Criteri di sicurezza IAM
I criteri di sicurezza IAM vengono utilizzati per regolare l'accesso dei gruppi IAM alle risorse nei compartimenti e nella tenancy.
Oracle consiglia di assegnare l'accesso con privilegi minimi ai gruppi IAM per l'accesso alle risorse. Il formato comune per i criteri IAM è illustrato nell'esempio riportato di seguito.
Allow group <group_name> to <verb> <resource-type> in compartment <compartment_name>
Allow group <group_name> to <verb> <resource-type> in tenancyI criteri IAM consentono quattro verbi predefiniti: ispezionare, leggere, utilizzare e gestire. Ispeziona consente il privilegio minimo e la gestione consente il massimo. I quattro verbi vengono visualizzati in ordine crescente di privilegi nella tabella seguente.
| Verbo | Tipi di accesso | Utente di esempio |
|---|---|---|
inspect
|
Deve mostrare solo metadati. Questo di solito comporta la possibilità di elencare solo le risorse | revisore di terze parti |
read
|
ispeziona e consente di leggere i metadati delle risorse e degli utenti. Questa è l'autorizzazione di cui la maggior parte degli utenti ha bisogno per portare a termine il lavoro. | revisori interni |
use
|
possibilità di utilizzare le risorse (le azioni variano in base al tipo di risorsa). Esclude la possibilità di creare o eliminare una risorsa | utenti regolari (sviluppatori di software, ingegneri di sistema, sviluppatori e così via) che impostano e configurano le risorse della tenancy e le applicazioni in esecuzione su di esse |
manage
|
Tutte le autorizzazioni per tutte le risorse | amministratori, dirigenti (per scenari break-glass) |
I tipi di risorse delle risorse di Oracle Cloud Infrastructure sono illustrati nella tabella riportata di seguito.
| Famiglia tipo di risorsa | descrizione; | Tipi di risorse |
|---|---|---|
all-resources |
Tutti i tipi di risorse | |
| Nessun nome per progettazione | Tipi di risorse nel servizio IAM | compartments, users, groups, dynamic-groups, policies, identity-providers, tenancy tag-namespaces, tag-definitions |
instance-family |
Tipi di risorse nel servizio di computazione | console-histories, instance-console-connection, instance-images, instances, volume-attachmentsapp-catalog-listing |
volume-family |
Tipi di risorse nel servizio di storage a blocchi | volumes, volume-attachments, volume-backups |
virtual-network-family |
Tipi di risorsa nel servizio di rete virtuale | vcns, subnets, route-tables, security-lists, dhcp-options, private-ips, public-ips, internet-gateways, local-peering-gatewaysdrgs, deg-attachments, cpes, ipsec-connections, cross-connects, cross-connect-groups, virtual-circuits, vnics, vnic-attachments |
object-family |
Tipi di risorsa nel servizio di storage degli oggetti | buckets, objects |
database-family |
Tipi di risorse nel servizio DbaaS | db-systems, db-nodes, db-homes, databases, backups |
load-balancers |
Risorse nel servizio Load balancer | load-balancers |
file-family |
Risorse nel servizio di storage dei file | file-systems, mount-targets, export-sets |
dns |
Risorse nel servizio DNS | dns-zones, dns-records, dns-traffic |
email-family |
Risorse nel servizio di consegna tramite e-mail | approved-senders, suppressions |
Per ulteriori informazioni sui mapping delle autorizzazioni dei verbi IAM e dei tipi di risorsa, vedere Dettagli per i servizi di base.
I criteri di sicurezza IAM possono essere definiti in base alle condizioni. L'accesso specificato nel criterio è consentito solo se le istruzioni condizione restituiscono true. Le condizioni vengono specificate utilizzando variabili predefinite. Le variabili utilizzano le parole chiave request o target, a seconda che la variabile sia rilevante rispettivamente per la richiesta o per la risorsa su cui si sta agendo. Per informazioni sulle variabili predefinite supportate, vedere Riferimento ai criteri.
I gruppi dinamici IAM vengono utilizzati per autorizzare le istanze di computazione ad accedere alle API di Oracle Cloud Infrastructure. La funzione dei principal delle istanze può essere utilizzata dalle applicazioni, in esecuzione sulle istanze, per accedere a livello di programmazione ai servizi Oracle Cloud Infrastructure. I clienti creano gruppi dinamici, che includono le istanze come membri, e autorizzano l'accesso alle proprie risorse della tenancy utilizzando i criteri di sicurezza IAM. Tutti gli accessi per istanza vengono acquisiti nei log di audit disponibili per i clienti.