Compute Cloud@Customer - Gestione identità e accessi isolati
Il servizio IAM (Identity and Access Management Service) in Oracle Compute Cloud@Customer Isolated fornisce il controllo su quali utenti hanno accesso a quali risorse nella tenancy dell'infrastruttura locale.
È possibile creare utenti, gruppi di utenti e gruppi dinamici (gruppi di istanze) e creare criteri per consentire tipi diversi di accesso alle risorse specificate nei compartimenti specificati.
È compito di un amministratore della tenancy controllare il tipo di accesso di un gruppo di utenti e a quali risorse specifiche si applica l'accesso. La responsabilità di gestire e gestire il controllo dell'accesso può essere delegata ad altri utenti con privilegi, ad esempio concedendo loro l'accesso completo a un sottocompartimento della tenancy.
Oltre agli utenti, le principal delle istanze dispongono anche dell'autorizzazione per gestire le risorse.
|
Attività |
Link |
|---|---|
|
I compartimenti sono i componenti di base principali per l'organizzazione e il controllo dell'accesso alle risorse cloud. Gli utenti possono creare compartimenti per separare l'accesso alle risorse. La tenancy è il compartimento radice in cui è possibile creare risorse cloud e altri compartimenti. È possibile creare gerarchie di compartimenti con profondità massima di sei livelli. È possibile limitare l'accesso alle risorse del compartimento ai gruppi di utenti specificati mediante criteri. |
|
|
Una tenancy dispone di un utente amministrativo in un gruppo di amministratori e un criterio consente al gruppo di amministratori di gestire la tenancy. Un amministratore crea account per altri utenti. Per concedere agli utenti l'accesso solo a un sottoinsieme di risorse nella tenancy o in un altro compartimento o per fornire un accesso di gestione inferiore a quello completo ad alcune risorse, l'amministratore della tenancy aggiunge account utente a uno o più gruppi e crea criteri per tali gruppi. L'amministratore della tenancy, quando crea un account utente, fornisce una password temporanea all'utente in modo che possa impostare la propria password e attivare il proprio account. |
|
|
L'accesso alle risorse cloud viene concesso ai gruppi e non direttamente agli utenti. Un account utente non è automaticamente membro di alcun gruppo. È necessario aggiungere l'utente a un gruppo, quindi creare un criterio di accesso per tale gruppo. Un gruppo è un set di utenti che hanno lo stesso tipo di accesso allo stesso set di risorse cloud. Organizza gli utenti in gruppi in base ai compartimenti e alle risorse a cui hanno bisogno di accedere e a come devono lavorare con tali risorse. Un utente può essere membro di più gruppi. |
|
|
Se l'organizzazione utilizza già Microsoft Active Directory per gestire le credenziali utente, è possibile impostare la federazione in modo che gli utenti possano eseguire il login a Compute Cloud@Customer isolato utilizzando le stesse credenziali. |
|
|
Un principal di istanza è un'istanza di computazione autorizzata a eseguire azioni sulle risorse del servizio. Le applicazioni in esecuzione su un principal dell'istanza possono chiamare i servizi e gestire le risorse in modo simile al modo in cui gli utenti isolati di Compute Cloud@Customer chiamano i servizi per gestire le risorse, ma senza la necessità di configurare le credenziali utente. Per concedere autorizzazioni a un principal istanza, includere l'istanza come membro di un gruppo dinamico. |
|
|
I gruppi dinamici sono gruppi di istanze di computazione che soddisfano i criteri definiti per il gruppo. L'appartenenza cambia quando le istanze soddisfano o non soddisfano più i criteri. Assegnare criteri per definire le autorizzazioni per le applicazioni in esecuzione sulle istanze in un gruppo dinamico. |
|
|
La premessa di sicurezza di base è che tutti gli accessi vengono negati a meno che non venga concessa un'autorizzazione esplicita. Un criterio è un set denominato di istruzioni dei criteri, in cui ogni istruzione dei criteri concede l'autorizzazione agli utenti ad accedere alle risorse. Quando si crea un criterio, è necessario associarlo a un compartimento. La posizione alla quale lo associa controlla chi può successivamente modificarlo. I compartimenti ereditano i criteri dal compartimento padre. Tutte le istruzioni dei criteri vengono scritte utilizzando la stessa sintassi generale: |
|
|
L'applicazione di tag consente di aggiungere metadati alle risorse applicando coppie chiave/valore.
È possibile utilizzare i valori predefiniti delle tag per applicare automaticamente una tag definita a una risorsa quando viene creata. È inoltre possibile utilizzare tag risorsa speciali per estendere la funzionalità. |
Applicazione di tag alle risorse |