Documentation Oracle Cloud Infrastructure

Gestion des identités et des accès isolées Compute Cloud@Customer

Identity and Access Management Service (IAM) sur Oracle Compute Cloud@Customer Isolated permet de contrôler les utilisateurs qui ont accès aux ressources de la location d'infrastructure locale.

Vous pouvez créer des utilisateurs, des groupes d'utilisateurs et des groupes dynamiques (groupes d'instances) et créer des stratégies pour autoriser différents types d'accès aux ressources indiquées dans les compartiments indiqués.

Un administrateur de location a pour tâche de contrôler le type d'accès dont dispose un groupe d'utilisateurs et les ressources spécifiques auxquelles cet accès s'applique. La responsabilité de gérer et de gérer le contrôle d'accès peut être déléguée à d'autres utilisateurs privilégiés, par exemple en leur accordant un accès complet à un sous-compartiment de la location.

Outre les utilisateurs, les principaux d'instance sont également autorisés à gérer les ressources.

Tâche

Liens

Les compartiments sont les principaux composants permettant d'organiser et de contrôler l'accès aux ressources cloud. Les utilisateurs peuvent créer des compartiments pour séparer l'accès aux ressources.

Votre location est le compartiment racine dans lequel vous pouvez créer des ressources cloud et d'autres compartiments. Vous pouvez créer des hiérarchies comportant jusqu'à six niveaux. Vous pouvez limiter l'accès aux ressources de compartiment à des groupes d'utilisateurs spécifiés au moyen de stratégies.

Création et gestion des compartiments

Une location comporte un utilisateur administratif dans un groupe d'administrateurs et une stratégie permet au groupe d'administrateurs de gérer la location. Un administrateur crée des comptes pour d'autres utilisateurs.

Afin d'autoriser les utilisateurs à accéder uniquement à un sous-ensemble de ressources de la location ou d'un autre compartiment, ou pour fournir un accès de gestion moins que complet à certaines ressources, l'administrateur de location ajoute des comptes utilisateur à des groupes et crée des stratégies pour ces groupes.

En tant qu'administrateur de location, lors de la création d'un compte utilisateur, fournissez un mot de passe temporaire à l'utilisateur afin qu'il puisse définir son propre mot de passe et activer son compte.

Créer et gérer des comptes utilisateur

L'accès aux ressources cloud est accordé aux groupes et non directement aux utilisateurs. Un compte utilisateur n'est automatiquement membre d'aucun groupe. Vous devez ajouter l'utilisateur à un groupe, puis créer une stratégie d'accès pour ce groupe.

Un groupe est un ensemble d'utilisateurs qui ont le même type d'accès au même ensemble de ressources cloud. Organisez les utilisateurs en groupes en fonction des compartiments et des ressources auxquels ils ont besoin d'accéder et de la façon dont ils doivent utiliser ces ressources. Un utilisateur peut être membre de plusieurs groupes.

Créer et gérer des groupes d'utilisateurs

Si votre organisation utilise déjà Microsoft Active Directory pour gérer les informations d'identification utilisateur, vous pouvez configurer la fédération afin que les utilisateurs puissent se connecter à Compute Cloud@Customer Isolated à l'aide des mêmes informations d'identification.

Fédération avec Microsoft Active Directory

Un principal d'instance est une instance de calcul autorisée à effectuer des actions sur les ressources de service. Les applications exécutées sur un principal d'instance peuvent appeler des services et gérer des ressources de la même manière que les utilisateurs isolés de Compute Cloud@Customer appellent des services pour gérer des ressources, mais sans avoir à configurer des informations d'identification utilisateur.

Pour accorder des autorisations à un principal d'instance, incluez l'instance en tant que membre d'un groupe dynamique.

Configuration d'instances pour appeler des services

Les groupes dynamiques sont des groupes d'instances de calcul qui répondent aux critères définis pour le groupe. L'adhésion change lorsque les instances répondent ou ne répondent plus aux critères.

Affectez des stratégies pour définir les droits d'accès des applications exécutées sur les instances d'un groupe dynamique.

Créer et gérer des groupes dynamiques

Le principe de sécurité de base est que tous les accès sont refusés sauf si une autorisation explicite est accordée. Une stratégie est un ensemble nommé d'instructions de stratégie, chaque instruction octroyant des droits d'accès aux ressources aux utilisateurs.

Lorsque vous créez une stratégie, elle doit être attachée à un compartiment. Le compartiment auquel vous l'attachez détermine les personne pouvant le modifier. Les compartiments héritent des stratégies de leur compartiment parent.

Toutes les instructions de stratégie sont écrites avec la même syntaxe générale :

Allow <subject> to <verb> <resource-type> in <location> where <conditions>

Gestion des stratégies

Syntaxe des instructions de stratégie

Le balisage permet d'ajouter des métadonnées aux ressources en appliquant des paires clé/valeur.

  • Les balises à format libre permettent aux utilisateurs d'inclure rapidement et facilement des informations pertinentes dans les métadonnées de la ressource.

  • Les balises définies permettent d'appliquer l'utilisation de clés et de valeurs particulières. Les balises associées peuvent être regroupées dans un espace de noms de balise commun.

Vous pouvez utiliser les valeurs de balise par défaut pour appliquer automatiquement une balise définie à une ressource lors de sa création. Des balises de ressource spéciales peuvent également être utilisées pour étendre les fonctionnalités.

Balisage des ressources

Configuration des valeurs de balise par défaut

Etendre les fonctionnalités avec des balises de ressource