Appel de services à partir d'une instance
Cette rubrique explique comment autoriser des instances Compute à appeler des services dans Oracle Cloud Infrastructure.
Introduction
Cette procédure explique comment autoriser une instance Compute à effectuer des appels d'API dans les services Oracle Cloud Infrastructure. Après avoir configuré les ressources et les stratégies requises, une application exécutée sur une instance peut appeler des services publics Oracle Cloud Infrastructure. Ainsi, vous n'avez pas besoin de configurer des informations d'identification utilisateur ou un fichier de configuration.
Concepts
- Groupe dynamique
- Les groupes dynamiques permettent de regrouper des instances Oracle Cloud Infrastructure Compute en tant qu'acteurs principaux, semblables à des groupes d'utilisateurs. Vous pouvez ensuite créer des stratégies permettant aux instances de ces groupes d'effectuer des appels d'API vers les services Oracle Cloud Infrastructure. L'appartenance au groupe est déterminée par un ensemble de critères que vous définissez, appelé règles de mise en correspondance.
- Règle de mise en correspondance
- Lorsque vous configurez un groupe dynamique, vous définissez également les règles d'appartenance au groupe. Les ressources qui répondent aux critères de règle sont membres du groupe dynamique. Les règles de mise en correspondance ont une syntaxe spécifique que vous devez suivre. Reportez-vous à Ecriture de règles de mise en correspondance pour définir des groupes dynamiques.
- Principaux d'instance
- Fonctionnalité du service IAM permettant aux instances Compute d'être des acteurs autorisés (ou des principaux) pour effectuer des actions sur les ressources de service. Chaque instance Compute possède sa propre identité et est authentifiée à l'aide des certificats qui lui sont ajoutés. Ces certificats sont créés et affectés aux instances, et font également l'objet d'une rotation, le tout de façon automatique. Cela vous évite d'avoir à diffuser les informations d'identification aux hôtes et d'effectuer leur rotation.
Remarques concernant la sécurité
Tout utilisateur ayant accès à l'instance Compute (via une connexion SSH) hérite automatiquement des privilèges octroyés à celle-ci. Avant d'accorder des droits d'accès à une instance à l'aide du processus décrit dans cette rubrique, assurez-vous que vous savez quels utilisateurs peuvent y accéder (car ils disposent de la clé SSH ou car vous les avez ajoutés en tant qu'utilisateurs à l'instance) et qu'ils doivent être autorisés avec les droits d'accès accordés à l'instance.
Tous les principaux d'instance Compute bénéficient du droit d'accès compartment_inspect
. Vous ne pouvez pas révoquer ce droit d'accès. Ce droit d'accès permet à l'instance d'effectuer l'opération ListCompartments dans la location afin d'extraire les informations suivantes :
- Noms de compartiment
- Descriptions de compartiment
- Balises de format libre appliquées aux compartiments
- Valeurs par défaut des balises automatiques appliquées aux compartiments. Ces balises, telles que CreatedBy et CreatedOn, se trouvent dans l'espace de noms Oracle-Tag et sont automatiquement ajoutées par Oracle.