Chiamata di servizi da un'istanza
In questo argomento viene descritto come autorizzare le istanze di computazione a chiamare i servizi in Oracle Cloud Infrastructure.
Introduction
Questa procedura descrive come autorizzare un'istanza di computazione a effettuare chiamate API nei servizi Oracle Cloud Infrastructure. Dopo aver impostato le risorse e i criteri necessari, un'applicazione in esecuzione su un'istanza può chiamare i servizi pubblici di Oracle Cloud Infrastructure, eliminando la necessità di configurare le credenziali utente o un file di configurazione.
Concetti
- GRUPPO DINAMICO
- I gruppi dinamici consentono di raggruppare le istanze di Oracle Cloud Infrastructure Compute come attori principali, simili ai gruppi di utenti. È quindi possibile creare criteri per consentire alle istanze in questi gruppi di effettuare chiamate API sui servizi Oracle Cloud Infrastructure. L'appartenenza al gruppo è determinata da un set di criteri definiti, denominati regole di corrispondenza.
- REGOLA DI CORRISPONDENZA
- Quando si imposta un gruppo dinamico, è inoltre possibile definire le regole per l'appartenenza al gruppo. Le risorse che corrispondono ai criteri della regola sono membri del gruppo dinamico. Le regole di corrispondenza hanno una sintassi specifica che segui. Vedere Scrittura di regole di corrispondenza per definire i gruppi dinamici.
- PRINCIPI ISTANZA
- Funzione del servizio IAM che consente alle istanze di computazione di essere attori (o principal) autorizzati a eseguire azioni sulle risorse del servizio. Ogni istanza di computazione ha la propria identità e viene autenticata utilizzando i certificati aggiunti. Questi certificati vengono creati automaticamente, assegnati alle istanze e ruotati, evitando di dover distribuire le credenziali agli host e ruotarle.
Considerazioni sulla sicurezza
Qualsiasi utente che ha accesso all'istanza di computazione (che può eseguire SSH sull'istanza) eredita automaticamente i privilegi concessi all'istanza. Prima di concedere le autorizzazioni a un'istanza utilizzando il processo descritto in questo argomento, assicurarsi di conoscere gli utenti che possono accedervi (perché dispongono della chiave SSH o sono stati aggiunti come utenti all'istanza) e di essere autorizzati con le autorizzazioni concesse all'istanza.
A tutti i principal delle istanze di computazione viene concessa l'autorizzazione compartment_inspect. Impossibile revocare questa autorizzazione. Questa autorizzazione consente all'istanza di ListCompartments nella tenancy di recuperare le informazioni riportate di seguito.
- Nomi compartimento
- Descrizioni compartimento
- Tag in formato libero applicate ai compartimenti
- Impostazioni predefinite dei tag automatici applicate ai compartimenti. Questi tag, ad esempio CreatedBy e CreatedOn, si trovano nello spazio di nomi Oracle-Tag e vengono aggiunti automaticamente da Oracle.