Autorizzazioni
Le autorizzazioni sono le unità atomiche di autorizzazione che controllano la capacità di un utente di eseguire operazioni sulle risorse. Oracle definisce tutte le autorizzazioni nella lingua dei criteri.
Quando si scrive un criterio che consente a un gruppo di accedere a un determinato verbo e tipo di risorsa Verbi, si concede a tale gruppo l'accesso a una o più autorizzazioni predefinite. Lo scopo dei verbi è quello di semplificare il processo di concessione di diverse autorizzazioni correlate che coprono un ampio insieme di accesso o un particolare scenario operativo. Nelle sezioni successive vengono forniti maggiori dettagli ed esempi.
Relazione con i verbi
Per comprendere la relazione tra autorizzazioni e verbi, diamo un'occhiata a un esempio. Un'istruzione dei criteri che consente a un gruppo di utilizzare inspect volumes consente effettivamente al gruppo di accedere a un'autorizzazione denominata VOLUME_INSPECT (le autorizzazioni vengono sempre scritte con tutte le lettere maiuscole e i caratteri di sottolineatura). In generale, tale autorizzazione consente all'utente di ottenere informazioni sui volumi a blocchi.
Quando si passa da inspect > read > use > manage, il livello di accesso generalmente aumenta e le autorizzazioni concesse sono cumulative. La tabella seguente mostra le autorizzazioni incluse con ogni verbo per il tipo di risorsa volumes. Si noti che non vengono concesse autorizzazioni aggiuntive da inspect a read.
| Ispeziona volumi | Volumi lettura | Usa volumi | Gestisci volumi |
|---|---|---|---|
| VOLUME_INSPECT | VOLUME_INSPECT |
VOLUME_INSPECT VOLUME_UPDATE VOLUME_WRITE |
VOLUME_INSPECT VOLUME_UPDATE VOLUME_WRITE VOLUME_CREATE VOLUME_DELETE |
Il riferimento ai criteri elenca le autorizzazioni coperte da ciascun verbo per ogni tipo di risorsa specificato. Ad esempio, per i volumi a blocchi e le altre risorse coperte da Core Services, vedere le tabelle in Dettagli per combinazioni Verb + Tipo di risorsa. Nella colonna sinistra di ciascuna di queste tabelle sono elencate le autorizzazioni coperte da ciascun verbo. Le altre sezioni del riferimento alla polizza includono lo stesso tipo di informazioni per gli altri servizi.
Relazione con le operazioni API
Ogni operazione API richiede che il chiamante abbia accesso a una o più autorizzazioni. Ad esempio, per utilizzare ListVolumes o GetVolume, è necessario disporre dell'accesso a una singola autorizzazione: VOLUME_INSPECT. Per collegare un volume a un'istanza, è necessario disporre dell'accesso a più autorizzazioni, alcune delle quali sono correlate al tipo di risorsa volumes, altre al tipo di risorsa volume-attachments e altre al tipo di risorsa instances:
- VOLUME_WRITE
- VOLUME_ATTACHMENT_CREATE
- INSTANCE_ATTACH_VOLUME
Il riferimento ai criteri elenca le autorizzazioni necessarie per ogni operazione API. Ad esempio, per le operazioni API di Core Services, vedere la tabella in Autorizzazioni richieste per ogni operazione API.
Informazioni sull'accesso di un utente
Il linguaggio dei criteri è progettato per consentire di scrivere semplici istruzioni che coinvolgono solo verbi e tipi di risorse, senza dover indicare le autorizzazioni desiderate nell'istruzione. Tuttavia, possono verificarsi situazioni in cui un membro del team di sicurezza o un auditor desidera comprendere le autorizzazioni specifiche di cui dispone un determinato utente. Le tabelle nel riferimento ai criteri mostrano ogni verbo e le autorizzazioni associate. È possibile esaminare i gruppi in cui si trova l'utente e i criteri applicabili a tali gruppi e da lì compilare una lista delle autorizzazioni concesse. Tuttavia, avere un elenco delle autorizzazioni non è l'immagine completa. Le condizioni in un'istruzione criterio possono includere l'accesso di un utente oltre le autorizzazioni individuali (vedere la sezione successiva). Inoltre, ogni istruzione criterio specifica un determinato compartimento e può avere condizioni che definiscono ulteriormente l'ambito dell'accesso solo a determinate risorse in tale compartimento.