Esempi di criteri

Utilizzare gli esempi riportati di seguito per informazioni sulla creazione dei criteri IAM per varie risorse di Application Dependency Management.

Knowledge Base

Creare un criterio per consentire agli utenti di un gruppo di creare, aggiornare o eliminare una knowledge base:

Allow group <group-name> to manage adm-knowledge-bases in compartment <compartment_name>

Audit delle vulnerabilità

Creare un criterio per consentire agli utenti di utilizzare una knowledge base in un compartimento specifico e creare, aggiornare o eliminare gli audit delle vulnerabilità in tale compartimento:

Allow group <group-name> to use adm-knowledge-bases in compartment <compartment_name>

Allow group <group-name> to manage adm-vulnerability-audits in compartment <compartment_name>

Risoluzione

Per eseguire correttamente la correzione, è necessario creare un gruppo dinamico. Le regole di corrispondenza definiscono le risorse che appartengono al gruppo dinamico:

ALL {resource.type = 'admremediationrecipe', resource.compartment.id = 'compartmentOCID'}

Creare un criterio per concedere ai membri del gruppo adm-admin l'autorizzazione per gestire (ispezionare, leggere, creare, aggiornare, avviare, eliminare, spostare) le risorse Ricetta misura correttiva, Esecuzione misura correttiva, Fase esecuzione misura correttiva, Audit vulnerabilità, Suggerimento e Richiesta di lavoro:

Allow group adm-admin to manage adm-remediations-family in tenancy

Creare un criterio per concedere ai membri del gruppo adm-dev l'autorizzazione per ispezionare, leggere e utilizzare le risorse Attività, Esecuzione attività, Fase esecuzione attività, Ricetta misura correttiva, Esecuzione misura correttiva, Fase esecuzione misura correttiva, Audit vulnerabilità e Suggerimento. Ciò non consente ai membri di creare/eliminare/spostare le attività, eliminare le esecuzioni delle attività, eliminare gli audit delle vulnerabilità, eliminare i suggerimenti:

Allow group adm-dev to use adm-family in tenancy

Per eseguire la misura correttiva, creare i criteri riportati di seguito. È possibile assegnare un nome appropriato al gruppo dinamico e sostituire compartmentOCID con l'OCID del compartimento:

Allow dynamic-group created-adm-dynamic-group to inspect dhcp-options in compartment <compartmentOCID>
Allow dynamic-group created-adm-dynamic-group to { ADM_KNOWLEDGE_BASE_READ, ADM_VULNERABILITY_AUDIT_READ, ADM_VULNERABILITY_AUDIT_CREATE } in compartment <compartmentOCID>
Allow dynamic-group created-adm-dynamic-group to inspect subnets in compartment <compartmentOCID>
Allow service adm to use subnets in compartment <compartmentOCID>
Allow service adm to use vnics in compartment <compartmentOCID>

Creare il criterio seguente se si utilizza SCM (Source Code Management) esterno:

Allow dynamic-group created-adm-dynamic-group to read secret-bundles in compartment <compartmentOCID>

Creare il criterio seguente se si utilizza SCM DevOps OCI (fornire il nome del repository):

Allow dynamic-group created-adm-dynamic-group to { DEVOPS_REPOSITORY_READ } in compartment <compartmentOCID> where target.repository.name = 'repositoryName'
Allow dynamic-group created-adm-dynamic-group to { DEVOPS_PULL_REQUEST_UPDATE, DEVOPS_PULL_REQUEST_CREATE, DEVOPS_PULL_REQUEST_INSPECT, DEVOPS_PULL_REQUEST_READ } in compartment <compartmentOCID> where target.repository.name = 'repositoryName'

Creare il criterio seguente se si utilizza una subnet specifica del dominio di disponibilità:

Allow dynamic-group created-adm-dynamic-group to use subnets in compartment <compartmentOCID>
Allow dynamic-group created-adm-dynamic-group to {COMPARTMENT_INSPECT} in compartment <compartmentOCID>

Creare il gruppo dinamico e il criterio seguenti se si utilizza la pipeline di build Devops OCI:

ALL {resource.type = 'devopsbuildpipeline', resource.compartment.id = 'compartmentOCID'}

Allow dynamic-group devops-build-dynamic-group to { DEVOPS_BUILD_RUN_READ, DEVOPS_BUILD_RUN_CREATE } in compartment <compartmentOCID>