Beispiel-Policys

Für die dynamische Gruppe ist eine Regel für jedes Compartment (und Sub-Compartment) erforderlich, das verwaltete Instanzen enthält. Dieses Beispiel zeigt Regeln für das Root Compartment (Mandant), das Compartment dev, das Sub-Compartment test und das Compartment prod.

ANY {instance.compartment.id='<tenancy_ocid>',instance.compartment.id='<dev_compartment_ocid>',instance.compartment.id='<test_subcompartment_ocid>',instance.compartment.id='<prod_compartment_ocid>'}
ALL {resource.type='managementagent', resource.compartment.id='<tenancy_ocid>'}
ALL {resource.type='managementagent', resource.compartment.id='<dev_compartment_ocid>'}
ALL {resource.type='managementagent', resource.compartment.id='<test_subcompartment_ocid>'}
ALL {resource.type='managementagent', resource.compartment.id='<prod_compartment_ocid>'}

• In der ersten Zeile wird die Gruppe angewiesen, OCI-Instanzen in das Root Compartment, das Compartment dev, das Sub-Compartment test und das Compartment prod aufzunehmen. Dies geschieht mit einer einzelnen Regelanweisung, indem ANY verwendet wird und jedes Compartment in die Anweisung aufgenommen wird.
• Die nächsten vier Zeilen weisen die Gruppe an, die Management Agents in das angegebene Compartment aufzunehmen. Durch Aufnahme der Management Agent-Ressource enthält die Anweisung die entsprechende On-Premise- oder Cloud-Instanz eines Drittanbieters.

allow dynamic-group osmh-instances to {OSMH_MANAGED_INSTANCE_ACCESS} in tenancy where request.principal.id = target.managed-instance.id
allow group osmh-admins to manage osmh-family in tenancy
allow group osmh-admins to manage management-agents in tenancy
allow group osmh-admins to manage management-agent-install-keys in tenancy

• In der ersten Zeile kann der Agent auf den verwalteten Instanzen mit OS Management Hub interagieren. OSMH_MANAGED_INSTANCE_ACCESS bietet Zugriff für OS Management Hub.
• In der zweiten Zeile kann die Benutzergruppe alle OS Management Hub-Ressourcen im Mandanten verwalten.
• In der dritten Zeile kann die Benutzergruppe Management-Agents im Mandanten erstellen, aktualisieren und löschen.
• In der vierten Zeile kann die Benutzergruppe Installationsschlüssel im Mandanten erstellen, aktualisieren und löschen.

Für die dynamische Gruppe ist eine Regel für jedes Compartment (und Sub-Compartment) erforderlich, das verwaltete Instanzen enthält. Dieses Beispiel zeigt Regeln für das Sub-Compartment dev und test mit separaten Regelanweisungen für jedes Sub-Compartment.

ALL {instance.compartment.id='<dev_compartment_ocid>'}
ALL {instance.compartment.id='<test_compartment_ocid>'}

• Die erste Zeile enthält alle Instanzen im Compartment dev.
• Die zweite Zeile enthält alle Instanzen im Sub-Compartment test.
• Alternativ können Sie anstelle von zwei Regelanweisungen eine einzelne ANY-Anweisung verwenden: ANY {instance.compartment.id='<dev_compartment_ocid>',instance.compartment.id='<test_compartment_ocid>'}

allow dynamic-group osmh-instances to {OSMH_MANAGED_INSTANCE_ACCESS} in compartment dev where request.principal.id = target.managed-instance.id
allow group osmh-admins-dev to manage osmh-family in compartment dev
allow group osmh-admins-dev to read osmh-profiles in tenancy where target.profile.compartment.id = '<tenancy_ocid>'
allow group osmh-admins-dev to read osmh-software-sources in tenancy where target.softwareSource.compartment.id = '<tenancy_ocid>'
allow group osmh-admins-dev to manage management-agents in compartment dev
allow group osmh-admins-dev to manage management-agent-install-keys in compartment dev

• In der ersten Zeile kann der Service-Agent auf den verwalteten Instanzen mit OS Management Hub interagieren.
• In der zweiten Zeile kann die Benutzergruppe alle OS Management Hub-Ressourcen im Compartment dev verwalten. Policys verwenden die Compartment-Vererbung, sodass der Benutzer auch Ressourcen in allen Sub-Compartments von dev (in diesem Beispiel test) verwalten kann.
• Mit der dritten und vierten Zeile kann die Benutzergruppe Profile und Softwarequellen im Root Compartment lesen. Dies ist erforderlich, um Anbietersoftwarequellen zu replizieren und vom Service bereitgestellte Profile zu verwenden.
• Die fünfte und sechste Zeile ermöglicht es dem Benutzer, Management Agent Cloud Service-(MACS-)Schlüssel und -Agents zu verwalten.

Für die dynamische Gruppe ist eine Regel für jedes Compartment erforderlich, das verwaltete Instanzen enthält. Dieses Beispiel zeigt eine Regel für das Compartment prod.

ALL {resource.type='managementagent', resource.compartment.id='<prod_compartment_ocid>'}

• Die Regel weist die dynamische Gruppe an, Management Agent-Ressourcen in das Compartment prod aufzunehmen. Mit dem Agent kann OS Management Hub die entsprechende On-Premise- oder Cloud-Instanz eines Drittanbieters verwalten.

allow dynamic-group osmh-instances to {OSMH_MANAGED_INSTANCE_ACCESS} in compartment prod where request.principal.id = target.managed-instance.id
allow group osmh-operators to read osmh-family in compartment prod

• In der ersten Zeile kann der Agent auf den verwalteten Instanzen mit OS Management Hub interagieren.
• In der zweiten Zeile kann die Benutzergruppe alle OS Management Hub-Ressourcen im Compartment prod anzeigen.
• Policys für den Management Agent Cloud Service (MACS) sind nicht erforderlich, um On-Premise- oder Cloud-Instanzen von Drittanbietern in OS Management Hub anzuzeigen. Daher benötigt die Benutzergruppe des Operators keinen Zugriff auf MACS, wie in den vorherigen Beispielen gezeigt.