Documentation Oracle Cloud Infrastructure

Introduction aux stratégies

Si vous ne connaissez pas les stratégies Oracle Cloud Infrastructure Identity and Access Management (IAM), cette rubrique vous indique comment procéder.

Si vous réalisez une étude de faisabilité

Si vous essayez simplement Oracle Cloud Infrastructure ou si vous réalisez un projet d'étude de faisabilité avec des ressources d'infrastructure, quelques administrateurs avec un accès total peuvent suffire. Dans ce cas, vous pouvez simplement créer les utilisateurs dont vous avez besoin et les ajouter au groupe d'administrateurs. Les utilisateurs pourront effectuer toutes les opérations sur tout type de ressource. Vous pouvez également créer toutes vos ressources directement dans la location (compartiment racine). Vous n'avez pas encore besoin de créer de compartiments, ni d'autres stratégies à part la stratégie d'administration de locataires, qui est fournie automatiquement avec votre location et ne peut pas être modifiée.

Remarque

N'oubliez pas d'ajouter vos nouveaux utilisateurs au groupe d'administrateurs ; il est facile d'oublier de le faire après les avoir créés.

Si vous avez passé la phase d'étude de faisabilité

Si vous avez passé la phase d'étude de faisabilité et souhaitez limiter l'accès à vos ressources, commencez par effectuer les actions suivantes :

FAQ sur les stratégies

Pour quels services d'Oracle Cloud Infrastructure puis-je contrôler l'accès via des stratégies ?

Tous les services, y compris IAM. Vous trouverez des détails spécifiques sur l'écriture des stratégies pour chaque service dans la référence de stratégie.

Les utilisateurs peuvent-ils réaliser des opérations sans qu'un administrateur écrive une stratégie pour eux ?

Oui. Tous les utilisateurs peuvent automatiquement effectuer les opérations suivantes sans stratégie explicite :

  • Modifier ou réinitialiser leur propre mot de passe de console.
  • Gérer leurs propres clés de signature d'API et d'autres informations d'identification.
Pourquoi séparer les ressources par compartiment ? Est-il possible de simplement placer toutes les ressources dans un seul compartiment, puis d'utiliser des stratégies pour contrôler qui a accès à chacune d'elles ?

Vous pouvez placer toutes vos ressources dans un seul compartiment et utiliser des stratégies pour contrôler l'accès, mais vous perdrez les avantages de la mesure de l'utilisation et de la facturation par compartiment, de l'administration simplifiée des stratégies au niveau du compartiment et de la séparation claire des ressources en fonction des projets ou des unités opérationnelles.

Puis-je contrôler l'accès d'un utilisateur individuel ou lui refuser l'accès ?

Oui. Cependant, vous devez d'abord connaître quelques éléments :

  • Les sociétés possèdent généralement plusieurs utilisateurs qui ont besoin de droits d'accès similaires : les stratégies sont donc conçues pour donner accès à des groupes d'utilisateurs et non à des utilisateurs individuels. Un utilisateur obtient un accès parce qu'il appartient à un groupe.
  • Les stratégies sont conçues pour autoriser l'accès ; il n'existe aucun refus explicite lorsque vous les écrivez.

Si vous devez accorder l'accès à un utilisateur en particulier, vous pouvez ajouter à la stratégie une condition spécifiant l'OCID de l'utilisateur dans une variable. Cette construction restreint l'accès octroyé par la stratégie à l'utilisateur indiqué dans la condition. Par exemple :

allow any-group to read object-family in compartment ObjectStorage where request.user.id ='ocid1.user.oc1..<user_OCID>'

Pour plus d'informations sur l'utilisation des conditions et des variables dans les stratégies, reportez-vous à Conditions.

Si vous avez besoin de limiter l'accès d'un utilisateur particulier, vous pouvez :

  • retirer l'utilisateur du groupe en question,
  • supprimer entièrement l'utilisateur d'IAM (vous devez d'abord enlever l'utilisateur de tous les groupes).
Comment supprimer un utilisateur ?

Assurez-vous d'abord que l'utilisateur ne fait partie d'aucun groupe. Ce n'est qu'ensuite qu'il peut être supprimé.

Comment savoir quelles stratégies s'appliquent à un groupe ou à un utilisateur particulier ?

Vous devez examiner les instructions individuelles de toutes vos stratégies pour connaître celles qui s'appliquent à chaque groupe. Il n'existe actuellement aucun moyen simple d'obtenir ces informations.

Comment savoir quelles stratégies s'appliquent à un compartiment particulier ?

Vous devez examiner les instructions individuelles dans toutes les stratégies de la location pour voir si certaines s'appliquent au compartiment en question. Vous devez également examiner les stratégies du compartiment. Les stratégies dans les compartiments semblables ne peuvent pas faire référence au compartiment en question, vous n'avez donc pas besoin de les vérifier.