Documentation Oracle Cloud Infrastructure

Ecriture d'instructions de stratégie à l'aide du générateur de stratégies

Utiliser Policy Builder.

Le générateur de stratégies de la console vous aide à créer rapidement des stratégies courantes sans avoir à saisir manuellement les instructions de stratégie. Le générateur de stratégies suggère automatiquement les droits d'accès qu'un administrateur peut accorder à des groupes d'utilisateurs ou de ressources dans leur location, ainsi qu'à des ressources cible telles que des instances, des réseaux et des buckets. La plupart des stratégies suggérées dans le générateur de stratégies sont également disponibles dans Stratégies courantes, où vous trouverez plus de détails sur l'accès fourni par chaque stratégie et les cas d'emploi associés à chacune. Les utilisateurs qui n'ont pas besoin des suggestions proposées par le générateur de stratégies ou qui ont des exigences de stratégie plus complexes peuvent ignorer l'option de base du générateur et accéder directement à l'éditeur avancé, où vous pouvez saisir directement les instructions de stratégie dans une zone de texte à format libre.

Fonctionnalités du générateur de stratégies

Le générateur de stratégies fournit des modèles de stratégie que vous pouvez compléter afin de créer des stratégies pour votre location. Un modèle de stratégie inclut toutes les instructions nécessaires pour fournir les droits d'accès permettant d'effectuer une tâche ou un ensemble de tâches associées dans un service d'OCI. Pour compléter le modèle, sélectionnez le groupe dans le menu des groupes existants de la location et sélectionnez l'emplacement dans la liste des compartiments de la location.

Les modèles de stratégie du générateur de stratégies sont regroupés par cas d'emploi (gestion du réseau, gestion du stockage et gestion des comptes, par exemple) afin de faciliter la navigation et la recherche de l'ensemble de droits d'accès dont vous avez besoin.

Par exemple, supposons que vous configurez les administrateurs réseau de votre location. Vous devez accorder à un groupe d'utilisateurs les droits d'accès requis pour travailler avec toutes les ressources du service Networking. Pour créer cette stratégie dans le générateur de stratégies, procédez comme suit :

  • Commencez par rechercher la stratégie voulue : dans le menu Cas d'emploi de stratégie, sélectionnez Gestion du réseau. Si vous n'êtes pas sûr du cas d'emploi auquel une stratégie appartient, vous pouvez laisser cette option définie sur Tout pour parcourir tous les modèles.
  • Dans le menu Modèles de stratégie courante, sélectionnez Autoriser les administrateurs réseau à gérer un réseau cloud.

    Le générateur de stratégies affiche les instructions de stratégie qui seront créées. Dans ce cas, nous n'avons qu'une instruction :

    Allow {group name} to manage virtual-network-family in {location}
  • Maintenant, vous devez simplement sélectionner le domaine d'identité et le groupe pour la stratégie : lorsque vous sélectionnez un groupe, {group name} dans l'instruction de stratégie affichée est également mis à jour avec votre sélection.
  • Enfin, sélectionnez l'emplacement. Vous pouvez parcourir la hiérarchie de compartiment pour rechercher et sélectionner le compartiment approprié. Pour créer la stratégie dans la location, choisissez le compartiment racine.

Personnalisation des stratégies

Si vous constatez qu'un modèle ne répond pas exactement à vos besoins, vous pouvez personnaliser les stratégies fournies en ajoutant ou enlevant des instructions, en ajoutant des conditions ou en appliquant d'autres modifications pour créer la stratégie qui vous convient. Cliquez sur Afficher l'éditeur manuel pour modifier les instructions dans une zone de texte à format libre. Lorsque vous entrez des instructions directement dans la zone de texte, veillez à respecter les règles de syntaxe de stratégie.

Exemples de personnalisation de la stratégie d'administration réseau :

  • Vous devez inclure un autre groupe (à partir du domaine d'identité par défaut), GroupB, dans cette stratégie. Pour ajouter un groupe :

    Cliquez sur Afficher l'éditeur manuel. Dans la zone de texte, saisissez les modifications à apporter à la stratégie (en suivant la syntaxe requise). 

    Allow group 'Default'/'GroupA', 'Default'/'GroupB' to manage virtual-network-family in compartment CompartmentA

    Cette image présente la zone de texte avancée du générateur de stratégies avec l'instruction modifiée.

    Remarque

    Si vous incluez uniquement le nom de groupe sans domaine d'identité, le générateur de stratégies suppose que le groupe se trouve dans le domaine d'identité par défaut.
  • Vous devez ajouter une condition à l'instruction. Par exemple, vous voulez vous assurer que seuls les utilisateurs vérifiés par l'authentification à plusieurs facteurs peuvent gérer vos réseaux. Vous pouvez ajouter cette condition à l'instruction comme suit :
    Allow group GroupA to manage virtual-network-family in compartment CompartmentA where request.user.mfaTotpVerified='true'
  • Vous voulez ajouter une autre instruction à la stratégie. Par exemple, vous voulez que GroupA soit autorisé à utiliser des instances. Pour ajouter une autre instruction, entrez-la sur la ligne suivante :
    Allow group GroupA to manage virtual-network-family in compartment CompartmentA
Allow group GroupA to use instance-family in compartment CompartmentA

Modification de stratégies avec le générateur de stratégies

Une fois que vous avez créé la stratégie, vous pouvez entrer les modifications d'instruction que vous devez apporter directement dans le texte de la stratégie. Le sélecteur de modèle est disponible uniquement lors de la création d'une stratégie. L'éditeur permet de supprimer, d'ajouter ou de modifier des instructions, ou d'en modifier l'ordre.