Documentazione dell'infrastruttura Oracle Cloud

Criteri di accesso multi-tenancy

Utilizzare le istruzioni dei criteri cross-tenancy per creare criteri IAM funzionanti tra tenancy.

È possibile creare istruzioni dei criteri cross-tenancy, oltre alle istruzioni dei criteri di utente e servizio necessarie, per condividere le risorse con un'altra organizzazione che dispone di una propria tenancy. Tale organizzazione potrebbe essere un'altra business unit della società, un cliente della società, una società che fornisce servizi all'utente e così via.

Per accedere e condividere le risorse, gli amministratori di entrambe le tenancy devono creare istruzioni criteri speciali che specifichino in modo esplicito le risorse a cui è possibile accedere e condividere. Queste istruzioni speciali utilizzano le parole Definisci, Approva e Ammetti.

Dichiarazioni di approvazione, ammissione e definizione

Utilizzare le seguenti parole iniziali speciali nelle istruzioni cross-tenancy:

  • Approva: indica il set generale di abilità che un gruppo nella propria tenancy può eseguire in altre tenancy. L'istruzione Approva appartiene sempre alla tenancy che contiene il gruppo di utenti che superano i confini per lavorare con le risorse di un'altra tenancy. Negli esempi, questa tenancy viene chiamata tenancy di origine.
  • Ammetti: indica il tipo di capacità nella propria tenancy che si desidera concedere a un gruppo dell'altra tenancy. L'istruzione Admit appartiene alla tenancy che concede "admittance" alla tenancy. L'istruzione Admit identifica il gruppo di utenti che richiede l'accesso alle risorse dalla tenancy di origine e viene identificata con l'istruzione Endorse corrispondente. Negli esempi, questa tenancy viene definita tenancy di destinazione.

  • Definisci: assegna un alias a un OCID tenancy per le istruzioni dei criteri Endorse e Admit. L'istruzione Definisci è necessaria anche nella tenancy di destinazione per assegnare un alias all'OCID del gruppo IAM di origine per le istruzioni Admit.

    Includere un'istruzione Definisci nella stessa istruzione criteri dell'istruzione Endorse o Admit dei criteri.

Le istruzioni Approva e Ammetti funzionano insieme. Un'istruzione Endorse risiede nella tenancy di origine e un'istruzione Admit risiede nella tenancy di destinazione. Senza un'istruzione corrispondente che specifica l'accesso, un'istruzione Endorse o Admit specifica non concede alcun accesso. Entrambe le tenancy devono concordare l'accesso.

Importante

Oltre alle istruzioni dei criteri, le tenancy di destinazione e di origine devono sottoscrivere le stesse aree per condividere le risorse.

Esempi di cross-tenancy

  • Il criterio riportato di seguito consente al gruppo StorageAdmins di gestire le risorse nelle risorse dello storage degli oggetti della tenancy di destinazione:

    Endorse group StorageAdmins to manage object-family in any-tenancy

    Le istruzioni dei criteri riportate di seguito approvano il gruppo IAM StorageAdmins nella tenancy di origine per eseguire qualsiasi operazione con tutte le risorse di storage degli oggetti nella tenancy di destinazione:

    Define tenancy SourceTenancy as ocid1.tenancy.oc1.exampleuniqueID
Define group StorageAdmins as ocid1.group.oc1.exampleuniqueID
Admit group StorageAdmins of tenancy SourceTenancy to manage object-family in tenancy

  • Per scrivere un criterio che riduce l'ambito dell'accesso alla tenancy, l'amministratore di origine deve fare riferimento all'OCID della tenancy di destinazione fornito dall'amministratore di destinazione. Le istruzioni dei criteri riportate di seguito approvano il gruppo StorageAdmins del gruppo IAM per gestire le risorse di storage degli oggetti solo in DestinationTenancy.

    Define tenancy DestinationTenancy as ocid1.tenancy.oc1..<unique_ID>
Endorse group StorageAdmins to manage object-family in tenancy DestinationTenancy

    Le istruzioni dei criteri di esempio riportate di seguito approvano il gruppo IAM StorageAdmins nella tenancy di origine per gestire solo le risorse di storage degli oggetti nel compartimento SharedBuckets.

    Define tenancy SourceTenancy as ocid1.tenancy.oc1..exampleuniqueID
Define group StorageAdmins as ocid1.group.oc1..exampleuniqueID
Admit group StorageAdmins of tenancy SourceTenancy to manage object-family in compartment SharedBuckets