15、深入了解云安全策略与资源管理

深入了解云安全策略与资源管理

1. 特权管理与策略声明

在云环境中，特权管理是保障资源安全和合理使用的关键。通过策略声明，我们可以明确指定哪个用户组有权对特定的云资源类型执行特定操作。每个策略声明可以针对一个特定的隔间（compartment），也可以针对整个租户（tenancy）。

例如，有一个简单的策略声明，它授予 groupABC 成员对属于 instance-family 聚合资源类型的选定云资源类型的只读访问权限：

allow group groupABC to read instance-family resources in compartment projectABC

1.1 云资源类型与聚合资源

云基础设施中有各种类型的资源，如计算实例和对象存储桶。有些云资源类型之间的关联性更强，比如实例镜像用于创建计算实例，实例可以在实例池中进行管理，而启动实例池需要实例配置。

为了便于访问控制，Oracle 云基础设施定义了聚合云资源，如 instance-family 或 virtual-network-family ，它们是现有云资源类型的逻辑分组。

1.2 策略动词

策略动词定义了对云资源的访问级别，主要有以下四种：
| 策略动词 | 描述 |
| ---- | ---- |
| inspect | 基本访问，通常仅允许用户组列出