Exadataフリート更新のポリシー詳細

Exadataフリート更新リソースへのアクセスを制御するポリシーを記述する方法について学習します。

ノート:

ポリシーの詳細は、「ポリシーの仕組み」を参照してください。

• 「リソース・タイプおよびフリート更新ポリシーについて」
  ポリシーで使用できるリソース・タイプについて学習します。
• 「フリート更新のリソース・タイプ」
  フリート更新に固有のリソース・タイプのリストを確認します。
• 「フリート更新でサポートされている変数」
  ポリシーに条件を追加するときに変数を使用します。
• 「動詞とリソース・タイプの組合せの詳細」
  フリート更新の各動詞でカバーされている権限およびAPI操作のリストを確認します。

リソース・タイプおよびフリート更新ポリシーについて

ポリシーで使用できるリソース・タイプについて学習します。

集約リソース・タイプは、直接従う個々のリソース・タイプのリストをカバーしています。 たとえば、グループがfleet-software-update-familyにアクセスできるようにするポリシーを1つ記述することは、fleet-software-update-discoveries, fleet-software-update-collections, fleet-software-update-cyclesおよび残りの個々のリソース・タイプへのアクセス権を付与するグループの個別のポリシーを記述することと同じです。 詳細は、Resource-Typesを参照してください。

サンプル・ポリシー

• tenancyAdminsグループに、フリート・ソフトウェア更新サービスのすべての管理を許可します:

  Allow group tenancyAdmin to manage fleet-software-update-family in tenancy

• hrAdminグループに、特定のコンパートメント内のフリート・ソフトウェア更新リソースの管理を許可します:

  Allow group hrAdmin to manage fleet-software-update-family in compartment hr-resoures

• opsTeamに、HRコンパートメント内のトリアングのアクションおよびジョブの詳細および出力の表示を許可します:

  Allow group hrOps to read fleet-software-update-actions in compartment hr-resoures

  Allow group hrOps to read fleet-software-update-jobs in compartment hr-resoures

• hr-resourcesのアクション結果出力に「特定のユーザー」アクセスして、triagingできるようにします:

  Allow user triageUser to {FSU_ACTION_READ_OUTPUT} in compartment hr-resources

• on-callグループが、パッチ適用サイクル中にジョブおよびアクションを使用して操作を再試行、再開または取消しできるようにします:

  Allow group onCallDev to use fleet-software-update-actions in tenancy

  Allow group onCallDev to use fleet-software-update-jobs in tenancy

フリート更新のリソース・タイプ

フリート更新に固有のリソース・タイプのリストを確認します。

集約リソース・タイプ

• fleet-software-update-family

個々のリソース・タイプ

• fleet-software-update-discoveries
• fleet-software-update-collections
• fleet-software-update-cycles
• fleet-software-update-actions
• fleet-software-update-jobs
• fleet-software-update-work-requests
• fleet-software-update-images
• fleet-software-update-homes

フリート更新でサポートされている変数

ポリシーに条件を追加するときに変数を使用します。

フリート更新では、一般的な変数のみがサポートされます。 詳細は、すべてのリクエストの一般的な変数を参照してください。

動詞とリソース・タイプの組合せの詳細

フリート更新の各動詞でカバーされている権限およびAPI操作のリストを確認します。

詳細は、「権限」、「動詞」、およびResource-Typesを参照してください。

• 「フリート・ファミリ・リソース・タイプの更新」
  各フリート更新リソース・タイプ動詞は、様々なレベルのアクセス権を付与します。
• fleet-software-update-discoveries
  fleet-software-update-discoveriesリソース・タイプの権限およびAPI操作のリストを確認します。
• fleet-software-update-collections
  fleet-software-update-collectionsリソース・タイプの権限およびAPI操作のリストを確認します。
• fleet-software-update-cycles
  fleet-software-update-cyclesリソース・タイプの権限およびAPI操作のリストを確認します。
• fleet-software-update-actions
  fleet-software-update-actionsリソース・タイプの権限およびAPI操作のリストを確認します。
• fleet-software-update-jobs
  fleet-software-update-jobsリソース・タイプの権限およびAPI操作のリストを確認します。
• fleet-software-update-work-requests
  fleet-software-update-work-requestsリソース・タイプの権限およびAPI操作のリストを確認します。

フリート・ファミリ・リソース・タイプの更新

各フリート更新リソース・タイプ動詞は、様々なレベルのアクセス権を付与します。

アクセス・レベルは、検査から読取り、使用および管理に進むと累積されます。 表のセル内のプラス記号(+)は、その上のセルと比較して増分アクセスを示しますが、「追加なし」は増分アクセスを示しません。

たとえば、fleet-software-update-discoveriesリソース・タイプのread動詞には、inspect動詞と比較して追加の権限またはAPI操作は含まれません。 ただし、use動詞には複数の権限が含まれており、複数の操作を完全にカバーし、別の追加操作を部分的にカバーします。

fleet-software-update-discoveries

fleet-software-update-discoveriesリソース・タイプの権限およびAPI操作のリストを確認します。

動詞	権限	完全に対象となっているAPI	一部対象API
inspect	FSU_DISCOVERY_INSPECT	ListFsuDiscoveries	なし
read	INSPECT + FSU_DISCOVERY_READ FSU_DISCOVERY_INSPECT_MEMBERS	GetFsuDiscovery ListFsuDiscoveryTargets	なし
use	READ + FSU_DISCOVERY_ABORT	AbortFsuDiscovery	なし
manage	USE+ FSU_DISCOVERY_CREATE FSU_DISCOVERY_UPDATE FSU_DISCOVERY_DELETE FSU_DISCOVERY_MOVE	CreateFsuDiscovery UpdateFsuDiscovery DeleteFsuDiscovery ChangeFsuDiscoveryCompartment	なし

fleet-software-update-collections

fleet-software-update-collectionsリソース・タイプの権限およびAPI操作のリストを確認します。

動詞	権限	完全に対象となっているAPI	一部対象API
inspect	FSU_DISCOVERY_INSPECT	ListFsuDiscoveries	なし
read	INSPECT + FSU_DISCOVERY_READ FSU_DISCOVERY_INSPECT_MEMBERS	GetFsuCollection ListFsuCollectionTargets	CreateFsuCollection
use	READ + 余分なし	ListFsuCollections GetFsuCollection ListFsuCollectionTargets	なし
manage	USE+ FSU_COLLECTION_CREATE FSU_COLLECTION_UPDATE FSU_COLLECTION_DELETE FSU_COLLECTION_MOVE FSU_COLLECTION_ADD_TARGETS FSU_COLLECTION_REMOVE_TARGETS	CreateFsuCollection UpdateFsuCollection DeleteFsuCollection ChangeFsuCollectionCompartment AddFsuCollectionTargets RemoveFsuCollectionTargets	なし

fleet-software-update-cycles

fleet-software-update-cyclesリソース・タイプの権限およびAPI操作のリストを確認します。

動詞	権限	完全に対象となっているAPI	一部対象API
inspect	FSU_CYCLE_INSPECT	ListFsuCycles	なし
read	INSPECT + FSU_CYCLE_READ	GetFsuCycle	なし
use	READ + 余分なし	ListFsuCycles GetFsuCycle	なし
manage	USE+ FSU_CYCLE_CREATE FSU_CYCLE_CLONE FSU_CYCLE_UPDATE FSU_CYCLE_DELETE FSU_CYCLE_MOVE FSU_COLLECTION_REMOVE_TARGETS	CreateFsuCycle CloneFsuCycle UpdateFsuCycle DeleteFsuCycle ChangeFsuCycleCompartment RemoveFsuCollectionTargets	なし

fleet-software-update-actions

fleet-software-update-actionsリソース・タイプの権限およびAPI操作のリストを確認します。

動詞	権限	完全に対象となっているAPI	一部対象API
inspect	FSU_ACTION_INSPECT	ListFsuActions	なし
read	INSPECT + FSU_ACTION_READ FSU_ACTION_READ_OUTPUT	GetFsuAction GetFsuActionOutputContent	なし
use	READ + FSU_ACTION_RESUME FSU_ACTION_CANCEL	ResumeFsuAction CancelFsuAction	なし
manage	USE+ FSU_ACTION_CREATE FSU_ACTION_UPDATE FSU_ACTION_DELETE FSU_ACTION_MOVE	CreateFsuAction UpdateFsuAction DeleteFsuAction ChangeFsuActionCompartment	なし

fleet-software-update-jobs

fleet-software-update-jobsリソース・タイプの権限およびAPI操作のリストを確認します。

動詞	権限	完全に対象となっているAPI	一部対象API
inspect	FSU_JOB_INSPECT	ListFsuJobs	なし
read	INSPECT + FSU_JOB_READ FSU_JOB_READ_OUTPUT	GetFsuJob ListFsuJobOutputs	GetFsuJobOutputContent
use	READ + FSU_JOB_RETRY	RetryFsuJob	なし
manage	USE+ FSU_JOB_DELETE FSU_JOB_UPDATE	DeleteFsuJob UpdateFsuJob	なし

fleet-software-update-work-requests

fleet-software-update-work-requestsリソース・タイプの権限およびAPI操作のリストを確認します。

動詞	権限	完全に対象となっているAPI	一部対象API
inspect	FSU_WORK_REQUEST_INSPECT	ListWorkRequests	なし
read	INSPECT + FSU_WORK_REQUEST_READ	GetWorkRequest ListWorkRequestErrors ListWorkRequestLogs	なし
use	READ + 余分なし	GetWorkRequest ListWorkRequestErrors ListWorkRequestLogs	なし
manage	USE+ 余分なし	GetWorkRequest ListWorkRequestErrors ListWorkRequestLogs	なし