Criteri Secure Desktops
Ogni servizio in Oracle Cloud Infrastructure si integra con Identity and Access Management (IAM) per l'autenticazione e l'autorizzazione per tutte le interfacce (console, SDK o CLI e API REST).
Ad esempio, criteri Secure Desktops e informazioni sui gruppi dinamici richiesti, vedere Creazione di criteri per il servizio e Creazione di criteri per l'autorizzazione utente.
L'amministratore della tenancy deve creare criteri a livello di tenancy o di compartimento per consentire a Secure Desktops e di utilizzare le risorse necessarie. Devono inoltre impostare gruppi, compartimenti e criteri che controllano l'accesso degli utenti al servizio. Vedere Creazione di criteri per il servizio e Creazione di criteri per l'autorizzazione utente.
Per un'introduzione ai criteri, consulta la guida introduttiva ai criteri.
La creazione di un criterio richiede privilegi appropriati. Rivolgersi all'amministratore della tenancy per ottenere i privilegi o per creare automaticamente i criteri.
Criteri IAM necessari
All'interno del compartimento radice
Allow dynamic-group <dynamic-group> to {DOMAIN_INSPECT, DOMAIN_READ} in tenancy
Allow dynamic-group <dynamic-group> to inspect users in tenancy
Allow dynamic-group <dynamic-group> to inspect compartments in tenancy
Allow dynamic-group <dynamic-group> to use tag-namespaces in tenancyAllow dynamic-group <dynamic-group> to use virtual-network-family in compartment <desktops-network-compartment>
Allow dynamic-group <dynamic-group> to {VCN_ATTACH, VCN_DETACH} in compartment <desktops-network-compartment>
Allow dynamic-group <dynamic-group> to manage virtual-network-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to read instance-images in compartment <image-compartment>
Allow dynamic-group <dynamic-group> to manage instance-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage volume-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage dedicated-vm-hosts in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage orm-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to {VNIC_CREATE, VNIC_DELETE} in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage instance-configurations in compartment <desktop-compartment>- Se <desktops-network-compartment> non è un elemento figlio dei compartimenti sopra i compartimenti del pool di desktop, è necessario specificare il criterio nel compartimento radice.
- Se si intende creare pool di desktop privati, potrebbero essere necessari criteri aggiuntivi. Per ulteriori informazioni, vedere Abilitazione dell'accesso al desktop privato.
Per l'amministratore desktop
Allow group <desktop-administrators> to manage desktop-pool-family in compartment <desktop-compartment>
Allow group <desktop-administrators> to read all-resources in compartment <desktop-compartment>
Allow group <desktop-administrators> to use virtual-network-family in compartment <desktops-network-compartment>
Allow group <desktop-administrators> to use instance-images in compartment <images-compartment>Per l'utente desktop
Tutti i pool di desktop all'interno di un compartimento:
Allow group <desktop-users> to use published-desktops in compartment <desktop-compartment>Pool di desktop specifici all'interno di un compartimento:
Allow group <desktop-users> to use published-desktops in compartment <desktop-compartment>
where all {target.desktoppool.name = '<pool_name>', target.desktoppool.id = '<pool_ocid>'}Dettagli dei criteri per i desktop sicuri
In un'istruzione dei criteri si utilizzano verbi, tipi di risorse e variabili per concedere l'accesso a servizi e risorse. È inoltre possibile utilizzare le autorizzazioni o le operazioni API per ridurre l'ambito di accesso concesso da un verbo specifico.
Per informazioni sulle autorizzazioni, vedere Autorizzazioni.
Tipo di risorsa aggregata
desktop-pool-family
Singola risorsa - Tipi
desktop-pool
desktop
Variabili supportate
|
Operazioni per questo tipo di risorsa... |
Può utilizzare queste variabili... |
Tipo di variabile |
commenti |
|---|---|---|---|
desktop-pool |
target.desktopPool.id |
Entità (OCID) | |
desktop |
target.desktop.id |
Entità (OCID) |
Dettagli per le combinazioni verbo-tipo di risorsa
Le tabelle seguenti mostrano le autorizzazioni e le operazioni API coperte da ciascun verbo. Il livello di accesso è cumulativo come si va da inspect > read > use > manage. Un segno più (+) in una cella di tabella indica l'accesso incrementale rispetto alla cella direttamente sopra di essa, mentre "nessun extra" indica nessun accesso incrementale.
| Verbs | Autorizzazioni | API completamente coperte | API parzialmente coperte |
|---|---|---|---|
|
ispezionare |
|
|
nessuno |
|
letto |
ISPEZIONA +
|
|
nessuno |
|
utilizzare |
LETTURA + |
|
nessuno |
|
gestisci |
USE +
|
|
nessuno |
| Verbs | Autorizzazioni | API completamente coperte | API parzialmente coperte |
|---|---|---|---|
|
ispezionare |
|
|
nessuno |
|
letto |
ISPEZIONA +
|
|
nessuno |
|
utilizzare |
LETTURA +
|
|
nessuno |
|
gestisci |
USE +
|
|
nessuno |
Autorizzazioni necessarie per ogni operazione API
| Operazione API | Autorizzazioni necessarie per utilizzare l'operazione |
|---|---|
ListDesktopPools |
DESKTOP_POOL_INSPECT |
CreateDesktopPool |
DESKTOP_POOL_CREATE |
GetDesktopPool |
DESKTOP_POOL_READ |
DeleteDesktopPool |
DESKTOP_POOL_DELETE |
UpdateDesktopPool |
DESKTOP_POOL_UPDATE |
ChangeDesktopPoolCompartment |
DESKTOP_POOL_MOVE |
StartDesktopPool |
DESKTOP_POOL_UPDATE |
StopDesktopPool |
DESKTOP_POOL_UPDATE |
ListDesktopPoolVolumes |
DESKTOP_POOL_READ |
ListDesktopPoolDesktops |
DESKTOP_POOL_READ |
ListDesktopPoolErrors |
DESKTOP_POOL_READ |
ListDesktops |
DESKTOP_INSPECT |
GetDesktop |
DESKTOP_READ |
DeleteDesktop |
DESKTOP_DELETE |
UpdateDesktop |
DESKTOP_UPDATE |
StartDesktop |
DESKTOP_UPDATE |
StopDesktop |
DESKTOP_UPDATE |
ListDesktopErrors |
DESKTOP_READ |