Documentazione dell'infrastruttura Oracle Cloud

Gestione dei criteri

In questo argomento viene descritto come creare, modificare ed eliminare i criteri.

Applicazione di tag alle risorse

Applica tag alle risorse per organizzarle in base alle tue esigenze aziendali. È possibile applicare tag quando si crea una risorsa ed è possibile aggiornare una risorsa in un secondo momento per aggiungere, rivedere o rimuovere tag. Per informazioni generali sull'applicazione dei tag, vedere Tag risorsa.

Utilizzo dei criteri

Se non l'hai già fatto, assicurati di leggere Come funzionano i criteri per capire le nozioni di base sul funzionamento dei criteri.

Quando si crea un criterio, è necessario specificare il compartimento in cui deve essere collegato, ovvero la tenancy (compartimento radice) o un altro compartimento. Dove è collegato governa chi può successivamente modificarlo o eliminarlo. Per ulteriori informazioni, vedere Allegato criteri. Quando si crea il criterio nella Console, associarlo a un compartimento creando il criterio in tale compartimento. Se si utilizza l'API, è necessario specificare l'identificativo del compartimento nella richiesta CreatePolicy.

Quando si crea un criterio, è necessario specificare anche un nome non modificabile. Il nome deve essere univoco in tutti i criteri nel compartimento in cui è stato creato. È inoltre necessario fornire una descrizione, che sia una descrizione non univoca e modificabile per il criterio. Oracle assegnerà inoltre al criterio un ID univoco denominato ID Oracle Cloud. Per ulteriori informazioni, vedere Identificativi risorse.

Nota

Se si elimina un criterio e quindi si crea un nuovo criterio con lo stesso nome, questi verranno considerati criteri diversi perché avranno OCID diversi.

Per informazioni su come scrivere un criterio, vedere Funzionamento dei criteri e Sintassi dei criteri. Quando si utilizza la console per scrivere i criteri, è possibile utilizzare la Costruzione guidata criteri per creare la sintassi dei criteri che si desidera aggiungere.

Quando si crea un criterio, si apportano modifiche a un criterio esistente o si elimina un criterio, le modifiche diventano effettive in genere entro 10 secondi.

È possibile visualizzare una lista dei criteri nella console o con l'API. Nella console, l'elenco viene filtrato automaticamente per mostrare solo i criteri collegati al compartimento che si sta visualizzando. Per determinare quali criteri si applicano a un determinato gruppo, è necessario visualizzare le singole istruzioni all'interno di tutti i criteri. Non esiste un modo per ottenere automaticamente tali informazioni nella console o nell'API.

Per informazioni sul numero di criteri che è possibile avere, vedere Limiti per servizio.

Scrittura di istruzioni criteri con Costruzione guidata criteri

La Costruzione guidata criteri nella console consente di creare rapidamente criteri comuni senza dover digitare manualmente le istruzioni dei criteri. Il generatore di criteri suggerisce automaticamente le autorizzazioni che un amministratore può concedere a gruppi di utenti o risorse nella propria tenancy, nonché le risorse di destinazione come istanze, reti e bucket. La maggior parte dei criteri suggeriti nella Costruzione guidata criteri è disponibile anche in Criteri comuni, dove è possibile ottenere ulteriori dettagli sull'accesso fornito da ciascun criterio e sui casi d'uso per ciascuno di essi. Gli utenti che non hanno bisogno dei suggerimenti offerti dal generatore di criteri o che hanno requisiti di criteri più complessi possono ignorare l'opzione di base del generatore e passare direttamente all'editor avanzato, in cui è possibile immettere direttamente le istruzioni dei criteri in una casella di testo in formato libero.

Caratteristiche di Policy Builder

La Costruzione guidata criteri fornisce modelli di criteri che è possibile completare per creare criteri per la tenancy. Un modello di criteri include tutte le istruzioni necessarie per fornire le autorizzazioni per eseguire un task o un set di task correlati in un servizio in OCI. Per completare il modello, selezionare il gruppo da un menu di gruppi esistenti e selezionare la posizione dalla lista di compartimenti nella tenancy.

I modelli criteri nella Costruzione guidata criteri sono raggruppati per caso d'uso, ad esempio gestione della rete, gestione dello storage e gestione degli account, per semplificare la ricerca e la ricerca del set di autorizzazioni necessario.

Ad esempio, si supponga di impostare gli amministratori di rete per la tenancy in uso. È necessario concedere a un gruppo di utenti le autorizzazioni necessarie per utilizzare tutte le risorse del servizio di networking. Per creare questo criterio nella Costruzione guidata criteri, procedere come segue.

  • Individuare innanzitutto il criterio desiderato: dal menu Casi d'uso dei criteri, selezionare Gestione rete. Se non si è sicuri a quale caso d'uso appartiene una polizza, è possibile lasciare questa opzione impostata su Tutto per sfogliare tutti i modelli.
  • Nel menu Modelli criteri comuni, selezionare Consenti agli amministratori di rete di gestire una rete cloud.

    La Costruzione guidata criteri visualizza le istruzioni dei criteri che verranno create. In questo caso, c'è solo una dichiarazione:

    Allow {group name} to manage virtual-network-family in {location}
  • Ora, tutto quello che devi fare è selezionare il gruppo e la posizione per il criterio: quando selezioni un gruppo, anche il {group name} nell'istruzione dei criteri visualizzata viene aggiornato con la selezione.
  • Infine, selezionare la posizione. È possibile attraversare la gerarchia dei compartimenti per trovare e selezionare il compartimento appropriato. Per creare il criterio nella tenancy, scegliere il compartimento radice.

    Questa immagine mostra la Costruzione guidata criteri con il criterio degli amministratori di rete

Personalizzazione dei criteri

Se si scopre che un modello non soddisfa esattamente le proprie esigenze, è possibile personalizzare i criteri forniti aggiungendo istruzioni, rimuovendo istruzioni, aggiungendo condizioni o altre modifiche per creare il criterio necessario. Selezionare Customize (Advanced) per modificare i rendiconti in una casella di testo in formato libero. Quando si immettono istruzioni direttamente nella casella di testo, assicurarsi di seguire le regole della sintassi dei criteri.

Esempi di personalizzazione del criterio di amministrazione di rete:

  • È necessario includere un altro gruppo, GroupB, in questo criterio. Per aggiungere un gruppo, effettuare quanto riportato di seguito.

    Selezionare Personalizza (avanzato). Nella casella di testo digitare le modifiche apportate al criterio (seguendo la sintassi richiesta). 

    Allow group GroupA, GroupB to manage virtual-network-family in compartment CompartmentA

    Questa immagine mostra la casella di testo del generatore criteri avanzato con l'istruzione modificata

  • È necessario aggiungere una condizione all'istruzione. Ad esempio, si desidera garantire che solo gli utenti che sono stati verificati da MFA possano gestire le reti. È possibile aggiungere tale condizione all'istruzione come indicato di seguito.
    Allow group GroupA to manage virtual-network-family in compartment CompartmentA where request.user.mfaTotpVerified='true'

    Questa immagine mostra la casella di testo del generatore criteri avanzato con l'istruzione modificata

  • Si desidera aggiungere un'altra istruzione al criterio. Ad esempio, si desidera consentire a GroupA di utilizzare le istanze. Per aggiungere un'altra istruzione, inserirla nella riga successiva:
    Allow group GroupA to manage virtual-network-family in compartment CompartmentA
Allow group GroupA to use instance-family in compartment CompartmentA
  • Questa immagine mostra la casella di testo del generatore criteri avanzato con l'istruzione modificata

Modifica dei criteri con Costruzione guidata criteri

Dopo aver creato il criterio, è possibile immettere le modifiche alle istruzioni da apportare direttamente nel testo del criterio. Il selettore modello è disponibile solo quando si crea un nuovo criterio. L'editor consente di eliminare, aggiungere, modificare o modificare l'ordine dei rendiconti.

Questa immagine mostra l'editor avanzato di Costruzione guidata criteri con due istruzioni

Uso della console

Per creare un criterio

Prerequisito: il gruppo e il compartimento per i quali si sta scrivendo il criterio devono esistere già.

  1. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità selezionare Criteri. Viene visualizzata una lista dei criteri nel compartimento visualizzato.
  2. Selezionare Crea criterio.
  3. Inserire quanto segue:
    • Nome: un nome univoco per il criterio. Il nome deve essere univoco in tutti i criteri della tenancy. Non è possibile modificare questa impostazione in seguito. Evitare di fornire informazioni riservate.
    • Descrizione: una descrizione descrittiva. Se lo si desidera, è possibile modificarlo in un secondo momento.
    • Compartimento: se si desidera collegare il criterio a un compartimento diverso da quello che si sta visualizzando, selezionarlo dall'elenco. Dove il criterio è associato ai controlli che possono successivamente modificarlo o eliminarlo (vedere Allegato criterio).
  4. Immettere le istruzioni dei criteri utilizzando la costruzione guidata criteri. Utilizzare l'opzione Base se si desidera scegliere tra modelli di criteri comuni, che è anche possibile personalizzare. Utilizzare l'opzione Personalizza (avanzate) se si è già in grado di scrivere le istruzioni necessarie e si desidera digitarle semplicemente in una casella di testo.
    Per utilizzare l'opzione Base della Costruzione guidata criteri, procedere come segue.
    1. Selezionare dal menu Casi d'uso dei criteri per filtrare l'elenco dei modelli di criteri. Se non si è sicuri di quale caso d'uso scegliere, è possibile sfogliare tutti i modelli nell'elenco Modelli criteri comuni.
    2. Selezionare il modello più adatto alle proprie esigenze dall'elenco Modelli criteri comuni.

      La Costruzione guidata criteri visualizza la descrizione del criterio scelto ed elenca le istruzioni dei criteri incluse.

    3. Selezionare il gruppo a cui si applica questo criterio.
    4. Selezionare un'ubicazione. La posizione è il compartimento a cui questo criterio concede l'accesso. Il compartimento scelto qui deve essere il compartimento a cui si è scelto di collegare il criterio nel Passo 3 o un compartimento all'interno della gerarchia di tale compartimento.
    5. Se è necessario modificare le istruzioni dei criteri, selezionare Personalizza (avanzate).
    Per utilizzare l'opzione Personalizza (avanzato), procedere come segue.
    1. Selezionare Personalizza (avanzate).
    2. Immettere o modificare le istruzioni dei criteri in base al formato descritto in Sintassi dei criteri, immettendo un'istruzione per riga.
  5. Per aggiungere tag a questo criterio, selezionare Mostra opzioni avanzate. Se si dispone delle autorizzazioni per creare una risorsa, si dispone anche delle autorizzazioni per applicare tag in formato libero a tale risorsa. Per applicare una tag defined, è necessario disporre delle autorizzazioni per utilizzare la tag namespace. Per ulteriori informazioni sull'applicazione di tag, vedere Tag risorsa. Se non sei sicuro di applicare i tag, salta questa opzione o chiedi a un amministratore. È possibile applicare le tag in un secondo momento.
  6. Se si desidera creare un altro criterio, selezionare Crea altro criterio.
  7. Selezionare Crea.

Il nuovo criterio entrerà in vigore in genere entro 10 secondi.

Per ottenere un elenco dei criteri

Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità selezionare Criteri. Viene visualizzata una lista dei criteri nel compartimento che si sta visualizzando. Se si desidera visualizzare i criteri collegati a un compartimento diverso, selezionare tale compartimento dalla lista a sinistra. Non è possibile ottenere una singola lista di tutti i criteri; sono sempre visualizzati in base al compartimento.

Per determinare quali criteri si applicano a un determinato gruppo, è necessario visualizzare le singole istruzioni all'interno di tutti i criteri. Non esiste un modo per ottenere automaticamente tali informazioni nella console.

Per aggiornare la descrizione di un criterio esistente

È disponibile solo tramite l'API. Una soluzione alternativa consiste nel creare un nuovo criterio con la nuova descrizione ed eliminare il criterio precedente.

Per aggiornare le istruzioni in un criterio esistente
  1. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità selezionare Criteri. Viene visualizzata una lista dei criteri nel compartimento visualizzato. Se il criterio che si sta cercando non è visualizzato, verificare di aver visualizzato il compartimento corretto. Per visualizzare i criteri collegati a un compartimento diverso, in Ambito lista selezionare il compartimento desiderato dalla lista.
  2. Selezionare il criterio che si desidera aggiornare. Vengono visualizzati i dettagli e le istruzioni del criterio.
  3. Selezionare Modifica istruzioni criteri. Utilizzare l'opzione Costruzione guidata criteri Base se si desidera interagire con le istruzioni utilizzando controlli grafici. Utilizzare l'opzione Costruzione guidata criteri avanzate per modificare le istruzioni in una semplice casella di testo.

    Per utilizzare l'opzione Basic:

    • Per rivedere un'istruzione, immettere le modifiche in base al formato in Informazioni di base sui criteri e Sintassi dei criteri.
    • Per aggiungere un'istruzione, selezionare +Another Istruzione e immettere l'istruzione nel formato richiesto.
    • Per eliminare un'istruzione, selezionare la X accanto all'istruzione.
    • Per riorganizzare l'ordine delle istruzioni, utilizzare le frecce su e giù per spostare le istruzioni nell'ordine corretto oppure afferrare la maniglia per trascinare le istruzioni nella posizione preferita.
    Per utilizzare l'opzione Avanzate:
  4. Al termine della modifica, selezionare Salva modifiche.

Le modifiche entreranno in vigore in genere entro 10 secondi.

Per eliminare un criterio, procedere come segue.
  1. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità selezionare Criteri. Viene visualizzata una lista dei criteri nel compartimento visualizzato. Se il criterio che si sta cercando non è visualizzato, verificare di aver visualizzato il compartimento corretto. Per visualizzare i criteri collegati a un compartimento diverso, in Ambito lista selezionare il compartimento desiderato dalla lista.
  2. Per il criterio che si desidera eliminare, selezionare Elimina.
  3. Confermare quando richiesto.

Le modifiche entreranno in vigore in genere entro 10 secondi.

Utilizzo dell'API

Per informazioni sull'uso dell'API e sulle richieste di firma, consultare la documentazione relativa all'API REST e le credenziali di sicurezza. Per informazioni sugli SDK, vedere SDK e CLI.

Nota

Gli aggiornamenti non sono immediati in tutte le aree

Le risorse IAM risiedono nell'area di origine. Per applicare i criteri in tutte le aree, il servizio IAM replica le risorse in ogni area. Ogni volta che si crea o si modifica un criterio, un utente o un gruppo, le modifiche diventano effettive prima nell'area di origine e quindi vengono propagate alle altre aree. L'applicazione delle modifiche in tutte le aree può richiedere alcuni minuti. Si supponga, ad esempio, di disporre di un gruppo con autorizzazioni per avviare le istanze nella tenancy. Se si aggiunge UserA a questo gruppo, UserA sarà in grado di avviare le istanze nell'area di origine entro un minuto. Tuttavia, UserA non sarà in grado di avviare le istanze in altre aree fino al completamento del processo di replica. Questo processo può richiedere fino a diversi minuti. Se UserA tenta di avviare un'istanza prima del completamento della replica, verrà visualizzato un errore non autorizzato.

Utilizza le seguenti operazioni API per gestire i criteri: