Détails du service Functions
Cette rubrique traite des détails relatifs à l'écriture de stratégies visant à contrôler l'accès aux fonctions OCI.
Types de ressource
Type agrégé de ressource
functions-family
Types individuels de ressource
fn-appfn-functionfn-invocation
Commentaires
Une stratégie qui utilise <verb> functions-family équivaut à écrire une stratégie avec une instruction <verb> <individual resource-type> distincte pour chaque type individuel de ressource.
Reportez-vous au tableau dans Détails des combinaisons de verbe et de type de ressource afin d'obtenir des détails sur les opérations d'API couvertes par chaque verbe, pour chaque type individuel de ressource inclus dans functions-family.
Variables prises en charge
OCI Functions prend en charge toutes les variables générales (reportez-vous à Variables générales pour toutes les demandes).
Détails des combinaisons de verbe et de type de ressource
Les tableaux suivants indiquent les droits d'accès et les opérations d'API couverts par chaque verbe. Le niveau d'accès est cumulatif à mesure que vous passez d'un verbe à l'autre de la façon suivante :inspect > read > use > manage. Par exemple, un groupe qui peut utiliser une ressource peut également inspecter et lire cette ressource. La présence d'un signe plus (+) dans une cellule du tableau indique un accès incrémentiel par rapport à la cellule située directement au-dessus, tandis que la mention "aucun élément supplémentaire" indique l'absence d'accès incrémentiel.
Par exemple, le verbe read pour le type de ressource fn-app inclut les mêmes droits d'accès et opérations d'API que le verbe inspect, plus le droit d'accès FN_APP_READ et l'opération d'API GetApp. Dans le cas du type de ressource fn-app, le verbe use ne couvre aucune opération d'API ni aucun droit d'accès supplémentaire par rapport à read. Enfin, manage couvre davantage de droits d'accès et d'opérations que use.
| Verbes | Droits d'accès | API complètement couvertes | API partiellement couvertes |
|---|---|---|---|
| inspect | FN_APP_LIST |
ListApp
|
aucun |
| read | INSPECT + FN_APP_READ |
INSPECT +
|
aucun |
| use | aucun élément supplémentaire |
aucun élément supplémentaire |
aucun |
| manage | USE + FN_APP_CREATE FN_APP_DELETE FN_APP_UPDATE |
USE +
|
aucun |
| Verbes | Droits d'accès | API complètement couvertes | API partiellement couvertes |
|---|---|---|---|
| inspect | FN_FUNCTION_LIST |
ListFunctions
|
aucun |
| read | INSPECT + FN_FUNCTION_READ |
INSPECT +
|
aucun |
| use | aucun élément supplémentaire |
aucun élément supplémentaire |
aucun |
| manage | USE + FN_FUNCTION_CREATE FN_FUNCTION_DELETE FN_FUNCTION_UPDATE |
USE +
|
aucun |
| Verbes | Droits d'accès | API complètement couvertes | API partiellement couvertes |
|---|---|---|---|
| inspect | aucun |
aucun |
aucun |
| read | aucun |
aucun |
aucun |
| use | FN_INVOCATION |
InvokeFunction
|
aucun |
| manage | aucun élément supplémentaire |
aucun élément supplémentaire |
aucun |
Droits d'accès requis pour chaque opération d'API
Le tableau suivant répertorie les opérations d'API dans un ordre logique, regroupées par type de ressource. Pour plus d'informations sur les droits d'accès, reportez-vous à Droits d'accès.
| Opération d'API | Droits d'accès requis pour utiliser l'opération |
|---|---|
CreateApp
|
FN_APP_CREATE |
DeleteApp
|
FN_APP_DELETE |
ListApp
|
FN_APP_LIST |
GetApp
|
FN_APP_READ |
UpdateApp
|
FN_APP_UPDATE |
CreateFunction
|
FN_FUNCTION_CREATE |
DeleteFunction
|
FN_FUNCTION_DELETE |
ListFunctions
|
FN_FUNCTION_LIST |
GetFunction
|
FN_FUNCTION_READ |
UpdateFunction
|
FN_FUNCTION_UPDATE |
InvokeFunction
|
FN_INVOCATION |