Oracle Cloud Infrastructure-Dokumentation

JMS-Flotten-Policy-Anweisungen

Eine Policy gibt an, welche Personen auf welche Oracle Cloud Infrastructure-Ressourcen in Ihrem Unternehmen zugreifen können und wie. Mit einer Policy kann eine Gruppe auf eine bestimmte Weise mit bestimmten Ressourcentypen in einem bestimmten Compartment arbeiten.

In diesem Abschnitt werden die verschiedenen Policy-Anweisungen beschrieben, die im Rahmen der Schritte Oracle Cloud Infrastructure für Flotten einrichten und Erweiterte Features aktivieren erstellt werden.

Für JMS-Flotten erforderliche OCI-Ressourcen verwalten

Mit den folgenden Policy-Anweisungen können die Benutzer in der Benutzergruppe auf JMS Fleets, Management Agents, JMS-Plug-ins und Metriken zugreifen und diese verwalten: 

ALLOW GROUP FLEET_MANAGERS TO MANAGE fleet IN COMPARTMENT Fleet_Compartment
ALLOW GROUP FLEET_MANAGERS TO MANAGE management-agents IN COMPARTMENT Fleet_Compartment
ALLOW GROUP FLEET_MANAGERS TO MANAGE jms-plugins IN COMPARTMENT Fleet_Compartment
ALLOW GROUP FLEET_MANAGERS TO READ METRICS IN COMPARTMENT Fleet_Compartment WHERE target.metrics.namespace='java_management_service'

Workloads auf OCI überwachen

Mit den folgenden Policy-Anweisungen werden Workloads auf OCI überwacht:

ALLOW GROUP FLEET_MANAGERS TO MANAGE instance-family IN COMPARTMENT <instance_compartment>
ALLOW GROUP FLEET_MANAGERS TO READ instance-agent-plugins IN COMPARTMENT <instance_compartment>
Hinweis

  1. Ersetzen Sie <instance_compartment> durch den Namen des Compartments, das die OCI-Linux-Instanzen enthält, die Sie mit JMS-Flotten überwachen möchten.
  2. Sie müssen diese Policy-Anweisungen für jedes Compartment mit OCI-Linux-Instanzen anwenden, die Sie separat mit JMS-Flotten überwachen möchten.

Installationsschlüssel für Management Agent

Mit den folgenden Policy-Anweisungen können JMS-Flotten und die Benutzergruppe Management Agent-Installationsschlüssel verwalten: 

ALLOW RESOURCE jms SERVER-COMPONENTS TO READ management-agent-install-keys IN COMPARTMENT Fleet_Compartment
ALLOW GROUP FLEET_MANAGERS TO MANAGE management-agent-install-keys IN COMPARTMENT Fleet_Compartment

Management Agent-Kommunikation

Mit den folgenden Policy-Anweisungen können Management-Agents mit JMS-Plug-ins und JMS Fleets interagieren und JMS Fleets Monitoringdaten in Ihrem Mandanten speichern: 

ALLOW DYNAMIC-GROUP JMS_DYNAMIC_GROUP TO MANAGE jms-plugins IN COMPARTMENT Fleet_Compartment
ALLOW DYNAMIC-GROUP JMS_DYNAMIC_GROUP TO MANAGE jms-plugins IN COMPARTMENT <instance_compartment>
ALLOW DYNAMIC-GROUP JMS_DYNAMIC_GROUP TO MANAGE management-agents IN COMPARTMENT Fleet_Compartment
ALLOW DYNAMIC-GROUP JMS_DYNAMIC_GROUP TO USE METRICS IN COMPARTMENT Fleet_Compartment
ALLOW DYNAMIC-GROUP JMS_DYNAMIC_GROUP TO MANAGE metrics IN COMPARTMENT Fleet_Compartment WHERE target.metrics.namespace='java_management_service'
ALLOW DYNAMIC-GROUP JMS_DYNAMIC_GROUP TO USE METRICS IN COMPARTMENT <instance_compartment>
ALLOW resource jms SERVER-COMPONENTS TO MANAGE metrics IN COMPARTMENT Fleet_Compartment WHERE target.metrics.namespace='java_management_service'
Hinweis

  1. Ersetzen Sie <instance_compartment> durch den Namen des Compartments, das die OCI-Linux-Instanzen enthält, die Sie mit JMS-Flotten überwachen möchten.
  2. Sie müssen diese Policy-Anweisung für jedes Compartment mit OCI-Linux-Instanzen anwenden, die Sie separat mit JMS-Flotten überwachen möchten.

Logkonfiguration

Mit den folgenden Policy-Anweisungen können JMS-Flotten mit dem OCI Logging-Service interagieren, um die Logkonfiguration für Flotten im Compartment einzurichten: 

ALLOW resource jms SERVER-COMPONENTS TO READ log-groups IN COMPARTMENT Fleet_Compartment
ALLOW resource jms SERVER-COMPONENTS TO MANAGE log-content IN COMPARTMENT Fleet_Compartment
ALLOW DYNAMIC-GROUP JMS_DYNAMIC_GROUP TO MANAGE log-content IN COMPARTMENT Fleet_Compartment
ALLOW GROUP FLEET_MANAGERS TO MANAGE log-groups IN COMPARTMENT Fleet_Compartment
ALLOW GROUP FLEET_MANAGERS TO READ log-content IN COMPARTMENT Fleet_Compartment

OCI Linux-Instanzen für JMS-Flotten einrichten

Hinweis

Diese Policy-Anweisung erteilt der dynamischen Gruppe JMS_DYNAMIC_GROUP-Berechtigungen zur Verwaltung aller OCI-Instanzen im Compartment. Um die ordnungsgemäße Konfiguration des Management Agent auf OCI Linux-Instanzen sicherzustellen, erfordert das Installationsskript das Vorhandensein dieser Policy. Diese Policy muss für jede Ausführung des Installationsskripts vorhanden sein. Nach Abschluss der Installation können Sie die Berechtigungen der Policy-Anweisung von MANAGE in USE ändern.
Mit der folgenden Policy-Anweisung können Sie OCI Linux-Instanzen mit dem Installationsskript einrichten. 
ALLOW DYNAMIC-GROUP JMS_DYNAMIC_GROUP TO MANAGE instances IN COMPARTMENT <instance_compartment> WHERE ALL {request.principal.type='instance', target.compartment.id=request.principal.compartment.id}
Hinweis

  1. Ersetzen Sie <instance_compartment> durch den Namen des Compartments, das die OCI-Linux-Instanzen enthält, die Sie mit JMS-Flotten überwachen möchten.
  2. Sie müssen diese Policy-Anweisungen für jedes Compartment mit OCI-Linux-Instanzen anwenden, die Sie separat mit JMS-Flotten überwachen möchten.

JMS erfordert die folgenden Policy-Anweisungen, um mit OCI Linux-Instanzen zu arbeiten:

ALLOW RESOURCE jms SERVER-COMPONENTS TO READ instances IN COMPARTMENT <instance_compartment>
ALLOW RESOURCE jms SERVER-COMPONENTS TO INSPECT instance-agent-plugins IN COMPARTMENT <instance_compartment>
Hinweis

  1. Ersetzen Sie <instance_compartment> durch den Namen des Compartments, das die OCI-Linux-Instanzen enthält, die Sie mit JMS-Flotten überwachen möchten.
  2. Sie müssen diese Policy-Anweisungen für jedes Compartment mit OCI-Linux-Instanzen anwenden, die Sie separat mit JMS-Flotten überwachen möchten.

Erweiterte Features ausführen

JMS erfordert bestimmte Policy-Anweisungen, um erweiterte Features in Ihrer Flotte zu aktivieren und auszuführen.

Mit den folgenden Policy-Anweisungen kann JMS Lese-/Schreibvorgänge im Objektspeicher ausführen: 

ALLOW DYNAMIC-GROUP JMS_DYNAMIC_GROUP to READ buckets in COMPARTMENT Fleet_Compartment WHERE target.bucket.name=/jms_ocid1*/
ALLOW DYNAMIC-GROUP JMS_DYNAMIC_GROUP to MANAGE objects in COMPARTMENT Fleet_Compartment WHERE target.bucket.name=/jms_ocid1*/ 
ALLOW GROUP FLEET_MANAGERS to MANAGE object-family IN COMPARTMENT Fleet_Compartment
ALLOW resource jms SERVER-COMPONENTS TO READ buckets IN COMPARTMENT Fleet_Compartment WHERE target.bucket.name=/jms_ocid1*/ 
ALLOW resource jms SERVER-COMPONENTS TO MANAGE objects in COMPARTMENT Fleet_Compartment WHERE target.bucket.name=/jms_ocid1*/
JMS erfordert die folgenden Policy-Anweisungen, um mit OCI Linux-Instanzen zu arbeiten:
ALLOW resource jms SERVER-COMPONENTS TO READ instances IN COMPARTMENT <instance_compartment>
ALLOW resource jms SERVER-COMPONENTS TO INSPECT instance-agent-plugins IN COMPARTMENT <instance_compartment>
Hinweis

  1. Ersetzen Sie <instance_compartment> durch den Namen des Compartments, das die OCI-Linux-Instanzen enthält, die Sie mit JMS-Flotten überwachen möchten.
  2. Sie müssen diese Policy-Anweisungen für jedes Compartment mit OCI-Linux-Instanzen anwenden, die Sie separat mit JMS-Flotten überwachen möchten.

Abonnementbestätigung aktivieren

Mit der folgenden Policy-Anweisung können Flottenmanager die Abonnementbestätigung aktivieren:

ALLOW GROUP FLEET_MANAGERS to MANAGE subscription-ack-configs in tenancy
Hinweis

Stellen Sie sicher, dass diese Policy im Root Compartment erstellt wird.

Setup-Policys für IAM mit Identitätsdomainen

Die Policy-Anweisungen unterscheiden sich, wenn Ihr Mandant Identitätsdomains verwendet. Hier ist die Syntax:
Allow group '<identity_domain_name>'/'<group_name>' to <verb> <resource-type> in tenancy
Stellen Sie sicher, dass Sie die Domain- und Gruppennamen in einfache Anführungszeichen (') setzen.

Weitere Informationen finden Sie unter Überblick über IAM-Policys.

Hinweis

Die in diesem Kapitel bereitgestellten Policy-Anweisungen gelten für Mandanten ohne Identitätsdomains.