Panoramica della sintassi dei criteri

In questa sezione viene illustrata la sintassi generale di un'istruzione criterio.

Prima di poter controllare l'accesso alle risorse di Application Dependency Management, è necessario creare utenti e inserirli nei gruppi appropriati (vedere Gestione degli utenti e Gestione dei gruppi). È quindi possibile creare criteri e istruzioni criteri per controllare l'accesso (vedere Gestione dei criteri). Il gruppo dinamico è un tipo speciale di gruppo che contiene risorse che corrispondono alle regole definite dall'utente. Per ulteriori informazioni, vedere Gestione dei gruppi dinamici.

Un criterio consente a un gruppo di operare secondo modalità specifiche con tipi specifici di risorse in un determinato compartimento .

Allow <subject> to <verb> <resource-type> in <location> where <condition>

Ad esempio, è possibile specificare quanto riportato di seguito.

• Gruppo o gruppo dinamico per nome o OCID come <subject>. In alternativa, è possibile utilizzare any-user per coprire tutti gli utenti nella tenancy.

• inspect, read, use e manage come <verb> per concedere a <subject> l'accesso a una o più autorizzazioni.

  Quando si sceglie inspect > read > use > manage, il livello di accesso aumenta e le autorizzazioni concesse sono cumulative. Ad esempio, use include read oltre alla possibilità di eseguire l'aggiornamento.

• Famiglia di risorse, ad esempio adm-family per <resource-type>. In alternativa, è possibile specificare una singola risorsa in una famiglia, ad esempio adm-knowledge-bases e adm-vulnerability-audits.

• Compartimento per nome o OCID come <location>. In alternativa, è possibile utilizzare tenancy per coprire l'intera tenancy.

• Una o più condizioni di cui al punto <condition>, che devono essere soddisfatte affinché l'accesso possa essere concesso. Per diverse condizioni, è possibile utilizzare any o all.

  Una condizione è costituita da una o più variabili. Una variabile può essere rilevante per la richiesta stessa (ad esempio, request.operation) o per la risorsa su cui si agisce nella richiesta (ad esempio, target.compartment.id). Per illustrare, consentire a un gruppo di gestire una knowledge base specifica e non qualsiasi altra knowledge base:

  Allow group <group-name> to manage adm-knowledge-bases in compartment <compartment-name> where target.compartment.id = '<compartment-ocid>'

  In alternativa, per consentire a un gruppo di gestire tutte le risorse di Application Dependency Management, ad eccezione dell'eliminazione delle knowledge base:

  Allow group <group-name> to manage adm-family in compartment <compartment-name> where request.permission != 'ADM_KNOWLEDGE_BASE_DELETE'

Per dettagli completi, vedere Sintassi dei criteri. Per ulteriori informazioni sulla creazione dei criteri, vedere Funzionamento dei criteri e Riferimento ai criteri.