Criteri IAM (Identity and Access Management)

Scopri come scrivere i criteri IAM OCI per controllare l'accesso alle risorse di Oracle Cloud VMware Solution.

Per impostazione predefinita, solo gli utenti del gruppo Administrators possono accedere a tutte le risorse e funzioni della soluzione VMware. Per controllare l'accesso degli utenti non amministratori alle risorse e alle funzioni della soluzione VMware, è necessario creare gruppi IAM e quindi scrivere criteri che garantiscano l'accesso appropriato ai gruppi.

Se hai bisogno di una lista completa dei criteri di Oracle Cloud Infrastructure, consulta il Riferimento ai criteri.

Resource-Types

sddcs

Variabili supportate

Sono supportate solo le variabili generali (vedere Variabili generali per tutte le richieste).

Dettagli per le combinazioni verbo-tipo di risorsa

Le tabelle seguenti mostrano le autorizzazioni e le operazioni API coperte da ciascun verbo per la soluzione VMware. Il livello di accesso è cumulativo quando si passa da inspect a read a use a manage. Un segno più (+) in una cella di tabella indica l'accesso incrementale rispetto alla cella direttamente sopra di essa, mentre "nessun extra" indica nessun accesso incrementale.

sddcs


Verbi	Autorizzazioni	API completamente coperte	API parzialmente coperte
ispezionare	SDDC_INSPECT	`ListSddcs` `ListWorkRequests`	nessuno
letto	ISPEZIONA + SDDC_READ	ISPEZIONA + `GetSddc` `GetWorkRequest`	nessuno
utilizzare	LETTURA + SDDC_UPDATE SDDC_UPDATE_ESXI_HOST	LETTURA + `UpdateSddc` `UpdateEsxiHost`	nessuno
gestisci	UTILIZZO + SDDC_CREATE SDDC_MOVE SDDC_ADD_ESXI_HOST SDDC_DELETE_ESXI_HOST SDDC_DELETE	USE + `ChangeSddcCompartment`	`CreateSddc` (è necessario anche `manage instances`, `manage vcns`, `use subnets`, `use vnics`, `use vlans`, `use private-ips`, `inspect security-lists`, `use network-security-groups`) `DeleteSddc`, `CreateEsxiHost`, `DeleteEsxiHost` (è necessario anche `manage instances`, `manage vcns`, `use subnets`, `use vnics`, `use vlans`, `use private-ips`)

Autorizzazioni necessarie per ogni operazione API

Nella tabella seguente sono elencate le operazioni API in ordine logico, raggruppate per tipo di risorsa.


Operazione API	Autorizzazioni necessarie per utilizzare l'operazione
`ListSddcs`	SDDC_INSPECT
`GetSddc`	SDDC_READ
`CreateSddc`	SDDC_CREATE & INSTANCE_CREATE & INSTANCE_ATTACH_SECONDARY_VNIC & VCN_READ & VCN_ATTACH & SUBNET_READ & SUBNET_ATTACH & VNIC_READ & VNIC_CREATE & VLAN_READ & VLAN_ATTACH & PRIVATE_IP_CREATE & PRIVATE_IP_ASSIGN & SECURITY_LIST_READ & NETWORK_SECURITY_GROUP_LIST_SECURITY_RULES
`ListWorkRequests`	SDDC_INSPECT
`GetWorkRequest`	SDDC_READ
`ChangeSddcCompartment`	SDDC_MOVE
`UpdateSddc`	SDDC_UPDATE
`DeleteSddc`	SDDC_DELETE & INSTANCE_DELETE & INSTANCE_DETACH_SECONDARY_VNIC & VCN_DETACH & SUBNET_DETACH & VLAN_DETACH & VNIC_READ & VNIC_DELETE & PRIVATE_IP_DELETE & PRIVATE_IP_UNASSIGN
`ListEsxiHosts`	SDDC_INSPECT
`CreateEsxiHost`	SDDC_ADD_ESXI_HOST & INSTANCE_CREATE & INSTANCE_ATTACH_SECONDARY_VNIC & VCN_READ & VCN_ATTACH & SUBNET_READ & SUBNET_ATTACH & VLAN_READ & VLAN_ATTACH & VNIC_READ & VNIC_CREATE & PRIVATE_IP_CREATE & PRIVATE_IP_ASSIGN
`UpdateEsxiHost`	SDDC_UPDATE_ESXI_HOST
`DeleteEsxiHost`	SDDC_DELETE_ESXI_HOST & INSTANCE_DELETE & INSTANCE_DETACH_SECONDARY_VNIC & VCN_DETACH & SUBNET_DETACH & VLAN_DETACH & VNIC_READ & VNIC_DELETE & PRIVATE_IP_DELETE & PRIVATE_IP_UNASSIGN

Creazione di un criterio

Per creare criteri per un gruppo di utenti, è necessario conoscere il nome del gruppo IAM di Oracle Cloud Infrastructure.

Per creare un criterio, effettuare le operazioni riportate di seguito.

Nel menu di navigazione della console selezionare Identità e sicurezza, quindi in Identità selezionare Criteri.
Selezionare Crea criterio.
Immettere un Nome e una Descrizione (facoltativa) per il criterio.
Selezionare il compartimento in cui creare il criterio.
Selezionare Mostra editor manuale. Immettere quindi le istruzioni dei criteri necessarie.
(Facoltativo) Selezionare Crea un altro criterio per rimanere nella pagina Crea criterio dopo aver creato questo criterio.
Per creare questo criterio, selezionare Crea.

Criteri comuni

Consenti agli utenti di creare, gestire ed eliminare SDDC, host ESXi e VLAN

Tipo di accesso: possibilità di creare, gestire o eliminare un SDDC, un host ESXi o una VLAN.

Dove creare il criterio: nella tenancy, in modo che la possibilità di creare, gestire o eliminare una risorsa della soluzione VMware venga concessa facilmente a tutti i compartimenti tramite l'ereditarietà dei criteri. Per ridurre l'ambito di queste funzioni amministrative agli SDDC in un determinato compartimento, specificare tale compartimento anziché la tenancy.

Questo esempio di criterio include anche le autorizzazioni per le risorse di calcolo e di rete. Queste risorse di calcolo e di rete sono necessarie per creare, gestire o eliminare gli SDDC, gli host ESXi o le VLAN. Viene visualizzata l'autorizzazione minima richiesta per ciascuno di essi.

Allow group <group_name> to manage sddcs in tenancy
Allow group <group_name> to manage virtual-network-family in tenancy
Allow group <group_name> to manage dns in tenancy
Allow group <group_name> to manage instance-family in tenancy
Allow group <group_name> to manage volume-family in tenancy
Allow group <group_name> to read app-catalog-listing in tenancy

Documentazione di Oracle Cloud Infrastructure