Criteri IAM (Identity and Access Management)
Scopri come scrivere i criteri IAM OCI per controllare l'accesso alle risorse di Oracle Cloud VMware Solution.
Per impostazione predefinita, solo gli utenti del gruppo Administrators
possono accedere a tutte le risorse e funzioni della soluzione VMware. Per controllare l'accesso degli utenti non amministratori alle risorse e alle funzioni della soluzione VMware, è necessario creare gruppi IAM e quindi scrivere criteri che garantiscano l'accesso appropriato ai gruppi.
Se hai bisogno di una lista completa dei criteri di Oracle Cloud Infrastructure, consulta il Riferimento ai criteri.
Resource-Types
sddcs
Variabili supportate
Sono supportate solo le variabili generali (vedere Variabili generali per tutte le richieste).
Dettagli per le combinazioni verbo-tipo di risorsa
Le tabelle seguenti mostrano le autorizzazioni e le operazioni API coperte da ciascun verbo per la soluzione VMware. Il livello di accesso è cumulativo quando si passa da inspect
a read
a use
a manage
. Un segno più (+)
in una cella di tabella indica l'accesso incrementale rispetto alla cella direttamente sopra di essa, mentre "nessun extra" indica nessun accesso incrementale.
sddcs
Verbi | Autorizzazioni | API completamente coperte | API parzialmente coperte |
---|---|---|---|
ispezionare |
SDDC_INSPECT |
|
nessuno |
letto |
ISPEZIONA + SDDC_READ |
ISPEZIONA +
|
nessuno |
utilizzare |
LETTURA + SDDC_UPDATE SDDC_UPDATE_ESXI_HOST |
LETTURA +
|
nessuno |
gestisci |
UTILIZZO + SDDC_CREATE SDDC_MOVE SDDC_ADD_ESXI_HOST SDDC_DELETE_ESXI_HOST SDDC_DELETE |
USE +
|
|
Autorizzazioni necessarie per ogni operazione API
Nella tabella seguente sono elencate le operazioni API in ordine logico, raggruppate per tipo di risorsa.
Operazione API | Autorizzazioni necessarie per utilizzare l'operazione |
---|---|
ListSddcs
|
SDDC_INSPECT |
GetSddc
|
SDDC_READ |
CreateSddc
|
SDDC_CREATE & INSTANCE_CREATE & INSTANCE_ATTACH_SECONDARY_VNIC & VCN_READ & VCN_ATTACH & SUBNET_READ & SUBNET_ATTACH & VNIC_READ & VNIC_CREATE & VLAN_READ & VLAN_ATTACH & PRIVATE_IP_CREATE & PRIVATE_IP_ASSIGN & SECURITY_LIST_READ & NETWORK_SECURITY_GROUP_LIST_SECURITY_RULES |
ListWorkRequests
|
SDDC_INSPECT |
GetWorkRequest
|
SDDC_READ |
ChangeSddcCompartment
|
SDDC_MOVE |
UpdateSddc
|
SDDC_UPDATE |
DeleteSddc
|
SDDC_DELETE & INSTANCE_DELETE & INSTANCE_DETACH_SECONDARY_VNIC & VCN_DETACH & SUBNET_DETACH & VLAN_DETACH & VNIC_READ & VNIC_DELETE & PRIVATE_IP_DELETE & PRIVATE_IP_UNASSIGN |
ListEsxiHosts
|
SDDC_INSPECT |
CreateEsxiHost
|
SDDC_ADD_ESXI_HOST & INSTANCE_CREATE & INSTANCE_ATTACH_SECONDARY_VNIC & VCN_READ & VCN_ATTACH & SUBNET_READ & SUBNET_ATTACH & VLAN_READ & VLAN_ATTACH & VNIC_READ & VNIC_CREATE & PRIVATE_IP_CREATE & PRIVATE_IP_ASSIGN |
UpdateEsxiHost
|
SDDC_UPDATE_ESXI_HOST |
DeleteEsxiHost
|
SDDC_DELETE_ESXI_HOST & INSTANCE_DELETE & INSTANCE_DETACH_SECONDARY_VNIC & VCN_DETACH & SUBNET_DETACH & VLAN_DETACH & VNIC_READ & VNIC_DELETE & PRIVATE_IP_DELETE & PRIVATE_IP_UNASSIGN |
Creazione di un criterio
Per creare criteri per un gruppo di utenti, è necessario conoscere il nome del gruppo IAM di Oracle Cloud Infrastructure.
Per creare un criterio, effettuare le operazioni riportate di seguito.
- Nel menu di navigazione della console selezionare Identità e sicurezza, quindi in Identità selezionare Criteri.
- Selezionare Crea criterio.
- Immettere un Nome e una Descrizione (facoltativa) per il criterio.
- Selezionare il compartimento in cui creare il criterio.
- Selezionare Mostra editor manuale. Immettere quindi le istruzioni dei criteri necessarie.
- (Facoltativo) Selezionare Crea un altro criterio per rimanere nella pagina Crea criterio dopo aver creato questo criterio.
- Per creare questo criterio, selezionare Crea.
Criteri comuni
Consenti agli utenti di creare, gestire ed eliminare SDDC, host ESXi e VLAN
Tipo di accesso: possibilità di creare, gestire o eliminare un SDDC, un host ESXi o una VLAN.
Dove creare il criterio: nella tenancy, in modo che la possibilità di creare, gestire o eliminare una risorsa della soluzione VMware venga concessa facilmente a tutti i compartimenti tramite l'ereditarietà dei criteri. Per ridurre l'ambito di queste funzioni amministrative agli SDDC in un determinato compartimento, specificare tale compartimento anziché la tenancy.
Questo esempio di criterio include anche le autorizzazioni per le risorse di calcolo e di rete. Queste risorse di calcolo e di rete sono necessarie per creare, gestire o eliminare gli SDDC, gli host ESXi o le VLAN. Viene visualizzata l'autorizzazione minima richiesta per ciascuno di essi.
Allow group <group_name> to manage sddcs in tenancy
Allow group <group_name> to manage virtual-network-family in tenancy
Allow group <group_name> to manage dns in tenancy
Allow group <group_name> to manage instance-family in tenancy
Allow group <group_name> to manage volume-family in tenancy
Allow group <group_name> to read app-catalog-listing in tenancy