OCC-Policys und -Berechtigungen

Erstellen Sie IAM-Policys, um zu kontrollieren, wer Zugriff auf OCC-Metrik- und Kapazitätsanforderungsdaten hat und welche Art von Zugriff die einzelnen Benutzergruppen haben.

Für Metrikdaten in OCC gibt es keine Möglichkeit, den Zugriff basierend auf Ressourcen-IDs einzuschränken. Mit dem Familiennamen control-center-family und dem Ressourcentyp control-center-metrics können Sie den Zugriff auf die Metrikdaten insgesamt einschränken.

Sie können die Familiennamen control-center-capacity-management-family und die Ressourcentypen control-center-availability-catalogs und control-center-capacity-requests verwenden, um den Zugriff auf Capacity Management einzuschränken.

Weitere Informationen finden Sie im Abschnitt Policy-Beispiele.

Die Benutzer in der Gruppe Administrators haben Zugriff auf alle OCC-Ressourcen und Metrikdaten. Erstellen Sie Policys, damit Benutzer über die erforderlichen Rechte für die OCC-Metrikdaten verfügen.

Informationen zu IAM-Policys finden Sie unter Erste Schritte mit Policys.

Eine vollständige Liste der Oracle Cloud Infrastructure-Policys finden Sie in der Policy-Referenz.

In diesem Abschnitt werden die folgenden Themen erläutert:

Um OCC zu verwenden, erstellen Sie eine Policy, die den Benutzern oder Gruppen, die entsprechend mit dem Service interagieren, die folgenden Berechtigungen erteilt.

Ressourcentypen und Berechtigungen

Liste der Control Center-Ressourcentypen und der zugehörigen Berechtigungen.

Um allen OCC-Metriküberwachungsressourcen Berechtigungen zuzuweisen, verwenden Sie den Aggregattyp "control-center-family".

Um eine Kapazitätsanforderung zu erstellen, benötigen Sie die Berechtigung "control-center-capacity-management-family".

In der folgenden Tabelle werden alle Ressourcen in OCC aufgeführt:


Nachname	Weitere Ressourcen	Aktion zugewiesen zu Benutzer
`control-center-family`	`control-center-metrics` `control-center-demand-signals`	Enthält alle Control Center-Metriken und alle zukünftigen Mitgliedsressourcen in einer Familie.
`control-center-capacity-management-family`	`control-center-availability-catalogs` `control-center-capacity-requests`	Umfasst das gesamte Control Center-Kapazitätsmanagement und alle zukünftigen Mitgliederressourcen in einer Familie.

Eine Policy, die <verb> control-center-family verwendet, entspricht dem Schreiben einer Policy mit einer separaten <verb> <resource-type>-Anweisung für jeden einzelnen Ressourcentyp.


Ressourcenart	Berechtigungen	Aktion zugewiesen zu Benutzer
`control-center-metrics`	`CONTROL_CENTER_METRICS_INSPECT` `CONTROL_CENTER_METRICS_READ`	Lesen Sie OCC-Metrik-Namespaces, Metriknamen und Metrikwerte.
`control-center-availability-catalogs`	`CONTROL_CENTER_AVAILABILITY_CATALOG_INSPECT` `CONTROL_CENTER_AVAILABILITY_CATALOG_READ`	Verfügbarkeitskataloge und Verfügbarkeiten lesen und exportieren.
`control-center-capacity-requests`	`CONTROL_CENTER_CAPACITY_REQUEST_CREATE` `CONTROL_CENTER_CAPACITY_REQUEST_DELETE` `CONTROL_CENTER_CAPACITY_REQUEST_UPDATE` `CONTROL_CENTER_CAPACITY_REQUEST_INSPECT` `CONTROL_CENTER_CAPACITY_REQUEST_READ`	Kapazitätsanforderungen erstellen, lesen, aktualisieren und löschen
`control-center-demand-signals`	`CONTROL_CENTER_DEMAND_SIGNAL_CREATE` `CONTROL_CENTER_DEMAND_SIGNAL_DELETE` `CONTROL_CENTER_DEMAND_SIGNAL_UPDATE` `CONTROL_CENTER_DEMAND_SIGNAL_INSPECT` `CONTROL_CENTER_DEMAND_SIGNAL_READ`	Bedarfsmenge von Ressourcen in Kapazitätsanforderungen hinzufügen, lesen, aktualisieren und löschen.

Unterstützte Variablen

Mit Variablen können Sie einer Policy Bedingungen hinzufügen.

OCI Control Center unterstützt die folgenden Variablen:

Entity: Oracle Cloud-ID (OCID)
Zeichenfolge: Freiformtext.
Liste: Liste der Entitys oder Zeichenfolgen.

Siehe Allgemeine Variablen für alle Anforderungen.

Variablen werden kleingeschrieben und durch Bindestriche getrennt. Beispiel: target.tag-namespace.name, target.display-name. Hier muss name eindeutig sein, und display-name ist die Beschreibung.

Erforderliche Variablen werden vom OCI Control Center-Service für jede Anforderung angegeben. Automatische Variablen werden von der Autorisierungs-Engine bereitgestellt (entweder lokal im Service mit dem SDK für einen Fat Client oder auf der Identity Data Plane für einen Thin Client).


Erforderliche Variablen	Typ	Beschreibung
`target.compartment.id`	Entität (OCID)	Die OCID der primären Ressource für die Anforderung.
`request.operation`	String	Die Vorgangs-ID (z.B. `GetUser`) für die Anforderung.
`target.resource.kind`	String	Der Name der Ressourcenart der primären Ressource für die Anforderung.


Automatische Variablen	Typ	Beschreibung
`request.user.id`	Entität (OCID)	Die OCID des anfordernden Benutzers.
`request.groups.id`	Liste der Entitys (OCIDs)	Die OCIDs der Gruppen, zu denen der anfordernde Benutzer gehört.
`target.compartment.name`	String	Der Name des Compartments, das in `target.compartment.id`. angegeben wird
`target.tenant.id`	Entität (OCID)	Die OCID der Zielmandanten-ID.


Dynamische Variablen	Typ	Beschreibung
`request.principal.group.tag.<tagNS>.<tagKey>`	String	Der Wert jedes Tags in einer Gruppe, deren Principal Mitglied ist.
`request.principal.compartment.tag.<tagNS>.<tagKey>`	String	Der Wert jedes Tags im Compartment, das den Principal enthält.
`target.resource.tag.<tagNS>.<tagKey>`	String	Der Wert jedes Tags in der Zielressource. (Berechnet basierend auf tagSlug, der vom Service für jede Anforderung bereitgestellt wird.)
`target.resource.compartment.tag.<tagNS>.<tagKey>`	String	Der Wert aller Tags im Compartment, die die Zielressource enthalten. (Berechnet basierend auf tagSlug, der vom Service für jede Anforderung bereitgestellt wird.)

Verfügbare Quellen für die Variablen:

Anforderung: Stammt aus der Anforderungseingabe.
Abgeleitet: Stammt aus der Anforderung.
Gespeichert: Stammt aus dem Service, beibehaltene Eingabe.
Berechnet: Wird aus Servicedaten berechnet.

Details zu Kombinationen aus Verb + Ressourcentyp

Identifizieren Sie die Berechtigungen und API-Vorgänge, die von jedem Verb für Control Center-Ressourcen abgedeckt werden.

Die Zugriffsebene ist kumulativ von inspect zu read zu use zu manage. Ein Pluszeichen (+) in einer Tabellenzelle gibt den inkrementellen Zugriff im Vergleich zur vorherigen Zelle an, no extra gibt keinen inkrementellen Zugriff an.

Informationen zum Erteilen von Zugriffsberechtigungen finden Sie unter Berechtigungen.

Control-Center-Metriken

In dieser Tabelle werden die Berechtigungen und API-Vorgänge aufgeführt, die von jedem Verb für die Ressource control-center-metrics abgedeckt werden.


Verbs	Berechtigungen	Abgedeckte APIs	Beschreibung
`inspect`	`CONTROL_CENTER_METRICS_INSPECT`	`ListNamespaces` `ListMetricProperties`	Metriken werden in Namespaces gruppiert. Listen Sie alle Namespaces auf. Rufen Sie die Liste der Metriken in einem bestimmten Namespace ab.
`read`	`inspect+` `CONTROL_CENTER_METRICS_READ`	`inspect+` `RequestSummarizedMetricData`	Rufen Sie Daten (Werte) für eine Metrik in einem bestimmten Namespace ab.
`use`	`read+`	`no extra`
`manage`	`use+`	`no extra`

Control-Center-Verfügbarkeitskataloge

In dieser Tabelle sind die Berechtigungen und API-Vorgänge aufgeführt, die von jedem Verb für die Ressource control-center-availability-catalogs abgedeckt werden.


Verbs	Berechtigungen	Abgedeckte APIs	Beschreibung
`inspect`	`CONTROL_CENTER_AVAILABILITY_CATALOG_INSPECT`	`ListOccAvailabilityCatalogs`	Listet alle Verfügbarkeitskataloge auf.
`read`	`inspect+` `CONTROL_CENTER_AVAILABILITY_CATALOG_READ`	`inspect+` `GetOccAvailabilityCatalog` `GetOccAvailabilityCatalogContent` `ListOccAvailabilities`	Details zum Verfügbarkeitskatalog abrufen. Gibt den binären Inhalt des Verfügbarkeitskatalogs zurück. Listen Sie die Verfügbarkeiten in einem Verfügbarkeitskatalog auf.

Control-Center-Kapazitätsanforderungen

In dieser Tabelle sind die Berechtigungen und API-Vorgänge aufgeführt, die von jedem Verb für die Ressource control-center-capacity-requests abgedeckt werden.


Verbs	Berechtigungen	Abgedeckte APIs	Beschreibung
`inspect`	`CONTROL_CENTER_CAPACITY_REQUEST_INSPECT`	`ListOccCapacityRequests`	Listet alle Kapazitätsanforderungen auf.
`read`	`inspect+` `CONTROL_CENTER_CAPACITY_REQUEST_READ`	`inspect+` `GetOccCapacityRequest`	Rufen Sie Details zur Kapazitätsanforderung ab.
`use`	`read+` `CONTROL_CENTER_CAPACITY_REQUEST_UPDATE`	`read+` `UpdateOccCapacityRequest`	Aktualisieren Sie die Kapazitätsanforderung.
`manage`	`use+` `CONTROL_CENTER_CAPACITY_REQUEST_CREATE` `CONTROL_CENTER_CAPACITY_REQUEST_DELETE`	`use+` `CreateOccCapacityRequest` `DeleteOccCapacityRequest`	Erstellen Sie eine Kapazitätsanforderung. Löschen Sie eine Kapazitätsanforderungsressource.

Control-Center-Demand-Signale

In dieser Tabelle sind die Berechtigungen und API-Vorgänge aufgeführt, die von jedem Verb für die Ressource control-center-demand-signals abgedeckt werden.


Verben	Berechtigungen	Abgedeckte APIs	Beschreibung
`inspect`	`CONTROL_CENTER_DEMAND_SIGNALS_INSPECT`	`ListOccDemandSignals`	Listet alle Ressourcen in einer Kapazitätsanforderung auf.
`read`	`inspect+` `CONTROL_CENTER_DEMAND_SIGNALS_READ`	`inspect+` `GetOccDemandSignal`	Rufen Sie Details zu den Ressourcen in einer Kapazitätsanforderung ab.
`use`	`read+` `CONTROL_CENTER_DEMAND_SIGNALS_UPDATE`	`read+` `UpdateOccDemandSignal` `PatchOccDemandSignal`	Aktualisieren Sie den Namen einer Kapazitätsanforderung. Bearbeiten Sie die Bedarfsmenge der Ressourcen in einer Kapazitätsanforderung.
`manage`	`use+` `CONTROL_CENTER_DEMAND_SIGNALS_CREATE` `CONTROL_CENTER_DEMAND_SIGNALS_DELETE`	`use+` `CreateOccDemandSignal` `DeleteOccDemandSignal`	Fügen Sie eine Ressource in einer Kapazitätsanforderung hinzu. Löschen einer Ressource in einer Kapazitätsanforderung.

Für jeden API-Vorgang erforderliche Berechtigungen

In der folgenden Tabelle werden die API-Vorgänge in einer logischen Reihenfolge aufgeführt.

Weitere Informationen finden Sie unter Berechtigungen.


API-Vorgang	Für den Vorgang erforderliche Berechtigungen
`ListNamespaces`	`CONTROL_CENTER_METRICS_INSPECT`
`ListMetricProperties`	`CONTROL_CENTER_METRICS_INSPECT`
`RequestSummarizedMetricData`	`CONTROL_CENTER_METRICS_READ`
`ListOccAvailabilityCatalogs`	`CONTROL_CENTER_AVAILABILITY_CATALOG_INSPECT`
`GetOccAvailabilityCatalog`	`CONTROL_CENTER_AVAILABILITY_CATALOG_READ`
`GetOccAvailabilityCatalogContent`	`CONTROL_CENTER_AVAILABILITY_CATALOG_READ`
`ListOccAvailabilities`	`CONTROL_CENTER_AVAILABILITY_CATALOG_READ`
`CreateOccCapacityRequest`	`CONTROL_CENTER_CAPACITY_REQUEST_CREATE`
`DeleteOccCapacityRequest`	`CONTROL_CENTER_CAPACITY_REQUEST_DELETE`
`UpdateOccCapacityRequest`	`CONTROL_CENTER_CAPACITY_REQUEST_UPDATE`
`ListOccCapacityRequests`	`CONTROL_CENTER_CAPACITY_REQUEST_INSPECT`
`GetOccCapacityRequest`	`CONTROL_CENTER_CAPACITY_REQUEST_READ`
`CreateOccDemandSignal`	`CONTROL_CENTER_DEMAND_SIGNAL_CREATE`
`DeleteOccDemandSignal`	`CONTROL_CENTER_DEMAND_SIGNAL_DELETE`
`PatchOccDemandSignal`	`CONTROL_CENTER_DEMAND_SIGNAL_UPDATE`
`UpdateOccDemandSignal`	`CONTROL_CENTER_DEMAND_SIGNAL_UPDATE`
`ListOccDemandSignals`	`CONTROL_CENTER_DEMAND_SIGNAL_INSPECT`
`GetOccDemandSignal`	`CONTROL_CENTER_DEMAND_SIGNAL_READ`

Policys erstellen

So erstellen Sie eine Policy in der Konsole:

Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Policys.
Klicken Sie auf der Seite Policys auf Policy erstellen.
Geben Sie im Bereich Policy erstellen einen Namen und eine Beschreibung für die Policy ein, und geben Sie das Compartment an, in dem Sie die Policy erstellen möchten.
Klicken Sie unter Policy Builder auf die Option Manuellen Editor anzeigen, um den Editor zu aktivieren.

Geben Sie eine Policy-Regel im angegebenen Format ein. Siehe Policy-Beispiele unter OCC-Policys und -Berechtigungen.
Klicken Sie auf Erstellen.

Anweisungen, wie Sie Policys mit der Konsole oder API erstellen und verwalten, finden Sie unter Policys verwalten.

Eine vollständige Liste aller Policys in Oracle Cloud Infrastructure finden Sie in der Policy-Referenz und unter Allgemeine Policys.

Policy-Beispiele

Für die Anzeige der OCC-Metrikdaten sind OCC-Policys erforderlich.

Anweisungen zum Erstellen von Policys mit der Konsole finden Sie unter Policy erstellen.

Weitere Informationen zur Syntax finden Sie unter Policy-Syntax.

Folgende Policy-Beispiele sind verfügbar:

Ermöglicht der Gruppe das Auflisten von Metriken und das Lesen von Metrikdaten.

Allow group <group name> to use control-center-metrics in tenancy

Ermöglicht der Gruppe die Verwaltung von Kapazitätsanforderungen.

Allow group customeradmin to manage control-center-capacity-request in tenancy

OCC-Familienrichtlinien

Erstellen Sie diese Policy in Ihrem Mandanten, damit ein Benutzer oder alle Metriken in OCC lesen kann:

Allow <user> to read control-center-family in tenancy

OCC-Onboardingrichtlinien für Kapazitätsmanagement

Erstellen Sie die folgenden Policys in Ihrem Mandanten, um die Funktionen für das Kapazitätsmanagement zu verwenden.

allow group <group-name> to manage control-center-capacity-requests in tenancy

allow group <group-name> to read control-center-availability-catalogs in tenancy

define tenancy operator as ocid1.tenancy.oc1..aaaaaaaagkbzgg6lpzrf47xzy4rjoxg4de6ncfiq2rncmjiujvy2hjgxvziqy

define group ccm-operators as ocid1.group.oc1..aaaaaaaay7y5a5tifmzcaa6ucaljuxyf5qvoghcn2lk4l3gxzvmiow7xaa6q

admit group ccm-operators of tenancy operator to use control-center-capacity-requests in tenancy

Hier ist <group-name> eine beliebige Benutzergruppe im Kundenmandanten, die für das Kapazitätsmanagement verwendet wird. Policys für den Betreibermandanten und die ccm-operators-Gruppe sollen OCI-Operatoren die Arbeit an den von Kunden erstellten Kapazitätsanforderungen ermöglichen.

Oracle Cloud Infrastructure-Dokumentation