Documentazione di Oracle Cloud Infrastructure

Riferimento criterio

Ottieni una panoramica degli argomenti di riferimento dei criteri IAM, inclusi verbi, tipi di risorse e variabili generali.

Questo riferimento include:

Per istruzioni su come creare e gestire i criteri mediante la console o l'API, vedere Panoramica sull'utilizzo dei criteri.

Verbs

I verbi sono elencati in ordine minimo di capacità per la maggior parte. Il significato esatto di ogni verbo dipende dal tipo di risorsa a cui è associato. Le tabelle più avanti in questa sezione mostrano le operazioni API coperte da ogni combinazione di verbo e tipo di risorsa.

Verbo Utente di destinazione Tipi di accesso coperti
inspect Revisori dei conti di terze parti Possibilità di elencare le risorse, senza accesso a informazioni riservate o metadati specificati dall'utente che potrebbero far parte di tale risorsa. Importante: l'operazione per elencare i criteri include il contenuto dei criteri stessi. Le operazioni di lista per i tipi di risorse di networking restituiscono tutte le informazioni, ad esempio il contenuto delle liste di sicurezza e delle tabelle di instradamento.
read Revisori interni Include inspect oltre alla possibilità di ottenere i metadati specificati dall'utente e la risorsa effettiva.
use Utenti finali giornalieri delle risorse Include read oltre alla possibilità di utilizzare le risorse esistenti (le azioni variano in base al tipo di risorsa). Include la possibilità di aggiornare la risorsa, ad eccezione dei tipi di risorsa in cui l'operazione "update" ha lo stesso impatto effettivo dell'operazione "create" (ad esempio, UpdatePolicy, UpdateSecurityList e altri), nel qual caso la capacità "update" è disponibile solo con il verbo manage. In generale, questo verbo non include la possibilità di creare o eliminare quel tipo di risorsa.
manage Amministratori Include tutte le autorizzazioni per la risorsa.

Resource-Types

Di seguito sono elencati alcuni tipi di risorse familiari comuni. Per i singoli tipi di risorse che compongono ogni famiglia, seguire i collegamenti.

IAM non ha un tipo di risorsa famiglia, ma solo singoli. Vedere Panoramica sui criteri IAM o Dettagli per IAM senza domini di Identity, a seconda che la tenancy disponga o meno di domini di Identity.

Variabili generali per tutte le richieste

Le variabili vengono utilizzate quando si aggiungono condizioni a un criterio. Per ulteriori informazioni, vedere Condizioni. Di seguito sono riportate le variabili generali applicabili a tutte le richieste.

Nome Digita descrizione;
request.user.id Entità (OCID) OCID dell'utente richiedente.
request.user.name Stringa Nome dell'utente richiedente.
request.user.mfaTotpVerified Boolean

Indica se l'utente è stato verificato mediante autenticazione a più fattori (MFA). Per limitare l'accesso solo agli utenti sottoposti a verifica MFA, aggiungere la condizione

where request.user.mfaTotpVerified='true'

Per informazioni sull'impostazione dell'autenticazione MFA, vedere Gestione dell'autenticazione con più fattori.
request.groups.id Elenco di entità (OCID) Gli OCID dei gruppi in cui si trova l'utente richiedente.
request.permission Stringa L'autorizzazione di base richiesta (vedere Autorizzazioni).
request.operation Stringa Nome dell'operazione API richiesta (ad esempio, ListUsers).
request.networkSource.name Stringa Nome del gruppo di origini di rete che specifica gli indirizzi IP consentiti da cui potrebbe provenire la richiesta. Per informazioni, vedere Gestione delle origini di rete.
request.utc-timestamp Stringa Ora UTC di invio della richiesta, specificata nel formato ISO 8601. Per ulteriori informazioni, vedere Limitazione dell'accesso alle risorse in base all'intervallo di tempo.
request.utc-timestamp.month-of-year Stringa Il mese in cui viene sottomessa la richiesta, specificato in formato numerico ISO 8601 (ad esempio, '1', '2', '3', ... '12'). Per ulteriori informazioni, vedere Limitazione dell'accesso alle risorse in base all'intervallo di tempo.
request.utc-timestamp.day-of-month Stringa Il giorno del mese in cui viene inviata la richiesta, specificato nel formato numerico '1' - '31'. Per ulteriori informazioni, vedere Limitazione dell'accesso alle risorse in base all'intervallo di tempo.
request.utc-timestamp.day-of-week Stringa Il giorno della settimana in cui la richiesta viene sottomessa, specificato in inglese (ad esempio, 'Lunedì', 'Martedì', 'Mercoledì', ecc.). Per ulteriori informazioni, vedere Limitazione dell'accesso alle risorse in base all'intervallo di tempo.
request.utc-timestamp.time-of-day Stringa Intervallo di tempo UTC durante il quale viene inviata la richiesta, in formato ISO 8601 (ad esempio, '01:00:00Z' E '02:01:00Z'). Per ulteriori informazioni, vedere Limitazione dell'accesso alle risorse in base all'intervallo di tempo.
request.region Stringa

La chiave di 3 lettere per l'area in cui viene effettuata la richiesta. Di seguito sono riportati i valori consentiti.

Nota: per i criteri quota, è necessario specificare il nome dell'area anziché i seguenti valori di chiave di 3 lettere. Vedere anche Quota di esempio per ulteriori informazioni.

  • AMS - uso per i Paesi Bassi nord-occidentali (Amsterdam)
  • ARN - uso per la Svezia centrale (Stoccolma)
  • AUH - uso per il centro degli Emirati Arabi Uniti (Abu Dhabi)
  • BEG - uso per Serbia Centrale (Jovanovac)
  • BOG - uso per Colombia Central (Bogotà)
  • BOM - da utilizzare per l'India occidentale (Mumbai)
  • CDG - uso per France Central (Parigi)
  • CWL - uso per il Regno Unito occidentale (Newport)
  • DXB - uso per gli EAU orientali (Dubai)
  • FRA - da utilizzare per la Germania centrale (Francoforte)
  • GRU - da utilizzare per il Brasile orientale (San Paolo)
  • HSG - uso per Indonesia Nord (Batam)
  • HYD - uso per l'India meridionale (Hyderabad)
  • IAD - uso per l'area orientale degli Stati Uniti (Ashburn)
  • ICN - uso per la Corea del Sud centrale (Seul)
  • JED - uso per l'Arabia Saudita occidentale (Jeddah)
  • JNB - uso per il Sudafrica centrale (Johannesburg)
  • KIX - uso per Japan Central (Osaka)
  • LHR - uso per il sud del Regno Unito (Londra)
  • LIN - uso per l'Italia nordoccidentale (Milano)
  • MAD - uso per Spain Central (Madrid)
  • MEL - uso per l'Australia sud-orientale (Melbourne)
  • MRS - uso per la Francia meridionale (Marsiglia)
  • MTY - uso per il nord-est del Messico (Monterrey)
  • MTZ - uso per Israele centrale (Gerusalemme)
  • NRT - uso per il Giappone orientale (Tokyo)
  • ORD - uso per il Midwest degli Stati Uniti (Chicago)
  • PHX - da utilizzare per gli Stati Uniti occidentali (Phoenix)
  • QRO - uso per Mexico Central (Queretaro)
  • RUH - uso per Arabia Saudita centrale (Riyadh)
  • SCL - Uso per Cile centrale (Santiago)
  • SIN - uso per Singapore (Singapore)
  • SJC - uso per gli Stati Uniti occidentali (San Jose)
  • SYD - uso per l'Australia orientale (Sydney)
  • VAP - uso per Cile Ovest (Valparaiso)
  • VCP - uso per il Brasile sud-orientale (Vinhedo)
  • XSP - uso per Singapore Ovest (Singapore)
  • YNY - uso per la Corea del Sud Nord (Chuncheon)
  • YUL - uso per il Canada sud-orientale (Montreal)
  • YYZ - uso per il Canada sud-orientale (Toronto)
  • ZRH - uso per la Svizzera settentrionale (Zurigo)
request.ad Stringa Nome del dominio di disponibilità in cui viene effettuata la richiesta. Per ottenere una lista di nomi di dominio di disponibilità, utilizzare l'operazione ListAvailabilityDomains.
request.principal.compartment.tag Stringa Le tag applicate al compartimento a cui appartiene la risorsa richiedente vengono valutate per una corrispondenza. Per istruzioni sull'uso, vedere Utilizzo delle tag per gestire l'accesso.
request.principal.group.tag Stringa Le tag applicate ai gruppi a cui appartiene l'utente vengono valutate per una corrispondenza. Per istruzioni sull'uso, vedere Utilizzo delle tag per gestire l'accesso.
target.compartment.name Stringa Il nome del compartimento specificato in target.compartment.id.
target.compartment.id Entità (OCID)

OCID del compartimento contenente la risorsa primaria.

Nota: i collegamenti target.compartment.id e target.compartment.name non possono essere utilizzati con un'operazione API "Lista" per filtrare la lista in base all'accesso dell'utente richiedente al compartimento.

target.resource.compartment.tag Stringa  La tag applicata al compartimento di destinazione della richiesta viene valutata. Per istruzioni sull'uso, vedere Utilizzo delle tag per gestire l'accesso.
target.resource.tag Stringa  La tag applicata alla risorsa di destinazione della richiesta viene valutata. Per istruzioni sull'uso, vedere Utilizzo delle tag per gestire l'accesso.