Documentazione dell'infrastruttura Oracle Cloud

Criteri di accesso cross-tenancy

Utilizzare le istruzioni dei criteri cross-tenancy per creare criteri IAM che funzionano tra le tenancy.

È possibile creare istruzioni dei criteri cross-tenancy, oltre alle istruzioni dei criteri per gli utenti e i servizi necessarie, per condividere risorse con un'altra organizzazione che dispone della propria tenancy. Tale organizzazione potrebbe essere un'altra business unit dell'azienda, un cliente dell'azienda, un'azienda che fornisce servizi all'utente e così via.

Per accedere e condividere le risorse, gli amministratori di entrambe le tenancy devono creare istruzioni dei criteri speciali che indicano in modo esplicito le risorse a cui è possibile accedere e condividere. Queste istruzioni speciali utilizzano le parole Definisci, Correggi e Invia.

Approvazione, ammissione e definizione rendiconti

Utilizzare le parole iniziali speciali riportate di seguito nelle istruzioni cross-tenancy.

  • Supporta: indica il set generale di competenze che un gruppo nella propria tenancy può eseguire in altre tenancy. L'istruzione Endorse appartiene sempre alla tenancy che contiene il gruppo di utenti che attraversano i confini per lavorare con le risorse di un'altra tenancy. Negli esempi, questa tenancy viene chiamata tenancy di origine.
  • Invio: indica il tipo di capacità nella propria tenancy che si desidera concedere a un gruppo dall'altra tenancy. L'istruzione Admit appartiene alla tenancy che concede "admittance" alla tenancy. L'istruzione Admit identifica il gruppo di utenti che richiede l'accesso alle risorse dalla tenancy di origine ed è identificato con una istruzione Endorse corrispondente. Negli esempi, questa tenancy viene definita tenancy di destinazione.

  • Definisci: assegna un alias a un OCID tenancy per le istruzioni dei criteri Endorse e Admit. L'istruzione Define è necessaria anche nella tenancy di destinazione per assegnare un alias all'OCID del gruppo IAM di origine per le istruzioni Admit.

    Includere un'istruzione Definisci nella stessa istruzione del criterio dell'istruzione Correggi o Invia.

Le istruzioni Supporta e Invia funzionano insieme. Un'istruzione Endorse risiede nella tenancy di origine e un'istruzione Admit risiede nella tenancy di destinazione. Senza un'istruzione corrispondente che specifica l'accesso, una specifica istruzione Gira o Invia non concede l'accesso. Entrambe le tenancy devono accettare l'accesso.

Importante

Oltre alle istruzioni dei criteri, le tenancy di destinazione e di origine devono eseguire la sottoscrizione alle stesse aree per condividere le risorse.

Esempi di cross-tenancy

  • Il criterio riportato di seguito consente al gruppo StorageAdmins di gestire le risorse nelle risorse di storage degli oggetti della tenancy di destinazione.

    Endorse group StorageAdmins to manage object-family in any-tenancy

    Le istruzioni dei criteri riportate di seguito supportano il gruppo IAM StorageAdmins nella tenancy di origine per eseguire qualsiasi operazione con tutte le risorse di storage degli oggetti nella tenancy di destinazione.

    Define tenancy SourceTenancy as ocid1.tenancy.oc1.exampleuniqueID
Define group StorageAdmins as ocid1.group.oc1.exampleuniqueID
Admit group StorageAdmins of tenancy SourceTenancy to manage object-family in tenancy

  • Per scrivere un criterio che riduce l'ambito dell'accesso alla tenancy, l'amministratore di origine deve fare riferimento all'OCID tenancy di destinazione fornito dall'amministratore di destinazione. Le istruzioni dei criteri seguenti supportano il gruppo StorageAdmins del gruppo IAM per gestire le risorse di storage degli oggetti solo in DestinationTenancy:

    Define tenancy DestinationTenancy as ocid1.tenancy.oc1..<unique_ID>
Endorse group StorageAdmins to manage object-family in tenancy DestinationTenancy

    Queste istruzioni dei criteri di esempio supportano il gruppo IAM StorageAdmins nella tenancy di origine per gestire le risorse di storage degli oggetti solo nel compartimento SharedBuckets:

    Define tenancy SourceTenancy as ocid1.tenancy.oc1..exampleuniqueID
Define group StorageAdmins as ocid1.group.oc1..exampleuniqueID
Admit group StorageAdmins of tenancy SourceTenancy to manage object-family in compartment SharedBuckets