Storage di file con criteri Lustre
Utilizza il servizio Oracle Cloud Infrastructure Identity and Access Management (IAM) per creare criteri per lo storage di file con le risorse Lustre.
In questo argomento vengono descritti i dettagli per la scrittura di criteri per controllare l'accesso allo storage di file con il servizio Lustre. Per ulteriori informazioni, vedere Panoramica dei criteri IAM.
Panoramica della sintassi dei criteri
La sintassi generale di un'istruzione criterio è la seguente:
allow <subject> to <verb> <resource-type> in <location> where <condition>
Ad esempio, è possibile specificare quanto riportato di seguito.
-
Gruppo o gruppo dinamico per nome o OCID come
<subject>
. In alternativa, è possibile utilizzareany-user
per coprire tutti gli utenti nella tenancy. -
inspect
,read
,use
emanage
come<verb>
per concedere a<subject>
l'accesso a una o più autorizzazioni.Come si passa da
inspect
>read
>use
>manage
, il livello di accesso in genere aumenta e le autorizzazioni concesse sono cumulative. Ad esempio,use
includeread
più la possibilità di eseguire l'aggiornamento. -
Una famiglia di risorse come
virtual-network-family
perresource-type
. In alternativa, è possibile specificare una singola risorsa in una famiglia comevcns
esubnets
. -
Compartimento in base al nome o all'OCID come
<location>
. In alternativa, è possibile utilizzaretenancy
per coprire l'intera tenancy.
Per ulteriori informazioni sulla creazione dei criteri, vedere Guida introduttiva ai criteri e Informazioni di riferimento sui criteri.
Tipi di risorsa
Per fornire agli utenti l'accesso allo storage di file con le risorse Lustre, creare criteri IAM con lo storage di file con i tipi di risorse Lustre.
Tipo di risorsa aggregato
lustre-file-family
Un criterio che utilizza <verb> lustre-file-family
equivale a scriverne uno con un'istruzione <verb> <individual resource-type>
separata per ciascuno dei singoli tipi di risorsa.
Per i dettagli delle operazioni API coperte da ciascun verbo, vedere le tabelle in Dettagli per verbi + combinazioni di tipi di risorsa per ogni singolo tipo di risorsa incluso in lustre-file-family
.
Risorse singole - Tipi
Per accedere allo storage di file con risorse Lustre, utilizzare ciascuno dei seguenti tipi di risorse:
lustre-file-system
lfs-work-request
Per ulteriori informazioni, vedere Esempi di criteri.
Variabili supportate
Il servizio Storage di file con Lustre supporta tutte le variabili generali, oltre a quelle elencate qui.
Per ulteriori informazioni sulle variabili generali supportate dai servizi OCI, vedere Variabili generali per tutte le richieste.
Variabile | Tipo di variabile | Origine |
---|---|---|
target.lustre-file-system.id |
Entità (OCID) | Richiedi |
Dettagli per combinazioni di verbi + tipo di risorsa
Per creare un criterio è possibile utilizzare vari verbi e tipi di risorse di Oracle Cloud Infrastructure.
Le tabelle seguenti mostrano le operazioni autorizzazioni e API coperte da ciascun verbo per lo storage di file con Lustre. Il livello di accesso è cumulativo quando si passa da inspect
a read
a use
a manage
. Un segno più (+)
in una cella di tabella indica l'accesso incrementale rispetto alla cella che la precede direttamente, mentre "no extra" indica l'assenza di accesso incrementale.
Verbs | Autorizzazioni | API completamente coperte | API parzialmente coperte |
---|---|---|---|
ispezionare |
LUSTRE_FILE_SYSTEM_INSPECT |
|
nessuno |
leggi |
ISPEZIONA + LUSTRE_FILE_SYSTEM_READ |
ISPEZIONA +
|
nessuno |
usa |
LEGGI + LUSTRE_FILE_SYSTEM_UPDATE |
LEGGI +
|
nessuno |
gestisci |
USE + LUSTRE_FILE_SYSTEM_CREATE LUSTRE_FILE_SYSTEM_DELETE LUSTRE_FILE_SYSTEM_MOVE |
USE +
|
nessuno |
Verbs | Autorizzazioni | API completamente coperte | API parzialmente coperte |
---|---|---|---|
ispezionare |
LFS_WORK_REQUEST_INSPECT |
ListWorkRequestLogs |
nessuno |
leggi |
ISPEZIONA + LFS_WORK_REQUEST_READ |
ISPEZIONA +
|
nessuno |
usa |
LEGGI + nessuno |
LEGGI + nessuno |
nessuno |
gestisci |
USE + LFS_WORK_REQUEST_DELETE |
USE +
|
nessuno |
Autorizzazioni necessarie per ogni operazione API
Nella tabella seguente sono elencate le operazioni API per il database OCI con PostgreSQL in un ordine logico, raggruppate per tipo di risorsa.
I tipi di risorsa sono lustre-file-system
e lfs-work-request
.
Per informazioni sulle autorizzazioni, vedere Autorizzazioni.
Operazione API | Autorizzazioni necessarie per utilizzare l'operazione |
---|---|
ListLustreFileSystems |
LUSTRE_FILE_SYSTEM_INSPECT |
GetLustreFileSystem |
LUSTRE_FILE_SYSTEM_READ |
CreateLustreFileSystem |
LUSTRE_FILE_SYSTEM_CREATE |
UpdateLustreFileSystem |
LUSTRE_FILE_SYSTEM_UPDATE |
DeleteLustreFileSystem |
LUSTRE_FILE_SYSTEM_DELETE |
ChangeLustreFileSystemCompartment |
LUSTRE_FILE_SYSTEM_MOVE |
ListWorkRequests |
LFS_WORK_REQUEST_INSPECT |
GetWorkRequest |
LFS_WORK_REQUEST_READ |
CancelWorkRequest |
LFS_WORK_REQUEST_DELETE |
ListWorkRequestErrors |
LFS_WORK_REQUEST_INSPECT |
ListWorkRequestLogs |
LFS_WORK_REQUEST_INSPECT |
Esempi di criteri
Utilizzare gli esempi seguenti per creare criteri comuni in aggiunta a quelli obbligatori per i file system e quelli obbligatori se si utilizza la chiave per la cifratura dei file system.
Consenti a un gruppo di utilizzare ma non eliminare i file system
allow group lfsadminusers to use lustre-file-family in compartment <file_system_compartment>