Gestion des groupes
Cette rubrique décrit les notions de base de l'utilisation des groupes.
Si votre location est fédérée avec Oracle Identity Cloud Service, reportez-vous à Gestion des utilisateurs et des groupes Oracle Identity Cloud Service dans la console Oracle Cloud Infrastructure pour gérer des groupes.
Stratégie IAM requise
Si vous appartenez au groupe d'administrateurs, vous disposez de l'accès requis pour gérer les groupes.
Si vous ne connaissez pas les stratégies, reportez-vous à Introduction aux stratégies et à Stratégies courantes. Si vous souhaitez en savoir plus sur l'écriture de stratégies pour les groupes ou d'autres composants IAM, reportez-vous à Détails relatifs à IAM sans domaine d'identité.
Balisage des ressources
Appliquez des balises à vos ressources afin de les organiser selon les besoins de votre entreprise. Appliquer des balises lors de la création d'une ressource ou mettre à jour la ressource ultérieurement avec les balises souhaitées. Pour obtenir des informations générales sur l'application de balises, reportez-vous à Balises de ressource.
Utilisation des groupes
Lorsque vous créez un groupe, vous devez lui donner un nom unique, qui ne peut pas être modifié. Le nom doit être unique parmi tous les groupes de votre location. Vous devez également lui fournir une description (bien qu'il puisse s'agir d'une chaîne vide). Cette description n'est pas nécessairement unique et peut être modifiée. Oracle affecte également au groupe un ID unique, appelé OCID (Oracle Cloud ID). Pour plus d'informations, reportez-vous à Identificateurs de ressource.
Si vous supprimez un groupe, puis en créez un autre avec le même nom, ils seront considérés comme des groupes distincts car ils auront des OCID différents.
Un groupe ne dispose d'aucun droit d'accès tant que vous n'avez pas écrit au moins une stratégie lui permettant d'accéder à la location ou à un compartiment. Lors de l'écriture de la stratégie, vous pouvez spécifier le groupe concerné en utilisant son nom unique ou son OCID. Comme l'indique la remarque précédente, même si vous indiquez le nom du groupe dans la stratégie, IAM utilise l'OCID pour l'identifier en interne. Pour plus d'informations sur l'écriture de stratégies, reportez-vous à Gestion des stratégies.
Vous ne pouvez supprimer un groupe que s'il est vide.
Pour plus d'informations sur le nombre de groupes dont vous pouvez disposer, reportez-vous à Limites de service.
Si vous effectuez une fédération avec un fournisseur d'identités, vous allez créer des correspondances entre les groupes de celui-ci et les groupes IAM. Pour plus d'informations, reportez-vous à Fédération avec les fournisseurs d'identités.
Utilisation de la console
- Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Domaines. La liste des groupes de votre location s'affiche.
- Cliquez sur Créer un groupe.
- Entrez les informations suivantes :
- Nom : nom unique du groupe. Le nom doit être unique parmi tous les groupes de votre location. Vous ne pouvez pas modifier cet élément ultérieurement. Le nom doit comprendre entre 1 et 100 caractères et peut comporter les caractères suivants : minuscules a-z, majuscules A-Z, 0 à 9, point (.), tiret (-) et trait de soulignement (_). Les espaces ne sont pas autorisés. Evitez de saisir des informations confidentielles.
- Description : description conviviale. Vous pourrez modifier cet élément ultérieurement si vous le souhaitez.
- Balises : si vous êtes autorisé à créer une ressource, vous disposez également des droits d'accès nécessaires pour lui appliquer des balises à format libre. Pour appliquer une balise définie, vous devez disposer de droits d'accès permettant d'utiliser l'espace de noms de balise. Pour plus d'informations sur le balisage, reportez-vous à Balises de ressource. Si vous n'êtes pas certain d'appliquer des balises, ignorez cette option ou demandez à un administrateur. Vous pouvez appliquer des balises ultérieurement.
- Cliquez sur Créer un groupe.
Ensuite, vous pouvez ajouter des utilisateurs au groupe ou écrire une stratégie pour celui-ci. Reportez-vous à Procédure de création d'une stratégie.
- Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Domaines. La liste des groupes de votre location s'affiche.
- Recherchez le groupe dans la liste.
- Cliquez sur le groupe. Les détails du réseau sont affichés
- Cliquez sur Ajouter un utilisateur à un groupe.
- Sélectionnez l'utilisateur dans la liste déroulante, puis cliquez sur Ajouter un utilisateur.
- Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Domaines. La liste des groupes de votre location s'affiche.
- Recherchez le groupe dans la liste.
- Cliquez sur le groupe pour en afficher les détails. La liste des utilisateurs du groupe apparaît.
- Recherchez l'utilisateur dans la liste.
- Cliquez sur l'option Enlever correspondant à l'utilisateur à enlever.
- Confirmez l'opération lorsque vous y êtes invité.
Prérequis : pour supprimer un groupe, celui-ci ne doit contenir aucun utilisateur.
- Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Domaines. La liste des groupes de votre location s'affiche.
- Recherchez le groupe dans la liste.
- Cliquez sur l'option Supprimer correspondant au groupe à supprimer.
- Confirmez l'opération lorsque vous y êtes invité.
Cette option n'est disponible que via l'API. Si vous n'avez pas accès à l'API et que vous devez mettre à jour la description d'un groupe, contactez le support technique Oracle.
Utilisation de l'API
Pour plus d'informations sur l'utilisation de l'API et la signature des demandes, reportez-vous à la documentation relative à l'API REST et à Informations d'identification de sécurité. Pour plus d'informations sur les kits SDK, reportez-vous à Kits SDK et interface de ligne de commande.
Les mises à jour ne sont pas immédiates dans toutes les régions
Vos ressources IAM résident dans votre région d'origine. Pour appliquer une stratégie à l'ensemble des régions, le service IAM réplique vos ressources dans chaque région. Chaque fois que vous créez ou modifiez une stratégie, un utilisateur ou un groupe, les modifications sont d'abord appliquées dans la région d'origine, puis propagées vers les autres régions. L'application des modifications à toutes les régions peut prendre plusieurs minutes. Par exemple, supposons que vous disposez d'un groupe doté de droits d'accès permettant de lancer des instances dans la location. Si vous ajoutez UserA à ce groupe, UserA pourra lancer des instances dans votre région d'origine dans la minute qui suit. Toutefois, UserA ne pourra pas lancer d'instances dans d'autres régions tant que le processus de réplication n'est pas terminé. Ce processus peut prendre plusieurs minutes. Si UserA tente de lancer une instance avant la fin de la réplication, une erreur indiquant que l'opération n'est pas autorisée est générée.
Utilisez ces opérations d'API pour gérer les groupes :
- CreateGroup
- ListGroups
- GetGroup
- UpdateGroup : vous ne pouvez mettre à jour que la description du groupe.
- DeleteGroup
- ListUserGroupMemberships : cette opération permet d'obtenir la liste des utilisateurs se trouvant dans un groupe ou la liste des groupes auxquels appartient un utilisateur.
- AddUserToGroup : cette opération génère un objet
UserGroupMembershipavec son propre OCID. - GetUserGroupMembership
- RemoveUserFromGroup : cette opération supprime un objet
UserGroupMembership.
Afin de connaître les opérations d'API associées aux correspondances de groupes pour les fournisseurs d'identités, reportez-vous à Fédération avec les fournisseurs d'identités.