Criteri desktop sicuri
Ogni servizio in Oracle Cloud Infrastructure è integrato con Identity and Access Management (IAM) per l'autenticazione e l'autorizzazione di tutte le interfacce (console, SDK o CLI e API REST).
Ad esempio, i criteri Secure Desktops e le informazioni sui gruppi dinamici richiesti, vedere Creazione di criteri per il servizio e Creazione di criteri per l'autorizzazione utente.
L'amministratore della tenancy deve creare criteri a livello di tenancy o di compartimento per consentire desktop sicuri e utilizzare le risorse di cui ha bisogno. Inoltre, devono impostare gruppi, compartimenti e criteri che controllano l'accesso degli utenti al servizio. Vedere Creazione di criteri per il servizio e Creazione di criteri per l'autorizzazione utente.
Per un'introduzione ai criteri, vedere Guida introduttiva ai criteri.
La creazione di un criterio richiede privilegi appropriati. Collaborare con l'amministratore della tenancy per ottenere i privilegi o fare in modo che i criteri vengano creati automaticamente.
Criteri IAM necessari
Nel compartimento radice
Allow dynamic-group <dynamic-group> to {DOMAIN_READ} in tenancy
Allow dynamic-group <dynamic-group> to inspect users in tenancy
Allow dynamic-group <dynamic-group> to inspect compartments in tenancy
Allow dynamic-group <dynamic-group> to use tag-namespaces in tenancyAllow dynamic-group <dynamic-group> to use virtual-network-family in compartment <desktops-network-compartment>
Allow dynamic-group <dynamic-group> to {VCN_ATTACH, VCN_DETACH} in compartment <desktops-network-compartment>
Allow dynamic-group <dynamic-group> to manage virtual-network-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to read instance-images in compartment <image-compartment>
Allow dynamic-group <dynamic-group> to manage instance-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage volume-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage dedicated-vm-hosts in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage orm-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to {VNIC_CREATE, VNIC_DELETE} in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage instance-configurations in compartment <desktop-compartment>- Se <desktops-network-compartment> non è un elemento figlio dei compartimenti sopra i compartimenti del pool di desktop, il criterio deve essere specificato nel compartimento radice.
- Se si intende creare pool di desktop privati, potrebbero essere necessari criteri aggiuntivi. Per ulteriori informazioni, vedere Abilitazione dell'accesso a Private Desktop.
Per l'amministratore del desktop
Allow group <desktop-administrators> to manage desktop-pool-family in compartment <desktop-compartment>
Allow group <desktop-administrators> to read all-resources in compartment <desktop-compartment>
Allow group <desktop-administrators> to use virtual-network-family in compartment <desktops-network-compartment>
Allow group <desktop-administrators> to use instance-images in compartment <images-compartment>Per l'utente desktop
Tutti i pool di desktop all'interno di un compartimento:
Allow group <desktop-users> to use published-desktops in compartment <desktop-compartment>Pool di desktop specifici all'interno di un compartimento:
Allow group <desktop-users> to use published-desktops in compartment <desktop-compartment>
where all {target.desktoppool.name = '<pool_name>', target.desktoppool.id = '<pool_ocid>'}Dettagli criteri per Secure Desktops
In un'istruzione dei criteri vengono utilizzati verbi, tipi di risorse e variabili per concedere l'accesso ai servizi e alle risorse. È inoltre possibile utilizzare le autorizzazioni o le operazioni API per ridurre l'ambito di accesso concesso da un determinato verbo.
Per informazioni sulle autorizzazioni, vedere Autorizzazioni.
Tipo di risorsa aggregato
desktop-pool-family
Risorse singole - Tipi
desktop-pool
desktop
Variabili supportate
|
Operazioni per questo tipo di risorsa... |
È possibile utilizzare queste variabili... |
Tipo di variabile |
commenti |
|---|---|---|---|
desktop-pool |
target.desktopPool.id |
Entità (OCID) | |
desktop |
target.desktop.id |
Entità (OCID) |
Dettagli per le combinazioni verbo-tipo di risorsa
Le tabelle seguenti mostrano le operazioni autorizzazioni e API coperte da ciascun verbo. Il livello di accesso è cumulativo come si va da inspect > read > use > manage. Un segno più (+) in una cella di tabella indica l'accesso incrementale rispetto alla cella direttamente sopra di essa, mentre "no extra" indica l'assenza di accesso incrementale.
| Verbs | Autorizzazioni | API completamente coperte | API parzialmente coperte |
|---|---|---|---|
|
ispezionare |
|
|
nessuno |
|
leggi |
ISPEZIONA +
|
|
nessuno |
|
usa |
LEGGI + |
|
nessuno |
|
gestisci |
USE +
|
|
nessuno |
| Verbs | Autorizzazioni | API completamente coperte | API parzialmente coperte |
|---|---|---|---|
|
ispezionare |
|
|
nessuno |
|
leggi |
ISPEZIONA +
|
|
nessuno |
|
usa |
LEGGI +
|
|
nessuno |
|
gestisci |
USE +
|
|
nessuno |
Autorizzazioni necessarie per ogni operazione API
| Operazione API | Autorizzazioni necessarie per utilizzare l'operazione |
|---|---|
ListDesktopPools |
DESKTOP_POOL_INSPECT |
CreateDesktopPool |
DESKTOP_POOL_CREATE |
GetDesktopPool |
DESKTOP_POOL_READ |
DeleteDesktopPool |
DESKTOP_POOL_DELETE |
UpdateDesktopPool |
DESKTOP_POOL_UPDATE |
ChangeDesktopPoolCompartment |
DESKTOP_POOL_MOVE |
StartDesktopPool |
DESKTOP_POOL_UPDATE |
StopDesktopPool |
DESKTOP_POOL_UPDATE |
ListDesktopPoolVolumes |
DESKTOP_POOL_READ |
ListDesktopPoolDesktops |
DESKTOP_POOL_READ |
ListDesktopPoolErrors |
DESKTOP_POOL_READ |
ListDesktops |
DESKTOP_INSPECT |
GetDesktop |
DESKTOP_READ |
DeleteDesktop |
DESKTOP_DELETE |
UpdateDesktop |
DESKTOP_UPDATE |
StartDesktop |
DESKTOP_UPDATE |
StopDesktop |
DESKTOP_UPDATE |
ListDesktopErrors |
DESKTOP_READ |