allow group A-Users to use instance-family in compartment Project-A
Allow group A-Users to use volume-family in compartment Project-A
Allow group A-Users to inspect virtual-network-family in compartment Networks
Ciò consente loro di utilizzare le istanze esistenti (con volumi a blocchi collegati) che gli amministratori del compartimento hanno già avviato nel compartimento e di arrestarle/avviarle/riavviarle. Non consente agli utenti A di creare/eliminare o collegare/scollegare qualsiasi volume. Per dare questa possibilità, la politica dovrebbe includere manage volume-family.
Jorge allega questo criterio al compartimento Project-A. Chiunque sia in grado di gestire i criteri nel compartimento ora può modificare o eliminare questo criterio. In questo momento, si tratta solo del gruppo A-Admins (e del gruppo Administrators, che può fare qualsiasi cosa nella tenancy).
Cheri crea e allega la propria politica al compartimento Project-B, simile alla politica di Jorge:
Allow group B-Users to use instance-family in compartment Project-B
Allow group B-Users to use volume-family in compartment Project-B
Allow group B-Users to inspect virtual-network-family in compartment Networks
Ora gli utenti A e B possono lavorare con le istanze esistenti e i volumi collegati rispettivamente nei compartimenti Project-A e Project-B. Di seguito è riportato l'aspetto del layout.
| Elemento | Descrizione |
|---|---|
|
Criteri collegati alla tenancy:
|
 |
Politica allegata e gestita da Jorge:
|
 |
Politica allegata e gestita da Cheri:
|
Per ulteriori informazioni sulle funzioni di base e avanzate dei criteri, vedere Funzionamento dei criteri. Per esempi di altri criteri standard che l'organizzazione potrebbe utilizzare, vedere Criteri comuni.
Visualizzazione delle risorse per compartimento nella console
Nella Console è possibile visualizzare le risorse cloud per compartimento. Ciò significa che dopo aver eseguito la connessione alla console, si sceglierà in quale compartimento lavorare (è disponibile una lista dei compartimenti a cui si ha accesso sul lato sinistro della pagina). Si noti che i compartimenti possono essere nidificati all'interno di altri compartimenti. La pagina verrà aggiornata per mostrare le risorse del compartimento che si trovano all'interno dell'area corrente. Se non ne esistono o se non si dispone dell'accesso alla risorsa in tale compartimento, verrà visualizzato un messaggio.
Questa esperienza è diversa quando si visualizzano gli elenchi di utenti, gruppi, gruppi dinamici e provider di federazione. Questi risiedono nella tenancy stessa (il compartimento radice), non in un singolo compartimento.
Per quanto riguarda i criteri, possono risiedere nella tenancy o in un compartimento, a seconda di dove è collegato il criterio . Dove sono allegati i controlli che hanno accesso per modificarli o eliminarli. Per ulteriori informazioni, vedere Allegato criteri.
Ambito delle risorse IAM
Oracle Cloud Infrastructure utilizza i concetti di aree e domini di disponibilit (vedere Aree e domini di disponibilit). Alcune risorse sono disponibili a livello regionale, mentre altre sono disponibili solo all'interno di un determinato dominio di disponibilità. Le risorse IAM (utenti, gruppi, gruppi dinamici, compartimenti, spazi di nomi delle tag, provider di federazione e criteri) sono globali e disponibili in tutte le aree. Vedere Gestione delle aree.
Creazione di automazione con gli eventi
Puoi creare automazione in base alle modifiche di stato per le risorse di Oracle Cloud Infrastructure utilizzando tipi di evento, regole e azioni. Per ulteriori informazioni, vedere Panoramica degli eventi.
Le risorse IAM riportate di seguito emettono eventi.
- Criteri di autenticazione
- Credenziali
- Gruppi dinamici
- Gruppi
- Provider di identità
- Dispositivi TOTP autenticazione a più fattori
- Criteri
- Utenti
Identificativi risorsa
La maggior parte dei tipi di risorse Oracle Cloud Infrastructure ha un identificativo univoco assegnato da Oracle chiamato ID Oracle Cloud (OCID). Per informazioni sul formato OCID e su altri modi per identificare le risorse, vedere Identificativi delle risorse.
Modi per accedere a Oracle Cloud Infrastructure
Puoi accedere a Oracle Cloud Infrastructure (OCI) utilizzando la console (un'interfaccia basata sul browser), l'API REST o l'interfaccia CLI OCI. Le istruzioni per l'uso della console, dell'API e dell'interfaccia CLI sono incluse negli argomenti di questa documentazione. Per esaminare un elenco di SDK disponibili, consulta Software Development Kits and Command Line Interface.
To access the Console, you must use a supported browser. Per andare alla pagina di connessione della console, aprire il menu di navigazione nella parte superiore di questa pagina e selezionare Console infrastruttura. Viene richiesto di immettere il tenant cloud, il nome utente e la password.
Per informazioni generali sull'utilizzo dell'API, vedere API REST.
Limiti sulle risorse IAM
Per consultare un elenco dei limiti applicabili e le istruzioni per richiedere un incremento del limite, vedere Limiti per servizio. Per impostare limiti specifici di compartimento per una risorsa o una famiglia di risorse, gli amministratori possono utilizzare le quote di compartimento.