Comprendre les modifications CLI pour ACL

Avec le nouveau modèle de sécurité ACL en place, CLI a mis à jour les autorisations. Cette section décrit les modifications apportées à l'outil CLI pour importer et exporter le nouveau modèle ACL.

Utilisation de CLI

Seul un administrateur ou un administrateur spatial peut exécuter l'utilitaire CLI. Dans la version 12.2, vous pouvez exporter avec des autorisations minimales, simplement l'autorisation VIEW sur une ressource, et importer avec seulement des autorisations CREATE sur le dossier cible. Cependant, en règle générale, seuls les administrateurs et les sous-administrateurs devraient être en mesure d'importer et d'exporter dans 12.2.

  • Un utilisateur peut exporter les ressources s'il dispose de l'autorisation VIEW.
  • Un utilisateur peut importer les ressources s'il dispose de l'autorisation CREATE sur le dossier du référentiel.

Exporter

L'exportateur doit avoir disposer d'autorisations VIEW (resource) sur toutes les ressources à exporter, sinon une exception Access denied (Accès refusé) est déclenchée et le processus d'exportation est arrêté.

Lorsque vous exportez avec l'option --a, une fois toutes les ressources correctement exportées, la liste de contrôle d'accès de toutes les ressources exportées est elle aussi exportée (y compris les entités de tous les autres utilisateurs/rôles).

Importer

Un utilisateur doit avoir disposer d'autorisations CREATE (resource) sur le dossier cible du référentiel, sinon une exception Access denied (Accès refusé) est déclenchée et le processus d'importation est arrêté.

Lorsque vous importez avec l'option --a, toutes les listes de contrôle d'accès sont fusionnées en une ACL existante enregistrée dans le système (comme dans les versions antérieures).

Lorsque vous importez des ressources exportées à partir d'une ancienne version avec l'option --a, la liste de contrôle d'accès est mise à niveau en fonction des règles suivantes avant d'être fusionnée en liste de contrôle d'accès existante dans le système :
  • Toutes les autorisations sur les dossiers sont ignorées.
  • Toutes les autorisations sur les ressources sont ignorées.
  • L'autorisation EXECUTE est ajoutée si une ressource dispose de l'autorisation VIEW.
  • Toutes les autorisations DENY sont ignorées.
  • Toutes les autorisations sur les jeux de données sont fusionnées comme avant.