Identity and Access Management-(IAM-)Policys

Erfahren Sie, wie Sie OCI IAM-Policys schreiben, um den Zugriff auf Oracle Cloud VMware Solution-Ressourcen zu kontrollieren.

Standardmäßig können nur die Benutzer in der Gruppe Administrators auf alle Ressourcen und Funktionen in der VMware-Lösung zugreifen. Um den Zugriff von Nicht-Administratorbenutzern auf die Ressourcen und Funktionen von VMware Solution zu kontrollieren, erstellen Sie IAM-Gruppen und schreiben dann Policys, die den Gruppen den richtigen Zugriff erteilen.

Eine vollständige Liste der Oracle Cloud Infrastructure-Policys finden Sie in der Policy-Referenz.

Ressourcentypen

sddcs

Unterstützte Variablen

Nur die allgemeinen Variablen werden unterstützt (siehe Allgemeine Variablen für alle Anforderungen).

Details zu Kombinationen aus Verb und Ressourcentyp

In den folgenden Tabellen werden die Berechtigungen und API-Vorgänge angezeigt, die von jedem Verb für VMware-Lösung behandelt werden. Die Zugriffsebene ist kumulativ von inspect zu read zu use zu manage. Ein Pluszeichen (+) in einer Tabellenzelle gibt den inkrementellen Zugriff im Vergleich zur Zelle direkt darüber an, während "Keine zusätzlichen" keinen inkrementellen Zugriff angibt.

SDKs


Verbs	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
Inspizieren	SDDC_INSPECT	`ListSddcs` `ListWorkRequests`	keiner
gelesen	PRÜFEN + SDDC_READ	PRÜFEN + `GetSddc` `GetWorkRequest`	keiner
verwenden	LESEN + SDDC_UPDATE SDDC_UPDATE_ESXI_HOST	LESEN + `UpdateSddc` `UpdateEsxiHost`	keiner
Verwalten	USE + SDDC_CREATE SDDC_MOVE SDDC_ADD_ESXI_HOST SDDC_DELETE_ESXI_HOST SDDC_DELETE	USE + `ChangeSddcCompartment`	`CreateSddc` (erfordert auch `manage instances`, `manage vcns`, `use subnets`, `use vnics`, `use vlans`, `use private-ips`, `inspect security-lists`, `use network-security-groups`) `DeleteSddc`, `CreateEsxiHost`, `DeleteEsxiHost` (erfordern auch `manage instances`, `manage vcns`, `use subnets`, `use vnics`, `use vlans`, `use private-ips`)

Für jeden API-Vorgang erforderliche Berechtigungen

In der folgenden Tabelle werden die API-Vorgänge in einer logischen Reihenfolge nach Ressourcentyp gruppiert aufgeführt.


API-Vorgänge	Für den Vorgang erforderliche Berechtigungen
`ListSddcs`	SDDC_INSPECT
`GetSddc`	SDDC_READ
`CreateSddc`	SDDC_CREATE & INSTANCE_CREATE & INSTANCE_ATTACH_SECONDARY_VNIC & VCN_READ & VCN_ATTACH & SUBNET_READ & SUBNET_ATTACH & VNIC_READ & VNIC_CREATE & VLAN_READ & VLAN_ATTACH & PRIVATE_IP_CREATE & PRIVATE_IP_ASSIGN & SECURITY_LIST_READ & NETWORK_SECURITY_GROUP_LIST_SECURITY_RULES
`ListWorkRequests`	SDDC_INSPECT
`GetWorkRequest`	SDDC_READ
`ChangeSddcCompartment`	SDDC_MOVE
`UpdateSddc`	SDDC_UPDATE
`DeleteSddc`	SDDC_DELETE & INSTANCE_DELETE & INSTANCE_DETACH_SECONDARY_VNIC & VCN_DETACH & SUBNET_DETACH & VLAN_DETACH & VNIC_READ & VNIC_DELETE & PRIVATE_IP_DELETE & PRIVATE_IP_UNASSIGN
`ListEsxiHosts`	SDDC_INSPECT
`CreateEsxiHost`	SDDC_ADD_ESXI_HOST & INSTANCE_CREATE & INSTANCE_ATTACH_SECONDARY_VNIC & VCN_READ & VCN_ATTACH & SUBNET_READ & SUBNET_ATTACH & VLAN_READ & VLAN_ATTACH & VNIC_READ & VNIC_CREATE & PRIVATE_IP_CREATE & PRIVATE_IP_ASSIGN
`UpdateEsxiHost`	SDDC_UPDATE_ESXI_HOST
`DeleteEsxiHost`	SDDC_DELETE_ESXI_HOST & INSTANCE_DELETE & INSTANCE_DETACH_SECONDARY_VNIC & VCN_DETACH & SUBNET_DETACH & VLAN_DETACH & VNIC_READ & VNIC_DELETE & PRIVATE_IP_DELETE & PRIVATE_IP_UNASSIGN

Policys erstellen

Um Policys für eine Benutzergruppe zu erstellen, müssen Sie den Namen der Oracle Cloud Infrastructure-IAM-Gruppe kennen.

So erstellen Sie eine Richtlinie:

Wählen Sie im Navigationsmenü der Konsole die Option Identität und Sicherheit aus. Wählen Sie dann unter Identität die Option Policys aus.
Klicken Sie auf Policy erstellen.
Geben Sie einen Namen und eine Beschreibung (optional) für die Policy ein.
Wählen Sie das Compartment aus, in dem die Policy erstellt werden soll.
Wählen Sie Manuellen Editor anzeigen aus. Geben Sie dann die erforderlichen Policy-Anweisungen ein.
(Optional) Wählen Sie Weitere Policy erstellen aus, um nach dem Erstellen dieser Policy auf der Seite "Policy erstellen" zu bleiben.
Um diese Policy zu erstellen, klicken Sie auf Erstellen.

Allgemeine Policys

Erstellen, Verwalten und Löschen von SDDCs, ESXi-Hosts und VLANs durch Benutzer zulassen

Zugriffstyp: Bietet die Möglichkeit, ein SDDC, einen ESXi-Host oder VLANs zu erstellen, zu verwalten oder zu löschen.

Wo wird die Policy erstellt: Im Mandanten, sodass die Berechtigung, eine VMware-Lösungsressource zu erstellen, zu verwalten oder zu löschen, allen Compartments durch Policy-Übernahme erteilt wird. Um den Geltungsbereich dieser administrativen Funktionen auf SDDCs in einem bestimmten Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten an.

Dieses Policy-Beispiel umfasst auch Berechtigungen für Compute- und Netzwerkressourcen. Diese Compute- und Netzwerkressourcen sind zum Erstellen, Verwalten oder Löschen von SDDCs, ESXi-Hosts oder VLANs erforderlich. Die erforderliche Mindestberechtigung wird jeweils angezeigt.

Allow group <group_name> to manage sddcs in tenancy
Allow group <group_name> to manage instances in tenancy
Allow group <group_name> to manage vcns in tenancy
Allow group <group_name> to use subnets in tenancy
Allow group <group_name> to use vnics in tenancy
Allow group <group_name> to use vlans in tenancy
Allow group <group_name> to use private-ips in tenancy
Allow group <group_name> to inspect security-lists in tenancy
Allow group <group_name> to use network-security-groups in tenancy

Oracle Cloud Infrastructure-Dokumentation