Criteri IAM istanze contenitore
In questo argomento vengono descritti i dettagli per la scrittura dei criteri per controllare l'accesso a Oracle Cloud Infrastructure Container Instances.
Per informazioni su IAM, vedere Panoramica di IAM.
Resource-Types
Singola risorsa-tipi
compute-container-instances
compute-containers
Tipo di risorsa aggregata
compute-container-family
commenti
Un criterio che utilizza <verb> compute-container-family equivale a scriverne uno con un'istruzione <verb> <individual resource-type> separata per ciascuno dei singoli tipi di risorsa.
Variabili supportate
I criteri IAM delle istanze del contenitore supportano tutte le variabili dei criteri generali. Vedere Variabili generali per tutte le richieste.
Dettagli per le combinazioni verbo-tipo di risorsa
Le tabelle seguenti mostrano le autorizzazioni e le operazioni API coperte da ciascun verbo. Il livello di accesso è cumulativo quando si sceglie inspect > read > use > manage. Un segno più (+) in una cella di tabella indica l'accesso incrementale rispetto alla cella direttamente sopra di essa, mentre "nessun extra" indica nessun accesso incrementale.
Ad esempio, i verbi read e use per il tipo di risorsa vcns non coprono autorizzazioni o operazioni API aggiuntive rispetto al verbo inspect. Tuttavia, il verbo manage include diverse autorizzazioni aggiuntive e operazioni API.
Per tipi di risorse compute-container-family
Nelle tabelle seguenti sono elencate le autorizzazioni e le operazioni API coperte da ciascuno dei singoli tipi di risorsa inclusi in compute-container-family.
| Verbi | Autorizzazioni | API completamente coperte | API parzialmente coperte |
|---|---|---|---|
| ispezionare |
COMPUTE_CONTAINER_INSTANCE_INSPECT |
ListContainerInstanceShapes ListContainerInstances ListWorkRequests ListWorkRequestErrors ListWorkRequestLogs |
nessuno |
| letto |
ISPEZIONA + COMPUTE_CONTAINER_INSTANCE_READ |
GetWorkRequest |
GetContainerInstance (è necessario anche |
| utilizzare |
LETTO + COMPUTE_CONTAINER_INSTANCE_UPDATE COMPUTE_CONTAINER_INSTANCE_START COMPUTE_CONTAINER_INSTANCE_STOP COMPUTE_CONTAINER_INSTANCE_RESTART |
UpdateContainerInstance StartContainerInstance StopContainerInstance RestartContainerInstance |
nessun altro |
| gestisci |
USE + COMPUTE_CONTAINER_INSTANCE_CREATE COMPUTE_CONTAINER_INSTANCE_DELETE COMPUTE_CONTAINER_INSTANCE_MOVE |
ChangeContainerInstanceCompartment |
CreateContainerInstance (è necessario anche DeleteContainerInstance (è necessario anche |
| Verbi | Autorizzazioni | API completamente coperte | API parzialmente coperte |
|---|---|---|---|
| ispezionare |
COMPUTE_CONTAINER_INSPECT |
ListContainers |
GetContainerInstance (è necessario anche |
| letto |
ISPEZIONA + COMPUTE_CONTAINER_READ |
GetContainer |
nessun altro |
| utilizzare |
LETTO + COMPUTE_CONTAINER_UPDATE COMPUTE_CONTAINER_LOG_RETRIEVE |
UpdateContainer RetrieveLogs |
nessun altro |
| gestisci |
USE + COMPUTE_CONTAINER_CREATE COMPUTE_CONTAINER_DELETE |
nessun altro |
CreateContainerInstance (è necessario anche DeleteContainerInstance (è necessario anche |
Autorizzazioni necessarie per ogni operazione API
Nella tabella seguente sono elencate le operazioni API raggruppate per tipo di risorsa. I tipi di risorsa sono elencati in ordine alfabetico.
Per informazioni sulle autorizzazioni, vedere Autorizzazioni.
| Operazione API | Autorizzazioni necessarie per utilizzare l'operazione |
|---|---|
| GetContainer | COMPUTE_CONTAINER_READ |
| ListContainers | COMPUTE_CONTAINER_INSPECT |
| RetrieveLogs | COMPUTE_CONTAINER_LOG_RETRIEVE |
| UpdateContainer | COMPUTE_CONTAINER_UPDATE |
| CreateContainerInstance | COMPUTE_CONTAINER_INSTANCE_CREATE e VNIC_CREATE e SUBNET_USE e COMPUTE_CONTAINER_CREATE |
| GetContainerInstance | COMPUTE_CONTAINER_INSTANCE_READ e COMPUTE_CONTAINER_INSPECT |
| ListContainerInstances | COMPUTE_CONTAINER_INSTANCE_INSPECT |
| ListContainerInstanceShapes | COMPUTE_CONTAINER_INSTANCE_INSPECT |
| UpdateContainerInstance | COMPUTE_CONTAINER_INSTANCE_UPDATE |
| StartContainerInstance | COMPUTE_CONTAINER_INSTANCE_START |
| StopContainerInstance | COMPUTE_CONTAINER_INSTANCE_STOP |
| RestartContainerInstance | COMPUTE_CONTAINER_INSTANCE_RESTART |
| ChangeContainerInstanceCompartment | COMPUTE_CONTAINER_INSTANCE_MOVE |
| DeleteContainerInstance | COMPUTE_CONTAINER_INSTANCE_DELETE e VNIC_DELETE e SUBNET_USE e COMPUTE_CONTAINER_DELETE |
| GetWorkRequest | COMPUTE_CONTAINER_INSTANCE_READ |
| ListWorkRequestLogs | COMPUTE_CONTAINER_INSTANCE_INSPECT |
| ListWorkRequestErrors | COMPUTE_CONTAINER_INSTANCE_INSPECT |
| ListWorkRequests | COMPUTE_CONTAINER_INSTANCE_INSPECT |
Esempi di criteri
Gli esempi riportati di seguito consentono di impostare rapidamente la tenancy. Per ulteriori personalizzazioni dei criteri per la tenancy, vedere Funzioni avanzate dei criteri IAM.
Consenti agli utenti di creare istanze contenitore
Tipo di accesso: consente agli utenti di creare istanze di contenitore nel compartimento <container-instance-compartment-name> e di utilizzare le subnet nel compartimento <subnet-compartment-name>.
Dove creare il criterio: l'approccio più semplice consiste nell'inserire questo criterio nella tenancy. Se si desidera che gli amministratori dei singoli compartimenti abbiano il controllo sulle singole istruzioni dei criteri per i relativi compartimenti, vedere Allegato ai criteri.
Allow group ContainerInstanceLaunchers to manage compute-container-family in compartment <container-instance-compartment-name>
Allow group ContainerInstanceLaunchers to use virtual-network-family in compartment <subnet-compartment-name>
Allow group ContainerInstanceLaunchers to read repos in tenancyPer consentire agli utenti di creare nuove reti e subnet cloud, vedere Consentire agli amministratori di rete di gestire una rete cloud.
Consenti alle istanze contenitore di estrarre le immagini da Container Registry
Tipo di accesso: consente al servizio Istanze contenitore di leggere le immagini dai repository privati di Container Registry.
Dove creare il criterio: l'approccio più semplice consiste nell'inserire questo criterio nella tenancy.
- Creare un gruppo dinamico con Istanze contenitore come tipo di risorsa. Aggiungere una regola con la seguente sintassi:
ALL {resource.type='computecontainerinstance', resource.compartment.id = '<container-instance-compartment-ocid>'} -
Scrivere il seguente criterio per concedere l'accesso per il gruppo dinamico:
Allow dynamic-group ContainerInstanceDynamicGroup to read repos in compartment <container-registry-repo-compartment-name>
Selezione dell'immagine del contenitore tramite la console
Tipo di accesso: quando si crea l'istanza del contenitore nella console, è possibile selezionare l'immagine del contenitore. Per generare l'indirizzo corretto dell'immagine del contenitore, è necessario aggiungere questo criterio per leggere gli spazi di nomi dello storage degli oggetti.
Dove creare il criterio: l'approccio più semplice consiste nell'inserire questo criterio nella tenancy.
Allow group ContainerInstanceLaunchers to read objectstorage-namespaces in tenancy