Oracle Cloud Infrastructure - Dokumentation

Dynamische Gruppen verwalten

In diesem Thema wird beschrieben, wie dynamische Gruppen verwaltet und die Regeln zur Bestimmung der Mitglieder einer dynamischen Gruppe definiert werden.

Dynamische Gruppen

Mit dynamischen Gruppen können Sie Oracle Cloud Infrastructure-Compute-Instanzen als "Principal"-Akteure gruppieren (ähnlich wie Benutzergruppen). Sie können dann Policys erstellen, mit denen Instanzen API-Aufrufe für Oracle Cloud Infrastructure-Services durchführen können. Wenn Sie eine dynamische Gruppe erstellen anstatt der Gruppe explizit Mitglieder hinzuzufügen, definieren Sie stattdessen eine Gruppe von Übereinstimmungsregeln, um die Gruppenmitglieder zu definieren. Beispiel: In einer Regel kann angegeben werden, dass alle Instanzen in einem bestimmten Compartment Mitglieder der dynamischen Gruppe sind. Die Elemente können sich dynamisch ändern, wenn Instanzen in diesem Compartment gestartet und beendet werden.

Erforderliche IAM-Policy

Wenn Sie Mitglied der Administratorengruppe sind, haben Sie den erforderlichen Zugriff zum Verwalten dynamischer Gruppen.

Wenn Sie mit Policys nicht vertraut sind, finden Sie weitere Informationen unter Erste Schritte mit Policys und Allgemeine Policys. Weitere Informationen zum Schreiben von Policys für dynamische Gruppen oder andere IAM-Komponenten finden Sie unter Details zu IAM ohne Identitätsdomains.

Ressourcen taggen

Wenden Sie Tags auf Ihre Ressourcen an, um diese entsprechend Ihren Geschäftsanforderungen zu organisieren. Wenden Sie Tags beim Erstellen einer Ressource an, oder aktualisieren Sie die Ressource später mit den gewünschten Tags. Allgemeine Informationen zum Anwenden von Tags finden Sie unter Ressourcentags.

Mit dynamischen Gruppen arbeiten

Wenn Sie eine dynamische Gruppe erstellen, müssen Sie einen eindeutigen, nicht änderbaren Namen für die dynamische Gruppe angeben. Der Name muss in allen Gruppen in Ihrem Mandanten eindeutig sein. Sie müssen für die dynamische Gruppe auch eine Beschreibung angeben (obwohl es sich um eine leere Zeichenfolge handeln kann). Dies ist eine nicht eindeutige, änderbare Beschreibung für die Gruppe. Oracle weist der Gruppe auch eine eindeutige ID zu, die als Oracle Cloud-ID (OCID) bezeichnet wird. Weitere Informationen finden Sie unter Ressourcen-IDs.

Hinweis

Wenn Sie eine dynamische Gruppe löschen und dann eine neue dynamische Gruppe mit demselben Namen erstellen, werden diese als unterschiedliche Gruppen betrachtet, weil sie unterschiedliche OCIDs haben.

Eine dynamische Gruppe hat erst dann Berechtigungen, wenn Sie mindestens eine Policy  schreiben, die dieser dynamische Gruppen Berechtigungen für den Mandanten oder ein Compartment erteilt. Beim Schreiben der Policy können Sie die dynamische Gruppe entweder mit dem eindeutigen Namen oder der OCID der dynamischen Gruppe angeben. Selbst wenn Sie den Namen der dynamischen Gruppe in der Policy angeben, verwendet IAM intern die OCID, um die dynamische Gruppe zu bestimmen. Informationen zum Schreiben von Policys finden Sie unter Policys verwalten.

Sie können eine dynamische Gruppe nur löschen, wenn sie leer ist.

Dynamische Gruppe aktualisieren

Sie können die Übereinstimmungsregeln aktualisieren, mit denen die Mitglieder einer dynamischen Gruppe definiert werden. Beispiel: Sie können eine Übereinstimmungsregel, die alle Instanzen in einem Compartment einschließt, so ändern, dass eine bestimmte Instanz ausgeschlossen wird. Sie können eine Regel auch so aktualisieren, dass sie einen neuen Tagwert enthält.

Wichtig

Wenn Sie eine Übereinstimmungsregel ändern, dauert es etwa eine Stunde, bis die aktualisierte Policy in Kraft tritt. Wenn Sie beispielsweise die Tags für eine Instanz aktualisieren, damit diese Instanz entweder in eine dynamische Gruppe aufgenommen oder daraus ausgeschlossen wird, müssen Sie warten, bis diese Policy in Kraft tritt, um die Instanz aufzunehmen oder auszuschließen.

Limits für dynamische Gruppen

Eine einzelne Compute-Instanz kann zu maximal 5 dynamischen Gruppen gehören.

In Ihrem Mandanten sind maximal 50 dynamische Gruppen zulässig.

Konsole verwenden

So erstellen Sie eine dynamische Gruppe
  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Domains. Klicken Sie unter Identitätsdomain auf Dynamische Gruppen.
  2. Klicken Sie auf Dynamische Gruppe erstellen.
  3. Geben Sie Folgendes ein:
    • Name: Ein eindeutiger Name für die Gruppe. Der Name muss in allen Gruppen in Ihrem Mandanten eindeutig sein (dynamische Gruppen und Benutzergruppen). Sie können diese Angabe später nicht ändern. Geben Sie keine vertraulichen Informationen ein.
    • Beschreibung: Eine aussagekräftige Beschreibung.
  4. Geben Sie die Übereinstimmungsregeln an. Ressourcen, die die Regelkriterien erfüllen, sind Mitglieder der Gruppe.
    • Regel 1: Geben Sie eine Regel ein, die den Richtlinien unter Übereinstimmungsregeln zum Definieren dynamischer Gruppen schreiben entspricht. Sie können die Regel manuell in das Textfeld eingeben oder den Regel-Builder starten.

    • Geben Sie zusätzliche Regeln nach Bedarf ein. Um eine Regel hinzuzufügen, klicken Sie auf + Zusätzliche Regel.

  5. Wenn Sie über Berechtigungen zum Erstellen einer Ressource verfügen, sind Sie auch berechtigt, Freiformtags auf diese Ressource anzuwenden. Um ein definiertes Tag anzuwenden, benötigen Sie die Berechtigungen zum Verwenden des Tag-Namespace. Weitere Informationen zum Tagging finden Sie unter Ressourcentags. Wenn Sie nicht sicher sind, ob Sie Tags anwenden sollen, überspringen Sie diese Option, oder fragen Sie einen Administrator. Sie können Tags später anwenden.

  6. Klicken Sie auf Dynamische Gruppe erstellen.

    Die Übereinstimmungsregelsyntax wird verifiziert, aber die OCIDs nicht. Stellen Sie sicher, dass die von Ihnen eingegebenen OCIDs korrekt sind.

Als Nächstes müssen Sie eine Policy schreiben, um der dynamischen Gruppen Berechtigungen zu erteilen. Siehe Policys für dynamische Gruppen schreiben.

So löschen Sie eine dynamische Gruppe
  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Domains. Klicken Sie unter Identitätsdomain auf Dynamische Gruppen. Eine Liste der dynamischen Gruppen in Ihrem Mandanten wird angezeigt.
  2. Suchen Sie die dynamische Gruppe in der Liste.
  3. Klicken Sie für die dynamische Gruppe, die Sie löschen möchten, auf Löschen.
  4. Bestätigen Sie den Vorgang, wenn Sie dazu aufgefordert werden.
So aktualisieren Sie die Beschreibung einer dynamischen Gruppe
  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Domains. Klicken Sie unter Identitätsdomain auf Dynamische Gruppen. Eine Liste der Gruppen in Ihrem Mandanten wird angezeigt.
  2. Klicken Sie auf die dynamische Gruppe, die Sie aktualisieren möchten. Die Details der dynamischen Gruppe werden angezeigt.
  3. Klicken Sie auf Dynamische Gruppe bearbeiten.
  4. Bearbeiten Sie die Beschreibung. Klicken Sie abschließend auf Änderungen speichern.
So aktualisieren Sie die Übereinstimmungsregeln einer dynamischen Gruppe
  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Domains. Klicken Sie unter Identitätsdomain auf Dynamische Gruppen. Eine Liste der dynamischen Gruppen in Ihrem Mandanten wird angezeigt.
  2. Klicken Sie auf die dynamische Gruppe, die Sie aktualisieren möchten. Die Details der dynamischen Gruppe werden angezeigt.
  3. Klicken Sie auf Alle Übereinstimmungsregeln bearbeiten.
  4. Bearbeiten Sie die Übereinstimmungsregel im Textfeld. Sie können auch den Regel-Builder verwenden, wenn die Änderung vom Regel-Builder unterstützt wird.

Übereinstimmungsregeln zum Definieren dynamischer Gruppen schreiben

Mithilfe von Übereinstimmungsregeln werden die Ressourcen definiert, die zur dynamischen Gruppe gehören. In der Konsole können Sie die Regel entweder manuell in das bereitgestellte Textfeld eingeben oder den Regel-Builder verwenden. Im Regel-Builder können Sie in einem Dialogfeld Optionen auswählen und Text eingeben. Anschließend wird die Regel basierend auf Ihren Eingaben für Sie geschrieben.

Sie können die Mitglieder der dynamischen Gruppe basierend auf den folgenden Angaben definieren:

  • Compartment-ID: Instanzen, die in diesem Compartment gespeichert sind, basierend auf der Compartment-OCID einbeziehen (oder ausschließen)
  • Instanz-ID: Instanzen basierend auf der Instanz-OCID einbeziehen (oder ausschließen)
  • Tag-Namespace und Tagschlüssel: Instanzen mit einem bestimmten Tag-Namespace und Tagschlüssel einbeziehen (oder ausschließen). Alle Tagwerte werden einbezogen. Beispiel: Alle Instanzen einbeziehen, die mit dem Tag-Namespace department und dem Tagschlüssel operations getaggt sind.
  • Tag-Namespace, Tagschlüssel und Tagwert: Instanzen mit einem bestimmten Wert für den Tag-Namespace und den Tagschlüssel einbeziehen (oder ausschließen). Beispiel: Alle Instanzen einbeziehen, die mit dem Tag-Namespace department und dem Tagschlüssel operations und dem Wert "45" getaggt sind.
  • resource.compartment.id: Die OCID des Compartments, in dem sich die Ressource befindet
  • resource.id: Die OCID der Ressource
  • resource.type: Der Typ der Ressource.

Eine Übereinstimmungsregel hat die folgende Syntax:

Bei einer einzelnen Bedingung:

variable =|!= 'value'

Bei mehreren Bedingungen:

any|all {<condition>,<condition>,...}

Unterstützte Variablen:

  • instance.compartment.id: Die OCID des Compartments, in dem sich die Instanz befindet
  • instance.id: Die OCID der Instanz
  • tag.<tagnamespace>.<tagkey>.value: Der Tag-Namespace und der Tagschlüssel. Beispiel: tag.department.operations.value.
  • tag.<tagnamespace>.<tagkey>.value='<tagvalue>': Der Tag-Namespace, der Tagschlüssel und der Tagwert. Beispiel: tag.department.operations.value='45'

Hier finden Sie einige Beispiele:

Alle Instanzen in einem bestimmten Compartment in die dynamische Gruppe einbeziehen

Um alle Instanzen einzubeziehen, die sich in einem bestimmten Compartment befinden, fügen Sie eine Regel mit der folgenden Syntax hinzu:

instance.compartment.id = '<compartment_ocid>'

Sie können die Regel direkt in das Textfeld eingeben oder den Regel-Builder verwenden.

Beispieleintrag in Textfeld:

instance.compartment.id = 'ocid1:compartment:oc1:phx:samplecompartmentocid6q6igvfauxmima74jv'

So fügen Sie dieselbe Regel mit dem Regel-Builder der Konsole hinzu:

  • Wählen Sie unter Instanzen einschließen, die mit Folgendem übereinstimmen: die Option Alle der Folgenden aus.
  • Wählen Sie unter Instanzen abgleichen mit: die Option Compartment-OCID aus.
  • Geben Sie unter Wert: die Compartment-OCID ein. In diesem Beispiel geben Sie ocid1:compartment:oc1:phx:samplecompartmentocid6q6igvfauxmima74jv ein.

Alle Instanzen, die aktuell vorhanden sind oder im Compartment erstellt werden (das mit der OCID identifiziert wird), sind Mitglieder dieser Gruppe.

Alle Instanzen in zwei oder mehr beliebigen Compartments einbeziehen

Um alle Instanzen einzubeziehen, die sich in zwei (oder mehr) beliebigen Compartments befinden, fügen Sie eine Regel mit der folgenden Syntax hinzu:

Any {instance.compartment.id = '<compartment_ocid>', instance.compartment.id = '<compartment_ocid>'}

Trennen Sie die Compartment-Einträge dabei durch Kommas.

Sie können die Regel direkt in das Textfeld eingeben oder den Regel-Builder verwenden.

Beispieleintrag im Textfeld:

Any {instance.compartment.id = 'ocid1:compartment:oc1:phx:samplecompartmentocid6q6igvfauxmima74jv', instance.compartment.id = 'ocid1:compartment:oc1:phx:samplecompartmentocidythksk89ekslsoelu2'}

So fügen Sie dieselbe Regel mit dem Regel-Builder der Konsole hinzu:

  1. Wählen Sie unter Instanzen einschließen, die mit Folgendem übereinstimmen: die Option Eine der Folgenden aus.
  2. Wählen Sie unter Instanzen abgleichen mit: die Option Compartment-OCID aus.
  3. Geben Sie unter Wert: die Compartment-OCID ein. In diesem Beispiel geben Sie ocid1:compartment:oc1:phx:samplecompartmentocid6q6igvfauxmima74jv ein.
  4. Klicken Sie auf + Weitere Zeile. Geben Sie Folgendes in die zweite Zeile ein:
    • Wählen Sie unter Instanzen abgleichen mit: die Option Compartment-OCID aus.
    • Geben Sie unter Wert: die zusätzliche Compartment-OCID ein. In diesem Beispiel geben Sie ocid1:compartment:oc1:phx:samplecompartmentocidythksk89ekslsoelu2 ein.

Instanzen, die derzeit vorhanden sind oder später in einem der angegebenen Compartments erstellt werden, sind Mitglieder dieser Gruppe.

Alle mit einem bestimmten Namespace und Tagschlüssel getaggten Instanzen einbeziehen

Um alle Instanzen einzubeziehen, die mit einem bestimmten Tag-Namespace und Tagschlüssel getaggt sind, fügen Sie eine Regel mit der folgenden Syntax hinzu:

tag.<tagnamespace>.<tagkey>.value

Alle Instanzen, denen die Kombination "tagnamespace.tagkey" zugewiesen wurde, werden einbezogen. Beachten Sie, dass der Tagwert nicht ausgewertet wird. Daher werden alle Werte einbezogen.

Beispiel: Angenommen, Sie haben einen Tag-Namespace mit dem Namen department und einen Tagschlüssel mit dem Namen operations. Sie möchten alle Instanzen einbeziehen, die mit dem Namespace und Tagschlüssel getaggt sind.

Geben Sie die folgende Regel in das Textfeld ein:

tag.department.operations.value

Alle Instanzen, die aktuell vorhanden sind oder mit dem Tag-Namespace und dem Tagschlüssel department.operations erstellt werden, sind Mitglieder dieser Gruppe.

Alle Instanzen in einem bestimmten Compartment mit einem bestimmten Tag-Namespace, Tagschlüssel und Tagwert einbeziehen

Um alle Instanzen in einem bestimmten Compartment einzubeziehen, die mit einem bestimmten Tag-Namespace, einem bestimmten Schlüssel und einem bestimmten Wert getaggt sind, fügen Sie eine Regel mit der folgenden Syntax hinzu:

All {instance.compartment.id = '<compartment_ocid>', tag.<tagnamespace>.<tagkey>.value='<tagvalue>'}

Alle Instanzen, die sich im angegebenen Compartment befinden und denen die Kombination "tagnamespace.tagkey" mit dem angegebenen Tagwert zugewiesen wurde, werden einbezogen.

Beispiel: Angenommen, Sie haben einen Tag-Namespace mit dem Namen department und einen Tagschlüssel mit dem Namen operations. Sie möchten alle Instanzen einbeziehen, die mit dem Wert "45" getaggt sind und sich in einem bestimmten Compartment befinden.

Geben Sie die folgende Anweisung in das Textfeld ein:

All {instance.compartment.id='ocid1:compartment:oc1:phx:oc1:phx:samplecompartmentocid6q6igvfauxmima74jv,',
tag.department.operations.value='45'}

Regel-Builder verwenden

Der Regel-Builder ist ein Tool, mit dem Sie in der Konsole Übereinstimmungsregeln schreiben können. Der Regel-Builder enthält Menüs und Textfelder, in die Sie Text eingeben können. Anschließend wird die Regel für Sie geschrieben. Der Regel-Builder hat einige Einschränkungen, sodass Sie ihn nicht in allen Fällen verwenden können.

Einschränkungen des Regel-Builders

Der Regel-Builder unterstützt Folgendes nicht:

  • Ausschlussregeln: Mit dem Regel-Builder können Sie nur Compartment-IDs und Instanz-IDs auswählen.
  • Regeln basierend auf Tags: Mit dem Regel-Builder können Sie keine Tags auswählen, die in die Regel einbezogen werden sollen. Um eine Regel basierend auf Tagwerten hinzuzufügen, müssen Sie die Regel mit der obigen Syntax in das Textfeld "Regel" eingeben.

Regel-Builder starten

Wenn Sie auf Dynamische Gruppe erstellen klicken, wird der Regel-Builder im Dialogfeld Dynamische Gruppe erstellen angezeigt.

So erstellen Sie eine Übereinstimmungsregel mit dem Regel-Builder:

  1. Klicken Sie im Abschnitt Übereinstimmungsregeln auf Regel-Builder.

  2. Wählen Sie im Menü Instanzen einschließen, die mit Folgendem übereinstimmen die Option Alle der Folgenden oder Eine der Folgenden aus.

    Alle der Folgenden bezieht nur Instanzen ein, die mit allen Anweisungen in der Regel übereinstimmen.

    Eine der Folgenden bezieht alle Instanzen ein, die mit einer der Anweisungen in der Regel übereinstimmen.

    Hinweis

    Sie können die folgenden Instanz- und Compartment-Variablen auswählen:
    • instance.compartment.id und instance.id können beim Abgleich von Instanzen verwendet werden
    • resource.compartment.id, resource.id und resource.type können beim Abgleich von Ressourcen verwendet werden
    • tag.*-Variablen gelten sowohl für Instanzen als auch für Ressourcen

  3. Wählen Sie im Menü Instanzen abgleichen mit einen Ressourcentyp aus, und geben Sie dann die OCID für die Ressource in das Feld Wert ein:

    Compartment-ID bezieht die Instanzen in dem von Ihnen angegebenen Compartment ein.

    Instanz-OCID bezieht die Instanzen mit den von Ihnen angegebenen OCIDs ein.

  4. Klicken Sie auf + Weitere Zeile, um dieser Regel weitere Anweisungen hinzuzufügen.

    Wenn Sie mehrere Anweisungen zu einer Regel hinzufügen, beachten Sie, dass die Option Eine der Folgenden alle Instanzen einbezieht, die mit einer der Anweisungen übereinstimmen. Wenn Sie Alle der Folgenden auswählen, müssen Instanzen mit allen Spezifikationen in den Anweisungen übereinstimmen, damit sie in die Gruppe einbezogen werden.

Beispiele für die Verwendung des Regel-Builders

Alle Instanzen in einem bestimmten Compartment in die dynamische Gruppe einbeziehen

So beziehen Sie alle Instanzen, die sich in einem bestimmten Compartment befinden, mit dem Regel-Builder ein:

  • Wählen Sie Alle der Folgenden aus.
  • Wählen Sie unter Instanzen abgleichen mit: die Option Compartment-OCID aus.
  • Geben Sie für Wert: die Compartment-OCID ein. Beispiel: ocid1:compartment:oc1:phx:samplecompartmentocidythksk89ekslsoelu2

Alle Instanzen, die derzeit vorhanden sind oder später im (durch die OCID identifizierten) Compartment erstellt werden, sind Mitglieder dieser Gruppe.

Alle Instanzen in zwei oder mehr beliebigen Compartments einbeziehen

So beziehen Sie alle Instanzen, die sich in zwei (oder mehr) beliebigen Compartments befinden, mit dem Regel-Builder ein:

  1. Wählen Sie im Menü Instanzen einschließen, die mit Folgendem übereinstimmen die Option Eine der Folgenden aus.
  2. Geben Sie in der ersten Zeile Folgendes ein:
    • Wählen Sie unter Instanzen abgleichen mit die Option Compartment-OCID aus.
    • Geben Sie unter Wert die Compartment-OCID ein. Beispiel: ocid1:compartment:oc1:phx:samplecompartmentocid6q6igvfauxmima74jv
  3. Klicken Sie auf + Weitere Zeile. Geben Sie Folgendes in die zweite Zeile ein:
    • Wählen Sie unter Instanzen abgleichen mit die Option Compartment-OCID aus.
    • Geben Sie unter Wert die Compartment-OCID ein. Beispiel: ocid1:compartment:oc1:phx:samplecompartmentocidythksk89ekslsoelu2
  4. Fügen Sie gegebenenfalls weitere Zeilen für jedes Compartment hinzu, das Sie einbeziehen möchten.

Instanzen, die aktuell vorhanden sind oder in einem der angegebenen Compartments erstellt werden, sind Mitglieder dieser Gruppe.