Criteri IAM (Identity and Access Management)

Scopri come scrivere i criteri IAM OCI per controllare l'accesso alle risorse di Oracle Cloud VMware Solution.

Per impostazione predefinita, solo gli utenti del gruppo Administrators possono accedere a tutte le risorse e funzioni della soluzione VMware. Per controllare l'accesso degli utenti non amministratori alle risorse e alle funzioni della soluzione VMware, è necessario creare gruppi IAM e quindi scrivere criteri che garantiscano l'accesso appropriato ai gruppi.

Se hai bisogno di una lista completa dei criteri di Oracle Cloud Infrastructure, consulta il Riferimento ai criteri.

Resource-Types

sddcs

Dettagli per le combinazioni verbo-tipo di risorsa

Le tabelle seguenti mostrano le autorizzazioni e le operazioni API coperte da ciascun verbo per la soluzione VMware. Il livello di accesso è cumulativo quando si passa da inspect a read a use a manage. Un segno più (+) in una cella di tabella indica l'accesso incrementale rispetto alla cella direttamente sopra di essa, mentre "nessun extra" indica nessun accesso incrementale.

sddcs

Verbi Autorizzazioni API completamente coperte API parzialmente coperte
ispezionare

SDDC_INSPECT

ListSddcs

ListWorkRequests

nessuno

letto

ISPEZIONA +

SDDC_READ

ISPEZIONA +

GetSddc

GetWorkRequest

nessuno

utilizzare

LETTURA +

SDDC_UPDATE

SDDC_UPDATE_ESXI_HOST

LETTURA +

UpdateSddc

UpdateEsxiHost

nessuno

gestisci

UTILIZZO +

SDDC_CREATE

SDDC_MOVE

SDDC_ADD_ESXI_HOST

SDDC_DELETE_ESXI_HOST

SDDC_DELETE

USE +

ChangeSddcCompartment

CreateSddc (è necessario anche manage instances, manage vcns, use subnets, use vnics, use vlans, use private-ips, inspect security-lists, use network-security-groups)

DeleteSddc, CreateEsxiHost, DeleteEsxiHost (è necessario anche manage instances, manage vcns, use subnets, use vnics, use vlans, use private-ips)

Autorizzazioni necessarie per ogni operazione API

Nella tabella seguente sono elencate le operazioni API in ordine logico, raggruppate per tipo di risorsa.

Operazione API Autorizzazioni necessarie per utilizzare l'operazione
ListSddcs SDDC_INSPECT
GetSddc SDDC_READ
CreateSddc SDDC_CREATE & INSTANCE_CREATE & INSTANCE_ATTACH_SECONDARY_VNIC & VCN_READ & VCN_ATTACH & SUBNET_READ & SUBNET_ATTACH & VNIC_READ & VNIC_CREATE & VLAN_READ & VLAN_ATTACH & PRIVATE_IP_CREATE & PRIVATE_IP_ASSIGN & SECURITY_LIST_READ & NETWORK_SECURITY_GROUP_LIST_SECURITY_RULES
ListWorkRequests SDDC_INSPECT
GetWorkRequest SDDC_READ
ChangeSddcCompartment SDDC_MOVE
UpdateSddc SDDC_UPDATE
DeleteSddc SDDC_DELETE & INSTANCE_DELETE & INSTANCE_DETACH_SECONDARY_VNIC & VCN_DETACH & SUBNET_DETACH & VLAN_DETACH & VNIC_READ & VNIC_DELETE & PRIVATE_IP_DELETE & PRIVATE_IP_UNASSIGN
ListEsxiHosts SDDC_INSPECT
CreateEsxiHost

SDDC_ADD_ESXI_HOST & INSTANCE_CREATE & INSTANCE_ATTACH_SECONDARY_VNIC & VCN_READ & VCN_ATTACH & SUBNET_READ & SUBNET_ATTACH & VLAN_READ & VLAN_ATTACH & VNIC_READ & VNIC_CREATE & PRIVATE_IP_CREATE & PRIVATE_IP_ASSIGN

UpdateEsxiHost SDDC_UPDATE_ESXI_HOST
DeleteEsxiHost SDDC_DELETE_ESXI_HOST & INSTANCE_DELETE & INSTANCE_DETACH_SECONDARY_VNIC & VCN_DETACH & SUBNET_DETACH & VLAN_DETACH & VNIC_READ & VNIC_DELETE & PRIVATE_IP_DELETE & PRIVATE_IP_UNASSIGN

Creazione di un criterio

Per creare criteri per un gruppo di utenti, è necessario conoscere il nome del gruppo IAM di Oracle Cloud Infrastructure.

Per creare un criterio, effettuare le operazioni riportate di seguito.

  1. Nel menu di navigazione della console selezionare Identità e sicurezza, quindi in Identità selezionare Criteri.
  2. Selezionare Crea criterio.
  3. Immettere un Nome e una Descrizione (facoltativa) per il criterio.
  4. Selezionare il compartimento in cui creare il criterio.
  5. Selezionare Mostra editor manuale. Immettere quindi le istruzioni dei criteri necessarie.
  6. (Facoltativo) Selezionare Crea un altro criterio per rimanere nella pagina Crea criterio dopo aver creato questo criterio.
  7. Per creare questo criterio, selezionare Crea.

Criteri comuni

Consenti agli utenti di creare, gestire ed eliminare SDDC, host ESXi e VLAN

Tipo di accesso: possibilità di creare, gestire o eliminare un SDDC, un host ESXi o una VLAN.

Dove creare il criterio: nella tenancy, in modo che la possibilità di creare, gestire o eliminare una risorsa della soluzione VMware venga concessa facilmente a tutti i compartimenti tramite l'ereditarietà dei criteri. Per ridurre l'ambito di queste funzioni amministrative agli SDDC in un determinato compartimento, specificare tale compartimento anziché la tenancy.

Questo esempio di criterio include anche le autorizzazioni per le risorse di calcolo e di rete. Queste risorse di calcolo e di rete sono necessarie per creare, gestire o eliminare gli SDDC, gli host ESXi o le VLAN. Viene visualizzata l'autorizzazione minima richiesta per ciascuno di essi.

Allow group <group_name> to manage sddcs in tenancy
Allow group <group_name> to manage virtual-network-family in tenancy
Allow group <group_name> to manage dns in tenancy
Allow group <group_name> to manage instance-family in tenancy
Allow group <group_name> to manage volume-family in tenancy
Allow group <group_name> to read app-catalog-listing in tenancy