Beispiel-Policys

Die folgenden Beispiele enthalten Beispiele für OS Management Hub-Policys, mit denen der Zugriff auf einen bestimmten Benutzertyp eingeschränkt wird.

In diesen Beispielen hat der Mandant die folgende Compartment-Struktur:

  • root Compartment (Mandant)
    • Compartment dev
      • Untergeordnetes Compartment test von dev
    • Compartment prod

Admin-Benutzer mit Mandantenberechtigungen

In diesem Beispiel gilt:

  • Die dynamische Gruppe ist osmh-instances. Die Regelanweisungen umfassen sowohl OCI-Instanzen als auch Management-Agents (für On-Premise- oder Cloud-Instanzen von Drittanbietern) im Root Compartment (Mandant), Compartment dev, untergeordnetes Compartment test und Compartment prod.
  • Der Benutzer gehört zur Benutzergruppe osmh-admins, die alle OS Management Hub-Ressourcen im Mandanten verwalten darf.
  • Die Umgebung enthält sowohl OCI- als auch On-Premises- oder Cloud-Instanzen von Drittanbietern.
Regeln für dynamische Gruppe

Für die dynamische Gruppe ist eine Regel für jedes Compartment (und untergeordnetes Compartment) erforderlich, das verwaltete Instanzen enthält. In diesem Beispiel werden Regeln für das Root Compartment (Mandant), das Compartment dev, das untergeordnete Compartment test und das Compartment prod angezeigt.

ANY {instance.compartment.id='<tenancy_ocid>',instance.compartment.id='<dev_compartment_ocid>',instance.compartment.id='<test_child compartment_ocid>',instance.compartment.id='<prod_compartment_ocid>'}
ALL {resource.type='managementagent', resource.compartment.id='<tenancy_ocid>'}
ALL {resource.type='managementagent', resource.compartment.id='<dev_compartment_ocid>'}
ALL {resource.type='managementagent', resource.compartment.id='<test_child compartment_ocid>'}
ALL {resource.type='managementagent', resource.compartment.id='<prod_compartment_ocid>'}
  • In der ersten Zeile wird die Gruppe angewiesen, OCI-Instanzen in das Root Compartment, das Compartment dev, das untergeordnete Compartment test und das Compartment prod einzuschließen. Dies geschieht mit einer einzelnen Regelanweisung, indem Sie ANY verwenden und jedes Compartment in die Anweisung aufnehmen.
  • Die nächsten vier Zeilen weisen die Gruppe an, die Management-Agents im angegebenen Compartment einzuschließen. Wenn Sie die Management Agent-Ressource einbeziehen, enthält die Anweisung die entsprechende On-Premise- oder Cloud-Instanz eines Drittanbieters.
Policy-Anweisungen
allow dynamic-group osmh-instances to {OSMH_MANAGED_INSTANCE_ACCESS} in tenancy where request.principal.id = target.managed-instance.id
allow group osmh-admins to manage osmh-family in tenancy
allow group osmh-admins to manage management-agents in tenancy
allow group osmh-admins to manage management-agent-install-keys in tenancy
  • In der ersten Zeile kann der Agent auf den verwalteten Instanzen mit OS Management Hub interagieren. OSMH_MANAGED_INSTANCE_ACCESS bietet Zugriff für OS Management Hub.
  • In der zweiten Zeile kann die Benutzergruppe alle OS Management Hub-Ressourcen im Mandanten verwalten.
  • In der dritten Zeile kann die Benutzergruppe Management-Agents im Mandanten erstellen, aktualisieren und löschen.
  • In der vierten Zeile kann die Benutzergruppe Installationsschlüssel im Mandanten erstellen, aktualisieren und löschen.

Admin-Benutzer ist auf ein Compartment beschränkt

In diesem Beispiel gilt:

  • Die dynamische Gruppe ist osmh-instances. Die Regelanweisungen umfassen OCI-Instanzen im Compartment dev und im untergeordneten Compartment test.
  • Der Benutzer gehört zur Benutzergruppe osmh-admins-dev, die alle OS Management Hub-Ressourcen im Compartment dev und im untergeordneten Compartment test verwalten kann. Der Benutzer kann Profile und Softwarequellen im Mandanten lesen, die für den Zugriff auf Anbietersoftwarequellen und vom Service bereitgestellte Profile erforderlich sind.
  • Die Umgebung enthält nur OCI-Instanzen.
Regeln für dynamische Gruppe

Für die dynamische Gruppe ist eine Regel für jedes Compartment (und untergeordnetes Compartment) erforderlich, das verwaltete Instanzen enthält. Dieses Beispiel zeigt Regeln für das untergeordnete Compartment dev und test mit separaten Regelanweisungen für jedes Compartment.

ALL {instance.compartment.id='<dev_compartment_ocid>'}
ALL {instance.compartment.id='<test_compartment_ocid>'}
  • Die erste Zeile enthält alle Instanzen im Compartment dev.
  • Die zweite Zeile enthält alle Instanzen im untergeordneten Compartment test.
  • Alternativ können Sie anstelle von zwei Regelanweisungen eine einzelne ANY-Anweisung verwenden: ANY {instance.compartment.id='<dev_compartment_ocid>',instance.compartment.id='<test_compartment_ocid>'}
Policy-Anweisungen
allow dynamic-group osmh-instances to {OSMH_MANAGED_INSTANCE_ACCESS} in compartment dev where request.principal.id = target.managed-instance.id
allow group osmh-admins-dev to manage osmh-family in compartment dev
allow group osmh-admins-dev to read osmh-profiles in tenancy where target.profile.compartment.id = '<tenancy_ocid>'
allow group osmh-admins-dev to read osmh-software-sources in tenancy where target.softwareSource.compartment.id = '<tenancy_ocid>'
allow group osmh-admins-dev to manage management-agents in compartment dev
allow group osmh-admins-dev to manage management-agent-install-keys in compartment dev
  • In der ersten Zeile kann der Service-Agent auf den verwalteten Instanzen mit OS Management Hub interagieren.
  • In der zweiten Zeile kann die Benutzergruppe alle OS Management Hub-Ressourcen im Compartment dev verwalten. Policys verwenden die Compartment-Vererbung, sodass der Benutzer auch Ressourcen in allen untergeordneten Compartments von dev verwalten kann (in diesem Beispiel test).
  • Mit der dritten und vierten Zeile kann die Benutzergruppe Profile und Softwarequellen im Root Compartment lesen. Dies ist erforderlich, um Anbietersoftwarequellen zu replizieren und vom Service bereitgestellte Profile zu verwenden.
  • Die fünfte und sechste Zeile ermöglicht es dem Benutzer, Management Agent Cloud Service-(MACS-)Schlüssel und -Agents zu verwalten.

Operator auf ein Compartment beschränkt

In diesem Beispiel gilt:

  • Die dynamische Gruppe ist osmh-instances. Die Regelanweisung enthält Management Agent-Ressourcen im Compartment prod.
  • Der Benutzer gehört zur Benutzergruppe osmh-operators, die alle OS Management Hub-Ressourcen im Compartment prod lesen kann.
  • Die Umgebung enthält nur On-Premise- oder Cloud-Instanzen von Drittanbietern.
Regeln für dynamische Gruppe

Für die dynamische Gruppe ist eine Regel für jedes Compartment erforderlich, das verwaltete Instanzen enthält. Dieses Beispiel zeigt eine Regel für das Compartment prod.


ALL {resource.type='managementagent', resource.compartment.id='<prod_compartment_ocid>'}
  • Die Regel weist die dynamische Gruppe an, Management Agent-Ressourcen im Compartment prod einzuschließen. Wenn der Agent einbezogen wird, kann OS Management Hub die entsprechende On-Premise- oder Cloud-Instanz eines Drittanbieters verwalten.
Policy-Anweisungen
allow dynamic-group osmh-instances to {OSMH_MANAGED_INSTANCE_ACCESS} in compartment prod where request.principal.id = target.managed-instance.id
allow group osmh-operators to read osmh-family in compartment prod
  • In der ersten Zeile kann der Agent auf den verwalteten Instanzen mit OS Management Hub interagieren.
  • In der zweiten Zeile kann die Benutzergruppe alle OS Management Hub-Ressourcen im Compartment prod anzeigen.
  • Policys für den Management Agent Cloud Service (MACS) sind nicht erforderlich, um On-Premise- oder Cloud-Instanzen von Drittanbietern in OS Management Hub anzuzeigen. Daher benötigt die Operatorbenutzergruppe keinen Zugriff auf MACS, wie in den vorherigen Beispielen gezeigt.