Criteri IAM cache OCI
Informazioni sui criteri IAM necessari e sui dettagli delle autorizzazioni per la cache OCI.
Autorizzazioni utente
Per creare o gestire un cluster, gli utenti richiedono le autorizzazioni di accesso per creare e gestire le risorse di networking necessarie, oltre alle autorizzazioni per creare e gestire le risorse della cache OCI.
L'esempio di criteri riportato di seguito concede queste autorizzazioni al gruppo ClusterAdmins.
Allow group ClusterAdmins to manage redis-family in compartment <USER_COMPARTMENT>
Allow group ClusterAdmins to use virtual-network-family in compartment <USER_COMPARTMENT>È possibile configurare queste autorizzazioni con maggiore granularità. Vedere Esempi di criteri.
Tipi di risorsa e autorizzazioni
Lista dei tipi di risorse della cache OCI e delle autorizzazioni associate.
Per assegnare le autorizzazioni a tutte le risorse della cache OCI, utilizzare il tipo di aggregazione redis-family. Per ulteriori informazioni, vedere Autorizzazioni.
La tabella seguente elenca tutte le risorse presenti in redis-family:
| Cognome | Tipo di risorsa individuale |
|---|---|
redis-family |
|
Un criterio che utilizza <verb> equivale a scrivere un criterio con un'istruzione redis-family<verb> <resource-type> separata per ciascuno dei singoli tipi di risorsa.
| Tipo di risorsa | Autorizzazioni |
|---|---|
| redis-cluster |
|
| utenti oci-cache |
|
| oci-cache-configsets |
|
| rediswork-requests |
|
Dettagli per le combinazioni verbo-tipo di risorsa
Identificare le autorizzazioni e le operazioni API coperte da ciascun verbo per le risorse della cache OCI.
Il livello di accesso è cumulativo quando si passa da inspect a read a use a manage. Un segno più (+) in una cella di tabella indica un accesso incrementale rispetto alla cella precedente.
Per informazioni sulla concessione dell'accesso, vedere Autorizzazioni.
| Verbs | Autorizzazioni | API completamente coperte | API parzialmente coperte |
|---|---|---|---|
| ispezionare | REDIS_CLUSTER_INSPECT
|
ListRedisClusters |
nessuno |
read |
|
|
nessuno |
use |
|
|
AttachOciCacheUsers (ha anche bisogno di OCI_CACHE_USER_USE)
|
manage |
|
|
CreateRedisCluster (ha anche bisogno di OCI_CACHE_CONFIGSET_USE) |
| Verbs | Autorizzazioni | API completamente coperte | API parzialmente coperte |
|---|---|---|---|
inspect |
OCI_CACHE_USER_INSPECT |
ListOciCacheUsers |
nessuno |
read |
|
|
nessuno |
use |
|
|
AttachOciCacheUsers (ha anche bisogno di REDIS_CLUSTER_USE)
|
manage |
|
use+
|
nessuno |
| Verbs | Autorizzazioni | API completamente coperte | API parzialmente coperte |
|---|---|---|---|
inspect |
OCI_CACHE_CONFIGSET_INSPECT |
ListOciCacheConfigSets
|
nessuno |
read |
|
|
nessuno |
use |
|
read+
|
CreateRedisCluster (ha anche bisogno di REDIS_CLUSTER_MANAGE)
|
manage |
|
use+
|
nessuno |
| Verbs | Autorizzazioni | API completamente coperte | API parzialmente coperte |
|---|---|---|---|
inspect |
REDIS_WORK_REQUEST_INSPECT |
ListWorkRequests |
nessuno |
read |
|
inspect+
|
nessuno |
manage |
|
use+
|
nessuno |
Autorizzazioni necessarie per ogni operazione API
Nella tabella seguente sono elencate le operazioni API per la cache OCI in un ordine logico, raggruppate per tipo di risorsa.
| Operazione API | Autorizzazioni necessarie per utilizzare l'operazione |
|---|---|
ListRedisClusters
|
REDIS_CLUSTER_INSPECT |
GetRedisCluster
|
REDIS_CLUSTER_READ |
CreateRedisCluster |
REDIS_CLUSTER_MANAGE, OCI_CACHE_CONFIGSET_USE |
ListAttachedOciCacheUsers
|
REDIS_CLUSTER_USE |
UpdateRedisCluster
|
REDIS_CLUSTER_USE, OCI_CACHE_CONFIGSET_USE |
ChangeRedisClusterCompartment
|
REDIS_CLUSTER_USE |
DeleteRedisCluster |
REDIS_CLUSTER_MANAGE |
ListOciCacheUsers
|
OCI_CACHE_USER_INSPECT |
GetOciCacheUser |
OCI_CACHE_USER_READ |
CreateOciCacheUser
|
OCI_CACHE_USER_MANAGE |
UpdateOciCacheUser
|
OCI_CACHE_USER_USE |
ChangeOciCacheUserCompartment
|
OCI_CACHE_USER_USE |
DeleteOciCacheUser |
OCI_CACHE_USER_MANAGE |
AttachOciCacheUsers
|
REDIS_CLUSTER_USE, OCI_CACHE_USER_USE |
DetachOciCacheUsers
|
REDIS_CLUSTER_USE, OCI_CACHE_USER_USE |
Generate Token for OCI Cache User
|
REDIS_CLUSTER_USE, OCI_CACHE_USER_USE |
ListOciCacheConfigSets |
OCI_CACHE_CONFIGSET_INSPECT |
GetOciCacheConfigSet |
OCI_CACHE_CONFIGSET_READ |
CreateOciCacheConfigSet |
OCI_CACHE_CONFIGSET_MANAGE |
UpdateOciCacheConfigSet |
OCI_CACHE_CONFIGSET_USE |
ChangeOciCacheConfigSetCompartment |
OCI_CACHE_CONFIGSET_USE |
DeleteOciCacheConfigSet |
OCI_CACHE_CONFIGSET_MANAGE |
ListAssociatedOciCacheClusters |
OCI_CACHE_CONFIGSET_USE |
ListOciCacheDefaultConfigSets |
OCI_CACHE_CONFIGSET_INSPECT |
GetOciCacheDefaultConfigSet |
OCI_CACHE_CONFIGSET_READ |
ListWorkRequests
|
REDIS_WORK_REQUEST_INSPECT |
ListWorkRequestErrors
|
REDIS_WORK_REQUEST_READ |
ListWorkRequestLogs
|
REDIS_WORK_REQUEST_READ |
GetWorkRequest
|
REDIS_WORK_REQUEST_READ |
DeleteWorkRequest |
REDIS_WORK_REQUEST_MANAGE |
Esempi di criteri
- Consente l'accesso solo per uso a reti VCN, compartimenti e subnet.
-
Allow group ClusterAdmins to use compartments in tenancy -
Allow group ClusterAdmins to use vcns in compartment <USER_NETWORK_COMPARTMENT_NAME> -
Allow group ClusterAdmins to use subnet in compartment <USER_NETWORK_COMPARTMENT_NAME> -
Allow group ClusterAdmins to use network-security-groups in compartment <USER_NETWORK_COMPARTMENT_NAME> -
Allow group ClusterAdmins to use vcns in compartment <USER_ENGINEERING_COMPARTMENT_NAME>
Nota
Le VCN si trovano nel compartimento Network, mentre i cluster si trovano nel compartimento Engineering. -
-
Consente l'accesso solo utilizzabile alle VNIC nel compartimento Ingegneria. Ad esempio:
Allow group ClusterAdmins to use VNICs in compartment <USER_ENGINEERING_COMPARTMENT_NAME> - Consente di gestire l'autorizzazione per creare o aggiornare gli endpoint privati. Ad esempio:
-
Allow group ClusterAdmins to manage redis-family in compartment <USER_ENGINEERING_COMPARTMENT_NAME> -
Allow group ClusterAdmins to manage redis-work-requests in compartment <USER_ENGINEERING_COMPARTMENT_NAME> -
Allow group ClusterAdmins to manage vcns in compartment <USER_NETWORK_COMPARTMENT_NAME> where ALL{ ANY { request.operation = 'CreatePrivateEndpoint', request.operation = 'UpdatePrivateEndpoint', request.operation ='DeletePrivateEndpoint', request.operation = 'EnableReverseConnection', request.operation = 'ModifyReverseConnection', request.operation = 'DisableReverseConnection' } , ANY {request.operation = 'CreateRedisCluster', request.operation = 'DeleteRedisCluster' , request.operation = 'UpdateRedisCluster' } }
-
-
(Facoltativo) Consente il traffico sulle porte Redis. Ad esempio:
Allow group ClusterAdmins to manage security-lists in compartment <USER_NETWORK_COMPARTMENT_NAME> where ANY { request.operation = 'CreateRedisCluster', request.operation = 'DeleteRedisCluster' , request.operation = 'UpdateRedisCluster' }Nota
Se il criterio non viene fornito, è necessario aggiungere regole di sicurezza e consentire il traffico TCP per le porte, 6379.
L'istruzione dei criteri seguente consente al gruppo ClusterUsers di utilizzare i cluster, ma limita l'accesso agli altri elementi:
Allow group ClusterUsers to use redis-clusters in compartment <USER_COMPARTMENT>La seguente istruzione dei criteri consente al gruppo CacheUsers di utilizzare gli utenti di OCI Cache:
Allow group CacheUsers to use oci-cache-users in compartment <USER_COMPARTMENT>Le istruzioni dei criteri riportate di seguito consentono di gestire l'autorizzazione per collegare e scollegare gli endpoint privati.
Allow group ClusterAdmins to manage vcns in compartment <USER_NETWORK_COMPARTMENT_NAME> where ALL{ ANY
{ request.operation = 'CreatePrivateEndpoint', request.operation = 'UpdatePrivateEndpoint', request.operation ='DeletePrivateEndpoint', request.operation = 'EnableReverseConnection', request.operation = 'ModifyReverseConnection', request.operation = 'DisableReverseConnection' }
, ANY {request.operation = 'CreateRedisCluster', request.operation = 'DeleteRedisCluster' , request.operation = 'UpdateRedisCluster', request.operation = 'AttachOciCacheUsers', request.operation = 'DetachOciCacheUsers' } }L'istruzione dei criteri seguente consente il traffico sulle porte Redis per il collegamento e lo scollegamento:
Allow group ClusterAdmins to manage security-lists in compartment <USER_NETWORK_COMPARTMENT_NAME> where ANY
{ request.operation = 'CreateRedisCluster', request.operation = 'DeleteRedisCluster' , request.operation = 'UpdateRedisCluster', request.operation = 'AttachOciCacheUsers', request.operation = 'DetachOciCacheUsers'}L'istruzione dei criteri riportata di seguito consente al gruppo ClusterConfig di utilizzare le configurazioni della cache OCI.
Allow group ClusterConfig to use oci-cache-configsets in compartment <USER_COMPARTMENT>L'istruzione dei criteri riportata di seguito consente agli utenti del gruppo SecurityAdmins di creare, aggiornare ed eliminare tutti i criteri di instradamento Zero Trust Packet nell'intera tenancy.
Allow group SecurityAdmins to manage zpr-configuration in tenancy
Allow group SecurityAdmins to manage security-attribute-namespace in tenancy
Allow group SecurityAdmins to manage zpr-policy in tenancyL'istruzione criterio seguente consente al gruppo cluster-admin di gestire solo lo spazio di nomi degli attributi di sicurezza, cache-applications dei criteri di instradamento Zero Trust Packet.
Allow group cluster-admin to manage security-attribute-namespace where target.security-attribute-namespace.name = 'cache-applications'Se non si ha familiarità con i criteri, vedere Introduzione ai criteri e Criteri comuni.