Documentazione dell'infrastruttura Oracle Cloud

Panoramica dei criteri IAM

I criteri IAM regolano il controllo delle risorse nelle tenancy Oracle Cloud Infrastructure (OCI).

Un criterio contiene una o più istruzioni. Ogni istruzione utilizza la sintassi base o condizionale.

Sintassi di base:

Allow <subject> to <verb> <resource> in <location>

Sintassi condizionale:

Allow <subject> to <verb> <resource> in <location> where <conditions>

La tabella seguente spiega brevemente gli elementi della sintassi e fornisce collegamenti a informazioni dettagliate su ciascun elemento.

Elemento descrizione;
Concessione Parola iniziale richiesta. Un'istruzione criterio inizia sempre con la parola Allow. I criteri consentono solo l'accesso; non possono negarlo.
<oggetto>

Utente, gruppo o altro principal a cui concedere l'accesso. L'oggetto include il tipo di principal e l'identificativo (nome o OCID) e ha il prefisso del nome del dominio di Identity a meno che non venga utilizzato il dominio di Identity predefinito.

Un amministratore dell'organizzazione definisce i gruppi e i compartimenti nella tenancy. 

Allow group <identity_domain_name>/<group_name> to <verb> <resource-type> in tenancy
<verbio> Il livello di accesso. Oracle definisce i verbi e i tipi di risorse che è possibile utilizzare nei criteri. Vedere Verbi.
<resource>

Risorse a cui il criterio concede l'accesso. Oracle definisce i possibili tipi di risorsa che è possibile utilizzare nei criteri. Vedere Risorse. Alcune operazioni API richiedono l'accesso a diversi tipi di risorsa. Ad esempio, LaunchInstance richiede la possibilità di creare istanze e utilizzare una rete cloud. L'operazione CreateVolumeBackup richiede l'accesso sia al volume che al backup del volume. Ciò richiede istruzioni criteri separate per concedere l'accesso a ciascun tipo di risorsa. Queste singole istruzioni non devono essere nello stesso criterio. Un utente può ottenere l'accesso richiesto da gruppi diversi.

<posizione>

(Facoltativo) Un compartimento o una tenancy a cui si applica il criterio. Per un compartimento, il valore include un identificativo (nome o OCID).

A volte il criterio deve essere applicato all'intera tenancy e non a un compartimento all'interno della tenancy. Di seguito è riportato un esempio di istruzione criterio specifica del compartimento, in cui <location> è un compartimento specifico:

Allow group <identifier> to <verb> <resource> in compartment <identifier>

Di seguito è riportato un esempio di istruzione criterio a livello di tenancy, in cui <location> è una tenancy:

Allow group <identifier> to <verb> <resource> in tenancy
<condizione> (Facoltativo) Limita l'accesso a una risorsa.
Diagramma ferroviario della struttura dei criteri IAM

OCI ti consente anche di creare criteri cross-tenancy. Per ulteriori informazioni, vedere Criteri di accesso tra tenancy.

Criteri di cross-tenancy

Le istruzioni dei criteri cross-tenancy concedono ai soggetti l'autorizzazione a utilizzare le risorse in altre tenancy. Vedere Criteri di accesso tra tenancy.