Oracle Cloud Infrastructure-Dokumentation

Isoliertes Identity and Access Management von Compute Cloud@Customer

Der Identity and Access Management Service (IAM) auf Oracle Compute Cloud@Customer Isolated bietet die Kontrolle darüber, welche Benutzer welchen Zugriff auf welche Ressourcen in Ihrem lokalen Infrastrukturmandanten haben.

Sie können Benutzer, Benutzergruppen und dynamische Gruppen (Instanzgruppen) erstellen und Policys erstellen, um verschiedene Zugriffstypen auf angegebene Ressourcen in angegebenen Compartments zuzulassen.

Es ist die Aufgabe eines Mandantenadministrators, zu steuern, welchen Zugriffstyp eine Benutzergruppe hat und für welche spezifischen Ressourcen dieser Zugriff gilt. Die Verantwortung für die Verwaltung und Verwaltung der Zugriffskontrolle kann an andere privilegierte Benutzer delegiert werden, z.B. indem ihnen vollständiger Zugriff auf ein Sub-Compartment des Mandanten erteilt wird.

Neben Benutzern haben Instanz-Principals auch die Berechtigung zum Verwalten von Ressourcen.

Aufgabe

Links

Compartments sind die wichtigsten Bausteine für die Organisation und Kontrolle des Zugriffs auf Cloud-Ressourcen. Benutzer können Compartments erstellen, um den Zugriff auf Ressourcen zu trennen.

Ihr Mandant ist das Root Compartment, in dem Sie Cloud-Ressourcen und andere Compartments erstellen können. Sie können Compartments-Hierarchien erstellen, die bis zu sechs Ebenen tief sind. Sie können den Zugriff auf Compartment-Ressourcen über Policys auf bestimmte Benutzergruppen beschränken.

Compartments erstellen und verwalten

Ein Mandant hat einen administrativen Benutzer in einer Administratorengruppe. Mit einer Policy kann die Administratorengruppe den Mandanten verwalten. Ein Administrator erstellt Accounts für andere Benutzer.

Um Benutzern nur Zugriff auf eine Teilmenge von Ressourcen im Mandanten oder in einem anderen Compartment zu erteilen oder weniger als vollständigen Verwaltungszugriff auf einige Ressourcen zu gewähren, fügt der Mandantenadministrator Benutzeraccounts zu einer oder mehreren Gruppen hinzu und erstellt Policys für diese Gruppen.

Geben Sie als Mandantenadministrator beim Erstellen eines Benutzeraccounts ein temporäres Kennwort für den Benutzer an, damit dieser sein eigenes Kennwort festlegen und seinen Account aktivieren kann.

Benutzeraccounts erstellen und Verwalten

Der Zugriff auf Cloud-Ressourcen wird Gruppen gewährt, nicht direkt Benutzern. Ein Benutzeraccount ist nicht automatisch Mitglied einer Gruppe. Sie müssen den Benutzer zu einer Gruppe hinzufügen und dann eine Zugriffs-Policy für diese Gruppe erstellen.

Eine Gruppe ist eine Gruppe von Benutzern, die denselben Zugriffstyp auf dasselbe Set von Cloud-Ressourcen haben. Organisieren Sie Benutzer in Gruppen, je nachdem, auf welche Compartments und Ressourcen sie zugreifen müssen und wie sie mit diesen Ressourcen arbeiten müssen. Ein Benutzer kann Mitglied mehrerer Gruppen sein.

Benutzergruppen erstellen und verwalten

Wenn Ihre Organisation bereits Microsoft Active Directory zur Verwaltung von Benutzerzugangsdaten verwendet, können Sie die Föderation so einrichten, dass sich Benutzer mit denselben Zugangsdaten bei Compute Cloud@Customer Isolated anmelden können.

Mit Microsoft Active Directory föderieren

Ein Instanz-Principal ist eine Compute-Instanz, die autorisiert ist, Aktionen für Serviceressourcen auszuführen. Anwendungen, die auf einem Instanz-Principal ausgeführt werden, können Services aufrufen und Ressourcen verwalten, ähnlich wie bei isolierten Compute Cloud@Customer-Benutzern Services zum Verwalten von Ressourcen aufgerufen werden, ohne jedoch Benutzerzugangsdaten konfigurieren zu müssen.

Um einem Instanz-Principal Autorisierungen zu erteilen, nehmen Sie die Instanz als Mitglied einer dynamischen Gruppe auf.

Instanzen für den Aufruf von Services konfigurieren

Dynamische Gruppen sind Gruppen von Compute-Instanzen, die den für die Gruppe definierten Kriterien entsprechen. Die Mitgliedschaft ändert sich, wenn Instanzen die Kriterien neu erfüllen oder nicht mehr erfüllen.

Weisen Sie Policys zu, um Berechtigungen für Anwendungen zu definieren, die auf den Instanzen in einer dynamischen Gruppe ausgeführt werden.

Dynamische Gruppen erstellen und verwalten

Die Basissicherheitsvoraussetzung ist, dass der gesamte Zugriff verweigert wird, es sei denn, es wird eine explizite Berechtigung erteilt. Eine Policy ist eine benannte Gruppe von Policy-Anweisungen, bei denen jede Policy-Anweisung Benutzern Berechtigungen für den Zugriff auf Ressourcen erteilt.

Wenn Sie eine Policy erstellen, muss sie an ein Compartment angehängt werden. Wer die Policy ändern kann, hängt davon ab, wer sie ändern kann. Compartments erben Policys aus ihrem übergeordneten Compartment.

Alle Policy-Anweisungen werden mit derselben allgemeinen Syntax geschrieben:

Allow <subject> to <verb> <resource-type> in <location> where <conditions>

Policys verwalten

Syntax der Policy-Anweisung

Mit Tagging können Sie Ressourcen Metadaten hinzufügen, indem Sie Schlüssel/Wert-Paare anwenden.

  • Mit Freiformtags können Benutzer relevante Informationen schnell und bequem in die Metadaten der Ressource aufnehmen.

  • Mit definierten Tags können Sie die Verwendung bestimmter Schlüssel und Werte erzwingen. Zugehörige Tags können in einem allgemeinen Tag-Namespace gruppiert werden.

Mit Tagstandardwerten können Sie ein definiertes Tag automatisch auf eine Ressource anwenden, wenn es erstellt wird. Spezielle Ressourcen-Tags können auch verwendet werden, um die Funktionalität zu erweitern.

Ressourcen taggen

Tagstandardwerte konfigurieren

Funktionalität mit Ressourcentags erweitern