Oracle Cloud Infrastructure - Dokumentation

OS Management Policy-Referenz

In diesem Thema werden Details zum Schreiben von Policys für die Steuerung des Zugriffs auf den OS Management-Service beschrieben.

Hinweis

Beispiele für OS Management Policys finden Sie unter IAM-Policys für OS Management einrichten und Erforderliche IAM-Policys für Autonomous Linux einrichten.

Details zum OS Management-Service

In diesem Thema werden Details zum Schreiben von Policys beschrieben, die den Zugriff auf OS Management kontrollieren.

Berechtigungen für verwaltete Instanzen

Da eine verwaltete Instanz eine Compute-Instanz ist, die aktiv vom OS Management-Service verwaltet wird, erfordern alle Vorgänge, die auf verwalteten Instanzen ausgeführt werden, dass Benutzer eine read-Berechtigung für die zugrunde liegende Compute-Instanz besitzen. Eine verwaltete Instanz verfügt darüber hinaus über keine separate Oracle Cloud-ID (OCID). Um zu bestimmen, welche Compute-Instanzen Benutzern zur Verfügung stehen, werden über Aufrufe an den Compute-Service Instanzinformationen abgerufen. Wenn Sie keinen read-Zugriff für die Details der Compute-Instanz besitzen, können Sie diese Compute-Instanz nicht mit dem OS Management-Service verwalten.

Berechtigungen für Softwarequellen

Das Standardset der Softwarequellen wird im Root-Compartment erstellt. Damit Benutzer diese Softwarequellen lesen können, müssen ihnen read-Berechtigungen erteilt werden.

Die Berechtigungen für Softwarequellen im Root-Compartment sollten eingeschränkt werden, um zu verhindern, dass Benutzer diese Packages versehentlich löschen oder entfernen. Diese Packages sind zur Verwendung als solche oder als Grundlage für die Erstellung benutzerdefinierter Softwarequellen vorgesehen, sollten jedoch nicht direkt geändert werden.

Beim Erstellen einer Softwarequelle kann diese nur mit Packages aus vorhandenen Softwarequellen aufgefüllt werden, für die der Benutzer eine Zugriffsberechtigung besitzt. Um die verwendbaren Packages einzuschränken, können Sie eine benutzerdefinierte Softwarequelle in einem anderen Compartment (oder mit einer Policy, die andere Berechtigungen erteilt) erstellen. Anschließend können Sie die benutzerdefinierte Softwarequelle mit nur den Packages füllen, die Benutzer verwenden sollen.

Berechtigungen für Autonomous Linux

Zusätzlich zu den erforderlichen IAM-Policys für OS Management benötigen Autonomous Linux-Instanzen die folgenden Berechtigungen.

  • use-Berechtigungen für den Ressourcentyp ons-topics. Mit dieser Berechtigung kann das Oracle Autonomous Linux-Plug-in Benachrichtigungen über autonome Updates und Ereignisse an ein Notifications-Servicethema senden.
  • manage-Berechtigungen für den Ressourcentyp osms-events. Mit dieser Berechtigung kann das Oracle Autonomous Linux-Plug-in Ereignisse für Instanzen erfassen und Benutzern das Anzeigen und Verwalten von Ereignissen ermöglichen.

Ein Beispiel für die erforderlichen IAM-Policys für Autonomous Linux finden Sie unter Erforderliche IAM-Policys für Autonomous Linux einrichten.

Compartment-Aspekte

Sie können den OS Management-Service so einrichten, dass alle Instanzen im Mandanten verwaltet werden, indem Sie die Policys auf Root-Compartment-Ebene festlegen. Das Festlegen von Policys auf Root-Compartment-Ebene ist die einfachste Möglichkeit, OS Management-Service-Policys zu erstellen. Sie benötigen jedoch die erforderlichen Berechtigungen zum Erstellen der Policy. Wenn Sie nicht über die erforderlichen Berechtigungen verfügen, wenden Sie sich an den Administrator des Mandanten.

Alternativ können Sie den OS Management-Service so einrichten, dass nur eine Teilmenge der Instanzen verwaltet wird, indem Sie die Policys auf Compartment-Ebene festlegen. Wenn Sie die Policys auf Compartment-Ebene festlegen, kann der Service nur eine Teilmenge der Instanzen auf der Ebene des Compartments und dessen Sub-Compartments verwalten.

Alle Basissoftwarequellen befinden sich im Root-Compartment. Stellen Sie beim Festlegen von Policys sicher, dass die Berechtigungen für die Policy nicht zu eng sind. Beispiel: Es treten Autorisierungsfehler auf, wenn Ihnen nur der Zugriff auf ein Compartment erteilt wurde und Sie versuchen, Packages oder Updates aus Softwarequellen im Root Compartment zu installieren.

Beispiel: 

Allow group <group_name> to manage osms-family in tenancy

Damit Benutzer über die entsprechende Zugriffsberechtigung verfügen, benötigen sie die Berechtigung OSMS_SOFTWARE_SOURCE_READ im Root Compartment.

Aggregierter Ressourcentyp

osms-family

Individuelle Ressourcentypen

osms-errata

osms-events

osms-managed-instances

osms-managed-instance-groups

osms-scheduled-jobs

osms-software-sources

osms-work-requests

Details für Verb- und Ressourcentypkombinationen

In den folgenden Tabellen werden die Berechtigungen und API-Vorgänge angezeigt, die von jedem Verb abgedeckt werden. Die Zugriffsebene ist kumulativ: inspect > read > use > manage. Ein Pluszeichen (+) in einer Tabellenzelle gibt den inkrementellen Zugriff im Vergleich zur Zelle direkt darüber an, während "Keine zusätzlichen" keinen inkrementellen Zugriff angibt.

osms-errata
Verben Berechtigungen Vollständig abgedeckte APIs Teilweise abgedeckte APIs
inspect

keine

 keine

keine
read

INSPECT +

OSMS_ERRATA_READ

GetErratum

keine
use

keine

keine

keine
manage

USE +

keine

keine

keine
osms-events

Verben Berechtigungen Vollständig abgedeckte APIs Teilweise abgedeckte APIs
inspect

OSMS_EVENT_INSPECT

ListEvents

ListRelatedEvents

keine
read

INSPECT +

OSMS_EVENT_READ

GetEvent

GetEventContent

GetEventReport

keine
use

READ +

OSMS_EVENT_UPDATE

UpdateEvent

keine
manage

USE +

OSMS_EVENTS_MANAGE

DeleteEventContent

UploadEventContent

keine
osms-managed-instances
Verben Berechtigungen Vollständig abgedeckte APIs Teilweise abgedeckte APIs
inspect

OSMS_MANAGED_INSTANCE_INSPECT

ListManagedInstances

keine
read

INSPECT +

OSMS_MANAGED_INSTANCE_READ

ListAvailablePackagesForManagedInstance

ListPackagesInstalledOnManagedInstance

ListAvailableUpdatesForManagedInstance

ListAvailableSoftwareSourcesForManagedInstance (erfordert auch inspect osms-software-source)
use

READ +

OSMS_MANAGED_INSTANCE_ACCESS

keine

(Für diese Berechtigung sind keine API-Vorgänge abgedeckt. Diese Berechtigung steuert, ob der OS Management-Service-Agent auf der Compute-Instanz auf den OS Management-Service zugreifen kann.)

keine
manage

USE +

OSMS_MANAGED_INSTANCE_UPDATE

OSMS_MANAGED_INSTANCE_INSTALL_UPDATE

OSMS_MANAGED_INSTANCE_INSTALL_PACKAGE

OSMS_MANAGED_INSTANCE_REMOVE_PACKAGE

OSMS_MANAGED_INSTANCE_ADD_SOFTWARE_SOURCE

OSMS_MANAGED_INSTANCE_REMOVE_SOFTWARE_SOURCE

DetachChildSoftwareSourceFromManagedInstance

DetachParentSoftwareSourceFromManagedInstance

AttachChildSoftwareSourceToManagedInstance(erfordert auch read osms-software-sources )

AttachManagedInstanceToManagedInstanceGroup und DetachManagedInstanceFromManagedInstanceGroup (beide erfordern auch manage osms-managed-instance-groups)

CreateScheduledJob (erfordert auch use osms-scheduled-jobs, use osms-managed-instance-groups und read osms-software-sources)

InstallPackageOnManagedInstance und InstallPackageUpdateOnManagedInstance (beide erfordern auch read osms-software-sources)
osms-managed-instance-groups
Verben Berechtigungen Vollständig abgedeckte APIs Teilweise abgedeckte APIs
inspect OSMS_MANAGED_INSTANCE_GROUP_INSPECT

ListManagedInstanceGroups

keine
read

INSPECT +

OSMS_MANAGED_INSTANCE_GROUP_READ

GetManagedInstanceGroup

keine
use

READ +

OSMS_MANAGED_INSTANCE_GROUP_INSTALL_UPDATE

OSMS_MANAGED_INSTANCE_GROUP_INSTALL_PACKAGE

OSMS_MANAGED_INSTANCE_GROUP_REMOVE_PACKAGE

OSMS_MANAGED_INSTANCE_GROUP_UPDATE

UpdateManagedInstanceGroup

CreateScheduledJob (erfordert auch use osms-scheduled-jobs, manage osms-managed-instances und read software sources)
manage

USE +

OSMS_MANAGED_INSTANCE_GROUP_ADD_INSTANCE

OSMS_MANAGED_INSTANCE_GROUP_REMOVE_INSTANCE

OSMS_MANAGED_INSTANCE_GROUP_CREATE

OSMS_MANAGED_INSTANCE_GROUP_DELETE

OSMS_MANAGED_INSTANCE_GROUP_MOVE

CreateManagedInstanceGroup

DeleteManagedInstanceGroup

ChangeManagedInstanceGroupComparment

AttachManagedInstanceToManagedInstanceGroup und DetachManagedInstanceFromManagedInstanceGroup (erfordert auch use osms-managed-instances)
osms-software-sources
Verben Berechtigungen Vollständig abgedeckte APIs Teilweise abgedeckte APIs
inspect

OSMS_SOFTWARE_SOURCE_INSPECT

ListSoftwareSources

ListAvailableSoftwareSourcesForManagedInstance (erfordert auch read osms-managed-instances)
read

INSPECT +

OSMS_SOFTWARE_SOURCE_READ

GetSoftwareSource

ListSoftwarePackages

GetSoftwarePackage

SearchSoftwarePackages

AttachChildSoftwareSourceToManagedInstance (erfordert auch manage osms-managed-instances)

CreateScheduledJob (erfordert auch use osms-scheduled-jobs, use osms-managed-instance-groups und manage osms-managed-instances)

InstallPackageOnManagedInstance und InstallPackageUpdateOnManagedInstance (beide erfordern auch manage osms-managed-instances)
use

READ +

OSMS_MANAGED_INSTANCE_GROUP_INSTALL_UPDATE

UpdateSoftwareSource

keine
manage

USE +

OSMS_SOFTWARE_SOURCE_CREATE

OSMS_SOFTWARE_SOURCE_ADD_PACKAGES

OSMS_SOFTWARE_SOURCE_REMOVE_PACKAGE

OSMS_SOFTWARE_SOURCE_DELETE

OSMS_SOFTWARE_SOURCE_REMOVE_PACKAGE

CreateSoftwareSource

DeleteSoftwareSource

ChangeSoftwareSourceCompartment

AddPackagesToSoftwareSource

RemovePackagesFromSoftwareSource

keine
osms-scheduled-jobs
Verben Berechtigungen Vollständig abgedeckte APIs Teilweise abgedeckte APIs
inspect

OSMS_SCHEDULED_JOB_INSPECT

ListScheduledJobs

keine
read

INSPECT +

OSMS_SCHEDULED_JOB_READ

GetScheduledJob

keine
use

READ +

OSMS_SCHEDULED_JOB_UPDATE

UpdateScheduledJob

keine
manage

USE +

OSMS_SCHEDULED_JOB_CREATE

OSMS_SCHEDULED_JOB_DELETE

OSMS_SCHEDULED_JOB_MOVE

DeleteScheduledJob

ChangeScheduledJobCompartment

ChangeScheduledJobCompartment

CreateScheduledJob (erfordert auch use osms-managed-instance groups, manage osms-managed-instances und read osms-software-sources)
osms-work-requests

Verben Berechtigungen Vollständig abgedeckte APIs Teilweise abgedeckte APIs
inspect

OSMS_WORK_REQUEST_INSPECT

ListWorkRequests

keine
read

INSPECT +

OSMS_WORK_REQUEST_READ

GetWorkRequest

keine
use

READ +

Keine zusätzlichen

Keine zusätzlichen

keine
manage

USE +

OSMS_WORK_REQUEST_CANCEL

CancelWorkRequest

keine

Für die einzelnen API-Vorgänge erforderliche Berechtigungen

In den folgenden Tabellen werden die API-Vorgänge nach Ressourcentyp gruppiert aufgelistet. Die Ressourcentypen werden in alphabetischer Reihenfolge aufgeführt. Informationen zu Berechtigungen finden Sie unter Berechtigungen.

API-Vorgang Für den Vorgang erforderliche Berechtigungen
ListEvents OSMS_EVENT_INSPECT
ListRelatedEvents OSMS_EVENT_INSPECT
DeleteEventContent OSMS_EVENT_MANAGE
UploadEventContent OSMS_EVENT_MANAGE
GetEvent OSMS_EVENT_READ
GetEventContent OSMS_EVENT_READ
GetEventReport OSMS_EVENT_READ
UpdateEvent OSMS_EVENT_UPDATE
AttachChildSoftwareSourceToManagedInstance OSMS_MANAGED_INSTANCE_ADD_SOFTWARE_SOURCE und OSMS_SOFTWARE_SOURCE_READ
AttachParentSoftwareSourceToManagedInstance OSMS_MANAGED_INSTANCE_ADD_SOFTWARE_SOURCE und OSMS_SOFTWARE_SOURCE_READ
AttachManagedInstanceToManagedInstanceGroup OSMS_MANAGED_INSTANCE_GROUP_ADD_INSTANCE und OSMS_MANAGED_INSTANCE_UPDATE
CreateManagedInstanceGroup OSMS_MANAGED_INSTANCE_GROUP_CREATE
DeleteManagedInstanceGroup OSMS_MANAGED_INSTANCE_GROUP_DELETE
ListManagedInstanceGroups OSMS_MANAGED_INSTANCE_GROUP_INSPECT
ChangeManagedInstanceGroupComparment OSMS_MANAGED_INSTANCE_GROUP_MOVE
GetManagedInstanceGroup OSMS_MANAGED_INSTANCE_GROUP_READ
DetachManagedInstanceFromManagedInstanceGroup OSMS_MANAGED_INSTANCE_GROUP_REMOVE_INSTANCE und OSMS_MANAGED_INSTANCE_UPDATE
UpdateManagedInstanceGroup OSMS_MANAGED_INSTANCE_GROUP_UPDATE
ListManagedInstances OSMS_MANAGED_INSTANCE_INSPECT
InstallPackageOnManagedInstance OSMS_MANAGED_INSTANCE_INSTALL_PACKAGE und OSMS_SOFTWARE_SOURCE_READ
InstallPackageUpdateOnManagedInstance OSMS_MANAGED_INSTANCE_INSTALL_UPDATE und OSMS_SOFTWARE_SOURCE_READ
GetManagedInstance OSMS_MANAGED_INSTANCE_READ
ListAvailablePackagesForManagedInstance OSMS_MANAGED_INSTANCE_READ
ListAvailableUpdatesForManagedInstance OSMS_MANAGED_INSTANCE_READ
ListAvailableSoftwareSourcesForManagedInstance OSMS_MANAGED_INSTANCE_READ und OSMS_SOFTWARE_SOURCE_INSPECT
ListPackagesInstalledOnManagedInstance OSMS_MANAGED_INSTANCE_READ
RemovePackageFromManagedInstance OSMS_MANAGED_INSTANCE_REMOVE_PACKAGE
DetachChildSoftwareSourceFromManagedInstance OSMS_MANAGED_INSTANCE_REMOVE_SOFTWARE_SOURCE
DetachParentSoftwareSourceFromManagedInstance OSMS_MANAGED_INSTANCE_REMOVE_SOFTWARE_SOURCE
DisableModuleStreamOnManagedInstance OSMS_MANAGED_INSTANCE_UPDATE
EnableModuleStreamOnManagedInstance OSMS_MANAGED_INSTANCE_UPDATE
InstallModuleStreamProfileOnManagedInstance OSMS_MANAGED_INSTANCE_UPDATE
ManageModuleStreamsOnManagedInstance OSMS_MANAGED_INSTANCE_UPDATE
SwitchModuleStreamOnManagedInstance OSMS_MANAGED_INSTANCE_UPDATE
CreateScheduledJob

OSMS_SCHEDULED_JOB_CREATE und mindestens eine der folgenden Berechtigungen:

  • OSMS_MANAGED_INSTANCE_GROUP_INSTALL_PACKAGE und OSMS_SOFTWARE_SOURCE_READ

  • OSMS_MANAGED_INSTANCE_GROUP_INSTALL_UPDATE und OSMS_SOFTWARE_SOURCE_READ

  • OSMS_MANAGED_INSTANCE_GROUP_REMOVE_PACKAGE

  • OSMS_MANAGED_INSTANCE_INSTALL_PACKAGE und OSMS_SOFTWARE_SOURCE_READ

  • OSMS_MANAGED_INSTANCE_INSTALL_UPDATE und OSMS_SOFTWARE_SOURCE_READ

  • OSMS_MANAGED_INSTANCE_REMOVE_PACKAGE

DeleteScheduledJob OSMS_SCHEDULED_JOB_DELETE
ListScheduledJobs OSMS_SCHEDULED_JOB_INSPECT
ChangeScheduledJobCompartment OSMS_SCHEDULED_JOB_MOVE
GetScheduledJob OSMS_SCHEDULED_JOB_READ
UpdateScheduledJob OSMS_SCHEDULED_JOB_UPDATE
AddPackagesToSoftwareSource OSMS_SOFTWARE_SOURCE_ADD_PACKAGES
CreateSoftwareSource OSMS_SOFTWARE_SOURCE_CREATE
DeleteSoftwareSource OSMS_SOFTWARE_SOURCE_DELETE
ChangeSoftwareSourceCompartment OSMS_SOFTWARE_SOURCE_MOVE
GetSoftwarePackage OSMS_SOFTWARE_SOURCE_READ
ListSoftwarePackages OSMS_SOFTWARE_SOURCE_READ
SearchSoftwarePackages OSMS_SOFTWARE_SOURCE_READ
RemovePackagesFromSoftwareSource OSMS_SOFTWARE_SOURCE_REMOVE_PACKAGES
UpdateSoftwareSource OSMS_SOFTWARE_SOURCE_UPDATE
CancelWorkRequest OSMS_WORK_REQUEST_CANCEL
ListWorkRequests OSMS_WORK_REQUEST_INSPECT
GetWorkRequest OSMS_WORK_REQUEST_READ