OCC-Policys und -Berechtigungen

Erstellen Sie IAM-Policys, um zu kontrollieren, wer Zugriff auf OCC-Metrik- und Kapazitätsanforderungsdaten hat und welche Art von Zugriff die einzelnen Benutzergruppen haben.

Für Metrikdaten in OCC gibt es keine Möglichkeit, den Zugriff basierend auf Ressourcen-IDs einzuschränken. Mit dem Familiennamen control-center-family und dem Ressourcentyp control-center-metrics können Sie den Zugriff auf die Metrikdaten insgesamt einschränken.

Sie können die Familiennamen control-center-capacity-management-family und die Ressourcentypen control-center-availability-catalogs und control-center-capacity-requests verwenden, um den Zugriff auf Capacity Management einzuschränken.

Weitere Informationen finden Sie im Abschnitt Policy-Beispiele.

Die Benutzer in der Gruppe Administrators haben Zugriff auf alle OCC-Ressourcen und Metrikdaten. Erstellen Sie Policys, damit Benutzer über die erforderlichen Rechte für die OCC-Metrikdaten verfügen.

Informationen zu IAM-Policys finden Sie unter Erste Schritte mit Policys.

Eine vollständige Liste der Oracle Cloud Infrastructure-Policys finden Sie in der Policy-Referenz.

In diesem Abschnitt werden die folgenden Themen erläutert:

Um OCC zu verwenden, erstellen Sie eine Policy, die den Benutzern oder Gruppen, die entsprechend mit dem Service interagieren, die folgenden Berechtigungen erteilt.

Ressourcentypen und Berechtigungen

Liste der Control Center-Ressourcentypen und der zugehörigen Berechtigungen.

Um allen OCC-Metriküberwachungsressourcen Berechtigungen zuzuweisen, verwenden Sie den Aggregattyp "control-center-family".

Um eine Kapazitätsanforderung zu erstellen, benötigen Sie die Berechtigung "control-center-capacity-management-family".

In der folgenden Tabelle werden alle Ressourcen in OCC aufgeführt:

Nachname Weitere Ressourcen Aktion zugewiesen zu Benutzer
control-center-family
  • control-center-metrics
  • control-center-demand-signals
Enthält alle Control Center-Metriken und alle zukünftigen Mitgliedsressourcen in einer Familie.
control-center-capacity-management-family
  • control-center-availability-catalogs
  • control-center-capacity-requests
Umfasst das gesamte Control Center-Kapazitätsmanagement und alle zukünftigen Mitgliederressourcen in einer Familie.

Eine Policy, die <verb> control-center-family verwendet, entspricht dem Schreiben einer Policy mit einer separaten <verb> <resource-type>-Anweisung für jeden einzelnen Ressourcentyp.

Ressourcenart Berechtigungen Aktion zugewiesen zu Benutzer
control-center-metrics
  • CONTROL_CENTER_METRICS_INSPECT
  • CONTROL_CENTER_METRICS_READ
Lesen Sie OCC-Metrik-Namespaces, Metriknamen und Metrikwerte.
control-center-availability-catalogs
  • CONTROL_CENTER_AVAILABILITY_CATALOG_INSPECT
  • CONTROL_CENTER_AVAILABILITY_CATALOG_READ
Verfügbarkeitskataloge und Verfügbarkeiten lesen und exportieren.
control-center-capacity-requests
  • CONTROL_CENTER_CAPACITY_REQUEST_CREATE
  • CONTROL_CENTER_CAPACITY_REQUEST_DELETE
  • CONTROL_CENTER_CAPACITY_REQUEST_UPDATE
  • CONTROL_CENTER_CAPACITY_REQUEST_INSPECT
  • CONTROL_CENTER_CAPACITY_REQUEST_READ
Kapazitätsanforderungen erstellen, lesen, aktualisieren und löschen
control-center-demand-signals
  • CONTROL_CENTER_DEMAND_SIGNAL_CREATE
  • CONTROL_CENTER_DEMAND_SIGNAL_DELETE
  • CONTROL_CENTER_DEMAND_SIGNAL_UPDATE
  • CONTROL_CENTER_DEMAND_SIGNAL_INSPECT
  • CONTROL_CENTER_DEMAND_SIGNAL_READ
Bedarfsmenge von Ressourcen in Kapazitätsanforderungen hinzufügen, lesen, aktualisieren und löschen.

Unterstützte Variablen

Mit Variablen können Sie einer Policy Bedingungen hinzufügen.

OCI Control Center unterstützt die folgenden Variablen:

  • Entity: Oracle Cloud-ID (OCID)
  • Zeichenfolge: Freiformtext.
  • Liste: Liste der Entitys oder Zeichenfolgen.

Siehe Allgemeine Variablen für alle Anforderungen.

Variablen werden kleingeschrieben und durch Bindestriche getrennt. Beispiel: target.tag-namespace.name, target.display-name. Hier muss name eindeutig sein, und display-name ist die Beschreibung.

Erforderliche Variablen werden vom OCI Control Center-Service für jede Anforderung angegeben. Automatische Variablen werden von der Autorisierungs-Engine bereitgestellt (entweder lokal im Service mit dem SDK für einen Fat Client oder auf der Identity Data Plane für einen Thin Client).

Erforderliche Variablen Typ Beschreibung
target.compartment.id Entität (OCID) Die OCID der primären Ressource für die Anforderung.
request.operation String Die Vorgangs-ID (z.B. GetUser) für die Anforderung.
target.resource.kind String Der Name der Ressourcenart der primären Ressource für die Anforderung.
Automatische Variablen Typ Beschreibung
request.user.id Entität (OCID) Die OCID des anfordernden Benutzers.
request.groups.id Liste der Entitys (OCIDs) Die OCIDs der Gruppen, zu denen der anfordernde Benutzer gehört.
target.compartment.name String Der Name des Compartments, das in target.compartment.id. angegeben wird
target.tenant.id Entität (OCID) Die OCID der Zielmandanten-ID.
Dynamische Variablen Typ Beschreibung
request.principal.group.tag.<tagNS>.<tagKey> String Der Wert jedes Tags in einer Gruppe, deren Principal Mitglied ist.
request.principal.compartment.tag.<tagNS>.<tagKey> String Der Wert jedes Tags im Compartment, das den Principal enthält.
target.resource.tag.<tagNS>.<tagKey> String Der Wert jedes Tags in der Zielressource. (Berechnet basierend auf tagSlug, der vom Service für jede Anforderung bereitgestellt wird.)
target.resource.compartment.tag.<tagNS>.<tagKey> String Der Wert aller Tags im Compartment, die die Zielressource enthalten. (Berechnet basierend auf tagSlug, der vom Service für jede Anforderung bereitgestellt wird.)

Verfügbare Quellen für die Variablen:

  • Anforderung: Stammt aus der Anforderungseingabe.
  • Abgeleitet: Stammt aus der Anforderung.
  • Gespeichert: Stammt aus dem Service, beibehaltene Eingabe.
  • Berechnet: Wird aus Servicedaten berechnet.

Details zu Kombinationen aus Verb + Ressourcentyp

Identifizieren Sie die Berechtigungen und API-Vorgänge, die von jedem Verb für Control Center-Ressourcen abgedeckt werden.

Die Zugriffsebene ist kumulativ von inspect zu read zu use zu manage. Ein Pluszeichen (+) in einer Tabellenzelle gibt den inkrementellen Zugriff im Vergleich zur vorherigen Zelle an, no extra gibt keinen inkrementellen Zugriff an.

Informationen zum Erteilen von Zugriffsberechtigungen finden Sie unter Berechtigungen.

Control-Center-Metriken

In dieser Tabelle werden die Berechtigungen und API-Vorgänge aufgeführt, die von jedem Verb für die Ressource control-center-metrics abgedeckt werden.

Verbs Berechtigungen Abgedeckte APIs Beschreibung
inspect

CONTROL_CENTER_METRICS_INSPECT

  • ListNamespaces
  • ListMetricProperties
Metriken werden in Namespaces gruppiert.

Listen Sie alle Namespaces auf.

Rufen Sie die Liste der Metriken in einem bestimmten Namespace ab.

read

inspect+

CONTROL_CENTER_METRICS_READ

inspect+

RequestSummarizedMetricData

Rufen Sie Daten (Werte) für eine Metrik in einem bestimmten Namespace ab.
use

read+

no extra

manage

use+

no extra

Control-Center-Verfügbarkeitskataloge

In dieser Tabelle sind die Berechtigungen und API-Vorgänge aufgeführt, die von jedem Verb für die Ressource control-center-availability-catalogs abgedeckt werden.

Verbs Berechtigungen Abgedeckte APIs Beschreibung
inspect CONTROL_CENTER_AVAILABILITY_CATALOG_INSPECT
  • ListOccAvailabilityCatalogs
Listet alle Verfügbarkeitskataloge auf.
read

inspect+

CONTROL_CENTER_AVAILABILITY_CATALOG_READ

inspect+

  • GetOccAvailabilityCatalog
  • GetOccAvailabilityCatalogContent
  • ListOccAvailabilities

Details zum Verfügbarkeitskatalog abrufen.

Gibt den binären Inhalt des Verfügbarkeitskatalogs zurück.

Listen Sie die Verfügbarkeiten in einem Verfügbarkeitskatalog auf.

Control-Center-Kapazitätsanforderungen

In dieser Tabelle sind die Berechtigungen und API-Vorgänge aufgeführt, die von jedem Verb für die Ressource control-center-capacity-requests abgedeckt werden.

Verbs Berechtigungen Abgedeckte APIs Beschreibung
inspect CONTROL_CENTER_CAPACITY_REQUEST_INSPECT
  • ListOccCapacityRequests
Listet alle Kapazitätsanforderungen auf.
read

inspect+

CONTROL_CENTER_CAPACITY_REQUEST_READ

inspect+

  • GetOccCapacityRequest
Rufen Sie Details zur Kapazitätsanforderung ab.
use

read+

CONTROL_CENTER_CAPACITY_REQUEST_UPDATE

read+

  • UpdateOccCapacityRequest
Aktualisieren Sie die Kapazitätsanforderung.
manage

use+

CONTROL_CENTER_CAPACITY_REQUEST_CREATE

CONTROL_CENTER_CAPACITY_REQUEST_DELETE

use+

  • CreateOccCapacityRequest
  • DeleteOccCapacityRequest

Erstellen Sie eine Kapazitätsanforderung.

Löschen Sie eine Kapazitätsanforderungsressource.

Control-Center-Demand-Signale

In dieser Tabelle sind die Berechtigungen und API-Vorgänge aufgeführt, die von jedem Verb für die Ressource control-center-demand-signals abgedeckt werden.

Verben Berechtigungen Abgedeckte APIs Beschreibung
inspect CONTROL_CENTER_DEMAND_SIGNALS_INSPECT
  • ListOccDemandSignals
Listet alle Ressourcen in einer Kapazitätsanforderung auf.
read

inspect+

CONTROL_CENTER_DEMAND_SIGNALS_READ

inspect+

  • GetOccDemandSignal
Rufen Sie Details zu den Ressourcen in einer Kapazitätsanforderung ab.
use

read+

CONTROL_CENTER_DEMAND_SIGNALS_UPDATE

read+

  • UpdateOccDemandSignal
  • PatchOccDemandSignal

Aktualisieren Sie den Namen einer Kapazitätsanforderung.

Bearbeiten Sie die Bedarfsmenge der Ressourcen in einer Kapazitätsanforderung.

manage

use+

CONTROL_CENTER_DEMAND_SIGNALS_CREATE

CONTROL_CENTER_DEMAND_SIGNALS_DELETE

use+

  • CreateOccDemandSignal
  • DeleteOccDemandSignal

Fügen Sie eine Ressource in einer Kapazitätsanforderung hinzu.

Löschen einer Ressource in einer Kapazitätsanforderung.

Für jeden API-Vorgang erforderliche Berechtigungen

In der folgenden Tabelle werden die API-Vorgänge in einer logischen Reihenfolge aufgeführt.

Weitere Informationen finden Sie unter Berechtigungen.
API-Vorgang Für den Vorgang erforderliche Berechtigungen
ListNamespaces CONTROL_CENTER_METRICS_INSPECT
ListMetricProperties CONTROL_CENTER_METRICS_INSPECT
RequestSummarizedMetricData CONTROL_CENTER_METRICS_READ
ListOccAvailabilityCatalogs CONTROL_CENTER_AVAILABILITY_CATALOG_INSPECT
GetOccAvailabilityCatalog CONTROL_CENTER_AVAILABILITY_CATALOG_READ
GetOccAvailabilityCatalogContent CONTROL_CENTER_AVAILABILITY_CATALOG_READ
ListOccAvailabilities CONTROL_CENTER_AVAILABILITY_CATALOG_READ
CreateOccCapacityRequest CONTROL_CENTER_CAPACITY_REQUEST_CREATE
DeleteOccCapacityRequest CONTROL_CENTER_CAPACITY_REQUEST_DELETE
UpdateOccCapacityRequest CONTROL_CENTER_CAPACITY_REQUEST_UPDATE
ListOccCapacityRequests CONTROL_CENTER_CAPACITY_REQUEST_INSPECT
GetOccCapacityRequest CONTROL_CENTER_CAPACITY_REQUEST_READ
CreateOccDemandSignal CONTROL_CENTER_DEMAND_SIGNAL_CREATE
DeleteOccDemandSignal CONTROL_CENTER_DEMAND_SIGNAL_DELETE
PatchOccDemandSignal CONTROL_CENTER_DEMAND_SIGNAL_UPDATE
UpdateOccDemandSignal CONTROL_CENTER_DEMAND_SIGNAL_UPDATE
ListOccDemandSignals CONTROL_CENTER_DEMAND_SIGNAL_INSPECT
GetOccDemandSignal CONTROL_CENTER_DEMAND_SIGNAL_READ

Policys erstellen

So erstellen Sie eine Policy in der Konsole:

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Policys.
  2. Klicken Sie auf der Seite Policys auf Policy erstellen.
  3. Geben Sie im Bereich Policy erstellen einen Namen und eine Beschreibung für die Policy ein, und geben Sie das Compartment an, in dem Sie die Policy erstellen möchten.
  4. Klicken Sie unter Policy Builder auf die Option Manuellen Editor anzeigen, um den Editor zu aktivieren.

    Geben Sie eine Policy-Regel im angegebenen Format ein. Siehe Policy-Beispiele unter OCC-Policys und -Berechtigungen.

  5. Klicken Sie auf Erstellen.

Anweisungen, wie Sie Policys mit der Konsole oder API erstellen und verwalten, finden Sie unter Policys verwalten.

Eine vollständige Liste aller Policys in Oracle Cloud Infrastructure finden Sie in der Policy-Referenz und unter Allgemeine Policys.

Policy-Beispiele

Für die Anzeige der OCC-Metrikdaten sind OCC-Policys erforderlich.

Anweisungen zum Erstellen von Policys mit der Konsole finden Sie unter Policy erstellen.

Weitere Informationen zur Syntax finden Sie unter Policy-Syntax.

Folgende Policy-Beispiele sind verfügbar:

Ermöglicht der Gruppe das Auflisten von Metriken und das Lesen von Metrikdaten.

Allow group <group name> to use control-center-metrics in tenancy

Ermöglicht der Gruppe die Verwaltung von Kapazitätsanforderungen.

Allow group customeradmin to manage control-center-capacity-request in tenancy

OCC-Familienrichtlinien

Erstellen Sie diese Policy in Ihrem Mandanten, damit ein Benutzer oder alle Metriken in OCC lesen kann:

Allow <user> to read control-center-family in tenancy

OCC-Onboardingrichtlinien für Kapazitätsmanagement

Erstellen Sie die folgenden Policys in Ihrem Mandanten, um die Funktionen für das Kapazitätsmanagement zu verwenden.

allow group <group-name> to manage control-center-capacity-requests in tenancy
allow group <group-name> to read control-center-availability-catalogs in tenancy
define tenancy operator as ocid1.tenancy.oc1..aaaaaaaagkbzgg6lpzrf47xzy4rjoxg4de6ncfiq2rncmjiujvy2hjgxvziqy
define group ccm-operators as ocid1.group.oc1..aaaaaaaay7y5a5tifmzcaa6ucaljuxyf5qvoghcn2lk4l3gxzvmiow7xaa6q
admit group ccm-operators of tenancy operator to use control-center-capacity-requests in tenancy

Hier ist <group-name> eine beliebige Benutzergruppe im Kundenmandanten, die für das Kapazitätsmanagement verwendet wird. Policys für den Betreibermandanten und die ccm-operators-Gruppe sollen OCI-Operatoren die Arbeit an den von Kunden erstellten Kapazitätsanforderungen ermöglichen.