Identity and Access Management-(IAM-)Policys
Erfahren Sie, wie Sie OCI IAM-Policys schreiben, um den Zugriff auf Oracle Cloud VMware Solution-Ressourcen zu kontrollieren.
Standardmäßig können nur die Benutzer in der Gruppe Administrators
auf alle Ressourcen und Funktionen in der VMware-Lösung zugreifen. Um den Zugriff von Nicht-Administratorbenutzern auf die Ressourcen und Funktionen von VMware Solution zu kontrollieren, erstellen Sie IAM-Gruppen und schreiben dann Policys, die den Gruppen den richtigen Zugriff erteilen.
Eine vollständige Liste der Oracle Cloud Infrastructure-Policys finden Sie in der Policy-Referenz.
Ressourcentypen
sddcs
Unterstützte Variablen
Nur die allgemeinen Variablen werden unterstützt (siehe Allgemeine Variablen für alle Anforderungen).
Details zu Kombinationen aus Verb und Ressourcentyp
In den folgenden Tabellen werden die Berechtigungen und API-Vorgänge angezeigt, die von jedem Verb für VMware-Lösung behandelt werden. Die Zugriffsebene ist kumulativ von inspect
zu read
zu use
zu manage
. Ein Pluszeichen (+)
in einer Tabellenzelle gibt den inkrementellen Zugriff im Vergleich zur Zelle direkt darüber an, während "Keine zusätzlichen" keinen inkrementellen Zugriff angibt.
SDKs
Verbs | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
Inspizieren |
SDDC_INSPECT |
|
keiner |
gelesen |
PRÜFEN + SDDC_READ |
PRÜFEN +
|
keiner |
verwenden |
LESEN + SDDC_UPDATE SDDC_UPDATE_ESXI_HOST |
LESEN +
|
keiner |
Verwalten |
USE + SDDC_CREATE SDDC_MOVE SDDC_ADD_ESXI_HOST SDDC_DELETE_ESXI_HOST SDDC_DELETE |
USE +
|
|
Für jeden API-Vorgang erforderliche Berechtigungen
In der folgenden Tabelle werden die API-Vorgänge in einer logischen Reihenfolge nach Ressourcentyp gruppiert aufgeführt.
API-Vorgänge | Für den Vorgang erforderliche Berechtigungen |
---|---|
ListSddcs
|
SDDC_INSPECT |
GetSddc
|
SDDC_READ |
CreateSddc
|
SDDC_CREATE & INSTANCE_CREATE & INSTANCE_ATTACH_SECONDARY_VNIC & VCN_READ & VCN_ATTACH & SUBNET_READ & SUBNET_ATTACH & VNIC_READ & VNIC_CREATE & VLAN_READ & VLAN_ATTACH & PRIVATE_IP_CREATE & PRIVATE_IP_ASSIGN & SECURITY_LIST_READ & NETWORK_SECURITY_GROUP_LIST_SECURITY_RULES |
ListWorkRequests
|
SDDC_INSPECT |
GetWorkRequest
|
SDDC_READ |
ChangeSddcCompartment
|
SDDC_MOVE |
UpdateSddc
|
SDDC_UPDATE |
DeleteSddc
|
SDDC_DELETE & INSTANCE_DELETE & INSTANCE_DETACH_SECONDARY_VNIC & VCN_DETACH & SUBNET_DETACH & VLAN_DETACH & VNIC_READ & VNIC_DELETE & PRIVATE_IP_DELETE & PRIVATE_IP_UNASSIGN |
ListEsxiHosts
|
SDDC_INSPECT |
CreateEsxiHost
|
SDDC_ADD_ESXI_HOST & INSTANCE_CREATE & INSTANCE_ATTACH_SECONDARY_VNIC & VCN_READ & VCN_ATTACH & SUBNET_READ & SUBNET_ATTACH & VLAN_READ & VLAN_ATTACH & VNIC_READ & VNIC_CREATE & PRIVATE_IP_CREATE & PRIVATE_IP_ASSIGN |
UpdateEsxiHost
|
SDDC_UPDATE_ESXI_HOST |
DeleteEsxiHost
|
SDDC_DELETE_ESXI_HOST & INSTANCE_DELETE & INSTANCE_DETACH_SECONDARY_VNIC & VCN_DETACH & SUBNET_DETACH & VLAN_DETACH & VNIC_READ & VNIC_DELETE & PRIVATE_IP_DELETE & PRIVATE_IP_UNASSIGN |
Policys erstellen
Um Policys für eine Benutzergruppe zu erstellen, müssen Sie den Namen der Oracle Cloud Infrastructure-IAM-Gruppe kennen.
So erstellen Sie eine Richtlinie:
- Wählen Sie im Navigationsmenü der Konsole die Option Identität und Sicherheit aus. Wählen Sie dann unter Identität die Option Policys aus.
- Klicken Sie auf Policy erstellen.
- Geben Sie einen Namen und eine Beschreibung (optional) für die Policy ein.
- Wählen Sie das Compartment aus, in dem die Policy erstellt werden soll.
- Wählen Sie Manuellen Editor anzeigen aus. Geben Sie dann die erforderlichen Policy-Anweisungen ein.
- (Optional) Wählen Sie Weitere Policy erstellen aus, um nach dem Erstellen dieser Policy auf der Seite "Policy erstellen" zu bleiben.
- Um diese Policy zu erstellen, klicken Sie auf Erstellen.
Allgemeine Policys
Erstellen, Verwalten und Löschen von SDDCs, ESXi-Hosts und VLANs durch Benutzer zulassen
Zugriffstyp: Bietet die Möglichkeit, ein SDDC, einen ESXi-Host oder VLANs zu erstellen, zu verwalten oder zu löschen.
Wo wird die Policy erstellt: Im Mandanten, sodass die Berechtigung, eine VMware-Lösungsressource zu erstellen, zu verwalten oder zu löschen, allen Compartments durch Policy-Übernahme erteilt wird. Um den Geltungsbereich dieser administrativen Funktionen auf SDDCs in einem bestimmten Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten an.
Dieses Policy-Beispiel umfasst auch Berechtigungen für Compute- und Netzwerkressourcen. Diese Compute- und Netzwerkressourcen sind zum Erstellen, Verwalten oder Löschen von SDDCs, ESXi-Hosts oder VLANs erforderlich. Die erforderliche Mindestberechtigung wird jeweils angezeigt.
Allow group <group_name> to manage sddcs in tenancy
Allow group <group_name> to manage instances in tenancy
Allow group <group_name> to manage vcns in tenancy
Allow group <group_name> to use subnets in tenancy
Allow group <group_name> to use vnics in tenancy
Allow group <group_name> to use vlans in tenancy
Allow group <group_name> to use private-ips in tenancy
Allow group <group_name> to inspect security-lists in tenancy
Allow group <group_name> to use network-security-groups in tenancy