Comprendre les modifications CLI pour ACL
Avec le nouveau modèle de sécurité ACL en place, CLI a mis à jour les autorisations. Cette section décrit les modifications apportées à l'outil CLI pour importer et exporter le nouveau modèle ACL.
Utilisation de CLI
Seul un administrateur ou un administrateur spatial peut exécuter l'utilitaire CLI. Dans la version 12.2, vous pouvez exporter avec des autorisations minimales, simplement l'autorisation VIEW sur une ressource, et importer avec seulement des autorisations CREATE sur le dossier cible. Cependant, en règle générale, seuls les administrateurs et les sous-administrateurs devraient être en mesure d'importer et d'exporter dans 12.2.
- Un utilisateur peut exporter les ressources s'il dispose de l'autorisation VIEW.
- Un utilisateur peut importer les ressources s'il dispose de l'autorisation CREATE sur le dossier du référentiel.
Exporter
L'exportateur doit avoir disposer d'autorisations VIEW (resource) sur toutes les ressources à exporter, sinon une exception Access denied (Accès refusé) est déclenchée et le processus d'exportation est arrêté.
Lorsque vous exportez avec l'option --a, une fois toutes les ressources correctement exportées, la liste de contrôle d'accès de toutes les ressources exportées est elle aussi exportée (y compris les entités de tous les autres utilisateurs/rôles).
Importer
Un utilisateur doit avoir disposer d'autorisations CREATE (resource) sur le dossier cible du référentiel, sinon une exception Access denied (Accès refusé) est déclenchée et le processus d'importation est arrêté.
Lorsque vous importez avec l'option --a, toutes les listes de contrôle d'accès sont fusionnées en une ACL existante enregistrée dans le système (comme dans les versions antérieures).
- Toutes les autorisations sur les dossiers sont ignorées.
- Toutes les autorisations sur les ressources sont ignorées.
- L'autorisation EXECUTE est ajoutée si une ressource dispose de l'autorisation VIEW.
- Toutes les autorisations DENY sont ignorées.
- Toutes les autorisations sur les jeux de données sont fusionnées comme avant.