Criteri IAM cache OCI

Informazioni sui criteri IAM necessari e sui dettagli delle autorizzazioni per la cache OCI.

Autorizzazioni utente

Per creare o gestire un cluster, gli utenti richiedono le autorizzazioni di accesso per creare e gestire le risorse di networking necessarie, oltre alle autorizzazioni per creare e gestire le risorse della cache OCI.

L'esempio di criteri riportato di seguito concede queste autorizzazioni al gruppo ClusterAdmins.

Allow group ClusterAdmins to manage redis-family in compartment <USER_COMPARTMENT>
Allow group ClusterAdmins to use virtual-network-family in compartment <USER_COMPARTMENT>

È possibile configurare queste autorizzazioni con maggiore granularità. Vedere Esempi di criteri.

Tipi di risorsa e autorizzazioni

Lista dei tipi di risorse della cache OCI e delle autorizzazioni associate.

Per assegnare le autorizzazioni a tutte le risorse della cache OCI, utilizzare il tipo di aggregazione redis-family. Per ulteriori informazioni, vedere Autorizzazioni.

La tabella seguente elenca tutte le risorse presenti in redis-family:


Cognome	Tipo di risorsa individuale
`redis-family`	`redis-clusters` `oci-cache-users` `oci-cache-configsets` `redis-work-requests`

Un criterio che utilizza <verb> redis-family equivale a scrivere un criterio con un'istruzione <verb> <resource-type> separata per ciascuno dei singoli tipi di risorsa.


Tipo di risorsa	Autorizzazioni
redis-cluster	REDIS_CLUSTER_INSPECT REDIS_CLUSTER_READ REDIS_CLUSTER_USE REDIS_CLUSTER_MANAGE
utenti oci-cache	OCI_CACHE_USER_INSPECT OCI_CACHE_USER_READ OCI_CACHE_USER_USE OCI_CACHE_USER_MANAGE
oci-cache-configsets	OCI_CACHE_CONFIGSET_INSPECT OCI_CACHE_CONFIGSET_READ OCI_CACHE_CONFIGSET_USE OCI_CACHE_CONFIGSET_MANAGE
rediswork-requests	REDIS_WORK_REQUEST_INSPECT REDIS_WORK_REQUEST_READ REDIS_WORK_REQUEST_MANAGE

Dettagli per le combinazioni verbo-tipo di risorsa

Identificare le autorizzazioni e le operazioni API coperte da ciascun verbo per le risorse della cache OCI.

Il livello di accesso è cumulativo quando si passa da inspect a read a use a manage. Un segno più (+) in una cella di tabella indica un accesso incrementale rispetto alla cella precedente.

Per informazioni sulla concessione dell'accesso, vedere Autorizzazioni.

redis-cluster


Verbs	Autorizzazioni	API completamente coperte	API parzialmente coperte
ispezionare	`REDIS_CLUSTER_INSPECT`	`ListRedisClusters`	nessuno
`read`	`inspect+` `REDIS_CLUSTER_READ`	`inspect+` `GetRedisCluster`	nessuno
`use`	`read+` `REDIS_CLUSTER_USE`	`read+` `ChangeRedisClusterCompartment` `ListAttachedOciCacheUsers`	`AttachOciCacheUsers` (ha anche bisogno di `OCI_CACHE_USER_USE`) `DetachOciCacheUsers` (ha anche bisogno di `OCI_CACHE_USER_USE`) `Generate Token for OCI Cache User` (ha anche bisogno di `OCI_CACHE_USER_USE`) `UpdateRedisCluster` (ha anche bisogno di `OCI_CACHE_CONFIGSET_USE`)
`manage`	`use+` `REDIS_CLUSTER_MANAGE`	`use+` `DeleteRedisCluster`	`CreateRedisCluster` (ha anche bisogno di `OCI_CACHE_CONFIGSET_USE`)

utenti oci-cache


Verbs	Autorizzazioni	API completamente coperte	API parzialmente coperte
`inspect`	`OCI_CACHE_USER_INSPECT`	`ListOciCacheUsers`	nessuno
`read`	`inspect+` `OCI_CACHE_USER_READ`	`inspect+` `GetOciCacheUser`	nessuno
`use`	`read+` `OCI_CACHE_USER_USE`	`read+` `ChangeOciCacheUserCompartment` `UpdateOciCacheUser`	`AttachOciCacheUsers` (ha anche bisogno di `REDIS_CLUSTER_USE`) `DetachOciCacheUsers` (ha anche bisogno di `REDIS_CLUSTER_USE`) `Generate Token for OCI Cache User` (ha anche bisogno di `REDIS_CLUSTER_USE`)
`manage`	`use+` `OCI_CACHE_USER_MANAGE`	`use+` `CreateOciCacheUser` `DeleteOciCacheUser`	nessuno

oci-cache-configsets


Verbs	Autorizzazioni	API completamente coperte	API parzialmente coperte
`inspect`	`OCI_CACHE_CONFIGSET_INSPECT`	`ListOciCacheConfigSets` `ListOciCacheDefaultConfigSets`	nessuno
`read`	`inspect+` `OCI_CACHE_CONFIGSET_READ`	`inspect+` `GetOciCacheConfigSet` `GetOciCacheDefaultConfigSet`	nessuno
`use`	`read+` `OCI_CACHE_CONFIGSET_USE`	`read+` `ChangeOciCacheConfigSetCompartment` `ListAssociatedOciCacheClusters` `UpdateOciCacheConfigSet`	`CreateRedisCluster` (ha anche bisogno di `REDIS_CLUSTER_MANAGE`) `UpdateRedisCluster` (ha anche bisogno di `REDIS_CLUSTER_USE`)
`manage`	`use+` `OCI_CACHE_CONFIGSET_MANAGE`	`use+` `CreateOciCacheConfigSet` `DeleteOciCacheConfigSet`	nessuno

rediswork-requests


Verbs	Autorizzazioni	API completamente coperte	API parzialmente coperte
`inspect`	`REDIS_WORK_REQUEST_INSPECT`	`ListWorkRequests`	nessuno
`read`	`inspect+` `REDIS_WORK_REQUEST_READ`	`inspect+` `ListWorkRequestErrors` `ListWorkRequestLogs` `GetWorkRequest`	nessuno
`manage`	`use+` `REDIS_WORK_REQUEST_MANAGE`	`use+` `DeleteWorkRequest`	nessuno

Autorizzazioni necessarie per ogni operazione API

Nella tabella seguente sono elencate le operazioni API per la cache OCI in un ordine logico, raggruppate per tipo di risorsa.


Operazione API	Autorizzazioni necessarie per utilizzare l'operazione
`ListRedisClusters`	REDIS_CLUSTER_INSPECT
`GetRedisCluster`	REDIS_CLUSTER_READ
`CreateRedisCluster`	REDIS_CLUSTER_MANAGE, OCI_CACHE_CONFIGSET_USE
`ListAttachedOciCacheUsers`	REDIS_CLUSTER_USE
`UpdateRedisCluster`	REDIS_CLUSTER_USE, OCI_CACHE_CONFIGSET_USE
`ChangeRedisClusterCompartment`	REDIS_CLUSTER_USE
`DeleteRedisCluster`	REDIS_CLUSTER_MANAGE
`ListOciCacheUsers`	OCI_CACHE_USER_INSPECT
`GetOciCacheUser`	OCI_CACHE_USER_READ
`CreateOciCacheUser`	OCI_CACHE_USER_MANAGE
`UpdateOciCacheUser`	OCI_CACHE_USER_USE
`ChangeOciCacheUserCompartment`	OCI_CACHE_USER_USE
`DeleteOciCacheUser`	OCI_CACHE_USER_MANAGE
`AttachOciCacheUsers`	REDIS_CLUSTER_USE, OCI_CACHE_USER_USE
`DetachOciCacheUsers`	REDIS_CLUSTER_USE, OCI_CACHE_USER_USE
`Generate Token for OCI Cache User`	REDIS_CLUSTER_USE, OCI_CACHE_USER_USE
`ListOciCacheConfigSets`	OCI_CACHE_CONFIGSET_INSPECT
`GetOciCacheConfigSet`	OCI_CACHE_CONFIGSET_READ
`CreateOciCacheConfigSet`	OCI_CACHE_CONFIGSET_MANAGE
`UpdateOciCacheConfigSet`	OCI_CACHE_CONFIGSET_USE
`ChangeOciCacheConfigSetCompartment`	OCI_CACHE_CONFIGSET_USE
`DeleteOciCacheConfigSet`	OCI_CACHE_CONFIGSET_MANAGE
`ListAssociatedOciCacheClusters`	OCI_CACHE_CONFIGSET_USE
`ListOciCacheDefaultConfigSets`	OCI_CACHE_CONFIGSET_INSPECT
`GetOciCacheDefaultConfigSet`	OCI_CACHE_CONFIGSET_READ
`ListWorkRequests`	REDIS_WORK_REQUEST_INSPECT
`ListWorkRequestErrors`	REDIS_WORK_REQUEST_READ
`ListWorkRequestLogs`	REDIS_WORK_REQUEST_READ
`GetWorkRequest`	REDIS_WORK_REQUEST_READ
`DeleteWorkRequest`	REDIS_WORK_REQUEST_MANAGE

Esempi di criteri

Le istruzioni dei criteri riportate di seguito consentono al gruppo ClusterAdmins di utilizzare e gestire le risorse della cache OCI.

Consente l'accesso solo per uso a reti VCN, compartimenti e subnet.

Allow group ClusterAdmins to use compartments in tenancy

Allow group ClusterAdmins to use vcns in compartment <USER_NETWORK_COMPARTMENT_NAME>

Allow group ClusterAdmins to use subnet in compartment <USER_NETWORK_COMPARTMENT_NAME>

Allow group ClusterAdmins to use network-security-groups in compartment <USER_NETWORK_COMPARTMENT_NAME>

Allow group ClusterAdmins to use vcns in compartment <USER_ENGINEERING_COMPARTMENT_NAME>

Nota

Le VCN si trovano nel compartimento Network, mentre i cluster si trovano nel compartimento Engineering.

Consente l'accesso solo utilizzabile alle VNIC nel compartimento Ingegneria. Ad esempio:

Allow group ClusterAdmins to use VNICs in compartment <USER_ENGINEERING_COMPARTMENT_NAME>

Consente di gestire l'autorizzazione per creare o aggiornare gli endpoint privati. Ad esempio:

Allow group ClusterAdmins to manage redis-family in compartment <USER_ENGINEERING_COMPARTMENT_NAME>

Allow group ClusterAdmins to manage redis-work-requests in compartment <USER_ENGINEERING_COMPARTMENT_NAME>

Allow group ClusterAdmins to manage vcns in compartment <USER_NETWORK_COMPARTMENT_NAME> where ALL{ ANY
{ request.operation = 'CreatePrivateEndpoint', request.operation = 'UpdatePrivateEndpoint', request.operation ='DeletePrivateEndpoint', request.operation = 'EnableReverseConnection', request.operation = 'ModifyReverseConnection', request.operation = 'DisableReverseConnection' }
, ANY {request.operation = 'CreateRedisCluster', request.operation = 'DeleteRedisCluster' , request.operation = 'UpdateRedisCluster' } }

(Facoltativo) Consente il traffico sulle porte Redis. Ad esempio:

Allow group ClusterAdmins to manage security-lists in compartment <USER_NETWORK_COMPARTMENT_NAME> where ANY
{ request.operation = 'CreateRedisCluster', request.operation = 'DeleteRedisCluster' , request.operation = 'UpdateRedisCluster' }

Nota

Se il criterio non viene fornito, è necessario aggiungere regole di sicurezza e consentire il traffico TCP per le porte, 6379.

L'istruzione dei criteri seguente consente al gruppo ClusterUsers di utilizzare i cluster, ma limita l'accesso agli altri elementi:

Allow group ClusterUsers to use redis-clusters in compartment <USER_COMPARTMENT>

La seguente istruzione dei criteri consente al gruppo CacheUsers di utilizzare gli utenti di OCI Cache:

Allow group CacheUsers to use oci-cache-users in compartment <USER_COMPARTMENT>

Le istruzioni dei criteri riportate di seguito consentono di gestire l'autorizzazione per collegare e scollegare gli endpoint privati.

Allow group ClusterAdmins to manage vcns in compartment <USER_NETWORK_COMPARTMENT_NAME> where ALL{ ANY
{ request.operation = 'CreatePrivateEndpoint', request.operation = 'UpdatePrivateEndpoint', request.operation ='DeletePrivateEndpoint', request.operation = 'EnableReverseConnection', request.operation = 'ModifyReverseConnection', request.operation = 'DisableReverseConnection' }
, ANY {request.operation = 'CreateRedisCluster', request.operation = 'DeleteRedisCluster' , request.operation = 'UpdateRedisCluster', request.operation = 'AttachOciCacheUsers', request.operation = 'DetachOciCacheUsers' } }

L'istruzione dei criteri seguente consente il traffico sulle porte Redis per il collegamento e lo scollegamento:

Allow group ClusterAdmins to manage security-lists in compartment <USER_NETWORK_COMPARTMENT_NAME> where ANY
{ request.operation = 'CreateRedisCluster', request.operation = 'DeleteRedisCluster' , request.operation = 'UpdateRedisCluster',  request.operation = 'AttachOciCacheUsers', request.operation = 'DetachOciCacheUsers'}

L'istruzione dei criteri riportata di seguito consente al gruppo ClusterConfig di utilizzare le configurazioni della cache OCI.

Allow group ClusterConfig to use oci-cache-configsets in compartment <USER_COMPARTMENT>

L'istruzione dei criteri riportata di seguito consente agli utenti del gruppo SecurityAdmins di creare, aggiornare ed eliminare tutti i criteri di instradamento Zero Trust Packet nell'intera tenancy.

Allow group SecurityAdmins to manage zpr-configuration in tenancy
Allow group SecurityAdmins to manage security-attribute-namespace in tenancy
Allow group SecurityAdmins to manage zpr-policy in tenancy

L'istruzione criterio seguente consente al gruppo cluster-admin di gestire solo lo spazio di nomi degli attributi di sicurezza, cache-applications dei criteri di instradamento Zero Trust Packet.

Allow group cluster-admin to manage security-attribute-namespace where target.security-attribute-namespace.name = 'cache-applications'

Se non si ha familiarità con i criteri, vedere Introduzione ai criteri e Criteri comuni.