14、甲骨文云基础设施用户管理与访问控制指南

甲骨文云基础设施用户管理与访问控制指南

1. 用户管理基础

在甲骨文云基础设施（OCI）中，对资源执行的每个操作都是以特定用户的名义进行的。无论使用控制台、API、SDK、CLI 还是 Terraform，都需要一个用户账户。OCI 支持两种类型的用户账户：本地用户和联合用户。

当订阅新的云账户时，甲骨文身份云服务（IDCS）会为该云账户创建一个默认的管理员用户。注册时使用的电子邮件地址将成为这个全局管理员用户的用户名，这是一个联合用户账户。实际上，所有租户默认都与 IDCS 联合，但你可以自由切换到其他符合 SAML 标准的身份提供者，或者创建 OCI 本地的非联合用户。

当你登录 OCI 控制台时，会看到一个分为两部分的登录屏幕。左侧部分用于联合用户，会带你进入身份提供者提供的单点登录（SSO）登录屏幕；右侧部分用于本地非联合用户登录。

2. 创建本地用户

为了演示访问策略的实际应用，我们将创建两个本地用户：一个是沙盒管理员用户 sandbox-admin ，另一个是普通沙盒用户 sandbox-user 。

2.1 创建沙盒管理员用户（使用控制台）

1. 点击菜单 ➤ 身份 ➤ 用户。
2. 点击“创建用户”。
3. 输入名称 sandbox-admin ，添加描述，然后点击“创建”。

2.2 创建沙盒用户（使用 CLI）

首先，需要获取租户的 OCID。可以在 CLI 配置文件（通常位于