Gestione dei gruppi
In questo argomento vengono descritte le nozioni di base per l'utilizzo dei gruppi.
Se la tenancy è federata con Oracle Identity Cloud Service, vedere Gestione degli utenti e dei gruppi di Oracle Identity Cloud Service nella console di Oracle Cloud Infrastructure per gestire i gruppi.
Criterio IAM necessario
Se si fa parte del gruppo Amministratori, si dispone dell'accesso necessario per la gestione dei gruppi.
Se non si ha familiarità con i criteri, vedere Introduzione ai criteri e Criteri comuni. Se si desidera approfondire la scrittura dei criteri per i gruppi o altri componenti IAM, vedere Dettagli per IAM senza domini di Identity.
Applicazione di tag alle risorse
Applica tag alle risorse per organizzarle in base alle esigenze aziendali. È possibile applicare le tag quando si crea una risorsa ed è possibile aggiornare una risorsa in un secondo momento per aggiungere, rivedere o rimuovere le tag. Per informazioni generali sull'applicazione delle tag, vedere Tag risorsa.
Uso dei gruppi
Quando si crea un gruppo, è necessario specificare un nome univoco e immodificabile per il gruppo. Il nome deve essere univoco in tutti i gruppi all'interno della tenancy. È inoltre necessario fornire al gruppo una descrizione (anche se può essere una stringa vuota), che è una descrizione non univoca e modificabile per il gruppo. Oracle assegnerà inoltre al gruppo un ID univoco denominato OCID (Oracle Cloud ID). Per ulteriori informazioni, vedere Identificativi risorse.
Se si elimina un gruppo e quindi si crea un nuovo gruppo con lo stesso nome, verranno considerati gruppi diversi perché avranno OCID diversi.
Un gruppo non dispone di autorizzazioni finché non si scrive almeno un criterio che concede a tale gruppo l'autorizzazione per la tenancy o un compartimento. Quando si scrive il criterio, è possibile specificare il gruppo utilizzando il nome univoco o l'OCID del gruppo. In base alla nota precedente, anche se si specifica il nome del gruppo nel criterio, IAM utilizza internamente l'OCID per determinare il gruppo. Per informazioni sulla scrittura dei criteri, vedere Gestione dei criteri.
È possibile eliminare un gruppo, ma solo se è vuoto.
Per informazioni sul numero di gruppi disponibili, vedere Limiti del servizio.
Se si esegue la federazione con un provider di identità, verranno creati i mapping tra i gruppi del provider di identità e i gruppi IAM. Per ulteriori informazioni, vedere Federazione con provider di identità.
Utilizzo di Console
- Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità, selezionare Domini. Viene visualizzata una lista dei gruppi nella tenancy.
- Fare clic su Crea gruppo.
- Immettere quanto riportato di seguito.
- Nome: un nome univoco per il gruppo. Il nome deve essere univoco in tutti i gruppi della tenancy. Non è possibile modificare in seguito. Il nome deve avere una lunghezza compresa tra 1 e 100 caratteri e può includere i seguenti caratteri: lettere minuscole a-z, lettere maiuscole A-Z, 0-9 e il punto (.), trattini (-) e caratteri di sottolineatura (_). Spazi non consentiti. Evitare di fornire informazioni riservate.
- Descrizione: una descrizione descrittiva. Se lo si desidera, è possibile modificarlo in seguito.
- Tag: se si dispone delle autorizzazioni per creare una risorsa, si dispone anche delle autorizzazioni per applicare tag in formato libero a tale risorsa. Per applicare una tag defined, è necessario disporre delle autorizzazioni per utilizzare la tag namespace. Per ulteriori informazioni sull'applicazione di tag, vedere Tag risorsa. Se non si è certi di applicare le tag, saltare questa opzione o chiedere a un amministratore. È possibile applicare le tag in un secondo momento.
- Fare clic su Crea gruppo.
Successivamente, potresti voler aggiungere utenti al gruppo o scrivere un criterio per il gruppo. Vedere Creazione di un criterio.
- Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità, selezionare Domini. Viene visualizzata una lista dei gruppi nella tenancy.
- Individuare il gruppo nell'elenco.
- Selezionare il gruppo. Vengono visualizzati i dettagli
- Selezionare Aggiungi utente a gruppo.
- Selezionare l'utente dall'elenco a discesa, quindi selezionare Aggiungi utente.
- Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità, selezionare Domini. Viene visualizzata una lista dei gruppi nella tenancy.
- Individuare il gruppo nell'elenco.
- Selezionare il gruppo per visualizzarne i dettagli. Viene visualizzata una lista di utenti nel gruppo.
- Individuare l'utente nell'elenco.
- Per l'utente da rimuovere, selezionare Rimuovi.
- Confermare quando richiesto.
Prerequisito: per eliminare un gruppo, non deve contenere utenti.
- Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità, selezionare Domini. Viene visualizzata una lista dei gruppi nella tenancy.
- Individuare il gruppo nell'elenco.
- Per il gruppo da eliminare, selezionare Elimina.
- Confermare quando richiesto.
Questa opzione è disponibile solo tramite l'API. Se non si dispone dell'accesso all'API e si desidera aggiornare la descrizione di un gruppo, contattare il Supporto Oracle.
Uso dell'API
Per informazioni sull'uso dell'API e delle richieste di firma, consulta la documentazione dell'API REST e le credenziali di sicurezza. Per informazioni sugli SDK, vedere SDK e l'interfaccia CLI.
Gli aggiornamenti non sono immediati in tutte le aree
Le risorse IAM risiedono nell'area di origine. Per applicare i criteri in tutte le aree, il servizio IAM replica le risorse in ogni area. Ogni volta che si crea o si modifica un criterio, un utente o un gruppo, le modifiche diventano effettive prima nell'area di origine, quindi vengono propagate nelle altre aree. L'entrata in vigore delle modifiche in tutte le aree può richiedere alcuni minuti. Ad esempio, si supponga di disporre di un gruppo con le autorizzazioni per avviare le istanze nella tenancy. Se si aggiunge UserA a questo gruppo, UserA sarà in grado di avviare le istanze nella propria area di origine entro un minuto. Tuttavia, UserA non sarà in grado di avviare istanze in altre aree fino al completamento del processo di replica. Questo processo può richiedere alcuni minuti. Se UserA tenta di avviare un'istanza prima del completamento della replica, verrà visualizzato un errore non autorizzato.
Utilizza le seguenti operazioni API per gestire i gruppi:
- CreateGroup
- ListGroups
- GetGroup
- UpdateGroup: è possibile aggiornare solo la descrizione del gruppo.
- DeleteGroup
- ListUserGroupMemberships: consente di ottenere una lista degli utenti inclusi in un gruppo o dei gruppi in cui si trova un utente.
- AddUserToGroup: questa operazione restituisce un oggetto
UserGroupMembershipcon il proprio OCID. - GetUserGroupMembership
- RemoveUserFromGroup: questa operazione elimina un oggetto
UserGroupMembership.
Per le operazioni API correlate ai mapping di gruppi per i provider di identità, vedere Federazione con provider di identità.