OCI - IAM II

 Policy Inheritance

• עקרון הירושה (Concept of inheritance) :
• Compartments יורשים כל policies מ compartment האב, כך למשל קבוצת Administrators שמוגדרת להרשאה כוללת ב root מקבלת אוטו' את ההרשאה הכוללת בתאים הבנים ואין צורך להגדיר את policies בכל תא בן, נכד, נין...
• עקרון Attachment - 
• כשיוצרים policy חובה לצרף אותה לcompartment  (או לtenancy). המיקום ישפיע על מי שישלוט בו ויוכל לשנות אותו או למחוק אותו.
  נצרף אותו לtenancy (תא שורש root compartment), ואז כל מי שיש לו גישה לניהול מדיניות בtenancy יכול לשנות או למחוק אותו.
  אם נצרף לתא ילד, כל מי שיש לו גישה לניהול המדיניות בcompartment זה (למשל מנהלי הcompartment) יכול לשנות או למחוק אותו.
• לדוג' אם יש לנו רצף של tenancy תחתיו compartment A תחתיו compartment B תחתיו compartment C
• אם נגדיר ב C או B - יאפשר לקבוצה שלה נגדיר את הרשאות הpolicy להגדיר ולשנות ב B/C
• אם נגדיר ב A - יאפשר לקבוצה שלה נגדיר את ההרשאות להגדיר ולשנות ב A,B,C ורק המנהלים של A יוכלו לשנות.
• אם נגדיר ב tenancy - יאפשר שליטה מלאה בכל הרמות.

Moving Compartments

• העברת תא לתא הורה אחר - ניתן להעביר תא, תחת תא הורה אחר באותו שכירות. כשמעבירים compartment , כל התוכן שלו (תאי משנה ומשאבים) מועבר איתו.
• מגבלות :
• לא ניתו להעביר תא לתא יעד בשם זהה לתא המועבר
• שני תאים באותו הורה לא יכולים להיות בעלי אותו שם. לכן אינך יכול להעביר תא לתא יעד בו כבר קיים תא בשם זהה.
• Policies המציינת את היררכיית התא עד לתא המועבר תתעדכן אוטומטית כאשר הPolicies תחובר לאב קדמון (ancestor) משותף של ההורה הנוכחי והיעד
• Policy המצורפת ישירות לתא שהועבר אינה מתעדכנת אוטומטית.
• דוגמאות לנ"ל כאן

Tags

• שני סוגי תגים נתמכים ב OCI
• Free form tags - יישום המורכב באופן בסיסי מ key ו value
  לדוג' אנחנו יכולים להגדיר למשל Instance בkey בשם environment את התגproduction
  ובתג נוסף עם הkey שהוא project נגדיר ערך למשל - Alpha.
  פשוט, חופשי וקל להגדרה.
• Define Tags - יותר תכונות, יותר שליטה בתגיות מוגדרות על ידי מרחב שמות שמוגדר מראש בשם Tag Namespace ועל ידי כך לשלוט בהגדרות אבטחה לפי תגים.
• Tag Namespace - 
• a container for set of tag keys with tag key definitions
• לא ניתן למחוק key definition או tag namespace 
• ניתו להפעיל מחדש מרחב שמות של תגיות או הגדרות מפתח של תגים שהופסקו בכדי להחזיר את השימוש בו ל tenancy.
• עבודה עם Define Tags
• נגדיר לפי Namespace, Key ו value
• יש להגדיר את Namespace ואת הkeys  ב tenancy לפני שהמשתמשים יחילו אותם.
• tag key יכול להכיל tag value type של srting או של רשימת ערכים (list pf value) שמהם המשתמש צריך לבחור.
• ניתן להשתמש במשתנים כדי להגדיר value של תג, כשנצרף את התג לresourceת המשתנה יכיל את הנתונים שהוא מייצג למשל

• Operations.CostCenter = ${iam.principal.name} at ${oci.datetime}

Operations is the namespace,
CostCenter is the tag key
 tag value contains two tag variables ${iam.principal.name} and ${oci.datetime}

• כשנוסיף תג זה לresouce, הvariable מחליף לשם המשתמש (שם המנהל שהחיל את התג) ומוסיף חותמת תאריך זמן לתג.
• להדגמה ב OCI לחצו כאן
• דוגמא להגדרת הרשאות ואבטחה באמצעות תגים - 
  Allow group InstanceLaunchers to use tag-namespaces in compartment A where target.tag-namespace.name='Operations

לסיכום IAM

• IAM Principals - משתמשי IAM וInstance Principals
• Authentication - שם משתמש / סיסמה, API Signing keys, Auth Tokens
• Authorization -  (מדיניות) Policies ו - השיוך שלהם עם Principals
• Policies syntax and examples of advanced policies 
• Compartment, a unique OCI feature, can be used to organize and isolate related cloud resources
• Concept of Policy Inheritance and Attachment for compartments
• OCI supports both free form tags and defined tags with a schema and secured by policies
  
  פלייליסט IAM ב Youtube