Tagování Oracle Cloud Infrastructure (OCI) umožňuje přidávat metadata ke zdrojům ve formě párů klíč-hodnota. Jedním z primárních případů použití tagování je řízení přístupu. Značky v zásadách OCI Identity and Access Management (IAM) můžete použít ke kontrole toho, kdo má oprávnění vytvářet, číst, aktualizovat a mazat (CRUD) u označených prostředků.
Pomocí řízení přístupu založeného na značkách (TBAC) můžete použít podmínky se sadou značek k vymezení přístupu na základě značek, které byly použity na zdroj. Přístup můžete řídit na základě značky, která existuje u žádajícího prostředku, jako je skupina, dynamická skupina nebo oddíl, nebo podle cíle požadavku, jako je zdroj nebo oddíl.
V současné době zásady OCI IAM, které upravují přístup na základě značek použitých na cílový zdroj, neumožňují oprávnění, která vracejí seznam zdrojů. Toto vyloučení ztěžuje uživatelům zobrazení zdrojů, které mohou jinak spravovat v konzole.
V tomto příspěvku ukážeme, jak můžete uvést zdroje pomocí zásad IAM, které upravují přístup na základě použitých značek. Tento přístup vylepšuje politiku založenou na značkách, protože umožňuje uživatelům snadněji používat konzoli tím, že jim umožňuje vidět zdroj, který chtějí spravovat, což zlepšuje zkušenost koncového uživatele.
Příklad scénáře
Zvažte scénář, kdy máte požadavek na poskytnutí podrobnějšího přístupu ke zdrojům ve vašem pronájmu OCI. Rozhodli jste se použít TBAC, který vám umožňuje používat podmínky a sadu proměnných značek k zápisu zásad pro přístup k rozsahu na základě značek, které jste použili na své prostředky.
Jak je znázorněno na obrázku 2, tato metoda předpokládá, že máte ve svém pronájmu sadu zdrojů pod konkrétním oddílem a chcete, aby členové DemoGroup1 měli úplný přístup ke konkrétním zdrojům v rámci daného oddílu.
K dosažení tohoto cíle použijte následující kroky:
- Označte konkrétní zdroje, ke kterým je přístup udělen členům DemoGroup1.
- Napište zásady IAM (obrázek 1) pro rozsah přístupu na základě značek, které jste použili pro své zdroje. Tato zásada uděluje členům DemoGroup1 úplný přístup k označeným zdrojům.
Obrázek 1: Zásady IAM s přístupem založeným na značkách.
Obrázek 2: Použití štítků na zdroje v přihrádce.
Když byla oprávnění definována prostřednictvím prohlášení o zásadách IAM, členové DemoGroup1 mají přístup nezbytný k zobrazení a správě prostředku v konzole. Ačkoli však členům DemoGroup1 byl udělen úplný přístup ke zdrojům, když tito uživatelé přistupují ke konzole, nemohou zobrazit žádné ze zdrojů, které mohou spravovat. Při pokusu o přístup ke zdrojům se uživatelům zobrazí chyba autorizace, jak je znázorněno na následujících obrázcích:
Obrázek 3: Chyba autorizace na stránce Instance.
Obrázek 4: Chyba autorizace na stránce Segmenty.
Obrázek 5: Chyba autorizace na stránce Load Balancers.
Tito uživatelé (členové DemoGroup1) nemohou zobrazit zdroje, ke kterým jim byl přidělen plný přístup. S TBAC zásady IAM, které upravují přístup na základě značek použitých na cílový zdroj, nemohou povolit oprávnění, která vám umožňují vrátit seznam zdrojů. Výsledkem je, že DemoGroup1 nemůže uvést žádné ze zdrojů, které mohou tito uživatelé jinak spravovat. Členové DemoGroup1 nemohou používat konzoli k interakci s těmito prostředky, jak je vidět v chybě zobrazené na obrázcích 3, 4 a 5.
Chcete-li umožnit výpis a prohlížení těchto zdrojů, je nutné rozšířit přístup k zásadám. Musíte udělit další prohlášení o zásadách s oprávněním, buď prohlížet nebo číst, abyste umožnili výpis zdrojů. Chcete-li povolit DemoGroup1 seznam těchto zdrojů, musíte přidat další prohlášení o zásadách:
Obrázek 6: Zásady IAM s rozšířeným přístupem.
Obrázek 7: Diagram oddělení zobrazující rozšířený přístup
Když je prostřednictvím přidaného prohlášení o zásadách uděleno oprávnění k povolení výpisu zdrojů, členové DemoGroup1 mohou prohlížet a spravovat zdroj v konzole.
Obrázek 8: Segmenty jsou nyní dostupné s přidaným prohlášením o zásadách.
Obrázek 9: Nástroje pro vyrovnávání zatížení jsou nyní dostupné s přidaným prohlášením o zásadách.
Obrázek 10: Instance nyní přístupné s přidaným prohlášením o zásadách.
Když rozšíříte přístup udělením oprávnění k inspekci pomocí jiného prohlášení o zásadách, na rozdíl od jiných zdrojů konzola uvádí instance s jejich Oracle Cloud Identifier (OCID) namísto názvu hostitele. Aby uživatelé mohli spravovat instance, musí znát OCID instance. Z hlediska uživatelské zkušenosti je správa těchto instancí obtížnější.
Chcete-li se tomuto problému vyhnout, můžete udělit oprávnění ke čtení (místo kontroly) pomocí jiného prohlášení o zásadách, které povolí výpis instancí se zobrazenými názvy hostitelů namísto jejich OCID:
Obrázek 11: Přidání prohlášení o zásadách pro zobrazení instancí s názvy hostitelů namísto OCID.
Obrázek 12: Diagram oddělení zobrazující udělený přístup pro čtení.
Členové DemoGroup1 mohou z konzoly prohlížet instance se zobrazeným názvem hostitele namísto svého OCID.
Obrázek 13: Instance zobrazené s názvy hostitelů zobrazenými namísto OCID.
Závěr
Řízení přístupu založené na značkách poskytuje vašim zásadám větší flexibilitu tím, že vám umožňuje definovat zásady přístupu pomocí značek, které zahrnují oddíly, skupiny a zdroje. Pomocí podmínek a sady proměnných značek můžete napsat zásady pro přístup k oboru na základě značek, které byly použity na zdroj. Přístup můžete řídit na základě značky, která existuje u žádajícího prostředku, jako je skupina, dynamická skupina nebo oddíl, nebo podle cíle požadavku, jako je zdroj nebo oddíl.
S TBAC zásady IAM, které upravují přístup na základě značek použitých na cílový zdroj, nemohou povolit oprávnění, která vám umožňují vrátit seznam zdrojů. Je vyžadováno rozšíření přístupu k zásadám. Musíte udělit další prohlášení o zásadách s oprávněním buď prohlížet nebo číst, abyste umožnili výpis zdrojů.
Pro více informací nás neváhejte kontaktovat.
Zdroj: Oracle
