오라클 클라우드

오라클 Advanced Policies

트리스탄1234 2022. 7. 18. 08:49
728x90
반응형

 

앞의 Chapter에서 본 request나 target인자 값의 뒤로 Permission과 operation을 사용을 할수가 있습니다.

이 Permission과 operation은 리소스 운영에서의 사용자 권한을 제어 할수 있는 단위라고 생각을 하시면 됩니다.

다시 애기를 해보면 어떤 동작들을 집합으로 만들고 이를 permission과 operation이라는 인자 값을 통해서 해당 동작의 집합을 정책에 적용을 쉽게 할수 있게 해 줍니다.

아래 표는 그 동작들의 집합 즉 verb + resource type을 정의를 한 표 입니다.

그럼 몇가지 사용예제를 통해서 살펴 보도록 하겠 습니다.

. 그룹 XYZ에 조회, 생성, 쓰기, 갱신 또는 블럭 볼륨제거가 가능한 권한 부여(삭제는 제외)

allow group XYZ to manage groups in tenancy where any{

request.permission='VOLUMN_INSPECT',

request.permission='VOLUMN_CREATE',

request.permission='VOLUMN_WRITE',

request.permission='VOLUMN_UPDATE',

request.permission='VOLUMN_MOVE'}

allow group XYZ to manage groups in tenancy where request.permission !='VOLUMN_DELETE'

. 특정 API 기반의 주건문 사용 예제

allow group XYZ to manage groups in tenancy where any{

request.operation='ListVolumes',

request.operation='GerVolume',

request.oepration='AttachVolume',

request.operation='CreateVolume',

request.operation='ChangeVolumeCompartment'}

. ObjectWriters그룹에 ABC Compartment에 있는 모든 버켓의 inspect, uplod 권한 부여

allow group ObjectWriters to manage objects in comaprtment ABC where any{

request.permission='OBJECT_CREATE',

request.permission='OBJECT_INSPECT'}

. 특정 Compartment의 특정 버켓에 접근을 제어하기 위해, where target.bucket.name='<bucket_name>' 추가

allow group ObjectWriters to manage objects in comaprtment ABC where all{ target.bucket.name='BucketA',

any{

request.permission='OBJECT_CREATE',

request.permission='OBJECT_INSPECT'}}

 
728x90
반응형