Documentazione dell'infrastruttura Oracle Cloud

Riferimento criterio

Ottenere una panoramica degli argomenti di riferimento dei criteri IAM, inclusi verbi, tipi di risorse e variabili generali.

Tale riferimento comprende:

Per istruzioni su come creare e gestire i criteri utilizzando la console o l'API, vedere Panoramica sull'utilizzo dei criteri.

Verbs

I verbi sono elencati in ordine di minore capacità alla maggior parte. Il significato esatto di ogni verbo dipende dal tipo di risorsa con cui è abbinato. Le tabelle riportate più avanti in questa sezione mostrano le operazioni API coperte da ogni combinazione di verbo e tipo di risorsa.

Verbo Utente di destinazione Tipi di accesso coperti
inspect Revisori esterni Possibilità di elencare le risorse, senza accesso a informazioni riservate o metadati specificati dall'utente che potrebbero far parte di tale risorsa. Importante: l'operazione per elencare i criteri include il contenuto dei criteri stessi. Le operazioni elenco per i tipi di risorsa Networking restituiscono tutte le informazioni (ad esempio, il contenuto degli elenchi di sicurezza e delle tabelle di instradamento).
read Revisori interni Include inspect più la possibilità di ottenere metadati specificati dall'utente e la risorsa effettiva stessa.
use Utenti finali quotidiani delle risorse Include read più la possibilità di utilizzare le risorse esistenti (le azioni variano in base al tipo di risorsa). Include la possibilità di aggiornare la risorsa, ad eccezione dei tipi di risorsa in cui l'operazione di "aggiornamento" ha lo stesso impatto effettivo dell'operazione di "creazione" (ad esempio, UpdatePolicy, UpdateSecurityList e altri), nel qual caso la capacità di "aggiornamento" è disponibile solo con il verbo manage. In generale, questo verbo non include la possibilità di creare o eliminare quel tipo di risorsa.
manage Amministratori Include tutte le autorizzazioni per la risorsa.

Tipi di risorsa

Di seguito sono elencati alcuni tipi di risorse familiari comuni. Per i singoli tipi di risorse che compongono ogni famiglia, seguire i collegamenti.

IAM non dispone di un tipo di risorsa di famiglia, ma solo di singoli tipi. Vedere Panoramica dei criteri IAM o Dettagli per IAM senza domini di Identity, a seconda che la tenancy disponga o meno di domini di Identity.

Variabili generali per tutte le richieste

Le variabili vengono utilizzate quando si aggiungono condizioni a un criterio. Per ulteriori informazioni, vedere Condizioni. Di seguito sono riportate le variabili generali applicabili a tutte le richieste.

Nome Tipo Descrizione
request.user.id Entità (OCID) OCID dell'utente richiedente.
request.user.name Stringa Nome dell'utente richiedente.
request.user.mfaTotpVerified Boolean

Indica se l'utente è stato verificato mediante l'autenticazione a più fattori (MFA). Per limitare l'accesso solo agli utenti verificati tramite MFA, aggiungere la condizione

where request.user.mfaTotpVerified='true'

Per informazioni sull'impostazione dell'autenticazione MFA, vedere Gestione dell'autenticazione con più fattori.
request.groups.id Lista delle entità (OCID) OCID dei gruppi in cui si trova l'utente richiedente.
request.permission Stringa L'autorizzazione di base richiesta (vedere Autorizzazioni).
request.operation Stringa Il nome dell'operazione API richiesta, ad esempio ListUsers.
request.networkSource.name Stringa Nome del gruppo di origini di rete che specifica gli indirizzi IP consentiti da cui può provenire la richiesta. Per informazioni, vedere Gestione delle origini di rete.
request.utc-timestamp Stringa Ora UTC di invio della richiesta, specificata nel formato ISO 8601. Per ulteriori informazioni, vedere Limitazione dell'accesso alle risorse in base all'intervallo di tempo.
request.utc-timestamp.month-of-year Stringa Il mese di invio della richiesta, specificato nel formato numerico ISO 8601 (ad esempio, '1', '2', '3', ... '12'). Per ulteriori informazioni, vedere Limitazione dell'accesso alle risorse in base all'intervallo di tempo.
request.utc-timestamp.day-of-month Stringa Il giorno del mese in cui viene inviata la richiesta, specificato in formato numerico '1' - '31'. Per ulteriori informazioni, vedere Limitazione dell'accesso alle risorse in base all'intervallo di tempo.
request.utc-timestamp.day-of-week Stringa Il giorno della settimana in cui viene presentata la richiesta, specificato in inglese (ad esempio, 'Lunedì', 'Martedì', 'Mercoledì', ecc.). Per ulteriori informazioni, vedere Limitazione dell'accesso alle risorse in base all'intervallo di tempo.
request.utc-timestamp.time-of-day Stringa L'intervallo di tempo UTC in cui la richiesta viene sottomessa nel formato ISO 8601 (ad esempio, '01:00:00Z' AND '02:01:00Z'). Per ulteriori informazioni, vedere Limitazione dell'accesso alle risorse in base all'intervallo di tempo.
request.region Stringa

Chiave di 3 lettere per l'area in cui viene effettuata la richiesta. Di seguito sono riportati i valori consentiti.

Nota: per i criteri quota, è necessario specificare il nome dell'area anziché i seguenti valori di chiave di 3 lettere. Per ulteriori informazioni, vedere anche Quote campione.

  • AMS - uso per Paesi Bassi nord-occidentali (Amsterdam)
  • ARN - uso per Sweden Central (Stoccolma)
  • AUH - uso per UAE Central (Abu Dhabi)
  • BEG - uso per Serbia Centrale (Jovanovac)
  • BOG - uso per Colombia Central (Bogotà)
  • BOM - uso per India occidentale (Mumbai)
  • CDG - uso per France Central (Parigi)
  • CWL - uso per UK West (Newport)
  • DXB - utilizzo per Emirati Arabi Uniti (Est) (Dubai)
  • FRA - uso per Germania centrale (Francoforte)
  • GRU - uso per Brasile (Est) (San Paolo)
  • HSG - uso per Indonesia Nord (Batam)
  • HYD - uso per India Sud (Hyderabad)
  • IAD - uso per US East (Ashburn)
  • ICN - uso per Corea del Sud centrale (Seul)
  • JED - uso per Arabia Saudita occidentale (Gedda)
  • JNB - uso per South Africa Central (Johannesburg)
  • KIX - uso per Japan Central (Osaka)
  • LHR - Uso per il Regno Unito (Sud) (Londra)
  • LIN - uso per Italia Nord-Ovest (Milano)
  • NRQ - uso per Italia Nord (Torino)
  • MAD - uso per Spain Central (Madrid)
  • MEL - uso per Australia sud-orientale (Melbourne)
  • MRS - uso per Francia Sud (Marsiglia)
  • MTY - uso per il Messico nord-orientale (Monterrey)
  • MTZ - uso per Israele Centrale (Gerusalemme)
  • NRT - uso per Giappone orientale (Tokyo)
  • ORD - Uso per Midwest degli Stati Uniti (Chicago)
  • ORF - uso per Spagna centrale (Madrid 3)
  • PHX - uso per US West (Phoenix)
  • QRO - uso per Mexico Central (Queretaro)
  • RUH - uso per Arabia Saudita Centrale (Riyadh)
  • SCL - uso per Chile Central (Santiago)
  • SIN - uso per Singapore (Singapore)
  • SJC - uso per US West (San Jose)
  • SYD - uso per Australia orientale (Sydney)
  • VAP - uso per Cile Ovest (Valparaiso)
  • VCP - uso per il Brasile sud-orientale (Vinhedo)
  • XSP - uso per Singapore (Singapore)
  • YNY - uso per Corea del Sud Nord (Chuncheon)
  • YUL - uso per il Canada Sud-Est (Montreal)
  • YYZ - uso per il Canada sud-est (Toronto)
  • ZRH - uso per Svizzera Nord (Zurigo)
request.ad Stringa Nome del dominio di disponibilità in cui viene effettuata la richiesta. Per ottenere una lista di nomi di dominio di disponibilità, utilizzare l'operazione ListAvailabilityDomains.
request.principal.compartment.tag Stringa Le tag applicate al compartimento a cui appartiene la risorsa richiedente vengono valutate per una corrispondenza. Per istruzioni sull'uso, vedere Uso delle tag per gestire l'accesso.
request.principal.group.tag Stringa Le tag applicate ai gruppi a cui appartiene l'utente vengono valutate per una corrispondenza. Per istruzioni sull'uso, vedere Uso delle tag per gestire l'accesso.
target.compartment.name Stringa Nome del compartimento specificato in target.compartment.id.
target.compartment.id Entità (OCID)

OCID del compartimento contenente la risorsa primaria.

Nota: target.compartment.id e target.compartment.name non possono essere utilizzati con un'operazione API "Elenca" per filtrare la lista in base all'accesso dell'utente richiedente al compartimento.

target.resource.compartment.tag Stringa  Viene valutata la tag applicata al compartimento di destinazione della richiesta. Per istruzioni sull'uso, vedere Uso delle tag per gestire l'accesso.
target.resource.tag Stringa  Viene valutata la tag applicata alla risorsa di destinazione della richiesta. Per istruzioni sull'uso, vedere Uso delle tag per gestire l'accesso.