L'immagine mostra la distribuzione dei criteri IAM nell'architettura Enterprise Landing Zone. Una tenancy nel compartimento radice contiene un'istanza di Administrator IAM e un'istanza di Cloud Guard IAM. All'interno dell'interfaccia IAM dell'amministratore ci sono l'amministratore del gruppo di utenti, un utente di accesso di emergenza e i criteri di amministrazione del tenant. Il servizio IAM Cloud Guard contiene i criteri riportati di seguito.
  • cloud_guard_operators_policy
  • cloud_guard_analysis_policy
  • cloud_guard_architects_policies
Nidificato nella tenancy è il compartimento padre (livello 1). Questa è la home della zona di destinazione e contiene un singolo compartimento dell'infrastruttura comune di livello 2. Il compartimento di livello 2 contiene i seguenti compartimenti di livello 3:
  • Compartimento di rete che contiene a sua volta istanze IAM separate per l'amministratore VCN e l'utente del carico di lavoro.
    • L'istanza IAM di amministrazione della VCN amministra i criteri di identità per gli amministratori di rete virtuali e applica la zona di destinazione OCI VCNAdminPolicies.
    • Il programma IAM dell'utente del carico di lavoro amministra i criteri di identità per i gruppi e applica la zona di destinazione OCI LBUserPolicy.
  • IAM di amministratori della sicurezza, che applica i criteri di amministrazione della sicurezza.
All'interno del compartimento dell'infrastruttura comune si trova il secondo livello 2, ossia il compartimento delle applicazioni. Questo compartimento è suddiviso in tre compartimenti secondari, A, B e C. Ognuno di questi compartimenti contiene i criteri di identità riportati di seguito per i ruoli specifici.
  • Per l'amministratore del carico di lavoro IAM: OCI-LZ-WorkLLoadAdminPolicy.
  • Per l'utente del carico di lavoro IAM: utente del carico di lavoro e OCI-LZ-WorkLLoadUserPolicy.
  • Per l'amministratore dello storage del carico di lavoro IAM: Workload-Storage-Admins e OCI-LZ-WorkloadStorageAdminPolicy.
  • Per gli utenti di storage del carico di lavoro IAM: sicurezza-admins-policy e OCI-LZ-WorkloadStorageUserPolicy.