Documentazione di Oracle Cloud Infrastructure

Dettagli per IAM senza domini di identità

In questo argomento vengono descritti i dettagli per la scrittura dei criteri per controllare l'accesso a IAM.

Resource-Types

authentication

authentication-policies

compartments

credentials

domain

dynamic-groups

groups

group-memberships

iamworkrequest

identity-providers

network-sources

oauth2-clients

policies

regions

service-principal

tag-defaults

tag-namespaces

tagRules

tasdomain

tagNamespaces

tenancies

users x

workrequest

Variabili supportate

IAM supporta tutte le variabili generali (vedere Variabili generali per tutte le richieste), oltre a quelle aggiuntive elencate di seguito.

Operazioni per questo tipo di risorsa... Può utilizzare queste variabili... Tipo di variabile Commenti
users target.user.id Entità (OCID) Non disponibile per l'utilizzo con CreateUser.
target.user.name Stringa  
groups target.group.id Entità (OCID) Non disponibile per l'utilizzo con CreateGroup.
target.group.name Stringa  
target.group.member Boolean True se request.user è un membro di target.group.
policies target.policy.id Entità (OCID) Non disponibile per l'utilizzo con CreatePolicy.
target.policy.name Stringa  
compartments target.compartment.id Entità (OCID)

Per CreateCompartment, questo sarà il valore del compartimento padre (ad esempio, il compartimento radice).

Si tratta di una variabile universale disponibile per l'uso con qualsiasi richiesta in tutti i servizi (vedere Variabili generali per tutte le richieste).
target.compartment.name Stringa  
tag-namespace target.tag-namespace.id Entità (OCID)

Questa variabile è supportata solo nelle istruzioni che concedono le autorizzazioni per il tipo di risorsa tag-namespaces. Per un esempio, vedere Concetti dello spazio di nomi tag e tag. Non disponibile per l'utilizzo con CreateTagNamespace.

target.tag-namespace.name Stringa  

Dettagli per le combinazioni verbi-tipo di risorsa

Le tabelle seguenti mostrano le autorizzazioni e le operazioni API coperte da ciascun verbo. Il livello di accesso è cumulativo quando si sceglie inspect > read > use > manage. Ad esempio, un gruppo che può utilizzare una risorsa può anche ispezionare e leggere tale risorsa. Un segno più (+) in una cella di tabella indica l'accesso incrementale rispetto alla cella direttamente sopra di essa, mentre "nessun extra" indica nessun accesso incrementale.

Ad esempio, il verbo read per i compartimenti non copre autorizzazioni o operazioni API aggiuntive rispetto al verbo inspect. Il verbo use include gli stessi verbi read, oltre all'autorizzazione COMPARTMENT_UPDATE e all'operazione API UpdateCompartment. Il verbo manage include le stesse autorizzazioni e le stesse operazioni API del verbo use, oltre all'autorizzazione COMPARTMENT_CREATE e alle due operazioni API: CreateCompartment e DeleteCompartment

authentication-policies
Verbi Autorizzazioni API completamente coperte API parzialmente coperte
ispezionare

AUTHENTICATION_POLICY_INSPECT

GetAuthenticationPolicy

 

nessuno
letto

nessun altro

nessun altro

nessuno
utilizzare

nessun altro

nessun altro

nessuno
gestisci

USE +

AUTHENTICATION_POLICY_UPDATE

USE +

UpdateAuthenticationPolicy

nessuno
compartments

Per spostare un compartimento (ovvero utilizzare l'operazione MoveCompartment), è necessario appartenere a un gruppo che dispone delle autorizzazioni manage all-resources sul compartimento padre condiviso più basso del compartimento corrente e del compartimento di destinazione.

Verbi Autorizzazioni API completamente coperte API parzialmente coperte
ispezionare

COMPARTMENT_INSPECT

ListCompartments

GetCompartment

ListAvailabilityDomains

ListFaultDomains

nessuno
letto

nessun altro

nessun altro

nessuno
utilizzare

LETTURA +

COMPARTMENT_UPDATE

LETTURA +

UpdateCompartment

GetWorkRequest

nessuno
gestisci

USE +

COMPARTMENT_CREATE

COMPARTMENT_DELETE

COMPARTMENT_RECOVER

USE +

CreateCompartment

DeleteCompartment

RecoverCompartment

nessuno
credentials

Il tipo di risorsa credentials fa riferimento solo alle credenziali SMTP. Le autorizzazioni per utilizzare altre credenziali che possono essere aggiunte a un utente, ad esempio token di autenticazione, chiavi API e chiavi segrete del cliente, sono incluse nelle autorizzazioni delle risorse users.

Verbi Autorizzazioni API completamente coperte API parzialmente coperte
ispezionare

CREDENTIAL_INSPECT

 ListSmtpCredentials

nessuno
letto

nessun altro

nessun altro

nessuno
utilizzare

nessun altro

nessun altro

 

nessuno
gestisci

USE +

CREDENTIAL_ADD

CREDENTIAL_UPDATE

CREDENTIAL_REMOVE

USE +

CreateSmtpCredential

UpdateSmtpCredential

DeleteSmtpCredential

nessuno
dynamic-groups
Verbi Autorizzazioni API completamente coperte API parzialmente coperte
ispezionare

DYNAMIC_GROUP_INSPECT

ListDynamicGroups

GetDynamicGroup

Nessun extra
letto

nessun altro

nessun altro

nessun altro
utilizzare

LETTURA +

DYNAMIC_GROUP_UPDATE

LETTURA +

UpdateDynamicGroup

Nessun extra
gestisci

UTILIZZO +

DYNAMIC_GROUP_CREATE

DYNAMIC_GROUP_DELETE

UTILIZZO +

CreateDynamicGroup

DeleteDynamicGroup

nessun altro
groups
Verbi Autorizzazioni API completamente coperte API parzialmente coperte
ispezionare

GROUP_INSPECT

ListGroups

GetGroup

GetUserGroupMembership (è necessario anche inspect users)

ListIdpGroupMappings, GetIdpGroupMapping (entrambi richiedono inspect identity-providers)
letto

nessun altro

nessun altro

nessun altro
utilizzare

LETTURA +

GROUP_UPDATE

LETTURA +

UpdateGroup

LETTURA +

AddUserToGroup (è necessario anche use users)

RemoveUserFromGroup (è necessario anche use users)

AddIdpGroupMapping, DeleteIdpGroupMapping (entrambi richiedono manage identity-providers)
gestisci

USE +

GROUP_CREATE

GROUP_DELETE

USE +

CreateGroup

DeleteGroup

nessun altro
identity-providers
Verbi Autorizzazioni API completamente coperte API parzialmente coperte
ispezionare

IDENTITY_PROVIDER_INSPECT

ListIdentityProviders

GetIdentityProvider

ListIdpGroupMappings, GetIdpGroupMapping (entrambi richiedono inspect groups)
letto

nessun altro

nessun altro

nessun altro
utilizzare

nessun altro

nessun altro

nessun altro
gestisci

USE +

IDENTITY_PROVIDER_UPDATE

IDENTITY_PROVIDER_CREATE

IDENTITY_PROVIDER_DELETE

USE +

UpdateIdentityProvider

CreateIdentityProvider

DeleteIdentityProvider

USE +

AddIdpGroupMapping, DeleteIdpGroupMapping (entrambi richiedono use groups)
network-sources
Verbi Autorizzazioni API completamente coperte API parzialmente coperte
ispezionare

NETWORK_SOURCE_INSPECT

ListNetworkSources

GetNetworkSource

Nessun extra
letto

nessun altro

nessun altro

nessun altro
utilizzare

LETTURA +

NETWORK_SOURCE_UPDATE

LETTURA +

UpdateNetworkSource

Nessun extra
gestisci

USE +

NETWORK_SOURCE_CREATE

NETWORK_SOURCE_DELETE

USE +

CreateNetworkSource

DeleteNetworkSource

nessun altro
policies
Verbi Autorizzazioni API completamente coperte API parzialmente coperte
ispezionare

POLICY_READ

ListPolicies

GetPolicy

nessuno
letto

nessun altro

nessun altro

nessuno
utilizzare

nessun altro

nessun altro

Nota: la possibilità di aggiornare i criteri è disponibile solo con manage policies.

nessuno
gestisci

USE +

POLICY_UPDATE

POLICY_CREATE

POLICY_DELETE

USE +

UpdatePolicy

CreatePolicy

DeletePolicy

nessuno
tag-namespaces
Verbi Autorizzazioni API completamente coperte API parzialmente coperte
ispezionare

TAG_NAMESPACE_INSPECT

BulkEditTags

ListTagNamespaces

GetTagNamespace

ListTags

ListCostTrackingTags

GetTag

GetTaggingWorkRequest

ListTaggingWorkRequest

ListTaggingWorkRequestErrors

ListTaggingWorkRequestLogs

nessuno
letto

nessun altro

nessun altro

nessuno
utilizzare

LETTURA +

TAG_NAMESPACE_USE

Nota: per applicare, aggiornare o rimuovere le tag definite per una risorsa, è necessario concedere a un utente le autorizzazioni per la risorsa e le autorizzazioni per utilizzare lo spazio di nomi tag.

LETTURA +

CreateTag

UpdateTag

nessuno
gestisci

USE +

TAG_NAMESPACE_UPDATE

TAG_NAMESPACE_CREATE

TAG_NAMESPACE_MOVE

TAG_NAMESPACE_DELETE

USE +

UpdateTagNamespace

CreateTagNamespace

ChangeTagNamespaceCompartment

CascadeDeleteTagNamespace

DeleteTagNamespace

DeleteTag

BulkDeleteTags

nessuno
tag-defaults
Verbi Autorizzazioni API completamente coperte API parzialmente coperte
ispezionare

TAG_DEFAULT_INSPECT

TAG_NAMESPACE_READ

(Utilizzare entrambe le autorizzazioni)

ListTagDefaults

GetTagDefault

 

nessuno
letto

nessun altro

nessun altro

 nessuno
utilizzare

nessun altro

nessun altro

nessuno
gestisci

ISPEZIONA +

TAG_DEFAULT_CREATE

TAG_DEFAULT_UPDATE

TAG_DEFAULT_DELETE

UTILIZZO +

CreateTagDefault

UpdateTagDefault

DeleteTagDefault

 

nessuno
tenancies
Verbi Autorizzazioni API completamente coperte API parzialmente coperte
ispezionare

TENANCY_INSPECT

ListRegionSubscriptions

GetTenancy

ListRegions

 

nessuno
letto

nessun altro

nessun altro

nessuno
utilizzare

LETTURA +

TENANCY_UPDATE

nessun altro

nessuno
gestisci

USE +

TENANCY_UPDATE

USE +

CreateRegionSubscription

nessuno
users

Per utilizzare le credenziali SMTP per un utente, è necessario disporre delle autorizzazioni per il tipo di risorsa credentials.

Verbi Autorizzazioni API completamente coperte API parzialmente coperte
ispezionare

USER_INSPECT

ListUsers

GetUser

GetUserGroupMembership (è necessario anche inspect groups)
letto

ISPEZIONA +

USER_READ

ISPEZIONA +

ListApiKeys

ListSwiftPasswords

ListAuthTokens

ListCustomerSecretKeys

ListOAuthClientCredentials

ListMfaTotpDevices

nessun altro
utilizzare

LETTURA +

USER_UPDATE

LETTURA +

UpdateUser

LETTURA +

AddUserToGroup (è necessario anche use groups)

RemoveUserFromGroup (è necessario anche use groups)
gestisci

USE +

USER_CREATE

USER_DELETE

USER_UNBLOCK

USER_APIKEY_ADD

USER_APIKEY_REMOVE

USER_UIPASS_SET

USER_UIPASS_RESET

USER_SWIFTPASS_SET

USER_SWIFTPASS_RESET

USER_SWIFTPASS_REMOVE

USER_AUTHTOKEN_SET

USER_AUTHTOKEN_RESET

USER_AUTHTOKEN_REMOVE

USER_OAUTH2_CLIENT_CRED_CREATE

USER_OAUTH2_CLIENT_CRED_UPDATE

USER_OAUTH2_CLIENT_CRED_REMOVE

USER_SECRETKEY_ADD

USER_SECRETKEY_UPDATE

USER_SECRETKEY_REMOVE

USER_SUPPORT_ACCOUNT_LINK

USER_SUPPORT_ACCOUNT_UNLINK

USER_TOTPDEVICE_ADD

USER_TOTPDEVICE_REMOVE

USER_TOTPDEVICE_UPDATE

USE +

CreateUser

DeleteUser

UpdateUserState

UploadApiKey

DeleteApiKey

CreateOrResetUIPassword

UpdateSwiftPassword

CreateSwiftPassword

DeleteSwiftPassword

 

UpdateAuthToken

CreateAuthToken

DeleteAuthToken

CreateOAuthClientCredential

UpdateOAuthClientCredential

DeleteOAuthClientCredential

CreateSecretKey

UpdateCustomerSecretKey

DeleteCustomerSecretKey

CreateOAuthClientCredential

UpdateAuthClientCredential

DeleteOAuthClientCredential

LinkSupportAccount

UnlinkSupportAccount

CreateMfaTotpDevice

ActivateMfaTotpDevice

DeleteMfaTotpDevice

nessun altro

Autorizzazioni necessarie per ogni operazione API

Nella tabella seguente sono elencate le operazioni API in ordine logico, raggruppate per tipo di risorsa.

Per informazioni sulle autorizzazioni, vedere Autorizzazioni.

Operazione API Autorizzazioni necessarie per utilizzare l'operazione
ListRegions TENANCY_INSPECT
ListRegionSubscriptions TENANCY_INSPECT
CreateRegionSubscription TENANCY_UPDATE
GetTenancy TENANCY_INSPECT
GetAuthenticationPolicy AUTHENTICATION_POLICY_INSPECT
UpdateAuthenticationPolicy AUTHENTICATION_POLICY_UPDATE
ListAvailabilityDomains COMPARTMENT_INSPECT
ListFaultDomains COMPARTMENT_INSPECT
ListCompartments COMPARTMENT_INSPECT
GetCompartment COMPARTMENT_INSPECT
UpdateCompartment COMPARTMENT_UPDATE
CreateCompartment COMPARTMENT_CREATE
RecoverCompartment COMPARTMENT_RECOVER
DeleteCompartment COMPARTMENT_DELETE
MoveCompartment Non esiste un'unica autorizzazione associata all'operazione MoveCompartment. Questa operazione richiede le autorizzazioni manage all-resources per il compartimento padre condiviso più basso del compartimento corrente e del compartimento di destinazione.
GetWorkRequest COMPARTMENT_READ
ListUsers USER_INSPECT
GetUser USER_INSPECT
UpdateUser USER_UPDATE
UpdateUserState USER_UPDATE e USER_UNBLOCK
CreateUser

USER_CREATE
DeleteUser USER_DELETE
CreateOrResetUIPassword USER_UPDATE e USER_UIPASS_RESET
ListApiKeys USER_READ
UploadApiKey

USER_UPDATE e USER_APIKEY_ADD

DeleteApiKey USER_UPDATE e USER_APIKEY_REMOVE
ListAuthTokens USER_READ
UpdateAuthToken USER_UPDATE e USER_AUTHTOKEN_RESET
CreateAuthToken USER_UPDATE e USER_AUTHTOKEN_SET
DeleteAuthToken USER_UPDATE e USER_AUTHTOKEN_REMOVE
ListSwiftPasswords USER_READ
UpdateSwiftPassword USER_UPDATE e USER_SWIFTPASS_RESET
CreateSwiftPassword USER_UPDATE e USER_SWIFTPASS_SET
DeleteSwiftPassword USER_UPDATE e USER_SWIFTPASS_REMOVE
ListCustomerSecretKeys USER_READ
CreateSecretKey USER_UPDATE e USER_SECRETKEY_ADD
UpdateCustomerSecretKey USER_UPDATE e USER_SECRETKEY_UPDATE
DeleteCustomerSecretKey USER_UPDATE e USER_SECRETKEY_REMOVE
CreateOAuthClientCredential USER_UPDATE e USER_OAUTH2_CLIENT_CRED_CREATE
UpdateOAuthClientCredential USER_UPDATE e USER_OAUTH2_CLIENT_CRED_UPDATE
ListOAuthClientCredentials USER_READ
DeleteOAuthClientCredential USER_UPDATE e USER_OAUTH2_CLIENT_CRED_REMOVE
LinkSupportAccount USER_SUPPORT_ACCOUNT_LINK
UnlinkSupportAccount USER_SUPPORT_ACCOUNT_UNLINK
CreateSmtpCredential CREDENTIAL_ADD
ListSmtpCredentials CREDENTIAL_INSPECT
UpdateSmtpCredential CREDENTIAL_UPDATE
DeleteSmtpCredential CREDENTIAL_REMOVE
ListUserGroupMemberships GROUP_INSPECT e USER_INSPECT
GetUserGroupMembership USER_INSPECT e GROUP_INSPECT
AddUserToGroup GROUP_UPDATE e USER_UPDATE
RemoveUserFromGroup GROUP_UPDATE e USER_UPDATE
ListGroups GROUP_INSPECT
GetGroup GROUP_INSPECT
UpdateGroup GROUP_UPDATE
CreateGroup GROUP_CREATE
DeleteGroup GROUP_DELETE
ListDynamicGroups DYNAMIC_GROUP_INSPECT
GetDynamicGroup DYNAMIC_GROUP_INSPECT
UpdateDynamicGroup DYNAMIC_GROUP_UPDATE
CreateDynamicGroup DYNAMIC_GROUP_CREATE
DeleteDynamicGroup DYNAMIC_GROUP_DELETE
GetNetworkSource NETWORK_SOURCE_INSPECT
ListNetworkSources NETWORK_SOURCE_INSPECT
CreateNetworkSource NETWORK_SOURCE_CREATE
UpdateNetworkSource NETWORK_SOURCE_UPDATE
DeleteNetworkSource NETWORK_SOURCE_DELETE
ListPolicies POLICY_READ
GetPolicy POLICY_READ
UpdatePolicy POLICY_UPDATE
CreatePolicy POLICY_CREATE
DeletePolicy POLICY_DELETE
ListIdentityProviders IDENTITY_PROVIDER_INSPECT
GetIdentityProvider IDENTITY_PROVIDER_INSPECT
UpdateIdentityProvider IDENTITY_PROVIDER_UPDATE
CreateIdentityProvider IDENTITY_PROVIDER_CREATE
DeleteIdentityProvider IDENTITY_PROVIDER_DELETE
ListIdpGroupMappings IDENTITY_PROVIDER_INSPECT e GROUP_INSPECT
GetIdpGroupMapping IDENTITY_PROVIDER_INSPECT e GROUP_INSPECT
AddIdpGroupMapping IDENTITY_PROVIDER_UPDATE e GROUP_UPDATE
DeleteIdpGroupMapping IDENTITY_PROVIDER_UPDATE e GROUP_UPDATE
ListTagNamespaces TAG_NAMESPACE_INSPECT
ListTaggingWorkRequest TAG_NAMESPACE_INSPECT
ListTaggingWorkRequestErrors TAG_NAMESPACE_INSPECT
ListTaggingWorkRequestLogs TAG_NAMESPACE_INSPECT
GetTaggingWorkRequest TAG_NAMESPACE_INSPECT
GetTagNamespace TAG_NAMESPACE_INSPECT
CreateTagNamespace TAG_NAMESPACE_CREATE
UpdateTagNamespace TAG_NAMESPACE_UPDATE
ChangeTagNamespaceCompartment TAG_NAMESPACE_MOVE
CascadeDeleteTagNamespace

TAG_NAMESPACE_DELETE
DeleteTagNamespace

TAG_NAMESPACE_DELETE
ListTags TAG_NAMESPACE_INSPECT
BulkEditTags TAG_NAMESPACE_INSPECT
ListCostTrackingTags TAG_NAMESPACE_INSPECT
GetTag TAG_NAMESPACE_INSPECT
CreateTag TAG_NAMESPACE_USE
UpdateTag TAG_NAMESPACE_USE
DeleteTag TAG_NAMESPACE_DELETE
BulkDeleteTags

TAG_NAMESPACE_DELETE
ListTagDefaults TAG_DEFAULT_INSPECT
GetTagDefault TAG_DEFAULT_INSPECT
CreateTagDefault TAG_DEFAULT_MANAGE
UpdateTagDefault TAG_DEFAULT_MANAGE
DeleteTagDefault TAG_DEFAULT_MANAGE