Informazioni sulle risorse e sulle autorizzazioni del servizio Big Data nei criteri IAM
Oracle Identity and Access Management (IAM) fornisce un framework flessibile per la scrittura delle istruzioni dei criteri che controllano il modo in cui le risorse possono interagire tra loro. IAM definisce una serie di risorse standard, insieme alle autorizzazioni necessarie per interagire con esse. Big Data Service aggiunge le proprie risorse e autorizzazioni specifiche del servizio.
Questo argomento descrive le risorse e le autorizzazioni che un amministratore può utilizzare per creare istruzioni dei criteri IAM per Big Data Service.
Tipi e autorizzazioni risorsa
| Famiglia di risorse | Tipo di risorsa | Autorizzazioni |
|---|---|---|
| famiglia bds | bds-istanze |
|
| famiglia bds | limiti bds |
|
Operazioni per la mappa delle autorizzazioni
Nella tabella riportata di seguito vengono elencate le operazioni IAM specifiche di Big Data Service. È possibile scrivere un criterio IAM che include queste operazioni oppure un criterio che utilizza un verbo definito che incapsula queste operazioni.
| Operazione | Operazione API | Autorizzazione necessaria per utilizzare l'operazione |
|---|---|---|
| Elenca tutti i cluster nel compartimento specificato | ListBdsInstances | BDS_INSPECT |
| Crea un cluster | CreateBdsInstance | BDS_CREATE |
| Mostra dettagli sul cluster specificato | GetBdsInstance | BDS_READ |
| Modificare la dimensione di un cluster | ChangeShape | BDS_UPDATE |
| Aggiorna dettagli per un cluster | UpdateBdsInstance | BDS_UPDATE |
| Elimina l'istanza specificata | DeleteBdsInstance | BDS_DELETE |
| Aggiungere lo storage a blocchi al cluster specificato | AddBlockStorage | BDS_UPDATE |
| Aggiungi nodi di lavoro al cluster specificato | AddWorkerNodes | BDS_UPDATE |
| Riavviare un nodo specificato di un cluster | RestartNode | BDS_UPDATE |
| Aggiungi Cloud SQL al cluster specificato | AddCloudSql | BDS_UPDATE |
| Rimuovi Cloud SQL dal cluster specificato | RemoveCloudSql | BDS_UPDATE |
| Spostare il cluster da un compartimento all'altro | ChangeBdsInstanceCompartment | BDS_MOVE |
| Elenca tutte le configurazioni di scala automatica per il cluster specificato | ListAutoScalingConfigurations | BDS_INSPECT |
| Aggiungere una configurazione di scala automatica al cluster specificato | AddAutoScalingConfiguration | BDS_UPDATE |
| Mostra dettagli sulla configurazione di scala automatica specificata | GetAutoScalingConfiguration | BDS_READ |
| Aggiorna campi di una configurazione di scala automatica | UpdateAutoScalingConfiguration | BDS_UPDATE |
| Eliminare una configurazione di scala automatica | RemoveAutoScalingConfiguration | BDS_UPDATE |
| Elenca tutte le richieste di lavoro Big Data nel compartimento specificato | ListWorkRequests | BDS_INSPECT |
| Mostra dettagli sulle richieste di lavoro specificate | GetWorkRequest | BDS_READ |
| Mostra log per la richiesta di lavoro specificata | ListWorkRequestLogs | BDS_INSPECT |
| Mostra errori per la richiesta di lavoro specificata | ListWorkRequestErrors | BDS_INSPECT |
| Mostra risorse utilizzate | ListConsumptions | BDS_CONSUMPTION_INSPECT |
| Elenca chiavi API nel cluster specificato | ListBdsApiKeys | BDS_READ |
| Creare una chiave API nel cluster specificato | CreateBdsApiKey | BDS_UPDATE |
| Recupera una chiave API nel cluster specificato | GetBdsApiKey | BDS_READ |
| Elimina una chiave API nel cluster specificato | DeleteBdsApiKey | BDS_UPDATE |
| Test dell'accesso al bucket dell'area di memorizzazione degli oggetti mediante la chiave API specificata | TestBdsObjectStorageConnection | BDS_READ |
Attributi specifici dell'operazione
Per un determinato tipo di risorsa, è necessario disporre dello stesso set di attributi in tutte le operazioni (get, list, delete e così via). L'unica eccezione riguarda un'operazione "create", in cui non si dispone ancora dell'ID per l'oggetto, pertanto non è possibile disporre di un attributo target.RESOURCE-KIND.id per "create".
| Tipo di risorsa | Nome | Digita | Origine |
|---|---|---|---|
| bds-istanze | target.bds-instances.source-compartment.id | Entità | Richiesta |
| bds-istanze | target.bds-instances.destination-compartment.id | Entità | Richiesta |
Verbi IAM da utilizzare con Big Data Service
| Tipo di risorsa | ispezionare | letto | utilizzare | gestisci |
|---|---|---|---|---|
| bds-istanze | BDS_INSPECT | ispeziona + BDS_READ |
letto + BDS_UPDATE |
utilizzare + BDS_CREATE BDS_DELETE BDS_MOVE |
| limiti bds | BDS_CONSUMPTION_INSPECT | . | . | . |
Esempio 1 - Amministratori con tutte le autorizzazioni per i cluster
La seguente istruzione criterio indica che i membri di un gruppo denominato bds-admins possono ispezionare, leggere, aggiornare, creare, eliminare e spostare tutti i cluster in un compartimento denominato bds-learn.
allow bds-admins to manage bds-instances in compartment bds-devNella dichiarazione precedente:
-
bds-adminsè un gruppo creato da un amministratore. -
managespecifica le operazioni che i membri del gruppobds-adminspossono utilizzare.Manageè uno dei verbi descritti nel documento "IAM Verbs for Use with Big Data Service". Consente a un utente/gruppo di utilizzare tutte le operazioni fornite dai verbiinspect,readeuse, oltre ad alcune operazioni specifiche del verbomanage:- Il verbo
inspectinclude l'operazioneBDS_INSPECT. - Il verbo
readinclude le operazioniBDS_INSPECTeBDS_READ. - Il verbo
useinclude le operazioniBDS_INSPECT,BDS_READeBDS_UPDATE. - Il verbo
manageinclude le operazioniBDS_INSPECT,BDS_READ,BDS_UPDATE,BDS_CREATE,BDS_DELETEeBDS_MOVE.
- Il verbo
-
bds-devè un compartimento creato da un amministratore.
La seguente istruzione dei criteri indica che i membri del gruppo bds-admins possono gestire le risorse della rete cloud virtuale (VCN) nell'intera tenancy.
allow group bds-admins to manage virtual-network-family in tenancyEsempio 2 - Utenti
La seguente istruzione criterio indica che i membri di un gruppo denominato bds-users possono ispezionare e leggere tutti i cluster nel compartimento bds-learn. Il verbo read include entrambe le autorizzazioni inspect e read.
allow bds-users to read bds-instances in compartment bds-learnUlteriori informazioni
Per ulteriori informazioni sui criteri IAM, consulta la panoramica di Oracle Cloud Infrastructure Identity and Access Management nella documentazione di Oracle Cloud Infrastructure. Per dettagli sulla scrittura dei criteri, vedere Sintassi dei criteri e Riferimento per i criteri.