此图显示策略语句、支持的策略动词以及几个资源类型示例。
使用以下语法编写策略语句:
Allow <subject> to <verb> <resource-type> in <location> where <conditions>
subject
是一组用户或实例。verb
指定策略授予权限的访问权限的类型(检查、读取、用户或管理)。resource-type
是主体可以访问的资源或资源组(如数据库、计算实例、块存储卷)。location
是权限应用到的区间。conditions
可用于在更细的级别上限制权限。
支持的动词包括:
inspect
:能够列出资源read
:包括inspect
,以及获取用户指定的元数据或实际资源的功能use
:包括read
,加上处理现有资源的能力(操作因资源类型而异)manage
:包含所有权限
下面是一些资源类型示例:
all-resources
:任何资源database-family
:包括db-systems
、db-homes
和databases
instance-family
:包括instances
、instance-images
、volume-attachments
和console-histories
object-family
:包括buckets
和objects
virtual-network-family
:包括vcn
、subnet
、route-tables
、security-lists
和dhcp-options
volume-family
:包括volumes
、volume-attachments
和volume-backups