Documentazione di Oracle Cloud Infrastructure

Introduzione ai criteri

Se non hai familiarità con i criteri di Oracle Cloud Infrastructure Identity and Access Management (IAM), questo argomento fornisce indicazioni su come procedere.

Se stai facendo una prova di concetto

Se stai solo provando Oracle Cloud Infrastructure o facendo un progetto proof-of-concept con le risorse dell'infrastruttura, potresti non aver bisogno di più di alcuni amministratori con accesso completo a tutto. In tal caso, è sufficiente creare tutti i nuovi utenti necessari e aggiungerli al gruppo Amministratori. Gli utenti saranno in grado di fare qualsiasi cosa con qualsiasi tipo di risorsa. Inoltre, puoi creare tutte le tue risorse direttamente nella tenancy (il compartimento radice). Non è ancora necessario creare compartimenti o altri criteri oltre al criterio di amministrazione del tenant, che viene fornito automaticamente con la tenancy e non può essere modificato.

Nota

Non dimenticare di aggiungere i tuoi nuovi utenti al gruppo Administrators; è facile dimenticare di farlo dopo averli creati.

Se hai superato la fase di prova del concetto

Se hai superato la fase di proof-of-concept e vuoi limitare l'accesso alle tue risorse, prima di tutto:

Domande frequenti sul criterio

A quali servizi all'interno di Oracle Cloud Infrastructure posso controllare l'accesso tramite i criteri?

Tutti, incluso IAM stesso. Puoi trovare dettagli specifici per la scrittura dei criteri per ogni servizio nella Panoramica sui criteri IAM.

Gli utenti possono fare qualcosa senza che un amministratore scriva un criterio per loro?

Sì. Tutti gli utenti possono eseguire automaticamente queste operazioni senza un criterio esplicito:

  • Modificare o reimpostare la propria password della console.
  • Gestisci le tue chiavi di firma API e altre credenziali.
Perché dovrei separare le risorse per compartimento? Non è possibile inserire tutte le risorse in un unico compartimento e quindi utilizzare i criteri per controllare chi ha accesso a cosa?

Puoi inserire tutte le tue risorse in un unico compartimento e utilizzare i criteri per controllare l'accesso, ma perderai i vantaggi derivanti dalla misurazione dell'uso e della fatturazione per compartimento, dalla semplice amministrazione dei criteri a livello di compartimento e dalla chiara separazione delle risorse tra progetti o business unit.

Posso controllare o negare l'accesso a un singolo utente?

Sì. Tuttavia, un paio di cose da sapere prima:

  • Le aziende di livello Enterprise in genere dispongono di più utenti che necessitano di autorizzazioni simili, pertanto i criteri sono progettati per consentire l'accesso a gruppi di utenti e non a singoli utenti. Un utente può accedere facendo parte di un gruppo.
  • I criteri sono progettati per consentire l'accesso; non esiste un "negazione" esplicito quando si scrive un criterio.

Se è necessario concedere l'accesso a un determinato utente, è possibile aggiungere una condizione al criterio che specifica l'OCID dell'utente in una variabile. Questa costruzione limita l'accesso concesso nel criterio solo all'utente specificato nella condizione. Ad esempio:

allow any-group to read object-family in compartment ObjectStorage where request.user.id ='ocid1.user.oc1..<user_OCID>'

Per informazioni sull'uso delle condizioni e delle variabili nei criteri, vedere Condizioni.

Se è necessario limitare l'accesso di un determinato utente, è possibile effettuare le operazioni riportate di seguito.

  • Rimuovere l'utente dal particolare gruppo di interesse
  • Eliminare completamente l'utente da IAM (è necessario prima rimuovere l'utente da tutti i gruppi)
Come eliminare un utente

Assicurarsi innanzitutto che l'utente non si trovi in alcun gruppo. Solo in questo caso è possibile eliminare l'utente.

Come posso sapere quali criteri si applicano a un determinato gruppo o utente?

È necessario esaminare le singole istruzioni in tutti i criteri per vedere quali istruzioni si applicano a quale gruppo. Al momento non esiste un modo semplice per ottenere queste informazioni.

Come posso sapere quali criteri si applicano a un determinato compartimento?

È necessario esaminare le singole istruzioni in tutti i criteri della tenancy per verificare se sono applicabili a un determinato compartimento. Inoltre, devi esaminare qualsiasi criterio nel compartimento stesso. I criteri in qualsiasi compartimento di pari livello non possono fare riferimento al compartimento di interesse, pertanto non è necessario controllare tali criteri.