Flottenanwendungsmanagement-Policys und -berechtigungen

Erstellen Sie Identity and Access Management-(IAM-)Policys, um zu kontrollieren, wer Zugriff auf Fleet Application Management-Ressourcen hat und welche Art von Zugriff die einzelnen Benutzergruppen haben.

Erstellen Sie Policys, damit Benutzer über die erforderlichen Rechte für die Flottenanwendungsmanagementressourcen verfügen. Benutzer in der Gruppe Administrators haben standardmäßig Zugriff auf alle Flottenanwendungsmanagementressourcen.

Wenn Sie mit IAM-Policys nicht vertraut sind, finden Sie weitere Informationen unter Erste Schritte mit Policys.

Eine vollständige Liste aller Policys in Oracle Cloud Infrastructure finden Sie in der Policy-Referenz und unter Allgemeine Policys.

Für das Flottenanwendungsmanagement muss ein Mandantenadministrator der dynamischen Gruppe, die das Flottenanwendungsmanagement beim Onboarding erstellt, Regeln hinzufügen. Mit dieser Aktion kann Fleet Application Management Lebenszyklusverwaltungsvorgänge auf OCI Compute ausführen.

In diesem Abschnitt werden die folgenden Themen erläutert:

Ressourcentypen und Berechtigungen

Liste der Ressourcentypen für Fleet Application Management und der zugehörigen Berechtigungen.

Um allen OCI Fleet Application Management-Ressourcen Berechtigungen zuzuweisen, verwenden Sie den Aggregattyp fams-family. Weitere Informationen finden Sie unter Berechtigungen.

In der folgenden Tabelle werden alle Ressourcen in fams-family aufgeführt:


Nachname	Weitere Ressourcen
`fams-family`	`fams-fleets` `fams-runbooks` `fams-schedules` `fams-schedule-jobs` `fams-maintenance-windows` `fams-admin` `fams-workrequests` `fams-compliance-policies` `fams-patches` `fams-provisions` `fams-catalog-items` `fams-agent-command-executions` `fams-software-inventory` `fams-onboarding` `fams-platform` `fams-properties` `fams-reports`

Eine Policy, die <verb> fams-family verwendet, entspricht dem Schreiben einer Policy mit einer separaten <verb> <resource-type> -Anweisung für jeden individuellen Ressourcentyp.


Ressourcenart	Berechtigungen
`fams-fleets`	`FAMS_FLEET_INSPECT` `FAMS_FLEET_READ` `FAMS_FLEET_CREATE` `FAMS_FLEET_UPDATE` `FAMS_FLEET_DELETE` `FAMS_FLEET_MOVE` `FAMS_COMPLIANCE_REPORT_READ`
`fams-runbooks`	`FAMS_RUNBOOK_INSPECT` `FAMS_RUNBOOK_READ` `FAMS_RUNBOOK_UPDATE` `FAMS_RUNBOOK_CREATE` `FAMS_RUNBOOK_DELETE` `FAMS_RUNBOOK_MOVE`
`fams-schedules`	`FAMS_SCHEDULE_INSPECT` `FAMS_SCHEDULE_READ` `FAMS_SCHEDULE_CREATE` `FAMS_SCHEDULE_UPDATE` `FAMS_SCHEDULE_DELETE` `FAMS_SCHEDULE_CREATE_WITH_SUDO` `FAMS_SCHEDULE_UPDATE_WITH_SUDO` `FAMS_SCHEDULE_CREATE_WITH_EMERGENCY_OVERRIDE` `FAMS_SCHEDULE_UPDATE_WITH_EMERGENCY_OVERRIDE`
`fams-schedule-jobs`	`FAMS_SCHEDULE_JOB_INSPECT` `FAMS_SCHEDULE_JOB_READ` `FAMS_SCHEDULE_JOB_UPDATE` `FAMS_SCHEDULE_JOB_DELETE` `FAMS_SCHEDULE_JOB_ACTION`
`fams-maintenance-windows`	`FAMS_MAINTENANCE_WINDOW_INSPECT` `FAMS_MAINTENANCE_WINDOW_READ` `FAMS_MAINTENANCE_WINDOW_CREATE` `FAMS_MAINTENANCE_WINDOW_UPDATE` `FAMS_MAINTENANCE_WINDOW_DELETE`
`fams-admin`	`FAMS_ADMIN_INSPECT` `FAMS_ADMIN_READ` `FAMS_ADMIN_CREATE` `FAMS_ADMIN_UPDATE` `FAMS_ADMIN_DELETE` `FAMS_ADMIN_MOVE` `FAMS_COMPLIANCE_REPORT_READ`
`fams-onboarding`	`FAMS_ONBOARDING_INSPECT` `FAMS_ONBOARDING_READ` `FAMS_ONBOARDING_CREATE` `FAMS_ONBOARDING_UPDATE` `FAMS_ONBOARDING_DELETE`
`fams-workrequests`	`FAMS_API_WORK_REQUEST_LIST` `FAMS_API_WORK_REQUEST_READ`
`fams-compliance-policies`	`FAMS_COMPLIANCE_POLICY_INSPECT` `FAMS_COMPLIANCE_POLICY_READ` `FAMS_COMPLIANCE_POLICY_CREATE` `FAMS_COMPLIANCE_POLICY_UPDATE` `FAMS_COMPLIANCE_POLICY_DELETE` `FAMS_COMPLIANCE_REPORT_READ`
`fams-patches`	`FAMS_PATCH_INSPECT` `FAMS_PATCH_READ` `FAMS_PATCH_CREATE` `FAMS_PATCH_UPDATE` `FAMS_PATCH_DELETE` `FAMS_PATCH_MOVE` `FAMS_COMPLIANCE_REPORT_READ`
`fams-provisions`	`FAMS_PROVISION_INSPECT` `FAMS_PROVISION_READ` `FAMS_PROVISION_CREATE` `FAMS_PROVISION_UPDATE` `FAMS_PROVISION_DELETE` `FAMS_PROVISION_MOVE`
`fams-catalog-items`	`FAMS_CATALOG_ITEM_INSPECT` `FAMS_CATALOG_ITEM_READ` `FAMS_CATALOG_ITEM_CREATE` `FAMS_CATALOG_ITEM_UPDATE` `FAMS_CATALOG_ITEM_DELETE` `FAMS_CATALOG_ITEM_MOVE` `FAMS_CATALOG_ITEM_CLONE`
`fams-agent-command-executions`	`FAMS_AGENT_COMMAND_EXECUTION_INSPECT` `FAMS_AGENT_COMMAND_EXECUTION_UPDATE`
`fams-software-inventory`	`FAMS_SOFTWARE_INVENTORY_INSPECT`
`fams-platform`	`FAMS_PLATFORM_INSPECT` `FAMS_PLATFORM_READ` `FAMS_PLATFORM_CREATE` `FAMS_PLATFORM_UPDATE` `FAMS_PLATFORM_DELETE` `FAMS_PLATFORM_MOVE`
`fams-properties`	`FAMS_PROPERTY_INSPECT` `FAMS_PROPERTY_READ` `FAMS_PROPERTY_CREATE` `FAMS_PROPERTY_UPDATE` `FAMS_PROPERTY_DELETE` `FAMS_PROPERTY_MOVE`
`fams-reports`	`FAMS_REPORT_READ` `FAMS_COMPLIANCE_REPORT_READ`

Unterstützte Variablen

Fleet Application Management unterstützt alle allgemeinen Variablen und die hier aufgeführten Variablen. Weitere Informationen zu allgemeinen Variablen, die von Oracle Cloud Infrastructure-Services unterstützt werden, finden Sie unter Allgemeine Variablen für alle Anforderungen.


Ressourcentyp	Variable	Variablentyp	Beschreibung
`fams-fleets`	`target.famsfleet.id`	Entity (OCID)	Verwenden Sie diese Variable für alle Flottenvorgänge mit Ausnahme von "Erstellen".
`fams-schedules`	`target.famsschedulerdefinition.id`	Entity (OCID)	Verwenden Sie diese Variable für alle Planungsvorgänge mit Ausnahme von "Erstellen".
`fams-schedule-jobs`	`target.famsschedulerjob.id`	Entity (OCID)	Verwenden Sie diese Variable für alle Planungsjobvorgänge mit Ausnahme von "Erstellen".
`fams-maintenance-windows`	`target.famsmaintenacewindow.id`	Entity (OCID)	Verwenden Sie diese Variable für alle Wartungsfenstervorgänge mit Ausnahme von "Erstellen".
`fams-runbooks`	`target.famsrunbook.id` `target.famstaskrecord.id`	Entity (OCID)	Verwenden Sie diese Variablen für Runbook- und Runbook-Aufgabenvorgänge mit Ausnahme von "Erstellen".
`fams-admin`	`target.famsproperty.id` `target.famsplatformconfiguration.id`	Entity (OCID)	Verwenden Sie diese Variablen für Administrationsvorgänge mit Ausnahme der Erstellung.
`fams-workrequests`	`target.famsworkrequest.id`	Entity (OCID)	Verwenden Sie diese Variable zum Auflisten und Abrufen von Vorgängen.
`fams-compliance-policies`	`target.famscompliancepolicy.id`	Entity (OCID)	Verwenden Sie diese Variable für alle Compliance-Policy-Vorgänge mit Ausnahme von "Erstellen".
`fams-patches`	`target.famspatch.id`	Entity (OCID)	Verwenden Sie diese Variable für alle Patching-Vorgänge mit Ausnahme von "create".
`fams-catalog-items`	`target.famscatalogitem.id`	Entity (OCID)	Verwenden Sie diese Variable für alle Vorgänge für Katalogartikel mit Ausnahme von "Erstellen".
`fams-provisions`	`target.famsprovision.id`	Entity (OCID)	Verwenden Sie diese Variable für alle Provisioning-Vorgänge mit Ausnahme von "create".
`fams-agent-command-executions`	`target.famsagentcommandexecution.id`	Entity (OCID)	Mit dieser Variablen können Sie die Agent-Befehlsausführungen auflisten und abrufen.

Details zu Kombinationen aus Verb + Ressourcentyp

Identifizieren Sie die Berechtigungen und API-Vorgänge, die von jedem Verb für Fleet Application Management-Ressourcen abgedeckt werden.

Die Zugriffsebene ist kumulativ von inspect zu read zu use zu manage. Ein Pluszeichen (+) in einer Tabellenzelle gibt einen inkrementellen Zugriff im Vergleich zur vorherigen Zelle an.

Informationen zum Erteilen von Zugriffsberechtigungen finden Sie unter Berechtigungen.

Flotte


Verte	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
inspect	`FAMS_FLEET_INSPECT`	`ListFleets` `ListInventoryResources` `ListTargets` `ListFleetTargets` `ListFleetProducts` `ListFleetResources` `ListFleetProperties` `ListFleetCredentials`
`read`	`inspect+` `FAMS_FLEET_READ`	`inspect+` `GetFleet` `GetFleetResource` `GetFleetProperty` `GetComplianceReport` `GetFleetCredential` `GenerateComplianceReport` `CheckFleetAccess`	`CreateFleet` (erfordert auch `FAMS_FLEET_CREATE` und `FAMS_PLATFORM_READ`, wenn die übergeordnete Flotte angegeben werden muss) `UpdateFleet` (erfordert auch `FAMS_FLEET_UPDATE` und `FAMS_PLATFORM_READ`, wenn die übergeordnete Flotte angegeben werden muss) `FixCompliance` (benötigt auch `FAMS_SCHEDULE_CREATE` und `FAMS_RUNBOOK_READ`) `CreateSchedulerDefinition` (benötigt auch `FAMS_SCHEDULE_CREATE` und `FAMS_RUNBOOK_READ`) und je nach Ihren Anforderungen Folgendes: Wenn der Eingabeparametertyp FILE ist und aus Object Storage ausgewählt werden muss, ist `OBJECT_INSPECT`, `OBJECT_READ` erforderlich Wenn das runbook-Attribut `need sudo access` wahr ist, benötigt `FAMS_SCHEDULE_CREATE_WITH_SUDO` `UpdateSchedulerDefinition` (benötigt auch `FAMS_SCHEDULE_UPDATE` und `FAMS_RUNBOOK_READ`) und je nach Ihren Anforderungen Folgendes: Wenn der Eingabeparametertyp FILE ist und aus Object Storage ausgewählt werden muss, ist `OBJECT_INSPECT`, `OBJECT_READ` erforderlich Wenn das runbook-Attribut `need sudo access` wahr ist, benötigt `FAMS_SCHEDULE_CREATE_WITH_SUDO` `CreateProvision` (benötigt auch `FAMS_PROVISION_CREATE` und `FAMS_CATALOG_ITEM_READ`)
`read`	`inspect+` `FAMS_COMPLIANCE_REPORT_READ`	`ListComplianceRecords` `ExportComplianceReport` `SummarizeComplianceRecordCounts` `SummarizeManagedEntityCounts`
`use`	`read+` `FAMS_FLEET_UPDATE`	`read+`	`UpdateFleet` (benötigt auch `FAMS_PLATFORM_READ`) und je nach Ihren Anforderungen Folgendes: Wenn die übergeordnete Flotte angegeben werden muss, ist `FAMS_FLEET_READ` erforderlich Wenn Themen aus dem Notifications-Service angegeben werden müssen, ist `ONS_TOPIC_READ` erforderlich Wenn eine Instanz zu einer Flotte hinzugefügt werden muss, ist `INSTANCE_READ` erforderlich Wenn eine dbSystem zu einer Flotte hinzugefügt werden muss, ist `DB_SYSTEM_INSPECT`, `DB_SYSTEM_QUERY` erforderlich Wenn eine vmCluster zu einer Flotte hinzugefügt werden muss, ist `VM_CLUSTER_INSPECT` erforderlich `UpdateFleetResource` benötigt je nach Ihren Anforderungen auch Folgendes: Wenn eine Instanz zu einer Flotte hinzugefügt werden muss, ist `INSTANCE_READ` erforderlich Wenn eine dbSystem zu einer Flotte hinzugefügt werden muss, ist `DB_SYSTEM_INSPECT`, `DB_SYSTEM_QUERY` erforderlich Wenn eine vmCluster zu einer Flotte hinzugefügt werden muss, ist `VM_CLUSTER_INSPECT` erforderlich `UpdateFleetProperty` (benötigt auch `FAMS_PROPERTY_READ` `UpdateFleetCredential` (benötigt auch `FAMS_PROPERTY_READ` und `VAULT_INSPECT`) und je nach Ihren Anforderungen Folgendes: Wenn Zugangsdaten mit OCI Vault-Schlüssel erstellt werden, ist `KEY_READ` erforderlich Wenn Zugangsdaten mit OCI Vault Secret erstellt werden, ist `SECRET_READ` erforderlich
`manage`	`use+` `FAMS_FLEET_CREATE`	`use+` `ConfirmTargets` `RequestTargetDiscovery` `RequestResourceValidation` `CheckResourceTagging`	`CreateFleet` (benötigt je nach Ihren Anforderungen auch `FAMS_PLATFORM_READ` und Folgendes: Wenn die übergeordnete Flotte angegeben werden muss, ist `FAMS_FLEET_READ` erforderlich Wenn Themen aus dem Notifications-Service angegeben werden müssen, ist `ONS_TOPIC_READ` erforderlich Wenn eine Instanz zu einer Flotte hinzugefügt werden muss, ist `INSTANCE_READ` erforderlich Wenn eine dbSystem zu einer Flotte hinzugefügt werden muss, ist `DB_SYSTEM_INSPECT`, `DB_SYSTEM_QUERY` erforderlich Wenn eine vmCluster zu einer Flotte hinzugefügt werden muss, ist `VM_CLUSTER_INSPECT` erforderlich `CreateFleetResource` benötigt je nach Ihren Anforderungen auch Folgendes: Wenn eine Instanz zu einer Flotte hinzugefügt werden muss, ist `INSTANCE_READ` erforderlich Wenn eine dbSystem zu einer Flotte hinzugefügt werden muss, ist `DB_SYSTEM_INSPECT`, `DB_SYSTEM_QUERY` erforderlich Wenn eine vmCluster zu einer Flotte hinzugefügt werden muss, ist `VM_CLUSTER_INSPECT` erforderlich `CreateFleetProperty` (benötigt auch `FAMS_PROPERTY_READ` `CreateFleetCredential` (benötigt je nach Ihren Anforderungen auch `FAMS_PLATFORM_READ`, `VAULT_INSPECT` und Folgendes: Wenn Zugangsdaten mit OCI Vault-Schlüssel erstellt werden, ist `KEY_READ` erforderlich Wenn Zugangsdaten mit OCI Vault Secret erstellt werden, ist `SECRET_READ` erforderlich
`manage`	`use+` `FAMS_FLEET_DELETE`	`use+` `DeleteFleet` `DeleteFleetResource` `DeleteFleetProperty` `DeleteFleetCredential`
`manage`	`use+` `FAMS_FLEET_MOVE`	`use+` `ChangeFleetCompartment`

fams-runbooks


Verte	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
`inspect`	`FAMS_RUNBOOK_INSPECT`	`ListRunbooks` `ListTaskRecords`
`read`	`inspect+` `FAMS_RUNBOOK_READ`	`inspect+` `GetRunbook` `GetTaskRecord` `CheckRunbookAccess` `RunbookExportDependencyFinder` `RunbookExport` `RunbookVersionExport` `RunbookExportStatus` `RunbookImportStatus`	`FixCompliance` (benötigt auch `FAMS_SCHEDULE_CREATE` und `FAMS_FLEET_READ`) `CreateRunbook` (benötigt auch `FAMS_RUNBOOK_CREATE` und `FAMS_PLATFORM_READ`). Wenn eine Aufgabe auf einer selbst gehosteten Instanz ausgeführt wird, ist `INSTANCE_READ` erforderlich `UpdateRunbook` (benötigt auch `FAMS_RUNBOOK_UPDATE` und `FAMS_PLATFORM_READ`). Wenn eine Aufgabe auf einer selbst gehosteten Instanz ausgeführt wird, ist `INSTANCE_READ` erforderlich `CreateRunbookVersion` (benötigt auch `FAMS_RUNBOOK_CREATE` und `FAMS_PLATFORM_READ`). Wenn eine Aufgabe auf einer selbst gehosteten Instanz ausgeführt wird, ist `INSTANCE_READ` erforderlich `UpdateRunbookVersion` (benötigt auch `FAMS_RUNBOOK_UPDATE` und `FAMS_PLATFORM_READ`). Wenn eine Aufgabe auf einer selbst gehosteten Instanz ausgeführt wird, ist `INSTANCE_READ` erforderlich `CreateSchedulerDefinition` (benötigt auch `FAMS_SCHEDULE_CREATE` und `FAMS_FLEET_READ`) und je nach Ihren Anforderungen Folgendes: Wenn der Eingabeparametertyp `FILE` lautet und aus Object Storage ausgewählt werden muss, ist `OBJECT_INSPECT`, `OBJECT_READ` erforderlich Wenn das runbook-Attribut `need sudo access` wahr ist, benötigt `FAMS_SCHEDULE_CREATE_WITH_SUDO` `UpdateSchedulerDefinition` (benötigt auch `FAMS_SCHEDULE_UPDATE` und `FAMS_FLEET_READ`) und je nach Ihren Anforderungen Folgendes: Wenn der Eingabeparametertyp `FILE` lautet und aus Object Storage ausgewählt werden muss, ist `OBJECT_INSPECT`, `OBJECT_READ` erforderlich Wenn das runbook-Attribut `need sudo access` wahr ist, benötigt `FAMS_SCHEDULE_CREATE_WITH_SUDO`
`use`	`read+` `FAMS_RUNBOOK_UPDATE`	`read+` `SetDefaultRunbook`	`UpdateRunbook` (benötigt auch `FAMS_RUNBOOK_READ` und `FAMS_PLATFORM_READ`). Wenn die Aufgabe auf einer selbst gehosteten Instanz ausgeführt werden muss, ist `INSTANCE_READ` erforderlich `UpdateTaskRecord` benötigt je nach Ihren Anforderungen auch Folgendes: Wenn Plattform (Produkt), Vorgang (Lebenszyklusvorgang) Zugangsdaten angegeben werden müssen, ist `FAMS_PLATFORM_READ` erforderlich Wenn der Aktionstyp `TERRAFORM` lautet, wird `FAMS_CATALOG_ITEM_READ` benötigt Wenn der Aktionstyp `SCRIPT` lautet und das Skript eine `CATALOG ITEM` referenzieren muss, ist `FAMS_CATALOG_ITEM_READ` erforderlich Wenn der Aktionstyp `SCRIPT` lautet und das Skript aus Object Storage ausgewählt werden muss, ist `OBJECT_INSPECT`, `OBJECT_READ` erforderlich
`manage`	`use+` `FAMS_RUNBOOK_CREATE`	`use+` `RunbookImportValidation` `RunbookImport` `RunbookVersionImport`	`CreateRunbook` (benötigt auch `FAMS_RUNBOOK_READ` und `FAMS_PLATFORM_READ`). Wenn die Aufgabe auf einer selbst gehosteten Instanz ausgeführt werden muss, ist `INSTANCE_READ` erforderlich `CreateTaskRecord` benötigt je nach Ihren Anforderungen Folgendes: Wenn Plattform (Produkt), Vorgang (Lebenszyklusvorgang) Zugangsdaten angegeben werden müssen, ist `FAMS_PLATFORM_READ` erforderlich Wenn der Aktionstyp `TERRAFORM` lautet, wird `FAMS_CATALOG_ITEM_READ` benötigt Wenn der Aktionstyp `SCRIPT` lautet und das Skript eine `CATALOG ITEM` referenzieren muss, ist `FAMS_CATALOG_ITEM_READ` erforderlich Wenn der Aktionstyp `SCRIPT` lautet und das Skript aus Object Storage ausgewählt werden muss, ist `OBJECT_INSPECT`, `OBJECT_READ` erforderlich
`manage`	`use+` `FAMS_RUNBOOK_DELETE`	`use+` `DeleteTaskRecord`
`manage`	`use+` `FAMS_RUNBOOK_MOVE`	`use+` `ChangeRunbookCompartment` `ChangeTaskRecordCompartment`
`manage`	`use+` `FAMS_RUNBOOK_PUBLISH`	`PublishRunbook`

fams-schedules


Verte	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
`inspect`	`FAMS_SCHEDULE_INSPECT`	`ListSchedulerDefinitions`
`read`	`inspect+` `FAMS_SCHEDULE_READ`	`inspect+` `GetSchedulerDefinition` `ListScheduledFleets`
`use`	`read+` `FAMS_SCHEDULE_UPDATE`	`read+`	`UpdateSchedulerDefinition` (kann auch `FAMS_SCHEDULE_CREATE_WITH_SUDO`, `FAMS_FLEET_READ` und `FAMS_RUNBOOK_READ` verwenden) und erfordert je nach Ihren Anforderungen Folgendes: Wenn der Eingabeparametertyp `FILE` lautet und aus Object Storage ausgewählt werden muss, ist `OBJECT_INSPECT`, `OBJECT_READ` erforderlich Wenn das Runbook-Attribut `need sudo access` "true" ist, ist `FAMS_SCHEDULE_CREATE_WITH_SUDO` erforderlich
`manage`	`use+` `FAMS_SCHEDULE_CREATE`	`use+`	`FixCompliance`(benötigt auch `FAMS_RUNBOOK_READ`und `FAMS_FLEET_READ`) `CreateSchedulerDefinition` (kann auch `FAMS_SCHEDULE_CREATE_WITH_SUDO` verwenden und benötigt `FAMS_RUNBOOK_READ` und `FAMS_FLEET_READ`) und je nach Ihren Anforderungen Folgendes: Wenn der Eingabeparametertyp `FILE` lautet und aus Object Storage ausgewählt werden muss, ist `OBJECT_INSPECT`, `OBJECT_READ` erforderlich Wenn das Runbook-Attribut `need sudo access` "true" ist, ist `FAMS_SCHEDULE_CREATE_WITH_SUDO` erforderlich
`manage`	`use+` `FAMS_SCHEDULE_DELETE`	`use+` `DeleteSchedulerDefinition`
`manage`	`use+` `FAMS_SCHEDULE_CREATE_WITH_SUDO`	`use+` `CheckSudoAccess`	`CreateSchedulerDefinition` (kann auch `FAMS_SCHEDULE_CREATE` verwenden und benötigt `FAMS_RUNBOOK_READ` und `FAMS_FLEET_READ`) und je nach Ihren Anforderungen Folgendes: Wenn der Eingabeparametertyp `FILE` lautet und aus Object Storage ausgewählt werden muss, ist `OBJECT_INSPECT`, `OBJECT_READ` erforderlich Wenn das Runbook-Attribut `need sudo access` "true" ist, ist `FAMS_SCHEDULE_CREATE_WITH_SUDO` erforderlich `UpdateSchedulerDefinition` (kann auch `FAMS_SCHEDULE_UPDATE` verwenden und benötigt `FAMS_RUNBOOK_READ` und `FAMS_FLEET_READ`) und je nach Ihren Anforderungen Folgendes: Wenn der Eingabeparametertyp `FILE` lautet und aus Object Storage ausgewählt werden muss, ist `OBJECT_INSPECT`, `OBJECT_READ` erforderlich Wenn das runbook-Attribut `need sudo access` wahr ist, benötigt `FAMS_SCHEDULE_CREATE_WITH_SUDO`

fams-zeitplan-jobs


Verte	Berechtigungen	Vollständig abgedeckte APIs
`inspect`	`FAMS_SCHEDULE_JOB_INSPECT`	`ListSchedulerJobs` `SummarizeSchedulerJobCounts`
`read`	`inspect+` `FAMS_SCHEDULE_JOB_READ`	`inspect+` `GetSchedulerJob` `GetJobActivity` `ListExecutions` `GetExecution` `ListSteps` `ListResources` `ListSchedulerExecutions`
`use`	`read+` `FAMS_SCHEDULE_JOB_UPDATE`	`read+` `UpdateSchedulerJob`
`use`	`read+` `FAMS_SCHEDULE_JOB_ACTION`	`read+` `ManageJobExecution`
`manage`	`use+` `FAMS_SCHEDULE_JOB_DELETE`	`use+` `DeleteSchedulerJob`

fams-Wartungsfenster


Verte	Berechtigungen	Vollständig abgedeckte APIs
`inspect`	`FAMS_MAINTENANCE_WINDOW_INSPECT`	`ListMaintenanceWindows`
`read`	`inspect+` `FAMS_MAINTENANCE_WINDOW_READ`	`inspect+` `GetMaintenanceWindow`
`use`	`read+` `FAMS_MAINTENANCE_WINDOW_UPDATE`	`read+` `UpdateMaintenanceWindow`
`manage`	`use+` `FAMS_MAINTENANCE_WINDOW_CREATE`	`use+` `CreateMaintenanceWindow`
`manage`	`use+` `FAMS_MAINTENANCE_WINDOW_DELETE`	`use+` `DeleteMaintenanceWindow`

fams-admin


Verte	Berechtigungen	Vollständig abgedeckte APIs
`read`	`inspect+` `FAMS_ADMIN_READ`	`inspect+` `GetProperty`
`read`	`inspect+` `FAMS_COMPLIANCE_REPORT_READ`	`inspect+` `ListComplianceRecords` `ExportComplianceReport` `SummarizeComplianceRecordCounts` `SummarizeManagedEntityCounts`
`use`	`read+` `FAMS_ADMIN_UPDATE`	`read+` `ManageSettings`

fams-onboarding


Verte	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
`inspect`	`FAMS_ONBOARDING_INSPECT` Ein regulärer Benutzer (kein Administrator) muss über diese Berechtigung verfügen, um auf den Mandanten zugreifen zu können.	`ListOnboardings` `ListAnnouncements`
`read`	`inspect+` `FAMS_ONBOARDING_READ`	`inspect+` `GetOnboarding`
`use`	`read+` `FAMS_ONBOARDING_UPDATE`	`read+`	`UpdateOnboarding` (benötigt auch `TAG_NAMESPACE_CREATE` und `TAG_DEFINITION_ADD`)
`manage`	`use+` `FAMS_ONBOARDING_CREATE`	`use+`	`CreateOnboarding` (erfordert auch `DYNAMIC_GROUP_CREATE`, `POLICY_CREATE`, `TAG_NAMESPACE_CREATE` und `TAG_DEFINITION_ADD`) `EnableLatestPolicy` (erfordert auch `DYNAMIC_GROUP_CREATE`, `POLICY_CREATE`, `TAG_NAMESPACE_CREATE` und `TAG_DEFINITION_ADD`) `ListOnboardingPolicies` (benötigt auch `FAMS_ADMIN_CREATE` und benötigt `DYNAMIC_GROUP_CREATE`, `POLICY_CREATE`, `TAG_NAMESPACE_CREATE` und `TAG_DEFINITION_ADD`)
`manage`	`use+` `FAMS_ONBOARDING_DELETE`	`use+`	`DeleteOnboarding` (erfordert auch `DYNAMIC_GROUP_DELETE`, `POLICY_DELETE`, `TAG_NAMESPACE_RETIRE` und `TAG_DEFINITION_RETIRE`)

fams-workrequests


Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
`inspect`	`FAMS_API_WORK_REQUEST_LIST`	`ListWorkRequests`
`read`	`inspect+` `FAMS_API_WORK_REQUEST_READ`	`inspect+` `GetWorkRequest` `ListWorkRequestErrors` `ListWorkRequestLogs`

fams-compliance-policies


Verben	Berechtigungen	Vollständig abgedeckte APIs
`inspect`	`FAMS_COMPLIANCE_POLICY_INSPECT`	`ListCompliancePolicies` `ListCompliancePolicyRules`
`read`	`inspect+` `FAMS_COMPLIANCE_POLICY_READ`	`inspect+` `GetCompliancePolicy` `GetCompliancePolicyRule`
`read`	`inspect+` `FAMS_COMPLIANCE_REPORT_READ`	`inspect+` `ListComplianceRecords` `ExportComplianceReport` `SummarizeComplianceRecordCounts` `SummarizeManagedEntityCounts`
`use`	`read+` `FAMS_COMPLIANCE_POLICY_UPDATE`	`read+` `UpdateCompliancePolicyRule`
`manage`	`use+` `FAMS_COMPLIANCE_POLICY_CREATE`	`use+` `CreateCompliancePolicyRule`
`manage`	`use+` `FAMS_COMPLIANCE_POLICY_DELETE`	`use+` `DeleteCompliancePolicyRule`

Fams-Patches


Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
`inspect`	`FAMS_PATCH_INSPECT`	`ListPatches`
`read`	`inspect+` `FAMS_PATCH_READ`	`inspect+` `GetPatch`
`read`	`inspect+` `FAMS_COMPLIANCE_REPORT_READ`	`inspect+` `ListComplianceRecords` `ExportComplianceReport` `SummarizeComplianceRecordCounts` `SummarizeManagedEntityCounts`
`use`	`read+` `FAMS_PATCH_UPDATE`	`read+`	`UpdatePatch` (benötigt auch `FAMS_PLATFORM_READ`, `OBJECT_INSPECT` und `OBJECT_READ`)
`manage`	`use+` `FAMS_PATCH_CREATE`	`use+`	`CreatePatch` (benötigt auch `FAMS_PLATFORM_READ`, `OBJECT_INSPECT` und `OBJECT_READ`)
`manage`	`use+` `FAMS_PATCH_DELETE`	`use+` `DeletePatch`
`manage`	`use+` `FAMS_PATCH_MOVE`	`use+` `ChangePatchCompartment`

fams-provisionen


Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
`inspect`	`FAMS_PROVISION_INSPECT`	`ListProvisions`
`read`	`inspect+` `FAMS_PROVISION_READ`	`inspect+` `GetProvision`
`use`	`read+` `FAMS_PROVISION_UPDATE`	`read+` `UpdateProvision`
`manage`	`use+` `FAMS_PROVISION_CREATE`	`use+`	`CreateProvision` (benötigt auch `FAMS_FLEET_READ` und `FAMS_CATALOG_ITEM_READ`)
`manage`	`use+` `FAMS_PROVISION_DELETE`	`use+` `DeleteProvision`
`manage`	`use+` `FAMS_PROVISION_MOVE`	`use+` `ChangeProvisionCompartment`

fams-Katalog-Artikel


Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
`inspect`	`FAMS_CATALOG_ITEM_INSPECT`	`ListCatalogItems`
`read`	`inspect+` `FAMS_CATALOG_ITEM_READ`	`inspect+` `GetCatalogItem`	`CreateTaskRecord` benötigt je nach Ihren Anforderungen Folgendes: Wenn Plattform (Produkt), Vorgang (Lebenszyklusvorgang) Zugangsdaten angegeben werden müssen, ist `FAMS_PLATFORM_READ` erforderlich Wenn der Aktionstyp `TERRAFORM` lautet, wird `FAMS_CATALOG_ITEM_READ` benötigt Wenn der Aktionstyp `SCRIPT` lautet und das Skript eine `CATALOG ITEM` referenzieren muss, ist `FAMS_CATALOG_ITEM_READ` erforderlich Wenn der Aktionstyp `SCRIPT` lautet und das Skript aus Object Storage ausgewählt werden muss, ist `OBJECT_INSPECT`, `OBJECT_READ` erforderlich `UpdateTaskRecord` benötigt je nach Ihren Anforderungen auch Folgendes: Wenn Plattform (Produkt), Vorgang (Lebenszyklusvorgang) Zugangsdaten angegeben werden müssen, ist `FAMS_PLATFORM_READ` erforderlich Wenn der Aktionstyp `TERRAFORM` lautet, wird `FAMS_CATALOG_ITEM_READ` benötigt Wenn der Aktionstyp `SCRIPT` lautet und das Skript eine `CATALOG ITEM` referenzieren muss, ist `FAMS_CATALOG_ITEM_READ` erforderlich Wenn der Aktionstyp `SCRIPT` lautet und das Skript aus Object Storage ausgewählt werden muss, ist `OBJECT_INSPECT`, `OBJECT_READ` erforderlich `CreateProvision` (benötigt auch `FAMS_PROVISION_CREATE` und `FAMS_FLEET_READ`)
`use`	`read+` `FAMS_CATALOG_ITEM_UPDATE`	`read+`	`UpdateCatalogItem` (benötigt je nach Anforderung auch Folgendes): Wenn Sie ein Katalogelement mit der Quelle als Object Storage erstellen, sind `OBJECT_INSPECT` und `OBJECT_READ` erforderlich. Wenn Sie ein Katalogelement mit der Resource Manager-Konfiguration erstellen, ist `ORM_CONFIG_SOURCE_PROVIDER_INSPECT` erforderlich.
`manage`	`use+` `FAMS_CATALOG_ITEM_CREATE`	`use+`	`CreateCatalogItem` (benötigt je nach Anforderung auch Folgendes): Wenn Sie ein Katalogelement mit der Quelle als Object Storage erstellen, sind `OBJECT_INSPECT` und `OBJECT_READ` erforderlich. Wenn Sie ein Katalogelement mit der Resource Manager-Konfiguration erstellen, ist `ORM_CONFIG_SOURCE_PROVIDER_INSPECT` erforderlich.
`manage`	`use+` `FAMS_CATALOG_ITEM_DELETE`	`use+` `DeleteCatalogItem`
`manage`	`use+` `FAMS_CATALOG_ITEM_MOVE`	`use+` `ChangeCatalogItemCompartment`
`manage`	`use+` `FAMS_CATALOG_ITEM_CLONE`	`CloneCatalogItem`

fams-Software-Inventar


Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
`inspect`	`FAMS_SOFTWARE_INVENTORY_INSPECT`	`ListInventoryRecords`

fams-Plattform


Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
`inspect`	`FAMS_PLATFORM_INSPECT`	`ListPlatformConfigurations`
`read`	`inspect+` `FAMS_PLATFORM_READ`	`inspect+` `GetPlatformConfiguration`	`CreateFleet` (benötigt je nach Ihren Anforderungen auch `FAMS_FLEET_CREATE` und Folgendes: Wenn die übergeordnete Flotte angegeben werden muss, ist `FAMS_FLEET_READ` erforderlich Wenn Themen aus dem Notifications-Service angegeben werden müssen, ist `ONS_TOPIC_READ` erforderlich Wenn eine Instanz zu einer Flotte hinzugefügt werden muss, ist `INSTANCE_READ` erforderlich Wenn eine dbSystem zu einer Flotte hinzugefügt werden muss, ist `DB_SYSTEM_INSPECT`, `DB_SYSTEM_QUERY` erforderlich Wenn eine vmCluster zu einer Flotte hinzugefügt werden muss, ist `VM_CLUSTER_INSPECT` erforderlich `UpdateFleet` (benötigt auch `FAMS_FLEET_UPDATE`) und je nach Ihren Anforderungen Folgendes: Wenn die übergeordnete Flotte angegeben werden muss, ist `FAMS_FLEET_READ` erforderlich Wenn Themen aus dem Notifications-Service angegeben werden müssen, ist `ONS_TOPIC_READ` erforderlich Wenn eine Instanz zu einer Flotte hinzugefügt werden muss, ist `INSTANCE_READ` erforderlich Wenn eine dbSystem zu einer Flotte hinzugefügt werden muss, ist `DB_SYSTEM_INSPECT`, `DB_SYSTEM_QUERY` erforderlich Wenn eine vmCluster zu einer Flotte hinzugefügt werden muss, ist `VM_CLUSTER_INSPECT` erforderlich `CreateFleetCredential` (benötigt je nach Ihren Anforderungen auch `FAMS_FLEET_CREATE` , `VAULT_INSPECT` und Folgendes: Wenn Zugangsdaten mit OCI Vault-Schlüssel erstellt werden, ist `KEY_READ` erforderlich Wenn Zugangsdaten mit OCI Vault Secret erstellt werden, ist `SECRET_READ` erforderlich `CreateRunbook` (benötigt auch `FAMS_RUNBOOK_READ` und `FAMS_RUNBOOK_CREATE`). Wenn die Aufgabe auf einer selbst gehosteten Instanz ausgeführt werden muss, ist `INSTANCE_READ` erforderlich `UpdateRunbook` (benötigt auch `FAMS_RUNBOOK_READ` und `FAMS_RUNBOOK_UPDATE`). Wenn die Aufgabe auf einer selbst gehosteten Instanz ausgeführt werden muss, ist `INSTANCE_READ` erforderlich `CreateRunbookVersion` (benötigt auch `FAMS_RUNBOOK_CREATE` und `FAMS_RUNBOOK_READ` ). Wenn eine Aufgabe auf einer selbst gehosteten Instanz ausgeführt wird, ist `INSTANCE_READ` erforderlich `UpdateRunbookVersion` (benötigt auch `FAMS_RUNBOOK_UPDATE` und `FAMS_RUNBOOK_READ`). Wenn eine Aufgabe auf einer selbst gehosteten Instanz ausgeführt wird, ist `INSTANCE_READ` erforderlich `CreateTaskRecord` benötigt je nach Ihren Anforderungen Folgendes: Wenn Plattform (Produkt), Vorgang (Lebenszyklusvorgang) Zugangsdaten angegeben werden müssen, ist `FAMS_PLATFORM_READ` erforderlich Wenn der Aktionstyp `TERRAFORM` lautet, wird `FAMS_CATALOG_ITEM_READ` benötigt Wenn der Aktionstyp `SCRIPT` lautet und das Skript eine `CATALOG ITEM` referenzieren muss, ist `FAMS_CATALOG_ITEM_READ` erforderlich Wenn der Aktionstyp `SCRIPT` lautet und das Skript aus Object Storage ausgewählt werden muss, ist `OBJECT_INSPECT`, `OBJECT_READ` erforderlich `UpdateTaskRecord` benötigt je nach Ihren Anforderungen auch Folgendes: Wenn Plattform (Produkt), Vorgang (Lebenszyklusvorgang) Zugangsdaten angegeben werden müssen, ist `FAMS_PLATFORM_READ` erforderlich Wenn der Aktionstyp `TERRAFORM` lautet, wird `FAMS_CATALOG_ITEM_READ` benötigt Wenn der Aktionstyp `SCRIPT` lautet und das Skript eine `CATALOG ITEM` referenzieren muss, ist `FAMS_CATALOG_ITEM_READ` erforderlich Wenn der Aktionstyp `SCRIPT` lautet und das Skript aus Object Storage ausgewählt werden muss, ist `OBJECT_INSPECT`, `OBJECT_READ` erforderlich `CreatePlatformConfiguration` (kann auch `FAMS_PLATFORM_CREATE` verwenden) und benötigt je nach Ihren Anforderungen Folgendes: Wenn `configCategory` PRODUCT_STACK ist und Produkte, die zu einem Stack, einem Patchtyp oder Zugangsdaten gehören, angegeben werden müssen, ist `FAMS_PLATFORM_READ` erforderlich Wenn `configCategory` PRODUKT ist und kompatible Produkte, Patchtyp oder Zugangsdaten hinzugefügt werden müssen, ist `FAMS_PLATFORM_READ` erforderlich Wenn `configCategory` SELF_HOSTED_INSTANCE ist, benötigt `INSTANCE_READ` `UpdatePlatformConfiguration` (kann auch `FAMS_PLATFORM_UPDATE` verwenden) und Folgendes je nach Ihren Anforderungen: Wenn `configCategory` PRODUCT_STACK ist und Produkte, die zu einem Stack, einem Patchtyp oder Zugangsdaten gehören, angegeben werden müssen, ist `FAMS_PLATFORM_READ` erforderlich Wenn `configCategory` PRODUKT ist und kompatible Produkte, Patchtyp oder Zugangsdaten hinzugefügt werden müssen, ist `FAMS_PLATFORM_READ` erforderlich Wenn `configCategory` SELF_HOSTED_INSTANCE ist, benötigt `INSTANCE_READ` `CreatePatch` (benötigt auch `FAMS_PATCH_CREATE`, `OBJECT_INSPECT` und `OBJECT_READ`) `UpdatePatch` (benötigt auch `FAMS_PATCH_UPDATE` , `OBJECT_INSPECT` und `OBJECT_READ`)
`use`	`read+` `FAMS_PLATFORM_UPDATE`	`read+`	`UpdatePlatformConfiguration` (kann auch `FAMS_ADMIN_UPDATE` verwenden) und Folgendes je nach Ihren Anforderungen: Wenn `configCategory` PRODUCT_STACK ist und Produkte, die zu einem Stack, einem Patchtyp oder Zugangsdaten gehören, angegeben werden müssen, ist `FAMS_PLATFORM_READ` erforderlich Wenn `configCategory` PRODUKT ist und kompatible Produkte, Patchtyp oder Zugangsdaten hinzugefügt werden müssen, ist `FAMS_PLATFORM_READ` erforderlich Wenn `configCategory` SELF_HOSTED_INSTANCE ist, benötigt `INSTANCE_READ`
`manage`	`use+` `FAMS_PLATFORM_CREATE`	`use+`	`CreatePlatformConfiguration` (kann auch `FAMS_ADMIN_CREATE` verwenden) und benötigt je nach Ihren Anforderungen Folgendes: Wenn `configCategory` PRODUCT_STACK ist und Produkte, die zu einem Stack, einem Patchtyp oder Zugangsdaten gehören, angegeben werden müssen, ist `FAMS_PLATFORM_READ` erforderlich Wenn `configCategory` PRODUKT ist und kompatible Produkte, Patchtyp oder Zugangsdaten hinzugefügt werden müssen, ist `FAMS_PLATFORM_READ` erforderlich Wenn `configCategory` SELF_HOSTED_INSTANCE ist, benötigt `INSTANCE_READ`
`manage`	`use+` `FAMS_PLATFORM_DELETE`	`use+` `DeletePlatformConfiguration`
`manage`	`use+` `FAMS_PLATFORM_MOVE`	`use+` `ChangePlatformConfigurationCompartment`

fams-Eigenschaften


Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
`inspect`	`FAMS_PROPERTY_INSPECT`	`ListProperties`
`read`	`inspect+` `FAMS_PROPERTY_READ`	`inspect+` `GetProperty`	`CreateFleetProperty` (benötigt auch `FAMS_FLEET_CREATE`) `UpdateFleetProperty` (benötigt auch `FAMS_FLEET_UPDATE`) `UpdateFleetCredential` (benötigt auch `FAMS_FLEET_UPDATE` und `VAULT_INSPECT`) und je nach Ihren Anforderungen Folgendes: Wenn Zugangsdaten mit OCI Vault-Schlüssel erstellt werden, ist `KEY_READ` erforderlich Wenn Zugangsdaten mit OCI Vault Secret erstellt werden, ist `SECRET_READ` erforderlich
`use`	`read+` `FAMS_PROPERTY_UPDATE`	`read+` `UpdateProperty`
`manage`	`use+` `FAMS_PROPERTY_CREATE`	`use+` `CreateProperty`
`manage`	`use+` `FAMS_PROPERTY_DELETE`	`use+` `DeleteProperty`
`manage`	`use+` `FAMS_PROPERTY_MOVE`	`use+` `ChangePropertyCompartment`

fams-Berichte


Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
`read`	`inspect+` `FAMS_REPORT_READ`	`inspect+` `ReportMetadata` `ReportData`
`read`	`inspect+` `FAMS_COMPLIANCE_REPORT_READ`	`read+` `ListComplianceRecords` `ExportComplianceReport` `SummarizeComplianceRecordCounts` `SummarizeManagedEntityCounts`

Für jeden API-Vorgang erforderliche Berechtigungen

In der folgenden Tabelle werden die API-Vorgänge in einer logischen Reihenfolge nach Ressourcentyp gruppiert aufgeführt.

Informationen zu Berechtigungen finden Sie unter Berechtigungen.


API-Vorgang	Für den Vorgang erforderliche Berechtigungen
`ListFleets`	`FAMS_FLEET_INSPECT`
`GetFleet`	`FAMS_FLEET_READ`
`CreateFleet`	`FAMS_FLEET_CREATE` und `FAMS_PLATFORM_READ` und Folgendes: `FAMS_FLEET_READ`, wenn übergeordnete Flotte angegeben werden muss `ONS_TOPIC_READ`, wenn Themen mit einer Flotte verknüpft werden müssen, um Benachrichtigungen zu aktivieren. `INSTANCE_READ`, wenn eine Instanz zu einer Flotte hinzugefügt werden muss `DB_SYSTEM_INSPECT`, `DB_SYSTEM_QUERY`, wenn eine `dbSystem` zu einer Flotte hinzugefügt werden muss `VM_CLUSTER_INSPECT`, wenn eine `vmCluster` zu einer Flotte hinzugefügt werden muss
`UpdateFleet`	`FAMS_FLEET_UPDATE` und `FAMS_PLATFORM_READ` und Folgendes: `FAMS_FLEET_READ`, wenn übergeordnete Flotte angegeben werden muss `ONS_TOPIC_READ`, wenn Themen mit einer Flotte verknüpft werden müssen, um Benachrichtigungen zu aktivieren. `INSTANCE_READ`, wenn eine Instanz zu einer Flotte hinzugefügt werden muss `DB_SYSTEM_INSPECT`, `DB_SYSTEM_QUERY`, wenn eine `dbSystem` zu einer Flotte hinzugefügt werden muss `VM_CLUSTER_INSPECT`, wenn eine `vmCluster` zu einer Flotte hinzugefügt werden muss
`DeleteFleet`	`FAMS_FLEET_DELETE`
`ChangeFleetCompartment`	`FAMS_FLEET_MOVE`
`ListInventoryResources`	`FAMS_FLEET_INSPECT`
`ListFleetResources`	`FAMS_FLEET_INSPECT`
`CreateFleetResource`	`FAMS_FLEET_CREATE` und die folgenden: `INSTANCE_READ` , wenn eine Instanz zu einer Flotte hinzugefügt werden muss `DB_SYSTEM_INSPECT`, `DB_SYSTEM_QUERY`, wenn eine `dbSystem` zu einer Flotte hinzugefügt werden muss `VM_CLUSTER_INSPECT`, wenn eine `vmCluster` zu einer Flotte hinzugefügt werden muss
`GetFleetResource`	`FAMS_FLEET_READ`
`UpdateFleetResource`	`FAMS_FLEET_UPDATE` und die folgenden: `INSTANCE_READ` , wenn eine Instanz zu einer Flotte hinzugefügt werden muss `DB_SYSTEM_INSPECT`, `DB_SYSTEM_QUERY`, wenn eine `dbSystem` zu einer Flotte hinzugefügt werden muss `VM_CLUSTER_INSPECT`, wenn eine `vmCluster` zu einer Flotte hinzugefügt werden muss
`DeleteFleetResource`	`FAMS_FLEET_DELETE`
`ListFleetProperties`	`FAMS_FLEET_INSPECT`
`CreateFleetProperty`	`FAMS_FLEET_CREATE` und `FAMS_PROPERTY_READ`
`GetFleetProperty`	`FAMS_FLEET_READ`
`UpdateFleetProperty`	`FAMS_FLEET_UPDATE` und `FAMS_PROPERTY_READ`
`DeleteFleetProperty`	`FAMS_FLEET_DELETE`
`ConfirmTargets`	`FAMS_FLEET_CREATE`
`ListTargets`	`FAMS_FLEET_INSPECT`
`ListFleetTargets`	`FAMS_FLEET_INSPECT`
`ListFleetProducts`	`FAMS_FLEET_INSPECT`
`GetComplianceReport`	`FAMS_FLEET_READ`
`ListAnnouncements`	`FAMS_ONBOARDING_INSPECT`
`ListFleetCredentials`	`FAMS_FLEET_INSPECT`
`CreateFleetCredential`	`FAMS_FLEET_CREATE`, `FAMS_PLATFORM_READ` und `VAULT_INSPECT` und Folgendes: `KEY_READ`, wenn Zugangsdaten mit Vault-Schlüssel erstellt werden. `SECRET_READ`, wenn Zugangsdaten mit Vault Secret erstellt werden.
`GetFleetCredential`	`FAMS_FLEET_READ`
`UpdateFleetCredential`	`FAMS_FLEET_UPDATE`, `FAMS_PROPERTY_READ` und `VAULT_INSPECT` und die folgenden: `KEY_READ`, wenn Zugangsdaten mit Vault-Schlüssel erstellt werden. `SECRET_READ`, wenn Zugangsdaten mit Vault Secret erstellt werden.
`DeleteFleetCredential`	`FAMS_FLEET_DELETE`
`GenerateComplianceReport`	`FAMS_FLEET_READ`
`RequestTargetDiscovery`	`FAMS_FLEET_CREATE`
`RequestResourceValidation`	`FAMS_FLEET_CREATE`
`CheckResourceTagging`	`FAMS_FLEET_CREATE`
`ListRunbooks`	`FAMS_RUNBOOK_INSPECT`
`GetRunbook`	`FAMS_RUNBOOK_READ`
`CreateRunbook`	`FAMS_RUNBOOK_CREATE`, `FAMS_RUNBOOK_READ` und `FAMS_PLATFORM_READ` auch `INSTANCE_READ`, wenn die Aufgabe auf einer selbst gehosteten Instanz ausgeführt werden muss
`UpdateRunbook`	`FAMS_RUNBOOK_UPDATE`, `FAMS_RUNBOOK_READ` und `FAMS_PLATFORM_READ` auch `INSTANCE_READ`, wenn die Aufgabe auf einer selbst gehosteten Instanz ausgeführt werden muss
`DeleteRunbook`	`FLEET_RUNBOOK_DELETE`
`ChangeRunbookCompartment`	`FAMS_RUNBOOK_MOVE`
`PublishRunbook`	`FAMS_RUNBOOK_PUBLISH`
`ListRunbookVersions`	`FLEET_RUNBOOK_INSPECT`
`CreateRunbookVersion`	`FLEET_RUNBOOK_CREATE`, `FAMS_RUNBOOK_READ` und `FAMS_PLATFORM_READ` auch `INSTANCE_READ`, wenn die Aufgabe auf einer selbst gehosteten Instanz ausgeführt werden muss
`GetRunbookVersion`	`FLEET_RUNBOOK_READ`
`UpdateRunbookVersion`	`FLEET_RUNBOOK_UPDATE`, `FAMS_RUNBOOK_READ` und `FAMS_PLATFORM_READ` auch `INSTANCE_READ`, wenn die Aufgabe auf einer selbst gehosteten Instanz ausgeführt werden muss
`DeleteRunbookVersion`	`FLEET_RUNBOOK_DELETE`
`ListTaskRecords`	`FAMS_RUNBOOK_INSPECT`
`GetTaskRecord`	`FAMS_RUNBOOK_READ`
`CreateTaskRecord`	`FAMS_RUNBOOK_CREATE` und Folgendes: `FAMS_PLATFORM_READ`, wenn Plattform (Produkt), Vorgang (Lebenszyklusvorgang) Zugangsdaten angegeben werden müssen `FAMS_CATALOG_ITEM_READ`, wenn der Aktionstyp `TERRAFORM` ist `FAMS_CATALOG_ITEM_READ`, wenn der Aktionstyp `SCRIPT` lautet und das Skript auf `CATALOG ITEM` verweisen muss `OBJECT_INSPECT`, `OBJECT_READ`, wenn der Aktionstyp `SCRIPT` lautet und das Skript aus Object Storage ausgewählt werden muss
`UpdateTaskRecord`	`FAMS_RUNBOOK_UPDATE` und die folgenden: `FAMS_PLATFORM_READ`, wenn Plattform (Produkt), Vorgang (Lebenszyklusvorgang) Zugangsdaten angegeben werden müssen `FAMS_CATALOG_ITEM_READ`, wenn der Aktionstyp `TERRAFORM` ist `FAMS_CATALOG_ITEM_READ`, wenn der Aktionstyp `SCRIPT` lautet und das Skript auf `CATALOG ITEM` verweisen muss `OBJECT_INSPECT`, `OBJECT_READ`, wenn der Aktionstyp `SCRIPT` lautet und das Skript aus Object Storage ausgewählt werden muss
`DeleteTaskRecord`	`FAMS_RUNBOOK_DELETE`
`ChangeTaskRecordCompartment`	`FAMS_RUNBOOK_MOVE`
`ListMaintenanceWindows`	`FAMS_MAINTENANCE_WINDOW_INSPECT`
`CreateMaintenanceWindow`	`FAMS_MAINTENANCE_WINDOW_CREATE`
`GetMaintenanceWindow`	`FAMS_MAINTENANCE_WINDOW_READ`
`UpdateMaintenanceWindow`	`FAMS_MAINTENANCE_WINDOW_UPDATE`
`DeleteMaintenanceWindow`	`FAMS_MAINTENANCE_WINDOW_DELETE`
`CreateSchedulerDefinition`	(`FAMS_SCHEDULE_CREATE`, `FAMS_FLEET_READ` und `FAMS_RUNBOOK_READ`) und Folgendes: `OBJECT_INSPECT`, `OBJECT_READ`, wenn der Eingabeparametertyp `FILE` lautet und aus Object Storage ausgewählt werden muss `FAMS_SCHEDULE_CREATE_WITH_SUDO`, wenn das runbook-Attribut `need sudo access` "true" ist
`UpdateSchedulerDefinition`	(`FAMS_SCHEDULE_UPDATE` oder `FAMS_SCHEDULE_CREATE_WITH_SUDO`), `FAMS_FLEET_READ` und `FAMS_RUNBOOK_READ` und Folgendes: `OBJECT_INSPECT`, `OBJECT_READ`, wenn der Eingabeparametertyp `FILE` lautet und aus Object Storage ausgewählt werden muss `FAMS_SCHEDULE_CREATE_WITH_SUDO`, wenn das runbook-Attribut `need sudo access` "true" ist
`DeleteSchedulerDefinition`	`FAMS_SCHEDULE_DELETE`
`ListSchedulerDefinitions`	`FAMS_SCHEDULE_INSPECT`
`GetSchedulerDefinition`	`FAMS_SCHEDULE_READ`
`DeleteSchedulerJob`	`FAMS_SCHEDULE_JOB_DELETE`
`ListSchedulerJobs`	`FAMS_SCHEDULE_JOB_INSPECT`
`GetSchedulerJob`	`FAMS_SCHEDULE_JOB_READ`
`UpdateSchedulerJob`	`FAMS_SCHEDULE_JOB_UPDATE`
`GetJobActivity`	`FAMS_SCHEDULE_JOB_READ`
`ManageJobExecution`	`FAMS_SCHEDULE_JOB_ACTION`
`ListExecutions`	`FAMS_SCHEDULE_JOB_READ`
`GetExecution`	`FAMS_SCHEDULE_JOB_READ`
`ListSteps`	`FAMS_SCHEDULE_JOB_READ`
`ListResources`	`FAMS_SCHEDULE_JOB_READ`
`SummarizeSchedulerJobCounts`	`FAMS_SCHEDULE_JOB_INSPECT`
`ListSchedulerExecutions`	`FAMS_SCHEDULE_JOB_READ`
`SetDefaultRunbook`	`FAMS_RUNBOOK_UPDATE`
`ListScheduledFleets`	`FAMS_SCHEDULE_READ`
`ListProperties`	`FAMS_PROPERTY_INSPECT`
`CreateProperty`	`FAMS_PROPERTY_CREATE`
`GetProperty`	`FAMS_ADMIN_READ`, `FAMS_FLEET_READ` und `FAMS_PROPERTY_READ`
`UpdateProperty`	`FAMS_PROPERTY_UPDATE`
`DeleteProperty`	`FAMS_PROPERTY_DELETE`
`ChangePropertyCompartment`	`FAMS_PROPERTY_MOVE`
`ListPlatformConfigurations`	`FAMS_PLATFORM_INSPECT`
`CreatePlatformConfiguration`	`FAMS_PLATFORM_CREATE` und die folgenden: `FAMS_PLATFORM_READ`, wenn `configCategory` PRODUCT_STACK ist und Produkte, die zu einem Stack, einem Patchtyp oder Zugangsdaten gehören, angegeben werden müssen `FAMS_PLATFORM_READ`, wenn `configCategory` PRODUKT ist und kompatible Produkte, Patchtyp oder Zugangsdaten angegeben werden müssen `INSTANCE_READ`, wenn `configCategory` SELF_HOSTED_INSTANCE ist.
`GetPlatformConfiguration`	`FAMS_PLATFORM_READ`
`UpdatePlatformConfiguration`	`FAMS_PLATFORM_UPDATE` und die folgenden: `FAMS_PLATFORM_READ`, wenn `configCategory` PRODUCT_STACK ist und Produkte, die zu einem Stack, einem Patchtyp oder Zugangsdaten gehören, angegeben werden müssen `FAMS_PLATFORM_READ`, wenn `configCategory` PRODUKT ist und kompatible Produkte, Patchtyp oder Zugangsdaten angegeben werden müssen `INSTANCE_READ`, wenn `configCategory` SELF_HOSTED_INSTANCE ist.
`DeletePlatformConfiguration`	`FAMS_PLATFORM_DELETE`
`ChangePlatformConfigurationCompartment`	`FAMS_PLATFORM_MOVE`
`ListWorkRequests`	`FAMS_API_WORK_REQUEST_LIST`
`GetWorkRequest`	`FAMS_API_WORK_REQUEST_READ`
`ListWorkRequestErrors`	`FAMS_API_WORK_REQUEST_READ`
`ListWorkRequestLogs`	`FAMS_API_WORK_REQUEST_READ`
`ListOnboardings`	`FAMS_ONBOARDING_INSPECT`
`GetOnboarding`	`FAMS_ONBOARDING_READ`
`CreateOnboarding`	`DYNAMIC_GROUP_CREATE`, `POLICY_CREATE`, `TAG_NAMESPACE_CREATE`, `TAG_DEFINITION_ADD` und `FAMS_ONBOARDING_CREATE`
`UpdateOnboarding`	`TAG_NAMESPACE_CREATE`, `TAG_DEFINITION_ADD` und `FAMS_ONBOARDING_UPDATE`
`DeleteOnboarding`	`DYNAMIC_GROUP_DELETE`, `POLICY_DELETE`, `TAG_NAMESPACE_RETIRE`, `TAG_DEFINITION_RETIRE` und `FAMS_ONBOARDING_DELETE`
`EnableLatestPolicy`	`DYNAMIC_GROUP_CREATE`, `POLICY_CREATE`, `TAG_NAMESPACE_CREATE`, `TAG_DEFINITION_ADD` und `FAMS_ONBOARDING_CREATE`
`ManageSettings`	`FAMS_ADMIN_UPDATE`
`ListOnboardingPolicies`	`FAMS_ONBOARDING_CREATE`)
`ListCompliancePolicies`	`FAMS_COMPLIANCE_POLICY_INSPECT`
`GetCompliancePolicy`	`FAMS_COMPLIANCE_POLICY_READ`
`ListCompliancePolicyRules`	`FAMS_COMPLIANCE_POLICY_INSPECT`
`GetCompliancePolicyRule`	`FAMS_COMPLIANCE_POLICY_READ`
`CreateCompliancePolicyRule`	`FAMS_COMPLIANCE_POLICY_CREATE`
`UpdateCompliancePolicyRule`	`FAMS_COMPLIANCE_POLICY_UPDATE`
`DeleteCompliancePolicyRule`	`FAMS_COMPLIANCE_POLICY_DELETE`
`ListComplianceRecords`	`FAMS_COMPLIANCE_REPORT_READ`
`ExportComplianceReport`	`FAMS_COMPLIANCE_REPORT_READ`
`SummarizeComplianceRecordCounts`	`FAMS_COMPLIANCE_REPORT_READ`
`SummarizeManagedEntityCounts`	`FAMS_COMPLIANCE_REPORT_READ`
`ListPatches`	`FAMS_PATCH_INSPECT`
`GetPatch`	`FAMS_PATCH_READ`
`CreatePatch`	`FAMS_PATCH_CREATE`, `FAMS_PLATFORM_READ`, `OBJECT_INSPECT` und `OBJECT_READ`
`DeletePatch`	`FAMS_PATCH_DELETE`
`UpdatePatch`	`FAMS_PATCH_UPDATE`, `FAMS_PLATFORM_READ`, `OBJECT_INSPECT` und `OBJECT_READ`
`ChangePatchCompartment`	`FAMS_PATCH_MOVE`
`CreateProvision`	`FAMS_PROVISION_CREATE`, `FAMS_FLEET_READ` und `FAMS_CATALOG_ITEM_READ`
`DeleteProvision`	`FAMS_PROVISION_DELETE`
`ListProvisions`	`FAMS_PROVISION_INSPECT`
`UpdateProvision`	`FAMS_PROVISION_UPDATE`
`GetProvision`	`FAMS_PROVISION_READ`
`ChangeProvisionCompartment`	`FAMS_PROVISION_MOVE`
`ListCatalogItems`	`FAMS_CATALOG_ITEM_INSPECT`
`CreateCatalogItem`	`FAMS_CATALOG_ITEM_CREATE` und Folgendes: `OBJECT_INSPECT` und `OBJECT_READ`, wenn Katalogelement mit Quelle als Object Storage erstellt wird `ORM_CONFIG_SOURCE_PROVIDER_INSPECT`, wenn Katalogartikel mit der Resource Manager-Konfiguration erstellt wird
`GetCatalogItem`	`FAMS_CATALOG_ITEM_READ`
`UpdateCatalogItem`	`FAMS_CATALOG_ITEM_UPDATE` und Folgendes: `OBJECT_INSPECT` und `OBJECT_READ`, wenn Katalogelement mit Quelle als Object Storage erstellt wird `ORM_CONFIG_SOURCE_PROVIDER_INSPECT`, wenn Katalogartikel mit der Resource Manager-Konfiguration erstellt wird
`DeleteCatalogItem`	`FAMS_CATALOG_ITEM_DELETE`
`ChangeCatalogItemCompartment`	`FAMS_CATALOG_ITEM_MOVE`
`CloneCatalogItem`	`FAMS_CATALOG_ITEM_CLONE`
`ListInventoryRecords`	`FAMS_SOFTWARE_INVENTORY_INSPECT`

Benutzer-Policys

Benutzer-Policys für das Flottenanwendungsmanagement sind erforderlich, damit Benutzer auf die Flottenanwendungsmanagementressourcen zugreifen können.

Eine Policy-Syntax lautet wie folgt:

allow <subject> to <verb>
                        <resource-type> in <location> where <conditions>

Vollständige Informationen finden Sie unter Policy-Syntax.

Erstellen Sie Policys für bestimmte Benutzer oder Gruppen, um Zugriff auf Fleet Application Management-bezogene Ressourcen zu erhalten. Siehe Policy erstellen.

Um die Berechtigungen auf Mandantenebene anzuwenden, ersetzen Sie compartment <compartment name> durch tenancy.

Policy-Beispiele

Flottenanwendungsmanagement-Policys sind für die Verwendung verschiedener Flottenanwendungsmanagementressourcen erforderlich.

Informationen zum Erstellen von Policys mit der Console finden Sie unter Policys erstellen.

Weitere Informationen zur Syntax finden Sie unter Policy-Syntax.

Beispiele für Richtlinien zur Flottenanwendungsverwaltung:

Lassen Sie zu, dass eine Gruppe alle Ressourcen in Ihrem Mandanten verwaltet:
```
Allow group acme-fams-developers to manage fams-family in tenancy
```
Benutzern in einer Gruppe erlauben, die Katalogelemente für Marketplace- oder private Katalogelemente je nach Benutzerrolle zu lesen oder zu verwalten:
```
Allow group <USER_GROUP> to read fams-catalog-items in compartment <USER_COMPARTMENT_NAME>
```
Im Beispiel wird davon ausgegangen, dass sich die Katalogelemente und Compute-Instanzen im selben Compartment wie Fleet Application Management befinden.
Benutzern in einer Gruppe den Zugriff auf die Skripte für Katalogelemente von den relevanten Standorten aus ermöglichen:
```
Allow group <USER_GROUP> to {PAR_MANAGE} in compartment <USER_COMPARTMENT_NAME>
Allow group <USER_GROUP>  to read object-family in compartment <USER_COMPARTMENT_NAME>  
Allow group <USER_GROUP> to read buckets in compartment <USER_COMPARTMENT_NAME>
```
Im Beispiel wird davon ausgegangen, dass sich die Object Storage-Buckets und Compute-Instanzen im selben Compartment wie das Fleet Application Management befinden.
Benutzern in einer Gruppe die Verwaltung von Provisioning-Anforderungen ermöglichen:
```
Allow group <USER_GROUP> to manage fams-provisions in compartment <USER_COMPARTMENT_NAME>
```
Im Beispiel wird davon ausgegangen, dass sich die Provisioning-Anforderungen und Compute-Instanzen im selben Compartment wie das Fleet Application Management befinden.

Ermöglichen Sie Benutzern in einer Gruppe die Verwaltung des Provisionings, indem Sie Fleet Application Management mit Resource Manager verbinden.

Allow group <USER_GROUP> to manage orm-config-source-providers in compartment <USER_COMPARTMENT_NAME>
Allow group <USER_GROUP> to manage orm-jobs in compartment <USER_COMPARTMENT_NAME>
Allow group <USER_GROUP> to manage orm-stacks in compartment <USER_COMPARTMENT_NAME>
Allow group <USER_GROUP> to manage orm-template in compartment <USER_COMPARTMENT_NAME>
Allow group <USER_GROUP> to manage orm-work-requests in compartment <USER_COMPARTMENT_NAME>

Im Beispiel wird davon ausgegangen, dass sich die Provisioning-Anforderungen und Compute-Instanzen im selben Compartment wie das Fleet Application Management befinden.

Benutzern in einer Gruppe erlauben, Provisioning zu planen und zu verwalten:
```
Allow group <USER_GROUP> to manage fams-schedules in compartment <USER_COMPARTMENT_NAME>
```
Im Beispiel wird davon ausgegangen, dass sich der Zeitplan und die Provisioning-Anforderungen im selben Compartment wie das Fleet Application Management befinden.
Ermöglichen Sie Benutzern in einer Gruppe das Provisioning des relevanten OCI-Ressourcentyps.
```
Allow group <USER_GROUP> to manage <resource_type> in compartment <USER_COMPARTMENT_NAME>
```
Im Beispiel wird davon ausgegangen, dass sich die Ressourcentypen im selben Compartment wie die Flottenanwendungsverwaltung befinden.

Regeln zu dynamischen Gruppen hinzufügen

Ein Mandantenadministrator in einer Organisation aktiviert das Flottenanwendungsmanagement für einen Mandanten. Mit dieser Aktion werden zwei dynamische Gruppen erstellt: "fams-customer-dg" und "fams-service-dg". Der Administrator definiert Übereinstimmungsregeln, um Instanzen und Mitglieder der Gruppe fams-customer-dg zu erstellen. Fleet Application Management führt Lebenszyklusvorgänge für diese Instanzen aus.

Öffnen Sie das Navigationsmenü , und wählen Sie Identität und Sicherheit aus. Wählen Sie unter Identität die Option Domains aus.
Wählen Sie die Identitätsdomain, in welcher Sie arbeiten möchten.
Wählen Sie unter Identitätsdomain (links auf der Seite) die Option Dynamische Gruppen aus.
Wählen Sie die dynamische Gruppe fams-customer-dg aus. Die Detailseite der dynamischen Gruppe wird geöffnet.
Wählen Sie Alle Übereinstimmungsregeln bearbeiten aus.
Bearbeiten Sie die Abgleichsregel im Textfeld, oder verwenden Sie den Regel-Builder, wenn die Änderung vom Regel-Builder unterstützt wird.
Beispiel: Geben Sie die Regel direkt in das Textfeld ein, oder verwenden Sie den Regel-Builder.
Beispieleingabe in Textfeld:
```
All {instance.compartement.id = 'ocid1.instance1.oc1.iad:sampleuniqueid1', instance.compartment.id ='ocid1.compartmentA.oc1:sampleuniqueid2'}
```
Alle Instanzen, die vorhanden sind oder in den Compartments erstellt werden (das mit der OCID identifiziert wird), sind Mitglieder dieser dynamischen Gruppe.

IAM-Policys

Ein Mandantenadministrator in Ihrer Organisation aktiviert die Flottenanwendungsverwaltung für Ihren Mandanten. Mit dieser Aktion werden die folgenden IAM-Policys zur Verwendung von Fleet Application Management erstellt.

Die IAM-Richtlinien in "fams-service-dg" lauten:

define tenancy fams-tenancy as <fams-tenancy-ocid>
define dynamic-group fams-workload-dg as <fams-dynamicgroup-ocid>
allow dynamic-group fams-service-dg to use fams-agent-command-executions in tenancy
allow dynamic-group fams-service-dg to { FAMS_CATALOG_ITEM_INSPECT, FAMS_CATALOG_ITEM_READ } in tenancy
allow dynamic-group fams-service-dg to { INSTANCE_UPDATE } in tenancy
allow dynamic-group fams-service-dg to read instance-family in tenancy
allow dynamic-group fams-service-dg to use instances in tenancy
allow dynamic-group fams-service-dg to inspect limits in tenancy
allow dynamic-group fams-service-dg to use tag-namespaces in tenancy where target.tag-namespace.name='Oracle$FAMS-Tags'
allow dynamic-group fams-service-dg to read instance-agent-plugins in tenancy
allow dynamic-group fams-service-dg to read instance-agent-command-family in tenancy
allow dynamic-group fams-service-dg to use ons-family in tenancy
allow dynamic-group fams-service-dg to manage database-family in tenancy
allow dynamic-group fams-service-dg to manage osmh-family in tenancy
allow dynamic-group fams-service-dg to { INSTANCE_AGENT_COMMAND_CREATE } in tenancy
allow dynamic-group fams-service-dg to { OBJECTSTORAGE_NAMESPACE_READ } in tenancy
allow dynamic-group fams-service-dg to manage work-requests in tenancy

Um Fleet Application Management zu verwenden, sind die folgenden IAM-Policys in "fams-customer-dg" erforderlich:

Sie können die Policys für einen Mandanten oder ein Compartment entsprechend Ihrer Voreinstellung konfigurieren. Wenn Sie Policys für ein Compartment konfigurieren, kann die Policy-Anweisung wie folgt lauten:

allow dynamic-group fams-customer-dg to {VAULT_READ} in <compartment_OCID>

Wenn Sie Fleet Application Management die Policys für einen Mandanten konfigurieren lassen, sind die folgenden IAM-Policys in "fams-customer-dg" enthalten:


endorse any-group to { FAMS_CATALOG_ITEM_INSPECT, FAMS_CATALOG_ITEM_READ} in tenancy fams-tenancy
admit dynamic-group fams-workload-dg of tenancy fams-tenancy to read orm-stack in tenancy where all { request.principal.type = 'workload' }
allow dynamic-group fams-customer-dg to use instance-agent-command-execution-family in tenancy where request.instance.id=target.instance.id
allow dynamic-group fams-customer-dg to read instance-family in tenancy
allow dynamic-group fams-customer-dg to use fams-agent-command-executions in tenancy where request.instance.id=target.instance.id
allow dynamic-group fams-customer-dg to {OSMH_MANAGED_INSTANCE_ACCESS} in tenancy
allow dynamic-group fams-customer-dg to { OBJECT_INSPECT, OBJECT_READ } in tenancy
endorse dynamic-group fams-customer-dg to { OBJECT_CREATE, OBJECT_OVERWRITE, OBJECT_READ } in tenancy fams-tenancy where all { target.bucket.name = '<CUSTOMER_TENANCY_OCID>' }
endorse dynamic-group fams-customer-dg to { OBJECT_INSPECT, OBJECT_READ } in tenancy fams-tenancy where any { target.bucket.name = 'automations', target.bucket.name = 'patches'}

Im Folgenden finden Sie die Art des Zugriffs auf jede der Richtlinien in "fams-customer-dg":

endorse any-group to { FAMS_CATALOG_ITEM_INSPECT, FAMS_CATALOG_ITEM_READ}  in  tenancy fams-tenancy

Ermöglicht dem Mandanten Zugriff auf Marketplace-Katalogartikel.

admit dynamic-group fams-workload-dg of tenancy fams-tenancy to read orm-stack in tenancy where all { request.principal.type = 'workload' }

Ermöglicht die Verwaltung von Provisioning-Anforderungen, um den Resource Manager-Stackstatus zu prüfen.

allow dynamic-group fams-customer-dg to { KEY_READ, KEY_DECRYPT,SECRET_READ } in tenancy
allow dynamic-group fams-customer-dg to {VAULT_READ} in tenancy
allow dynamic-group fams-customer-dg to {SECRET_BUNDLE_READ} in tenancy

Ermöglicht dem Mandanten Zugriff mit Vault-Schlüsseln und Secrets für das Flottenanwendungsmanagement für Lebenszyklusvorgänge.

allow dynamic-group fams-customer-dg to use instance-agent-command-execution-family in tenancy where request.instance.id=target.instance.id

Ermöglicht die Verwaltung von Lebenszyklusvorgängen mit dem Befehl "run".

```
allow dynamic-group fams-customer-dg to read instance-family in tenancy
```
Ermöglicht das Flottenanwendungsmanagement, Instanzdetails für Statusprüfungen abzurufen.
```
allow dynamic-group fams-customer-dg to use fams-agent-command-executions in tenancy where request.instance.id=target.instance.id
```
Ermöglicht Fleet Application Management die Verwaltung von Lebenszyklusvorgängen auf Instanzen mit dem Flottenanwendungsmanagement-Plug-in.
```
allow dynamic-group fams-customer-dg to {OSMH_MANAGED_INSTANCE_ACCESS} in tenancy
```
Ermöglicht Fleet Application Management, das Patching-BS mit OS Management Hub zu verwalten.
```
allow dynamic-group fams-customer-dg to { OBJECT_INSPECT, OBJECT_READ } in tenancy
```
Ermöglicht den Zugriff auf Lebenszyklusvorgangsskripte des Flottenanwendungsmanagements aus Object Storage.

endorse dynamic-group fams-customer-dg to { OBJECT_CREATE, OBJECT_OVERWRITE, OBJECT_READ } in tenancy fams-tenancy where all { target.bucket.name = '<CUSTOMER_TENANCY_OCID>' }

Ermöglicht Fleet Application Management die Verwaltung von Lebenszyklusvorgangslogs in Object Storage.

endorse dynamic-group fams-customer-dg to { OBJECT_INSPECT, OBJECT_READ } in tenancy fams-tenancy where any { target.bucket.name = 'automations', target.bucket.name = 'patches'}

Ermöglicht dem Mandanten Zugriff auf Lebenszyklusvorgangsskripte und Patches für das Flottenanwendungsmanagement.

Wichtig

Um Serviceunterbrechungen zu vermeiden, muss ein Mandantenadministrator sicherstellen, dass die dynamischen Gruppen "fams-service-dg", "fams-customer-dg" nicht gelöscht werden. IAM-Policys werden nicht gelöscht. Sie können jedoch eigene Policys für Ihre Anwendungsfälle erstellen, z.B. wenn Sie unterschiedliche Administratoren für verschiedene Gruppen und Produktstacks benötigen.

Oracle Cloud Infrastructure-Dokumentation