Almacenamiento de archivos con políticas Lustre
Utilice el servicio Oracle Cloud Infrastructure Identity and Access Management (IAM) para crear políticas para el almacenamiento de archivos con recursos Lustre.
En este tema, se tratan los detalles de las políticas para controlar el acceso a File Storage con el servicio Lustre. Para obtener más información, consulte Visión general de políticas de IAM.
Visión general de la sintaxis de las políticas
La sintaxis general de una sentencia de política es:
allow <subject> to <verb> <resource-type> in <location> where <condition>Por ejemplo, puede especificar:
-
Un grupo o grupo dinámico por nombre u OCID como
<subject>. O bien, puede utilizarany-userpara abarcar a todos los usuarios del arrendamiento. -
inspect,read,useymanagecomo<verb>para otorgar a<subject>acceso a uno o más permisos.A medida que vaya de
inspect>read>use>manage, el nivel de acceso aumenta y los permisos otorgados se van acumulando. Por ejemplo,useincluyereadmás la capacidad de actualizar. -
Una familia de recursos como
virtual-network-familypararesource-type. O bien, puede especificar un recurso individual en una familia comovcnsysubnets. -
Compartimento por nombre u OCID como
<location>. O bien, puede utilizartenancypara que se abarque todo el arrendamiento.
Para obtener más información sobre la creación de políticas, consulte Introducción a las políticas y Referencia de políticas.
Tipos de recursos
Para proporcionar a los usuarios acceso a File Storage con recursos de Lustre, cree políticas de IAM con File Storage con tipos de recursos de Lustre.
Tipo de recurso de agregado
lustre-file-family
Una política que utiliza <verb> lustre-file-family equivale a escribir una directiva con una sentencia <verb> <individual resource-type> independiente para cada uno de los tipos de recursos individuales.
Consulte en las tablas Detalles del verbo + tipo de recurso los detalles de las operaciones del API que cubre cada verbo para cada tipo de recurso individual incluido en lustre-file-family.
Tipos de recursos individuales
Para acceder a File Storage con recursos de Lustre, utilice cada uno de los siguientes tipos de recursos:
lustre-file-systemlfs-work-request
Consulte Ejemplos de políticas para obtener más información.
Variables soportadas
El servicio File Storage with Lustre soporta todas las variables generales, además de las que se muestran aquí.
Para obtener más información sobre la variables generales soportadas por servicios de OCI, consulte Variables Generales para Todas las Solicitudes.
| Variable | Tipo de variable | Origen |
|---|---|---|
target.lustre-file-system.id |
Entidad (OCID) | Solicitud |
Detalles de las combinaciones de verbo + tipo de recurso
Para crear una política se pueden utilizar varios verbos y tipos de recursos de Oracle Cloud Infrastructure.
En las siguientes tablas se muestran los permisos y la operaciones de API que abarca cada verbo para File Storage with Lustre. El nivel de acceso es acumulativo a medida que pasa de inspect a read a use a manage. Un signo más (+) en una celda de tabla indica el acceso incremental comparado con la celda que le precede directamente, mientras que "sin extra" indica no hay acceso incremental.
| Verbos | Permisos | API totalmente cubiertas | API parcialmente cubiertas |
|---|---|---|---|
| inspect |
LUSTRE_FILE_SYSTEM_INSPECT |
|
ninguno |
| leído |
INSPECT + LUSTRE_FILE_SYSTEM_READ |
INSPECT +
|
ninguno |
| usar |
READ + LUSTRE_FILE_SYSTEM_UPDATE |
READ +
|
ninguno |
| gestionar |
USE + LUSTRE_FILE_SYSTEM_CREATE LUSTRE_FILE_SYSTEM_DELETE LUSTRE_FILE_SYSTEM_MOVE |
USE +
|
ninguno |
| Verbos | Permisos | API totalmente cubiertas | API parcialmente cubiertas |
|---|---|---|---|
| inspect |
LFS_WORK_REQUEST_INSPECT |
ListWorkRequestLogs |
ninguno |
| leído |
INSPECT + LFS_WORK_REQUEST_READ |
INSPECT +
|
ninguno |
| usar |
READ + ninguno |
READ + ninguno |
ninguno |
| gestionar |
USE + LFS_WORK_REQUEST_DELETE |
USE +
|
ninguno |
Permisos necesarios para cada operación de API
en la siguiente tabla se muestran las operaciones de API para OCI Database with PostgreSQL en un orden lógico, agrupadas por tipo de recurso.
Los tipos de recursos son lustre-file-system y lfs-work-request.
Para obtener información sobre los permisos, consulte Permisos.
| Operación de API | Permisos necesarios para utilizar la operación |
|---|---|
ListLustreFileSystems |
LUSTRE_FILE_SYSTEM_INSPECT |
GetLustreFileSystem |
LUSTRE_FILE_SYSTEM_READ |
CreateLustreFileSystem |
LUSTRE_FILE_SYSTEM_CREATE |
UpdateLustreFileSystem |
LUSTRE_FILE_SYSTEM_UPDATE |
DeleteLustreFileSystem |
LUSTRE_FILE_SYSTEM_DELETE |
ChangeLustreFileSystemCompartment |
LUSTRE_FILE_SYSTEM_MOVE |
ListWorkRequests |
LFS_WORK_REQUEST_INSPECT |
GetWorkRequest |
LFS_WORK_REQUEST_READ |
CancelWorkRequest |
LFS_WORK_REQUEST_DELETE |
ListWorkRequestErrors |
LFS_WORK_REQUEST_INSPECT |
ListWorkRequestLogs |
LFS_WORK_REQUEST_INSPECT |
Ejemplos de políticas
Utilice los siguientes ejemplos para crear políticas comunes además de las necesarias para sistemas de archivos y las necesarias si está cifrando sistemas de archivos con su propia clave.
Permitir que un grupo utilice pero no suprima sistemas de archivos
allow group lfsadminusers to use lustre-file-family in compartment <file_system_compartment>