Oracle Cloud Infrastructure-Dokumentation

Benutzer und Gruppen erstellen

Um in WebLogic Management zu arbeiten, muss ein Mandantenadministrator in Ihrer Organisation Gruppen erstellen, Benutzer zu Gruppen hinzufügen und Policys hinzufügen, die steuern, welche Benutzer auf den Service und seine Ressourcen zugreifen können, sowie den Zugriffstyp, den sie haben.

Erstellen Sie mindestens einen Benutzer im Mandanten, der mit WebLogic Management arbeiten möchte. Dieser Benutzer muss im IAM-Service erstellt werden.

Benutzergruppen, dynamische Gruppen und IAM-Policys geben an, welche Benutzer und Services auf bestimmte OCI-Ressourcen zugreifen können. Sie müssen angeben, welche WebLogic Managementressourcen der Service verwalten kann und welche Benutzer diese Ressourcen verwalten können. Definieren Sie dazu Benutzergruppen und dynamische Gruppen, und richten Sie dann die erforderliche IAM-Policy ein.

Benutzergruppe

Erstellen Sie eine Benutzergruppe, oder identifizieren Sie eine vorhandene Benutzergruppe, um den WebLogic Management-Service im Mandanten zu verwalten. Die erforderlichen Policy-Anweisungen erteilen dieser Administratorbenutzergruppe dann die Möglichkeit, WebLogic-Managementressourcen zu verwalten.

Wenn Sie den Zugriff weiter einschränken müssen, können Sie zusätzliche Benutzergruppen erstellen und restriktivere Policy-Anweisungen festlegen, um den Zugriff auf bestimmte Ressourcen einzuschränken. Anwendungsfälle für Nicht-Administratoren finden Sie unter Policy-Beispiele. Weitere Informationen zu Benutzergruppen finden Sie unter Gruppen verwalten.

Dynamische Gruppe

Erstellen Sie eine dynamische Gruppe, um die von WebLogic Management verwalteten Ressourcen anzugeben, indem Sie Regelanweisungen für OCI-Instanzen definieren.

  1. Beachten Sie Folgendes:

  2. Führen Sie die Schritte zum Erstellen einer dynamischen Gruppe oder zum Aktualisieren einer vorhandenen dynamischen Gruppe aus, und konfigurieren Sie die Übereinstimmungsregeln wie folgt.

    Tipp

    Verwenden Sie nach Möglichkeit dieselbe dynamische Gruppe über Services hinweg wieder, anstatt neue dynamische Gruppen zu erstellen, da eine einzelne Ressource nur maximal fünf dynamischen Gruppen angehören kann.

  3. Wählen Sie für die allgemeine Abgleichsregeleinstellung Folgendes aus: Übereinstimmung mit unten definierten Regeln.

  4. Erstellen Sie Regelanweisungen für die Instanzen, die von WebLogic Management verwaltet werden.

    Wichtig

    Dynamische Gruppenregeln verwenden keine Compartment-Vererbung. Sie müssen eine Regelanweisung für jedes Compartment und Sub-Compartment angeben, das vom Service verwaltet werden soll.

    Regel für OCI-Instanzen

    Fügen Sie eine Regelanweisung hinzu, die jedes Compartment (und Sub-Compartment) enthält, das Instanzen enthält.

    ANY {instance.compartment.id='<compartment_ocid>',instance.compartment.id='<subcompartment_ocid>'}

    Diese Regel enthält alle OCI-Instanzen in den angegebenen Compartments.

  5. Klicken Sie auf Erstellen (bei Erstellung) oder Speichern (bei Aktualisierung).
Was bewirkt die dynamische Gruppe?
Die dynamische Gruppe identifiziert die Instanzen, die von WebLogic Management verwaltet werden. Sie fügen Regelanweisungen für die Compartments und Sub-Compartments hinzu, die Instanzen enthalten, die vom Service verwaltet werden sollen. Die dynamische Gruppe wird basierend auf diesen Regelanweisungen dynamisch vergrößert und verkleinert. Wenn Instanzen bereitgestellt oder eingestellt werden, ändert sich die dynamische Gruppe entsprechend. Die erforderlichen Policy-Anweisungen erteilen dann WebLogic Management die Möglichkeit, auf die Instanzen innerhalb der dynamischen Gruppe zuzugreifen.

Weitere Informationen zu dynamischen Gruppen finden Sie unter Dynamische Gruppen verwalten.

Wann wird ANY und ALL für eine dynamische Gruppe verwendet?

Bevor Sie Regelanweisungen für dynamische Gruppen schreiben, ist es wichtig, den Unterschied zwischen ANY und ALL zu verstehen.

Beim Definieren einer dynamischen Gruppe legen Sie fest, wie die Gruppe mit den in der Gruppe definierten Regeln übereinstimmt:

  • Mit einer der unten definierten Regeln abgleichen umfasst Ressourcen, die mit einer der Regeln in der dynamischen Gruppe übereinstimmen. Wählen Sie diese Option aus, wenn Sie eine Gruppe definieren, die Regeln für mehrere Compartments oder mehrere Instanztypen enthält. Diese Einstellung weist die Gruppe an, Ressourcen einzuschließen, die Regel 1 ODER Regel 2 ODER Regel 3 usw. entsprechen.
  • Mit allen unten definierten Regeln abgleichen umfasst Ressourcen, die allen Regeln in der dynamischen Gruppe entsprechen. Wählen Sie diese Option aus, wenn Sie eine schmale dynamische Gruppe definieren, die nur ein Compartment enthält. Diese Einstellung weist die Gruppe an, Ressourcen einzuschließen, die Regel 1 UND Regel 2 UND Regel 3 usw. entsprechen.

Wenn Sie einzelne Regelanweisungen innerhalb der dynamischen Gruppe definieren, legen Sie die Bedingungen für jede Anweisung fest:

  • Alle der Folgenden (ALL): Enthält nur Ressourcen, die mit allen Bedingungen in der Regel übereinstimmen. Für ALL-Anweisungen muss jede Bedingung wahr sein. Andernfalls sind keine Ressourcen für die Regel enthalten.

  • Eine der Folgenden (ANY): Enthält Ressourcen, die mit einer der Bedingungen in der Regel übereinstimmen.

Beispiele für ANY und ALL für eine einzelne Regelanweisung

Betrachten Sie die Regel, die für OCI-Instanzen verwendet wird.

Correct usage:
ALL {resource.type='managementagent', resource.compartment.id='<compartment_ocid>'}

Wenn Sie ALL verwenden, enthält die Regel nur Ressourcen im angegebenen Compartment. Die Anweisung weist die dynamische Gruppe an, Ressourcen einzuschließen, die mit dem Management-Agent-Typ AND im angegebenen Compartment übereinstimmen.

Incorrect usage. Do not use:
ANY {resource.type='managementagent', resource.compartment.id='<compartment_ocid>'}

Wenn Sie ANY verwenden, enthält die Regel jede Ressource im gesamten Mandanten und jede OCI-Ressource, die im angegebenen Compartment vorhanden ist. Die Anweisung enthält zwar die für das WebLogic-Management erforderlichen Ressourcen, ist jedoch sehr umfangreich und in der Regel nicht vorzuziehen.

Berücksichtigen Sie die Regel, die für OCI-Instanzen verwendet wird, wenn Sie mehrere Compartments angeben.

Correct usage:
ANY {instance.compartment.id='<compartment_ocid>',instance.compartment.id='<subcompartment_ocid>'}

Wenn Sie ANY verwenden, enthält die Regel jede Instanz in jedem der angegebenen Compartments. Die Anweisung weist die dynamische Gruppe an, Instanzen in <compartment_ocid> ODER <subcompartment_ocid> einzuschließen.

Incorrect usage. Do not use:
ALL {instance.compartment.id='<compartment_ocid>',instance.compartment.id='<subcompartment_ocid>'}

Wenn Sie ALL verwenden, weist die Regel die dynamische Gruppe an, Instanzen in <compartment_ocid> UND <subcompartment_ocid> aufzunehmen. Diese Regel enthält keine Instanzen, weil eine Instanz nicht in mehr als einem Compartment gleichzeitig enthalten sein kann. Verwenden Sie ALL nicht mit einer Regelanweisung, die mehrere Compartments angibt.