OCC-Policys und -Berechtigungen
Erstellen Sie IAM-Policys, um zu kontrollieren, wer Zugriff auf OCC-Metrik- und Kapazitätsanforderungsdaten hat und welche Art von Zugriff die einzelnen Benutzergruppen haben.
Für Metrikdaten in OCC gibt es keine Möglichkeit, den Zugriff basierend auf Ressourcen-IDs einzuschränken. Mit dem Familiennamen control-center-family
und dem Ressourcentyp control-center-metrics
können Sie den Zugriff auf die Metrikdaten insgesamt einschränken.
Sie können die Familiennamen control-center-capacity-management-family und die Ressourcentypen control-center-availability-catalogs
und control-center-capacity-requests
verwenden, um den Zugriff auf Capacity Management einzuschränken.
Weitere Informationen finden Sie im Abschnitt Policy-Beispiele.
Die Benutzer in der Gruppe Administrators
haben Zugriff auf alle OCC-Ressourcen und Metrikdaten. Erstellen Sie Policys, damit Benutzer über die erforderlichen Rechte für die OCC-Metrikdaten verfügen.
Informationen zu IAM-Policys finden Sie unter Erste Schritte mit Policys.
Eine vollständige Liste der Oracle Cloud Infrastructure-Policys finden Sie in der Policy-Referenz.
In diesem Abschnitt werden die folgenden Themen erläutert:
- Unterstützte Variablen
- Details zu Kombinationen aus Verb + Ressourcentyp
- Policy erstellen
- Policy-Beispiele
Um OCC zu verwenden, erstellen Sie eine Policy, die den Benutzern oder Gruppen, die entsprechend mit dem Service interagieren, die folgenden Berechtigungen erteilt.
Ressourcentypen und Berechtigungen
Liste der Control Center-Ressourcentypen und der zugehörigen Berechtigungen.
Um allen OCC-Metriküberwachungsressourcen Berechtigungen zuzuweisen, verwenden Sie den Aggregattyp "control-center-family".
Um eine Kapazitätsanforderung zu erstellen, benötigen Sie die Berechtigung "control-center-capacity-management-family".
In der folgenden Tabelle werden alle Ressourcen in OCC aufgeführt:
Nachname | Weitere Ressourcen | Aktion zugewiesen zu Benutzer |
---|---|---|
control-center-family |
|
Enthält alle Control Center-Metriken und alle zukünftigen Mitgliedsressourcen in einer Familie. |
control-center-capacity-management-family |
|
Umfasst das gesamte Control Center-Kapazitätsmanagement und alle zukünftigen Mitgliederressourcen in einer Familie. |
Eine Policy, die <verb> control-center-family
verwendet, entspricht dem Schreiben einer Policy mit einer separaten <verb> <resource-type>
-Anweisung für jeden einzelnen Ressourcentyp.
Ressourcenart | Berechtigungen | Aktion zugewiesen zu Benutzer |
---|---|---|
control-center-metrics |
|
Lesen Sie OCC-Metrik-Namespaces, Metriknamen und Metrikwerte. |
control-center-availability-catalogs |
|
Verfügbarkeitskataloge und Verfügbarkeiten lesen und exportieren. |
control-center-capacity-requests |
|
Kapazitätsanforderungen erstellen, lesen, aktualisieren und löschen |
control-center-demand-signals |
|
Bedarfsmenge von Ressourcen in Kapazitätsanforderungen hinzufügen, lesen, aktualisieren und löschen. |
Unterstützte Variablen
Mit Variablen können Sie einer Policy Bedingungen hinzufügen.
OCI Control Center unterstützt die folgenden Variablen:
- Entity: Oracle Cloud-ID (OCID)
- Zeichenfolge: Freiformtext.
- Liste: Liste der Entitys oder Zeichenfolgen.
Siehe Allgemeine Variablen für alle Anforderungen.
Variablen werden kleingeschrieben und durch Bindestriche getrennt. Beispiel: target.tag-namespace.name
, target.display-name
. Hier muss name
eindeutig sein, und display-name
ist die Beschreibung.
Erforderliche Variablen werden vom OCI Control Center-Service für jede Anforderung angegeben. Automatische Variablen werden von der Autorisierungs-Engine bereitgestellt (entweder lokal im Service mit dem SDK für einen Fat Client oder auf der Identity Data Plane für einen Thin Client).
Erforderliche Variablen | Typ | Beschreibung |
---|---|---|
target.compartment.id |
Entität (OCID) | Die OCID der primären Ressource für die Anforderung. |
request.operation |
String | Die Vorgangs-ID (z.B. GetUser ) für die Anforderung. |
target.resource.kind |
String | Der Name der Ressourcenart der primären Ressource für die Anforderung. |
Automatische Variablen | Typ | Beschreibung |
---|---|---|
request.user.id |
Entität (OCID) | Die OCID des anfordernden Benutzers. |
request.groups.id |
Liste der Entitys (OCIDs) | Die OCIDs der Gruppen, zu denen der anfordernde Benutzer gehört. |
target.compartment.name |
String | Der Name des Compartments, das in target.compartment.id . angegeben wird |
target.tenant.id |
Entität (OCID) | Die OCID der Zielmandanten-ID. |
Dynamische Variablen | Typ | Beschreibung |
---|---|---|
request.principal.group.tag.<tagNS>.<tagKey> |
String | Der Wert jedes Tags in einer Gruppe, deren Principal Mitglied ist. |
request.principal.compartment.tag.<tagNS>.<tagKey> |
String | Der Wert jedes Tags im Compartment, das den Principal enthält. |
target.resource.tag.<tagNS>.<tagKey> |
String | Der Wert jedes Tags in der Zielressource. (Berechnet basierend auf tagSlug, der vom Service für jede Anforderung bereitgestellt wird.) |
target.resource.compartment.tag.<tagNS>.<tagKey> |
String | Der Wert aller Tags im Compartment, die die Zielressource enthalten. (Berechnet basierend auf tagSlug, der vom Service für jede Anforderung bereitgestellt wird.) |
Verfügbare Quellen für die Variablen:
- Anforderung: Stammt aus der Anforderungseingabe.
- Abgeleitet: Stammt aus der Anforderung.
- Gespeichert: Stammt aus dem Service, beibehaltene Eingabe.
- Berechnet: Wird aus Servicedaten berechnet.
Details zu Kombinationen aus Verb + Ressourcentyp
Identifizieren Sie die Berechtigungen und API-Vorgänge, die von jedem Verb für Control Center-Ressourcen abgedeckt werden.
Die Zugriffsebene ist kumulativ von inspect
zu read
zu use
zu manage
. Ein Pluszeichen (+)
in einer Tabellenzelle gibt den inkrementellen Zugriff im Vergleich zur vorherigen Zelle an, no extra
gibt keinen inkrementellen Zugriff an.
Informationen zum Erteilen von Zugriffsberechtigungen finden Sie unter Berechtigungen.
In dieser Tabelle werden die Berechtigungen und API-Vorgänge aufgeführt, die von jedem Verb für die Ressource control-center-metrics
abgedeckt werden.
Verbs | Berechtigungen | Abgedeckte APIs | Beschreibung |
---|---|---|---|
inspect |
|
|
Metriken werden in Namespaces gruppiert. Listen Sie alle Namespaces auf. Rufen Sie die Liste der Metriken in einem bestimmten Namespace ab. |
read |
|
|
Rufen Sie Daten (Werte) für eine Metrik in einem bestimmten Namespace ab. |
use |
|
|
|
manage |
|
|
In dieser Tabelle sind die Berechtigungen und API-Vorgänge aufgeführt, die von jedem Verb für die Ressource control-center-availability-catalogs
abgedeckt werden.
Verbs | Berechtigungen | Abgedeckte APIs | Beschreibung |
---|---|---|---|
inspect |
CONTROL_CENTER_AVAILABILITY_CATALOG_INSPECT |
|
Listet alle Verfügbarkeitskataloge auf. |
read |
|
|
Details zum Verfügbarkeitskatalog abrufen. Gibt den binären Inhalt des Verfügbarkeitskatalogs zurück. Listen Sie die Verfügbarkeiten in einem Verfügbarkeitskatalog auf. |
In dieser Tabelle sind die Berechtigungen und API-Vorgänge aufgeführt, die von jedem Verb für die Ressource control-center-capacity-requests
abgedeckt werden.
Verbs | Berechtigungen | Abgedeckte APIs | Beschreibung |
---|---|---|---|
inspect |
CONTROL_CENTER_CAPACITY_REQUEST_INSPECT |
|
Listet alle Kapazitätsanforderungen auf. |
read |
|
|
Rufen Sie Details zur Kapazitätsanforderung ab. |
use |
|
|
Aktualisieren Sie die Kapazitätsanforderung. |
manage |
|
|
Erstellen Sie eine Kapazitätsanforderung. Löschen Sie eine Kapazitätsanforderungsressource. |
In dieser Tabelle sind die Berechtigungen und API-Vorgänge aufgeführt, die von jedem Verb für die Ressource control-center-demand-signals
abgedeckt werden.
Verben | Berechtigungen | Abgedeckte APIs | Beschreibung |
---|---|---|---|
inspect |
CONTROL_CENTER_DEMAND_SIGNALS_INSPECT |
|
Listet alle Ressourcen in einer Kapazitätsanforderung auf. |
read |
|
|
Rufen Sie Details zu den Ressourcen in einer Kapazitätsanforderung ab. |
use |
|
|
Aktualisieren Sie den Namen einer Kapazitätsanforderung. Bearbeiten Sie die Bedarfsmenge der Ressourcen in einer Kapazitätsanforderung. |
manage |
|
|
Fügen Sie eine Ressource in einer Kapazitätsanforderung hinzu. Löschen einer Ressource in einer Kapazitätsanforderung. |
Für jeden API-Vorgang erforderliche Berechtigungen
In der folgenden Tabelle werden die API-Vorgänge in einer logischen Reihenfolge aufgeführt.
Weitere Informationen finden Sie unter Berechtigungen.API-Vorgang | Für den Vorgang erforderliche Berechtigungen |
---|---|
ListNamespaces |
CONTROL_CENTER_METRICS_INSPECT |
ListMetricProperties |
CONTROL_CENTER_METRICS_INSPECT |
RequestSummarizedMetricData |
CONTROL_CENTER_METRICS_READ |
ListOccAvailabilityCatalogs |
CONTROL_CENTER_AVAILABILITY_CATALOG_INSPECT |
GetOccAvailabilityCatalog |
CONTROL_CENTER_AVAILABILITY_CATALOG_READ |
GetOccAvailabilityCatalogContent |
CONTROL_CENTER_AVAILABILITY_CATALOG_READ |
ListOccAvailabilities |
CONTROL_CENTER_AVAILABILITY_CATALOG_READ |
CreateOccCapacityRequest |
CONTROL_CENTER_CAPACITY_REQUEST_CREATE |
DeleteOccCapacityRequest |
CONTROL_CENTER_CAPACITY_REQUEST_DELETE |
UpdateOccCapacityRequest |
CONTROL_CENTER_CAPACITY_REQUEST_UPDATE |
ListOccCapacityRequests |
CONTROL_CENTER_CAPACITY_REQUEST_INSPECT |
GetOccCapacityRequest |
CONTROL_CENTER_CAPACITY_REQUEST_READ |
CreateOccDemandSignal |
CONTROL_CENTER_DEMAND_SIGNAL_CREATE |
DeleteOccDemandSignal |
CONTROL_CENTER_DEMAND_SIGNAL_DELETE |
PatchOccDemandSignal |
CONTROL_CENTER_DEMAND_SIGNAL_UPDATE |
UpdateOccDemandSignal |
CONTROL_CENTER_DEMAND_SIGNAL_UPDATE |
ListOccDemandSignals |
CONTROL_CENTER_DEMAND_SIGNAL_INSPECT |
GetOccDemandSignal |
CONTROL_CENTER_DEMAND_SIGNAL_READ |
Policys erstellen
So erstellen Sie eine Policy in der Konsole:
Anweisungen, wie Sie Policys mit der Konsole oder API erstellen und verwalten, finden Sie unter Policys verwalten.
Eine vollständige Liste aller Policys in Oracle Cloud Infrastructure finden Sie in der Policy-Referenz und unter Allgemeine Policys.
Policy-Beispiele
Für die Anzeige der OCC-Metrikdaten sind OCC-Policys erforderlich.
Anweisungen zum Erstellen von Policys mit der Konsole finden Sie unter Policy erstellen.
Weitere Informationen zur Syntax finden Sie unter Policy-Syntax.
Folgende Policy-Beispiele sind verfügbar:
Ermöglicht der Gruppe das Auflisten von Metriken und das Lesen von Metrikdaten.
Allow group <group name> to use control-center-metrics in tenancy
Ermöglicht der Gruppe die Verwaltung von Kapazitätsanforderungen.
Allow group customeradmin to manage control-center-capacity-request in tenancy
OCC-Familienrichtlinien
Erstellen Sie diese Policy in Ihrem Mandanten, damit ein Benutzer oder alle Metriken in OCC lesen kann:
Allow <user> to read control-center-family in tenancy
OCC-Onboardingrichtlinien für Kapazitätsmanagement
Erstellen Sie die folgenden Policys in Ihrem Mandanten, um die Funktionen für das Kapazitätsmanagement zu verwenden.
allow group <group-name> to manage control-center-capacity-requests in tenancy
allow group <group-name> to read control-center-availability-catalogs in tenancy
define tenancy operator as ocid1.tenancy.oc1..aaaaaaaagkbzgg6lpzrf47xzy4rjoxg4de6ncfiq2rncmjiujvy2hjgxvziqy
define group ccm-operators as ocid1.group.oc1..aaaaaaaay7y5a5tifmzcaa6ucaljuxyf5qvoghcn2lk4l3gxzvmiow7xaa6q
admit group ccm-operators of tenancy operator to use control-center-capacity-requests in tenancy
Hier ist <group-name>
eine beliebige Benutzergruppe im Kundenmandanten, die für das Kapazitätsmanagement verwendet wird. Policys für den Betreibermandanten und die ccm-operators-Gruppe sollen OCI-Operatoren die Arbeit an den von Kunden erstellten Kapazitätsanforderungen ermöglichen.