Autorizzazioni
Le autorizzazioni sono le unità atomiche di autorizzazione che controllano la capacità di un utente di eseguire operazioni sulle risorse. Oracle definisce tutte le autorizzazioni nel linguaggio dei criteri.
Quando si scrive un criterio che consente a un gruppo di accedere a un determinato verbo e tipo di risorsa Verbi, si concede a tale gruppo l'accesso a una o più autorizzazioni predefinite. Lo scopo dei verbi è quello di semplificare il processo di concessione di diverse autorizzazioni correlate che coprono un ampio insieme di accesso o un particolare scenario operativo. Le sezioni successive forniscono maggiori dettagli ed esempi.
Relazione con i verbi
Per comprendere la relazione tra autorizzazioni e verbi, diamo un'occhiata a un esempio. Un'istruzione politica che consente a un gruppo di inspect volumes concede effettivamente al gruppo l'accesso a un'autorizzazione denominata VOLUME_INSPECT (le autorizzazioni sono sempre scritte con tutte le lettere maiuscole e i caratteri di sottolineatura). In generale, tale autorizzazione consente all'utente di ottenere informazioni sui volumi a blocchi.
Come si passa da inspect > read > use > manage, il livello di accesso in genere aumenta e le autorizzazioni concesse sono cumulative. La tabella seguente mostra le autorizzazioni incluse con ciascun verbo per il tipo di risorsa volumes. Si noti che non vengono concesse autorizzazioni aggiuntive da inspect a read.
| Ispeziona volumi | Leggi volumi | Usa volumi | Gestisci volumi |
|---|---|---|---|
| VOLUME_INSPECT | VOLUME_INSPECT |
VOLUME_INSPECT VOLUME_UPDATE VOLUME_WRITE |
VOLUME_INSPECT VOLUME_UPDATE VOLUME_WRITE VOLUME_CREATE VOLUME_DELETE |
Il riferimento criterio elenca le autorizzazioni coperte da ciascun verbo per ogni tipo di risorsa specificato. Ad esempio, per i volumi a blocchi e altre risorse coperte da Core Services, vedere le tabelle in Dettagli per le combinazioni Verb + Resource-Type. Nella colonna di sinistra di ciascuna di queste tabelle sono elencate le autorizzazioni coperte da ciascun verbo. Le altre sezioni del riferimento alla politica includono lo stesso tipo di informazioni per gli altri servizi.
Relazione con le operazioni API
Ogni operazione API richiede che il chiamante disponga dell'accesso a una o più autorizzazioni. Ad esempio, per utilizzare ListVolumes o GetVolume, è necessario disporre di un'unica autorizzazione: VOLUME_INSPECT. Per collegare un volume a un'istanza, è necessario disporre dell'accesso a più autorizzazioni, alcune delle quali correlate al tipo di risorsa volumes, altre al tipo di risorsa volume-attachments e altre correlate al tipo di risorsa instances:
- VOLUME_WRITE
- VOLUME_ATTACHMENT_CREATE
- INSTANCE_ATTACH_VOLUME
Il riferimento ai criteri elenca le autorizzazioni necessarie per ogni operazione API. Ad esempio, per le operazioni dell'API Core Services, vedere la tabella in Autorizzazioni richieste per ogni operazione API.
Informazioni sull'accesso di un utente
Il linguaggio dei criteri è progettato per consentire di scrivere semplici istruzioni che coinvolgono solo verbi e tipi di risorse, senza dover indicare le autorizzazioni desiderate nell'istruzione. Tuttavia, possono verificarsi situazioni in cui un membro del team di sicurezza o un auditor desidera comprendere le autorizzazioni specifiche di un determinato utente. Le tabelle nel riferimento ai criteri mostrano ogni verbo e le autorizzazioni associate. È possibile esaminare i gruppi in cui si trova l'utente e i criteri applicabili a tali gruppi e compilare una lista delle autorizzazioni concesse. Tuttavia, avere un elenco delle autorizzazioni non è il quadro completo. Le condizioni in un'istruzione criterio possono includere l'accesso di un utente oltre le autorizzazioni individuali (vedere la sezione successiva). Inoltre, ogni istruzione del criterio specifica un determinato compartimento e può avere condizioni che definiscono ulteriormente l'accesso solo a determinate risorse in tale compartimento.