Chiamata dei servizi da un'istanza

Questo argomento descrive come autorizzare le istanze di computazione a chiamare i servizi in Oracle Cloud Infrastructure.

Introduzione

Questa procedura descrive come autorizzare un'istanza di computazione a effettuare chiamate API nei servizi Oracle Cloud Infrastructure. Dopo aver impostato le risorse e i criteri necessari, un'applicazione in esecuzione su un'istanza può chiamare i servizi pubblici di Oracle Cloud Infrastructure, eliminando la necessità di configurare le credenziali utente o un file di configurazione.

Concetti

GRUPPO DINAMICO
I gruppi dinamici ti consentono di raggruppare le istanze di computazione Oracle Cloud Infrastructure come attori principali, simili ai gruppi di utenti. È quindi possibile creare criteri per consentire alle istanze di questi gruppi di effettuare chiamate API sui servizi Oracle Cloud Infrastructure. L'appartenenza al gruppo è determinata da una serie di criteri definiti, denominati regole di corrispondenza.
REGOLA DI CORRISPONDENZA
Quando si imposta un gruppo dinamico, vengono definite anche le regole per l'appartenenza al gruppo. Le risorse che corrispondono ai criteri della regola sono membri del gruppo dinamico. Le regole di corrispondenza hanno una sintassi specifica che si segue. Vedere Scrittura di regole di corrispondenza per definire i gruppi dinamici.
PRINCIPI ISTANZA
Funzione del servizio IAM che consente agli attori (o principal) autorizzati delle istanze di computazione di eseguire azioni sulle risorse del servizio. Ogni istanza di computazione dispone di una propria identità ed esegue l'autenticazione utilizzando i certificati aggiunti. Questi certificati vengono creati automaticamente, assegnati alle istanze e ruotati, evitando che sia necessario distribuire le credenziali agli host e ruotarle.

considerazioni sulla sicurezza

Qualsiasi utente che dispone dell'accesso all'istanza di computazione (che può eseguire l'accesso SSH all'istanza) eredita automaticamente i privilegi concessi all'istanza. Prima di concedere le autorizzazioni a un'istanza utilizzando il processo descritto in questo argomento, assicurarsi di sapere chi può accedervi (perché dispone della chiave SSH o perché è stato aggiunto come utenti all'istanza) e che siano autorizzati con le autorizzazioni concesse all'istanza.

A tutti i principal dell'istanza di computazione viene concessa l'autorizzazione compartment_inspect. Non è possibile revocare questa autorizzazione. Questa autorizzazione consente all'istanza di ListCompartments nella tenancy di recuperare le informazioni riportate di seguito.

  • Nomi compartimento
  • Descrizioni compartimento
  • Tag in formato libero applicate ai compartimenti
  • Valori predefiniti tag automatici applicati ai compartimenti. Queste tag, ad esempio CreatedBy e CreatedOn, si trovano nello spazio di nomi Oracle-Tag e vengono aggiunte automaticamente da Oracle.