Beispiel-Policys

Für die dynamische Gruppe ist eine Regel für jedes Compartment (und untergeordnetes Compartment) erforderlich, das verwaltete Instanzen enthält. In diesem Beispiel werden Regeln für das Root Compartment (Mandant), das Compartment dev, das untergeordnete Compartment test und das Compartment prod angezeigt.

ANY {instance.compartment.id='<tenancy_ocid>',instance.compartment.id='<dev_compartment_ocid>',instance.compartment.id='<test_child compartment_ocid>',instance.compartment.id='<prod_compartment_ocid>'}
ALL {resource.type='managementagent', resource.compartment.id='<tenancy_ocid>'}
ALL {resource.type='managementagent', resource.compartment.id='<dev_compartment_ocid>'}
ALL {resource.type='managementagent', resource.compartment.id='<test_child compartment_ocid>'}
ALL {resource.type='managementagent', resource.compartment.id='<prod_compartment_ocid>'}

• In der ersten Zeile wird die Gruppe angewiesen, OCI-Instanzen in das Root Compartment, das Compartment dev, das untergeordnete Compartment test und das Compartment prod einzuschließen. Dies geschieht mit einer einzelnen Regelanweisung, indem Sie ANY verwenden und jedes Compartment in die Anweisung aufnehmen.
• Die nächsten vier Zeilen weisen die Gruppe an, die Management-Agents im angegebenen Compartment einzuschließen. Wenn Sie die Management Agent-Ressource einbeziehen, enthält die Anweisung die entsprechende On-Premise- oder Cloud-Instanz eines Drittanbieters.

allow dynamic-group osmh-instances to {OSMH_MANAGED_INSTANCE_ACCESS} in tenancy where request.principal.id = target.managed-instance.id
allow group osmh-admins to manage osmh-family in tenancy
allow group osmh-admins to manage management-agents in tenancy
allow group osmh-admins to manage management-agent-install-keys in tenancy

• In der ersten Zeile kann der Agent auf den verwalteten Instanzen mit OS Management Hub interagieren. OSMH_MANAGED_INSTANCE_ACCESS bietet Zugriff für OS Management Hub.
• In der zweiten Zeile kann die Benutzergruppe alle OS Management Hub-Ressourcen im Mandanten verwalten.
• In der dritten Zeile kann die Benutzergruppe Management-Agents im Mandanten erstellen, aktualisieren und löschen.
• In der vierten Zeile kann die Benutzergruppe Installationsschlüssel im Mandanten erstellen, aktualisieren und löschen.

Für die dynamische Gruppe ist eine Regel für jedes Compartment (und untergeordnetes Compartment) erforderlich, das verwaltete Instanzen enthält. Dieses Beispiel zeigt Regeln für das untergeordnete Compartment dev und test mit separaten Regelanweisungen für jedes Compartment.

ALL {instance.compartment.id='<dev_compartment_ocid>'}
ALL {instance.compartment.id='<test_compartment_ocid>'}

• Die erste Zeile enthält alle Instanzen im Compartment dev.
• Die zweite Zeile enthält alle Instanzen im untergeordneten Compartment test.
• Alternativ können Sie anstelle von zwei Regelanweisungen eine einzelne ANY-Anweisung verwenden: ANY {instance.compartment.id='<dev_compartment_ocid>',instance.compartment.id='<test_compartment_ocid>'}

allow dynamic-group osmh-instances to {OSMH_MANAGED_INSTANCE_ACCESS} in compartment dev where request.principal.id = target.managed-instance.id
allow group osmh-admins-dev to manage osmh-family in compartment dev
allow group osmh-admins-dev to read osmh-profiles in tenancy where target.profile.compartment.id = '<tenancy_ocid>'
allow group osmh-admins-dev to read osmh-software-sources in tenancy where target.softwareSource.compartment.id = '<tenancy_ocid>'
allow group osmh-admins-dev to manage management-agents in compartment dev
allow group osmh-admins-dev to manage management-agent-install-keys in compartment dev

• In der ersten Zeile kann der Service-Agent auf den verwalteten Instanzen mit OS Management Hub interagieren.
• In der zweiten Zeile kann die Benutzergruppe alle OS Management Hub-Ressourcen im Compartment dev verwalten. Policys verwenden die Compartment-Vererbung, sodass der Benutzer auch Ressourcen in allen untergeordneten Compartments von dev verwalten kann (in diesem Beispiel test).
• Mit der dritten und vierten Zeile kann die Benutzergruppe Profile und Softwarequellen im Root Compartment lesen. Dies ist erforderlich, um Anbietersoftwarequellen zu replizieren und vom Service bereitgestellte Profile zu verwenden.
• Die fünfte und sechste Zeile ermöglicht es dem Benutzer, Management Agent Cloud Service-(MACS-)Schlüssel und -Agents zu verwalten.

Für die dynamische Gruppe ist eine Regel für jedes Compartment erforderlich, das verwaltete Instanzen enthält. Dieses Beispiel zeigt eine Regel für das Compartment prod.

ALL {resource.type='managementagent', resource.compartment.id='<prod_compartment_ocid>'}

• Die Regel weist die dynamische Gruppe an, Management Agent-Ressourcen im Compartment prod einzuschließen. Wenn der Agent einbezogen wird, kann OS Management Hub die entsprechende On-Premise- oder Cloud-Instanz eines Drittanbieters verwalten.

allow dynamic-group osmh-instances to {OSMH_MANAGED_INSTANCE_ACCESS} in compartment prod where request.principal.id = target.managed-instance.id
allow group osmh-operators to read osmh-family in compartment prod

• In der ersten Zeile kann der Agent auf den verwalteten Instanzen mit OS Management Hub interagieren.
• In der zweiten Zeile kann die Benutzergruppe alle OS Management Hub-Ressourcen im Compartment prod anzeigen.
• Policys für den Management Agent Cloud Service (MACS) sind nicht erforderlich, um On-Premise- oder Cloud-Instanzen von Drittanbietern in OS Management Hub anzuzeigen. Daher benötigt die Operatorbenutzergruppe keinen Zugriff auf MACS, wie in den vorherigen Beispielen gezeigt.