Scrittura delle regole di corrispondenza per definire i gruppi dinamici
Le regole di corrispondenza definiscono le risorse che appartengono a un gruppo dinamico.
Nella console è possibile immettere la regola manualmente nella casella di testo fornita oppure utilizzare la generazione regole. La Costruzione guidata regola consente di effettuare selezioni e voci in una finestra di dialogo, quindi di scrivere automaticamente la regola in base alle voci. La Costruzione guidata regola supporta le variabili di istanza e compartimento. Per scrivere una regola in base ad altre variabili, immetterla manualmente.
È possibile definire i membri del gruppo dinamico in base ai seguenti elementi:
- OCID compartimento
- OCID istanza (per istanze) o OCID risorsa (per altre risorse)
- tipo di risorsa
- spazio di nomi e chiave di tag: includono (o escludono) istanze contrassegnate con uno spazio di nomi e una chiave di tag specifici. Tutti i valori tag sono inclusi. Ad esempio, includere tutte le istanze contrassegnate con lo spazio di nomi tag
department
e la chiave tagoperations
. - spazio di nomi, chiave di tag e valore di tag: includono (o escludono) istanze contrassegnate con un valore specifico per lo spazio di nomi e la chiave di tag. Ad esempio, includere tutte le istanze contrassegnate con lo spazio di nomi tag
department
e la chiave tagoperations
e con il valore '45
'.
Una regola di corrispondenza ha la seguente sintassi:
Per una singola condizione:
variable {{=}} | !='value'
Per diverse condizioni:
any|all {<condition>,<condition>,...}
Le variabili supportate sono:
Per le istanze, è possibile utilizzare:
-
instance.compartment.id
: l'OCID del compartimento in cui risiede l'istanza -
instance.id
: l'OCID dell'istanza
Per tutti i tipi di risorsa supportati, è possibile utilizzare:
resource.id
: l'OCID della risorsaresource.compartment.id
: l'OCID del compartimento in cui risiede la risorsaresource.type
: il tipo di risorsa. Il tipo di risorsa viene visualizzato nell'OCID della risorsa. Ad esempio:- l'OCID di un dominio ha il formato
ocid1.domain...
, quindi specificaredomain
comeresource.type
. - l'OCID di una funzione ha il formato
ocid1.fnfunc...
, quindi specificarefnfunc
comeresource.type
- l'OCID di un gateway API ha il formato
ocid1.apigateway...
, quindi specificareapigateway
comeresource.type
- l'OCID di un dominio ha il formato
-
tag.<tagnamespace>.<tagkey>.value
: lo spazio di nomi tag e la chiave tag. Ad esempio,tag.department.operations.value
. -
tag.<tagnamespace>.<tagkey>.value = '<tagvalue>'
: spazio di nomi tag, chiave tag e valore tag. Ad esempiotag.department.operations.value = '45'
I criteri IAM non supportano le tag in formato libero. Vedere Introduzione alle tag in formato libero.
Esempi:
Per includere tutte le istanze che si trovano in un compartimento specifico, aggiungere una regola con la seguente sintassi:
instance.compartment.id = '<compartment_ocid>'
È possibile digitare la regola direttamente nella casella di testo oppure utilizzare la generazione regole.
Voce di esempio nella casella di testo:
instance.compartment.id = 'ocid1.compartment.oc1.phx.samplecompartmentocid6q6igvfauxmima74jv'
Per aggiungere la stessa regola utilizzando la Costruzione guidata regola della console:
- Per Includi istanze corrispondenti: selezionare Tutte le seguenti.
- Per Corrispondenza istanze con: selezionare OCID compartimento.
- Per Valore: immettere l'OCID compartimento. In questo esempio è possibile immettere
ocid1.compartment.oc1.phx.samplecompartmentocid6q6igvfauxmima74jv
Tutte le istanze attualmente esistenti o create nel compartimento (identificate dall'OCID) sono membri di questo gruppo.
Per includere tutte le istanze che risiedono in uno o più compartimenti, aggiungere una regola con la seguente sintassi:
Any {instance.compartment.id = '<compartment_ocid>', instance.compartment.id = '<compartment_ocid>'}
separare ogni voce del compartimento con una virgola.
È possibile digitare la regola direttamente nella casella di testo oppure utilizzare la generazione regole.
Esempio di voce nella casella di testo:
Any {instance.compartment.id = 'ocid1.compartment.oc1.phx:samplecompartmentocid6q6igvfauxmima74jv', instance.compartment.id = 'ocid1.compartment.oc1.phx.samplecompartmentocidythksk89ekslsoelu2'}
Per aggiungere la stessa regola utilizzando la Costruzione guidata regola della console:
- Per Includi istanze corrispondenti: selezionare Una delle seguenti.
- Per Corrispondenza istanze con: selezionare OCID compartimento.
- Per Valore: immettere l'OCID compartimento. In questo esempio è possibile immettere
ocid1.compartment.oc1.phx.samplecompartmentocid6q6igvfauxmima74jv
- Selezionare + riga aggiuntiva. Nella seconda riga inserire quanto segue:
- Per Corrispondenza istanze con: selezionare OCID compartimento.
- Per Valore: immettere l'OCID compartimento aggiuntivo. In questo esempio è possibile immettere
ocid1.compartment.oc1.phx.samplecompartmentocidythksk89ekslsoelu2
Le istanze attualmente esistenti o create in seguito in uno dei compartimenti specificati sono membri di questo gruppo.
Per includere una risorsa specifica che si trova in un compartimento specifico, aggiungere una regola con la seguente sintassi:
All {resource.id = '<resource_ocid>', resource.compartment.id = <compartment_ocid>}
Digitare la regola direttamente nella casella di testo.
Ad esempio, per includere un gateway API specifico in un compartimento specifico, immettere un'istruzione simile alla seguente:
All {resource.id = 'ocid1.apigateway.oc1.phx.amaaaaaexampleuniqueid', resource.compartment.id = 'ocid1.compartment.oc1.phx.samplecompartmentocid'}
Il gateway API con l'OCID specificato nel compartimento specificato appartiene a questo gruppo dinamico.
Per includere tutte le ricorrenze di un tipo di risorsa specifico in un compartimento specifico, aggiungere una regola con la seguente sintassi:
All {resource.type = '<resource_type', resource.compartment.id = <compartment_ocid>}
Digitare la regola direttamente nella casella di testo.
Ad esempio, per includere tutti i vault in un compartimento specifico, immettere un'istruzione simile alla seguente:
All {resource.type = 'vaults', resource.compartment.id = 'ocid1.compartment.oc1.phx.samplecompartmentocid'}
Tutti i vault nel compartimento specificato saranno membri di questo gruppo dinamico.
Per includere tutte le istanze contrassegnate con uno spazio di nomi tag e una chiave tag specifici, aggiungere una regola con la seguente sintassi:
tag.<tagnamespace>.<tagkey>.value
Sono incluse tutte le istanze assegnate alla combinazione tagnamespace.tagkey. Si noti che il valore del tag non viene valutato, pertanto vengono inclusi tutti i valori.
Esempio: si supponga di disporre di uno spazio di nomi tag denominato department
e di una chiave tag denominata operations
. Si desidera includere tutte le istanze contrassegnate con lo spazio di nomi e la chiave di tag.
Immettere la regola seguente nella casella di testo:
tag.department.operations.value
Tutte le istanze attualmente esistenti o create con lo spazio di nomi tag e la chiave tag department.operations
sono membri di questo gruppo.
Per includere tutte le istanze in un compartimento specifico contrassegnate con uno spazio di nomi, una chiave e un valore di tag specifici, aggiungere una regola con la seguente sintassi:
All {instance.compartment.id = '<compartment_ocid>', tag.<tagnamespace>.<tagkey>.value = '<tagvalue>'}
Vengono incluse tutte le istanze presenti nel compartimento identificato e a cui è assegnato il valore tagnamespace.tagkey con il valore di tag specificato.
Esempio: si supponga di disporre di uno spazio di nomi tag denominato department
e di una chiave tag denominata operations
. Si desidera includere tutte le istanze contrassegnate con il valore 45 che si trovano in un determinato compartimento.
Immettere la seguente istruzione nella casella di testo:
All {instance.compartment.id = 'ocid1.compartment.oc1.phx.oc1.phx.samplecompartmentocid6q6igvfauxmima74jv,',
tag.department.operations.value = '45'}