Documentazione di Oracle Cloud Infrastructure

Gestione dei criteri

In questo argomento viene descritto come creare, modificare ed eliminare i criteri.

Applicazione di tag alle risorse

Applica tag alle risorse per organizzarle in base alle esigenze aziendali. È possibile applicare le tag quando si crea una risorsa ed è possibile aggiornare una risorsa in un secondo momento per aggiungere, rivedere o rimuovere le tag. Per informazioni generali sull'applicazione delle tag, vedere Tag risorsa.

Utilizzo dei criteri

Se non lo si è già fatto, leggere Funzionamento dei criteri per comprendere le nozioni di base sul funzionamento dei criteri.

Quando si crea un criterio, è necessario specificare il compartimento in cui deve essere collegato, ovvero la tenancy (compartimento radice) o un altro compartimento. La posizione in cui è allegato determina chi può modificarlo o eliminarlo in seguito. Per ulteriori informazioni, vedere Allegato ai criteri. Quando si crea il criterio nella console, il criterio viene collegato a un compartimento creando il criterio in tale compartimento. Se si utilizza l'interfaccia API, si specifica l'identificativo del compartimento nella richiesta CreatePolicy.

Quando si crea un criterio, è necessario specificare anche un nome non modificabile. Il nome deve essere univoco in tutti i criteri nel compartimento in cui è stato creato. È inoltre necessario fornire una descrizione, che sia una descrizione non univoca e modificabile per il criterio. Oracle assegnerà inoltre al criterio un ID univoco denominato ID Oracle Cloud. Per ulteriori informazioni, vedere Identificativi risorse.

Nota

Se si elimina un criterio e quindi si crea un nuovo criterio con lo stesso nome, verranno considerati criteri diversi perché avranno OCID diversi.

Per informazioni su come scrivere un criterio, vedere Funzionamento dei criteri e Sintassi dei criteri. Quando si utilizza la console per scrivere i criteri, è possibile utilizzare la Costruzione guidata criteri per creare la sintassi dei criteri che si desidera aggiungere.

Quando si crea un criterio, si apportano modifiche a un criterio esistente o si elimina un criterio, le modifiche diventano effettive in genere entro 10 secondi.

Puoi visualizzare una lista dei criteri nella console o con l'API. Nella console la lista viene filtrata automaticamente in modo da mostrare solo i criteri associati al compartimento che si sta visualizzando. Per determinare quali criteri si applicano a un determinato gruppo, è necessario visualizzare le singole istruzioni all'interno di tutti i criteri. Non esiste un modo per ottenere automaticamente tali informazioni nella console o nell'API.

Per informazioni sul numero di criteri che è possibile avere, vedere Limiti del servizio.

Scrittura di istruzioni criteri con Costruzione guidata criteri

La Costruzione guidata criteri nella console consente di creare rapidamente criteri comuni senza dover digitare manualmente le istruzioni dei criteri. La Costruzione guidata criteri suggerisce automaticamente le autorizzazioni che un amministratore può concedere a gruppi di utenti o risorse nella propria tenancy, nonché a risorse di destinazione quali istanze, reti e bucket. La maggior parte dei criteri suggeriti nella Costruzione guidata criteri è disponibile anche in Criteri comuni, dove è possibile ottenere ulteriori dettagli sull'accesso fornito da ciascun criterio e sui casi d'uso per ciascun criterio. Gli utenti che non hanno bisogno dei suggerimenti offerti dalla Costruzione guidata criteri o che hanno requisiti di criteri più complessi possono ignorare l'opzione di base della Costruzione guidata e andare direttamente all'editor avanzato, dove è possibile immettere direttamente le istruzioni di criteri in una casella di testo in formato libero.

Funzioni di Policy Builder

La Costruzione guidata criteri fornisce modelli di criteri che è possibile completare per creare criteri per la propria tenancy. Un modello di criteri include tutte le istruzioni necessarie per fornire le autorizzazioni per eseguire un task o un set di task correlati in un servizio in OCI. Per completare il modello, selezionare il gruppo da un menu di gruppi esistenti e selezionare la posizione dalla lista di compartimenti nella tenancy.

I modelli criteri nella Costruzione guidata criteri sono raggruppati per caso d'uso, ad esempio gestione della rete, gestione dello storage e gestione degli account, per semplificare la navigazione e la ricerca del set di autorizzazioni necessario.

Ad esempio, si supponga di configurare gli amministratori di rete per la tenancy in uso. È necessario concedere a un gruppo di utenti le autorizzazioni necessarie per utilizzare tutte le risorse nel servizio di networking. Per creare questo criterio nella Costruzione guidata criteri:

  • In primo luogo, individuare il criterio desiderato: dal menu Casi d'uso dei criteri, selezionare Gestione rete. Se non si è certi del caso d'uso a cui appartiene un criterio, è possibile lasciare questa opzione impostata su Tutto per sfogliare tutti i modelli.
  • Dal menu Modelli di criteri comuni, selezionare Consenti agli amministratori di rete di gestire una rete cloud.

    La Costruzione guidata criteri visualizza le istruzioni dei criteri che verranno create. In questo caso esiste una sola dichiarazione:

    Allow {group name} to manage virtual-network-family in {location}
  • A questo punto, è sufficiente selezionare il gruppo e la posizione per il criterio. Quando si seleziona un gruppo, anche il {group name} nell'istruzione del criterio visualizzata viene aggiornato con la selezione effettuata.
  • Infine, selezionare la posizione. È possibile attraversare la gerarchia del compartimento per trovare e selezionare il compartimento appropriato. Per creare il criterio nella tenancy, scegliere il compartimento radice.

    Questa immagine mostra la Costruzione guidata criteri con il criterio degli amministratori di rete

Personalizzazione dei criteri

Se si scopre che un modello non si adatta esattamente alle proprie esigenze, è possibile personalizzare i criteri forniti aggiungendo istruzioni, rimuovendo istruzioni, aggiungendo condizioni o altre modifiche per creare il criterio necessario. Selezionare Personalizza (avanzato) per modificare le istruzioni in una casella di testo in formato libero. Quando si immettono istruzioni direttamente nella casella di testo, assicurarsi di seguire le regole di sintassi dei criteri.

Esempi di personalizzazione del criterio Amministratori di rete:

  • È necessario includere un altro gruppo, GroupB, in questo criterio. Per aggiungere un gruppo, effettuare quanto riportato di seguito.

    Selezionare Customize (Advanced). Nella casella di testo digitare le modifiche al criterio (secondo la sintassi richiesta). 

    Allow group GroupA, GroupB to manage virtual-network-family in compartment CompartmentA

    Questa immagine mostra la casella di testo del generatore criteri avanzato con l'istruzione modificata

  • È necessario aggiungere una condizione all'istruzione. Ad esempio, si desidera assicurarsi che solo gli utenti che sono stati verificati da MFA possano gestire le reti. È possibile aggiungere tale condizione all'istruzione come indicato di seguito.
    Allow group GroupA to manage virtual-network-family in compartment CompartmentA where request.user.mfaTotpVerified='true'

    Questa immagine mostra la casella di testo del generatore criteri avanzato con l'istruzione modificata

  • Si desidera aggiungere un'altra istruzione al criterio. Ad esempio, si desidera consentire a GroupA di utilizzare le istanze. Per aggiungere un'altra istruzione, inserirla nella riga successiva:
    Allow group GroupA to manage virtual-network-family in compartment CompartmentA
Allow group GroupA to use instance-family in compartment CompartmentA
  • Questa immagine mostra la casella di testo del generatore criteri avanzato con l'istruzione modificata

Modifica dei criteri con Policy Builder

Dopo aver creato il criterio, è possibile immettere le modifiche alle istruzioni da apportare direttamente nel testo del criterio. Il selettore modello è disponibile solo quando si crea un nuovo criterio. L'editor consente di eliminare, aggiungere, modificare o modificare l'ordine dei rendiconti.

Questa immagine mostra l'editor avanzato di Costruzione guidata criteri con due istruzioni

Utilizzo di Console

Per creare un criterio

Prerequisito: il gruppo e il compartimento per cui si sta scrivendo il criterio devono esistere già.

  1. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità, selezionare Criteri. Viene visualizzata una lista di criteri nel compartimento che si sta visualizzando.
  2. Selezionare Crea criterio.
  3. Inserire:
    • Nome: un nome univoco per il criterio. Il nome deve essere univoco in tutti i criteri nella tenancy. Non è possibile modificare in seguito. Evitare di fornire informazioni riservate.
    • Descrizione: una descrizione descrittiva. Se lo si desidera, è possibile modificarlo in seguito.
    • Compartimento: se si desidera collegare il criterio a un compartimento diverso da quello che si sta visualizzando, selezionarlo dalla lista. La posizione in cui è collegato il criterio controlla chi può modificarlo o eliminarlo in un secondo momento (vedere Allegato criterio).
  4. Immettere le istruzioni dei criteri utilizzando la Costruzione guidata criteri. Utilizzare l'opzione Base se si desidera scegliere tra i modelli di criteri comuni, personalizzabili anche dall'utente. Utilizzare l'opzione Personalizza (avanzato) se si è già in grado di scrivere le istruzioni necessarie e si desidera semplicemente digitarle in una casella di testo.
    Per utilizzare l'opzione Di base della Costruzione guidata criteri:
    1. Selezionare dal menu Casi d'uso dei criteri per filtrare la lista dei modelli di criteri. Se non si è certi del caso d'uso da scegliere, è possibile sfogliare tutti i modelli nell'elenco Modelli di criteri comuni.
    2. Selezionare il modello più adatto ai requisiti dall'elenco Modelli di criteri comuni.

      La Costruzione guidata criteri visualizza la descrizione del criterio scelto ed elenca le istruzioni del criterio incluse.

    3. Selezionare il gruppo al quale si applica questo criterio.
    4. Selezionare una posizione. La posizione è il compartimento a cui questo criterio concede l'accesso. Il compartimento scelto qui deve essere il compartimento a cui si è scelto di collegare il criterio nel Passo 3 o un compartimento all'interno della gerarchia di tale compartimento.
    5. Se è necessario modificare le istruzioni dei criteri, selezionare Personalizza (avanzato).
    Per utilizzare l'opzione Personalizza (avanzato), procedere come segue.
    1. Selezionare Customize (Advanced).
    2. Immettere o modificare le istruzioni dei criteri nel formato descritto in Sintassi dei criteri, immettendo un'istruzione per riga.
  5. Per aggiungere tag a questo criterio, selezionare Mostra opzioni avanzate. Se si dispone delle autorizzazioni per creare una risorsa, si dispone anche delle autorizzazioni per applicare le tag in formato libero a tale risorsa. Per applicare una tag defined, è necessario disporre delle autorizzazioni per utilizzare la tag namespace. Per ulteriori informazioni sull'applicazione di tag, vedere Tag risorsa. Se non si è certi di applicare le tag, saltare questa opzione o chiedere a un amministratore. È possibile applicare le tag in un secondo momento.
  6. Se si desidera creare un altro criterio, selezionare Crea un altro criterio.
  7. Selezionare Crea.

Il nuovo criterio entrerà in vigore in genere entro 10 secondi.

Per ottenere un elenco dei criteri

Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità, selezionare Criteri. Viene visualizzata una lista di criteri nel compartimento che si sta visualizzando. Se si desidera visualizzare i criteri collegati a un compartimento diverso, selezionare tale compartimento dalla lista a sinistra. Non è possibile ottenere una singola lista di tutti i criteri; vengono sempre visualizzati dal compartimento.

Per determinare quali criteri si applicano a un determinato gruppo, è necessario visualizzare le singole istruzioni all'interno di tutti i criteri. Non esiste un modo per ottenere automaticamente tali informazioni nella console.

Per aggiornare la descrizione di un criterio esistente

Questa opzione è disponibile solo tramite l'API. Una soluzione alternativa consiste nel creare un nuovo criterio con la nuova descrizione ed eliminare il vecchio criterio.

Per aggiornare le istruzioni in un criterio esistente
  1. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità, selezionare Criteri. Viene visualizzata una lista di criteri nel compartimento che si sta visualizzando. Se il criterio che si sta cercando non viene visualizzato, verificare che si stia visualizzando il compartimento corretto. Per visualizzare i criteri collegati a un compartimento diverso, in Ambito lista selezionare tale compartimento dalla lista.
  2. Selezionare il criterio da aggiornare. Vengono visualizzati i dettagli e le istruzioni del criterio.
  3. Selezionare Modifica istruzioni criteri. Utilizzare l'opzione Costruzione guidata criteri Base se si desidera interagire con le istruzioni utilizzando i controlli grafici. Utilizzare l'opzione Costruzione guidata criteri Avanzate per modificare le istruzioni in una casella di testo semplice.

    Per utilizzare l'opzione Di base:

    • Per rivedere un'istruzione, immettere le modifiche nel formato Nozioni di base sui criteri e Sintassi dei criteri.
    • Per aggiungere un'istruzione, selezionare +Another Istruzione e immettere l'istruzione nel formato richiesto.
    • Per eliminare un'istruzione, selezionare la X accanto all'istruzione.
    • Per riordinare l'ordine delle istruzioni, utilizzare le frecce su e giù per spostare le istruzioni nell'ordine corretto oppure afferrare la maniglia per trascinare le istruzioni nella posizione preferita.
    Per utilizzare l'opzione Avanzate:
  4. Al termine della modifica, selezionare Salva modifiche.

Le modifiche entreranno in vigore in genere entro 10 secondi.

Per eliminare un criterio
  1. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità, selezionare Criteri. Viene visualizzata una lista di criteri nel compartimento che si sta visualizzando. Se il criterio che si sta cercando non viene visualizzato, verificare che si stia visualizzando il compartimento corretto. Per visualizzare i criteri collegati a un compartimento diverso, in Ambito lista selezionare tale compartimento dalla lista.
  2. Per il criterio che si desidera eliminare, selezionare Elimina.
  3. Confermare quando richiesto.

Le modifiche entreranno in vigore in genere entro 10 secondi.

Uso dell'API

Per informazioni sull'uso dell'API e delle richieste di firma, consulta la documentazione dell'API REST e le credenziali di sicurezza. Per informazioni sugli SDK, vedere SDK e l'interfaccia CLI.

Nota

Gli aggiornamenti non sono immediati in tutte le aree

Le risorse IAM risiedono nell'area di origine. Per applicare i criteri in tutte le aree, il servizio IAM replica le risorse in ogni area. Ogni volta che si crea o si modifica un criterio, un utente o un gruppo, le modifiche diventano effettive prima nell'area di origine, quindi vengono propagate nelle altre aree. L'entrata in vigore delle modifiche in tutte le aree può richiedere alcuni minuti. Ad esempio, si supponga di disporre di un gruppo con le autorizzazioni per avviare le istanze nella tenancy. Se si aggiunge UserA a questo gruppo, UserA sarà in grado di avviare le istanze nella propria area di origine entro un minuto. Tuttavia, UserA non sarà in grado di avviare istanze in altre aree fino al completamento del processo di replica. Questo processo può richiedere alcuni minuti. Se UserA tenta di avviare un'istanza prima del completamento della replica, verrà visualizzato un errore non autorizzato.

Utilizza le seguenti operazioni API per gestire i criteri: