Details zu Resource Manager

Prüfen Sie die Details zum Schreiben von Policys, die den Zugriff auf den Resource Manager-Service kontrollieren.

Aggregierter Ressourcentyp

orm-family

Individuelle Ressourcentypen

orm-config-source-providers

orm-jobs

orm-private-endpoints

orm-stacks

orm-template

orm-work-requests

Unterstützte Variablen

Resource Manager unterstützt alle allgemeinen Variablen (siehe Allgemeine Variablen für alle Anforderungen) sowie die hier aufgelisteten Variablen.

Der Ressourcentyp orm-jobs kann die folgenden Variablen verwenden.


Variable	Variablentyp	Kommentare
`target.job.operation`	Zeichenfolge	Mit dieser Variablen können Sie den Zugriff für die Ausführung bestimmter Jobtypen kontrollieren. Beispiel: Um den Zugriff auf das Planen (PLAN) und das Anwenden (APPLY) von Jobs einzuschränken, verwenden Sie den folgenden Ausdruck: `where any {target.job.operation = 'PLAN', target.job.operation = 'APPLY'}`
`target.stack.id`	Zeichenfolge	Mit dieser Variablen können Sie den Zugriff auf angegebene Stacks beschränken. Beispiel: Verwenden Sie den folgenden Ausdruck: `where any {target.stack.id = ocid1.ormstack.uniqueid1, target.stack.id = ocid1.ormstack.uniqueid2}`

Details für Kombinationen aus Verb + Ressourcentyp

In den folgenden Tabellen werden die Berechtigungen und API-Vorgänge angezeigt, die von jedem Verb abgedeckt werden. Die Zugriffsebene ist kumulativ: inspect > read > use > manage. Beispiel: Eine Gruppe, die eine Ressource verwenden kann, kann diese Ressource auch prüfen und lesen. Ein Pluszeichen (+) in einer Tabellenzelle gibt einen inkrementellen Zugriff im Vergleich zur direkt darüber liegenden Zelle an, während "keine zusätzlichen" keinen inkrementellen Zugriff angibt..

orm-config-source-providers


Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
inspect	`ORM_CONFIG_SOURCE_PROVIDER_INSPECT`	`ListConfigurationSourceProviders`	kein Wert
read	`INSPECT +` `ORM_CONFIG_SOURCE_PROVIDER_READ`	`GetConfigurationSourceProvider`	`CreateStack`: Beim Erstellen von Stacks, die Konfigurationsquellenprovider verwenden (`configSourceType` value `GIT_CONFIG_SOURCE`), ist auch `manage-orm-stacks` erforderlich.
use	`READ +` keine zusätzlichen	keine zusätzlichen	kein Wert
manage	`USE +` `ORM_CONFIG_SOURCE_PROVIDER_CREATE` `ORM_CONFIG_SOURCE_PROVIDER_UPDATE` `ORM_CONFIG_SOURCE_PROVIDER_MOVE` `ORM_CONFIG_SOURCE_PROVIDER_DELETE`	`CreateConfigurationSourceProvider` `UpdateConfigurationSourceProvider` `ChangeConfigurationSourceProviderCompartment` `DeleteConfigurationSourceProvider`	kein Wert

orm-jobs


Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
inspect	`ORM_JOB_INSPECT`	`ListJobs`	kein Wert
read	`INSPECT +` `ORM_JOB_READ`	`GetJob` `GetJobTfState` `GetJobTfConfig` `GetJobTfPlan` `GetJobLogs` `GetJobLogsContent` `ListJobAssociatedResources` `ListJobOutputs`	kein Wert
use	`READ +` keine zusätzlichen	keine zusätzlichen	kein Wert
manage	`USE +` `ORM_JOB_MANAGE`	`UpdateJob` `CancelJob`	`CreateJob` (benötigt auch `use orm-stacks`)

orm-private-endpoints


Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
inspect	`ORM_PRIVATE_ENDPOINT_INSPECT`	`ListPrivateEndpoints`	kein Wert
read	`INSPECT +` `ORM_PRIVATE_ENDPOINT_READ`	`GetPrivateEndpoint` `GetReachableIp`	kein Wert
use	`READ +` `ORM_PRIVATE_ENDPOINT_UPDATE`	`UpdatePrivateEndpoint`	kein Wert
manage	`USE +` `ORM_PRIVATE_ENDPOINT_CREATE` `ORM_PRIVATE_ENDPOINT_DELETE` `ORM_PRIVATE_ENDPOINT_MOVE`	`ChangePrivateEndpointCompartment` `CreatePrivateEndpoint` `DeletePrivateEndpoint`	kein Wert

orm-stacks


Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
inspect	`ORM_STACK_INSPECT`	`ListResourceDiscoveryServices` `ListStacks` `ListTerraformVersions`	kein Wert
read	`INSPECT +` `ORM_STACK_READ`	`GetStack` `GetStackTfConfig` `GetStackTfState` `ListStackAssociatedResources` `ListStackResourceDriftDetails`	kein Wert
use	`READ +` `ORM_STACK_USE`	keine zusätzlichen	`CreateJob` (benötigt auch `manage orm-jobs`)
manage	`USE +` `ORM_STACK_CREATE` `ORM_STACK_UPDATE` `ORM_STACK_MOVE` `ORM_STACK_DELETE`	`CreateStack` (außer bei Verwendung von Konfigurationsquellenprovidern) `UpdateStack` `ChangeStackCompartment` `DeleteStack` `DetectStateDrift` `ListTerraformVersions`	`CreateStack`: Beim Erstellen von Stacks, die Konfigurationsquellenprovider verwenden (`configSourceType` value `GIT_CONFIG_SOURCE`), ist auch `read orm-config-source-providers` erforderlich.

orm-template


Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
inspect	`ORM_TEMPLATE_INSPECT`	`ListTemplates`	kein Wert
read	`INSPECT +` `ORM_TEMPLATE_READ`	`GetTemplate` `GetTemplateLogo` `GetTemplateTfConfig`	kein Wert
use	`READ +` `ORM_TEMPLATE_UPDATE`	`UpdateTemplate`	kein Wert
manage	`USE +` `ORM_TEMPLATE_CREATE` `ORM_TEMPLATE_DELETE` `ORM_TEMPLATE_MOVE`	`ChangeTemplateCompartment` `CreateTemplate` `DeleteTemplate`	kein Wert

form-work-requests


Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
inspect	`ORM_WORK_REQUEST_INSPECT`	`ListWorkRequests`	kein Wert
read	`INSPECT +` `ORM_WORK_REQUEST_READ`	`ListWorkRequestErrors` `ListWorkRequestLogs` `GetWorkRequest`	kein Wert
use	`READ +` keine zusätzlichen	keine zusätzlichen	kein Wert
manage	`USE +` keine zusätzlichen	keine zusätzlichen	kein Wert

Für jeden API-Vorgang erforderliche Berechtigungen

In der folgenden Tabelle sind die API-Vorgänge in alphabetischer Reihenfolge aufgeführt.

Informationen zu Berechtigungen finden Sie unter Berechtigungen.


API-Vorgang	Erforderliche Berechtigungen für den Vorgang
`CancelJob`	`ORM_JOB_MANAGE`
`ChangeConfigurationSourceProviderCompartment`	`ORM_CONFIG_SOURCE_PROVIDER_MOVE`
`ChangePrivateEndpointCompartment`	`ORM_PRIVATE_ENDPOINT_MOVE`
`ChangeStackCompartment`	`ORM_STACK_MOVE`
`ChangeTemplateCompartment`	`ORM_TEMPLATE_MOVE`
`CreateConfigurationSourceProvider`	`ORM_CONFIG_SOURCE_PROVIDER_CREATE`
`CreateJob`	`ORM_JOB_MANAGE and ORM_STACK_USE`
`CreatePrivateEndpoint`	`ORM_PRIVATE_ENDPOINT_CREATE`
`CreateStack`	`ORM_STACK_CREATE`, wenn keine Konfigurationsquellenprovider verwendet werden. Bei Verwendung von Konfigurationsquellenprovidern (`configSourceType` value `GIT_CONFIG_SOURCE`) ist auch `ORM_CONFIG_SOURCE_PROVIDER_READ` erforderlich.
`p`	`ORM_TEMPLATE_CREATE`
`DeleteConfigurationSourceProvider`	`ORM_CONFIG_SOURCE_PROVIDER_DELETE`
`DeletePrivateEndpoint`	`ORM_PRIVATE_ENDPOINT_DELETE`
`DeleteStack`	`ORM_STACK_DELETE`
`DeleteTemplate`	`ORM_TEMPLATE_DELETE`
`DetectStateDrift`	`ORM_STACK_UPDATE`
`GetConfigurationSourceProvider`	`ORM_CONFIG_SOURCE_PROVIDER_READ`
`GetJob`	`ORM_JOB_READ`
`GetJobLogs`	`ORM_JOB_READ`
`GetJobLogsContent`	`ORM_JOB_READ`
`GetJobTfConfig`	`ORM_JOB_READ`
`GetJobTfPlan`	`ORM_JOB_READ`
`GetJobTfState`	`ORM_JOB_READ`
`GetPrivateEndpoint`	`ORM_PRIVATE_ENDPOINT_READ`
`GetReachableIp`	`ORM_PRIVATE_ENDPOINT_READ`
`GetStack`	`ORM_STACK_READ`
`GetStackTfConfig`	`ORM_STACK_READ`
`GetStackTfState`	`ORM_STACK_READ`
`GetTemplate`	`ORM_TEMPLATE_READ`
`GetTemplateLogo`	`ORM_TEMPLATE_READ`
`GetTemplateTfConfig`	`ORM_TEMPLATE_READ`
`GetWorkRequest`	`ORM_WORK_REQUEST_READ`
`ListConfigurationSourceProviders`	`ORM_CONFIG_SOURCE_PROVIDER_INSPECT`
`ListJobAssociatedResources`	`ORM_JOB_READ`
`ListJobOutputs`	`ORM_JOB_READ`
`ListJobs`	`ORM_JOB_INSPECT`
`ListPrivateEndpoints`	`ORM_PRIVATE_ENDPOINT_INSPECT`
`ListResourceDiscoveryServices`	`ORM_STACK_INSPECT`
`ListStackAssociatedResources`	`ORM_STACK_READ`
`ListStackResourceDriftDetails`	`ORM_STACK_READ`
`ListStacks`	`ORM_STACK_INSPECT`
`ListTemplateCategories`	Kein Wert
`ListTemplates`	`ORM_TEMPLATE_INSPECT`
`ListTerraformVersions`	`ORM_STACK_INSPECT`
`ListWorkRequestErrors`	`ORM_WORK_REQUEST_READ`
`ListWorkRequestLogs`	`ORM_WORK_REQUEST_READ`
`ListWorkRequests`	`ORM_WORK_REQUEST_INSPECT`
`UpdateConfigurationSourceProvider`	`ORM_CONFIG_SOURCE_PROVIDER_UPDATE`
`UpdateJob`	`ORM_JOB_MANAGE`
`UpdatePrivateEndpoint`	`ORM_PRIVATE_ENDPOINT_UPDATE`
`UpdateStack`	`ORM_STACK_UPDATE`
`UpdateTemplate`	`ORM_TEMPLATE_UPDATE`