Verbs
L'elemento verbale di un'istruzione policy specifica il tipo di accesso. Ad esempio, utilizzare inspect per consentire agli auditor di terze parti di elencare le risorse specificate.
I verbi per la creazione dei criteri IAM sono definiti da Oracle.
Dal minimo alla maggior parte degli accessi, sono possibili i seguenti verbi:
- ispezionare
- leggi
- usa
- gestisci
Accesso generale coperto da ogni verbo
Di seguito sono riportati i tipi generali di accesso e utenti target per ogni verbo possibile, che vengono ordinati dal meno alla maggior parte degli accessi. Alcune risorse supportano le eccezioni. Vedere
| Verbo | Utente di destinazione | Tipi di accesso coperti |
|---|---|---|
inspect
|
Revisori esterni | Possibilità di elencare le risorse, senza accesso a informazioni riservate o metadati specificati dall'utente che potrebbero far parte di tale risorsa. Importante: l'operazione per elencare i criteri include il contenuto dei criteri stessi. Le operazioni elenco per i tipi di risorsa Networking restituiscono tutte le informazioni (ad esempio, il contenuto degli elenchi di sicurezza e delle tabelle di instradamento). |
read
|
Revisori interni | Include inspect più la possibilità di ottenere metadati specificati dall'utente e la risorsa effettiva stessa. |
use
|
Utenti finali quotidiani delle risorse | Include read più la possibilità di utilizzare le risorse esistenti (le azioni variano in base al tipo di risorsa). Include la possibilità di aggiornare la risorsa, ad eccezione dei tipi di risorsa in cui l'operazione di "aggiornamento" ha lo stesso impatto effettivo dell'operazione di "creazione" (ad esempio, UpdatePolicy, UpdateSecurityList e altri), nel qual caso la capacità di "aggiornamento" è disponibile solo con il verbo manage. In generale, questo verbo non include la possibilità di creare o eliminare quel tipo di risorsa. |
manage
|
Amministratori | Include tutte le autorizzazioni per la risorsa. |
Il verbo dà un certo tipo di accesso generale (ad esempio, inspect consente di elencare e ottenere risorse). Quando ti unisci a quel tipo di accesso con un particolare tipo di risorsa in un criterio (ad esempio, Allow group XYZ to inspect compartments in the tenancy), allora dai a quel gruppo l'accesso a un set specifico di autorizzazioni e operazioni API (ad esempio, ListCompartments, GetCompartment). Per ulteriori esempi, vedere Dettagli per verbi + combinazioni di tipi di risorsa. Il riferimento ai criteri del servizio dettagliato include una tabella simile per ogni servizio, che fornisce una lista di operazioni API esattamente coperte per ogni combinazione di verbo e tipo di risorsa.
Ci sono alcune eccezioni speciali o sfumature per alcuni tipi di risorse.
Utenti: l'accesso sia a manage users che a manage groups consente di eseguire qualsiasi operazione con utenti e gruppi, tra cui la creazione e l'eliminazione di utenti e gruppi, nonché l'aggiunta o la rimozione di utenti dai gruppi. Per aggiungere o rimuovere utenti dai gruppi senza accesso alla creazione e all'eliminazione di utenti e gruppi, sono necessari solo use users e use groups. Vedere Modelli di criteri di Policy Builder.
Criteri: la possibilità di aggiornare un criterio è disponibile solo con manage policies e non con use policies, poiché l'aggiornamento di un criterio è simile alla creazione di un nuovo criterio (è possibile sovrascrivere le istruzioni dei criteri esistenti). Inoltre, inspect policies consente di ottenere l'intero contenuto dei criteri.
Oggetti di storage degli oggetti: inspect objects consente di elencare tutti gli oggetti in un bucket ed eseguire un'operazione HEAD per un determinato oggetto. In confronto, read objects consente di scaricare l'oggetto stesso.
Risorse del load balancer: tenere presente che inspect load-balancers consente di ottenere tutte le informazioni sui load balancer e sui componenti correlati (set backend e così via).
Risorse di networking:
Tenere presente che il verbo inspect non restituisce solo informazioni generali sui componenti della rete cloud, ad esempio il nome e l'OCID di una lista di sicurezza o di una tabella di instradamento. Include anche il contenuto del componente (ad esempio, le regole effettive nell'elenco di sicurezza, gli instradamenti nella tabella di instradamento e così via).
Inoltre, i seguenti tipi di abilità sono disponibili solo con il verbo manage, non con il verbo use:
- Aggiorna (abilita/disabilita)
internet-gateways - Aggiorna
security-lists - Aggiorna
route-tables - Aggiorna
dhcp-options - Collegare un gateway di instradamento dinamico (DRG) a una rete cloud virtuale (VCN)
- Creare una connessione IPSec tra un DRG e un'apparecchiatura (CPE) locale del cliente
- VCN peer
Ogni VCN dispone di diversi componenti che influiscono direttamente sul comportamento della rete (tabelle di instradamento, liste di sicurezza, opzioni DHCP, gateway Internet e così via). Quando crei uno di questi componenti, stabilisci una relazione tra tale componente e la VCN, il che significa che devi essere autorizzato in un criterio a creare sia il componente che a gestire la VCN stessa. Tuttavia, la possibilità di aggiornare tale componente (per modificare le regole di instradamento, le regole della lista di sicurezza e così via) non richiede l'autorizzazione per gestire la VCN stessa, anche se la modifica di tale componente può influire direttamente sul funzionamento della rete. Questa discrepanza è stata progettata per offrire flessibilità nella concessione di privilegi minimi agli utenti e non richiede di concedere un accesso eccessivo alla VCN in modo che l'utente possa gestire altri componenti della rete. Essere consapevoli del fatto che dando a qualcuno la possibilità di aggiornare un particolare tipo di componente, si sta implicitamente fidando di loro con il controllo del comportamento della rete.