Documentazione dell'infrastruttura Oracle Cloud

Introduzione ai criteri

Se non hai familiarità con i criteri di Oracle Cloud Infrastructure Identity and Access Management (IAM), questo argomento fornisce indicazioni su come procedere.

Se stai facendo una prova di concetto

Se stai solo provando Oracle Cloud Infrastructure o eseguendo un progetto proof-of-concept con risorse dell'infrastruttura, potresti non aver bisogno di più di pochi amministratori con accesso completo a tutto. In tal caso, è sufficiente creare tutti i nuovi utenti necessari e aggiungerli al gruppo Administrators. Gli utenti potranno fare qualsiasi cosa con qualsiasi tipo di risorsa. Inoltre, puoi creare tutte le tue risorse direttamente nella tenancy (il compartimento radice). Non è ancora necessario creare compartimenti o altri criteri oltre il criterio di amministrazione tenant, che viene fornito automaticamente con la tenancy e non può essere modificato.

Nota

Non dimenticare di aggiungere i tuoi nuovi utenti al gruppo Administrators; è facile dimenticare di farlo dopo averli creati.

Se hai superato la fase di prova del concetto

Se hai superato la fase di proof-of-concept e desideri limitare l'accesso alle tue risorse, prima di tutto:

Domande frequenti sulle polizze

A quali dei servizi all'interno di Oracle Cloud Infrastructure posso controllare l'accesso tramite i criteri?

Tutte, incluso IAM stesso. È possibile trovare dettagli specifici per la scrittura dei criteri per ogni servizio nel documento Panoramica dei criteri IAM.

Gli utenti possono fare qualcosa senza che un amministratore scriva un criterio per loro?

Sì Tutti gli utenti possono eseguire automaticamente queste operazioni senza un criterio esplicito:

  • Modificare o reimpostare la password della propria console.
  • Gestire le proprie chiavi di firma API e altre credenziali.
Perché dovrei separare le risorse in base al compartimento? Non è possibile inserire tutte le risorse in un compartimento e quindi utilizzare i criteri per controllare chi ha accesso a cosa?

Potresti mettere tutte le tue risorse in un singolo compartimento e utilizzare i criteri per controllare l'accesso, ma poi perderai i vantaggi della misurazione dell'uso e della fatturazione per compartimento, della semplice amministrazione dei criteri a livello di compartimento e della chiara separazione delle risorse tra progetti o business unit.

Posso controllare o negare l'accesso a un singolo utente?

Sì Tuttavia, un paio di cose da sapere prima:

  • Le aziende aziendali in genere dispongono di più utenti che richiedono autorizzazioni simili, pertanto i criteri sono progettati per consentire l'accesso a gruppi di utenti, non a singoli utenti. Un utente ottiene l'accesso facendo parte di un gruppo.
  • I criteri sono progettati per consentire l'accesso; non è previsto alcun "negamento" esplicito quando si scrive un criterio.

Se è necessario concedere l'accesso a un determinato utente, è possibile aggiungere una condizione al criterio che specifica l'OCID dell'utente in una variabile. Questa costruzione limita l'accesso concesso nel criterio solo all'utente specificato nella condizione. Ad esempio:

allow any-group to read object-family in compartment ObjectStorage where request.user.id ='ocid1.user.oc1..<user_OCID>'

Per informazioni sull'uso di condizioni e variabili nei criteri, vedere Condizioni.

Se è necessario limitare l'accesso di un determinato utente, è possibile effettuare le operazioni riportate di seguito.

  • Rimuovere l'utente dal gruppo di interesse specifico
  • Eliminare completamente l'utente da IAM (è necessario prima rimuovere l'utente da tutti i gruppi)
Come si elimina un utente?

Assicurarsi innanzitutto che l'utente non si trovi in alcun gruppo. Solo allora è possibile eliminare l'utente.

Come faccio a sapere quali criteri si applicano a un determinato gruppo o utente?

È necessario esaminare le singole istruzioni in tutti i criteri per vedere quali istruzioni si applicano a quale gruppo. Attualmente non esiste un modo semplice per ottenere queste informazioni.

Come faccio a sapere quali criteri si applicano a un determinato compartimento?

È necessario esaminare le singole istruzioni in tutti i criteri della tenancy per verificare se sono applicabili al compartimento specifico. È inoltre necessario esaminare qualsiasi criterio nel compartimento stesso. I criteri in uno qualsiasi dei compartimenti di pari livello non possono fare riferimento al compartimento di interesse, pertanto non è necessario controllare tali criteri.