Verbs
L'elemento verb di un'istruzione criterio specifica il tipo di accesso. Ad esempio, utilizzare inspect per consentire agli auditor di terze parti di elencare le risorse specificate.
I verbi per la creazione dei criteri IAM sono definiti da Oracle.
Dal minimo alla maggior parte degli accessi, di seguito sono riportati i verbi possibili:
- ispezionare
- letto
- utilizzare
- gestisci
Accesso generale coperto da ogni verbo
Di seguito sono riportati i tipi generali di accesso e gli utenti target per ogni verbo possibile, ordinati dall'accesso minimo alla maggior parte. Alcune risorse supportano le eccezioni. Fare riferimento alla sezione riportata di seguito.
| Verbo | Utente di destinazione | Tipi di accesso coperti |
|---|---|---|
inspect
|
Revisori dei conti di terze parti | Possibilità di elencare le risorse, senza accesso a informazioni riservate o metadati specificati dall'utente che potrebbero far parte di tale risorsa. Importante: l'operazione per elencare i criteri include il contenuto dei criteri stessi. Le operazioni di lista per i tipi di risorse di networking restituiscono tutte le informazioni, ad esempio il contenuto delle liste di sicurezza e delle tabelle di instradamento. |
read
|
Revisori interni | Include inspect oltre alla possibilità di ottenere i metadati specificati dall'utente e la risorsa effettiva. |
use
|
Utenti finali giornalieri delle risorse | Include read oltre alla possibilità di utilizzare le risorse esistenti (le azioni variano in base al tipo di risorsa). Include la possibilità di aggiornare la risorsa, ad eccezione dei tipi di risorsa in cui l'operazione "update" ha lo stesso impatto effettivo dell'operazione "create" (ad esempio, UpdatePolicy, UpdateSecurityList e altri), nel qual caso la capacità "update" è disponibile solo con il verbo manage. In generale, questo verbo non include la possibilità di creare o eliminare quel tipo di risorsa. |
manage
|
Amministratori | Include tutte le autorizzazioni per la risorsa. |
Il verbo fornisce un certo tipo generale di accesso (ad esempio, inspect consente di elencare e ottenere risorse). Quando poi ci si unisce a quel tipo di accesso con un particolare tipo di risorsa in un criterio (ad esempio, Allow group XYZ to inspect compartments in the tenancy), si dà a quel gruppo l'accesso a un set specifico di autorizzazioni e operazioni API (ad esempio, ListCompartments, GetCompartment). Per ulteriori esempi, vedere Dettagli per combinazioni Verbi + Tipo di risorsa. Il riferimento dettagliato ai criteri di servizio include una tabella simile per ogni servizio, che fornisce un elenco delle operazioni API coperte esattamente per ogni combinazione di verbo e tipo di risorsa.
Esistono alcune eccezioni o sfumature speciali per determinati tipi di risorse.
Utenti: l'accesso sia a manage users che a manage groups consente di eseguire qualsiasi operazione con gli utenti e i gruppi, inclusa la creazione e l'eliminazione di utenti e gruppi, nonché l'aggiunta o la rimozione di utenti dai gruppi. Per aggiungere o rimuovere utenti da gruppi senza accesso alla creazione e all'eliminazione di utenti e gruppi, sono necessari solo use users e use groups. Vedere Modelli di criteri di Policy Builder.
Criteri: la possibilità di aggiornare un criterio è disponibile solo con manage policies, non con use policies, poiché l'aggiornamento di un criterio è simile a quello della creazione di un nuovo criterio (è possibile sovrascrivere le istruzioni dei criteri esistenti). Inoltre, inspect policies consente di ottenere il contenuto completo dei criteri.
Oggetti di storage degli oggetti: inspect objects consente di elencare tutti gli oggetti in un bucket ed eseguire un'operazione HEAD per un determinato oggetto. In confronto, read objects consente di scaricare l'oggetto stesso.
Risorse del load balancer: tenere presente che inspect load-balancers consente di ottenere tutte le informazioni sui load balancer e sui componenti correlati (set backend e così via).
Risorse di networking:
Tenere presente che il verbo inspect non solo restituisce informazioni generali sui componenti della rete cloud, ad esempio il nome e l'OCID di una lista di sicurezza o di una tabella di instradamento. Include anche il contenuto del componente (ad esempio, le regole effettive nella lista di sicurezza, gli instradamenti nella tabella di instradamento e così via).
Inoltre, i seguenti tipi di abilità sono disponibili solo con il verbo manage, non con il verbo use:
- Aggiorna (abilitare/disabilitare)
internet-gateways - Aggiornare
security-lists - Aggiornare
route-tables - Aggiorna
dhcp-options - Collegare un gateway di instradamento dinamico (DRG) a una rete cloud virtuale (VCN)
- Crea una connessione IPSec tra un DRG e un'apparecchiatura Customer-premise (CPE)
- VCN peer
Ogni VCN dispone di vari componenti che influiscono direttamente sul funzionamento della rete (tabelle di instradamento, elenchi di sicurezza, opzioni DHCP, gateway Internet e così via). Quando crei uno di questi componenti, stabilisci una relazione tra quel componente e la VCN, il che significa che devi essere autorizzato in un criterio a creare sia il componente che a gestire la VCN stessa. Tuttavia, la possibilità di aggiornare il componente (per modificare le regole di instradamento, le regole della lista di sicurezza e così via) non richiede l'autorizzazione per gestire la VCN stessa, anche se la modifica di tale componente può influire direttamente sul funzionamento della rete. Questa discrepanza è progettata per garantire la flessibilità necessaria per concedere privilegi minimi agli utenti e non richiede di concedere un accesso eccessivo alla VCN in modo che l'utente possa gestire altri componenti della rete. Tieni presente che, dando a qualcuno la possibilità di aggiornare un particolare tipo di componente, ti fidi implicitamente del controllo del comportamento della rete.