Policy-Beispiele
Beim Schreiben von Policys können Sie die Administratorengruppe für das Mandantenmanagement verwenden. Beispiel:
allow group Administrators to manage wlms-managed-instances in tenancy
allow group Administrators to manage wlms-wlsdomains in tenancy
allow group Administrators to manage wlms-family in tenancySie können Berechtigungen auch vereinfachen, indem Sie Policy-Anweisungen kombinieren, bei denen mehrere Gruppen dieselben Berechtigungen benötigen. Beispiel: Mit diesen Policy-Anweisungen:
allow group <user-grp-01> to inspect wlms-wlsdomains in tenancy
allow group <user-grp-01> to inspect wlms-work-requests in tenancy
allow group <user-grp-02> to inspect wlms-wlsdomains in tenancy
allow group <user-grp-02> to inspect wlms-work-requests in tenancywird zu:
allow group <user-grp-01>,<user-grp-01> { WLMS_WLSDOMAIN_INSPECT, WLMS_WORK_REQUEST_INSPECT } in tenancyBeispiel-Policys zur Einschränkung der Benutzergruppe
Die angegebenen Beispiele sind Beispiel-Policys, mit denen der Zugriff auf Ressourcen oder Compartments für eine bestimmte Benutzergruppe eingeschränkt wird. Der Mandant in diesen Beispielen hat die folgende Compartment-Struktur:
- root Compartment (Mandant)
- Compartment <dev>
- Sub-Compartment <test> von <dev>
- Compartment <prod>
- Compartment <dev>
In diesem Beispiel gilt:
- Die dynamische Gruppe ist <wlms-dyn-grp>. Die Regelanweisungen umfassen OCI-Instanzen im Root Compartment (Mandant), im Compartment <dev>, im Sub-Compartment <test> und im Compartment <prod>.
- Der Benutzer gehört zur Benutzergruppe <wlms-admin-grp>, die alle Ressourcen im Mandanten verwalten kann.
Policy-Anweisungen
- Ermöglicht der dynamischen Gruppe das Anzeigen und Scannen verwalteter Instanzen in einem bestimmten Compartment.
allow dynamic-group <wlms-dyn-grp> to {WLMS_MANAGED_INSTANCE_USE} in tenancy where target.compartment.id='<dev_compartment_ocid>' - Ermöglicht der Benutzergruppe das Anzeigen, Scannen und Aktualisieren aller verwalteten Instanzen im Mandanten.
allow group <wlms-admin-grp> to use wlms-managed-instances in tenancy - Ermöglicht der Benutzergruppe, alle Domains im Mandanten zu verwenden, zu aktualisieren, neu zu starten, zu patchen und zu verschieben.
allow group <wlms-admin-grp> to use wlms-wlsdomains in tenancy - Ermöglicht der Benutzergruppe die Verwaltung aller Ressourcen im Mandanten.
allow group <wlms-admin-grp> to manage wlms-family in tenancy
In diesem Beispiel gilt:
- Der Benutzer gehört zur Benutzergruppe wlms-admin-grp-dev, die alle Ressourcen im Compartment <dev> und im Sub-Compartment <test> verwalten kann.
Policy-Anweisungen
- Ermöglicht der Benutzergruppe die Verwaltung aller WebLogic Management Service-Ressourcen im Compartment <dev>. Policys verwenden die Compartment-Vererbung, sodass der Benutzer auch Ressourcen in allen Sub-Compartments von <dev> (in diesem Beispiel <test>) verwalten kann.
allow group <wlms-admin-grp-dev> to manage wlms-family in compartment <dev> - Ermöglicht der Benutzergruppe das Lesen verwalteter Instanzen im Root Compartment.
allow group <wlms-admin-grp-dev> to read wlms-managed-instances in tenancy where target.compartment.id = '<tenancy_ocid>' - Ermöglicht dem Benutzer die Verwendung verwalteter Instanzen im Compartment dev.
allow group <wlms-admin-grp-dev> to use wlms-managed-instances in compartment <dev> - Ermöglicht dem Benutzer, Domains im Compartment dev zu verwenden, zu aktualisieren, neu zu starten, zu patchen, zu verschieben und zu löschen.
allow group <wlms-admin-grp-dev> to manage wlms-wlsdomains in compartment <dev>
In diesem Beispiel gilt:
- Die dynamische Gruppe ist <wlms-instances>. Die Regelanweisung enthält die Plug-in-Agent-Ressource im Compartment <prod>.
- Der Benutzer gehört zur Benutzergruppe <wlms-users>, die alle WebLogic Managementressourcen im Compartment <prod> lesen kann.
Policy-Anweisungen
- Ermöglicht dem Agent auf den verwalteten Instanzen die Interaktion mit WebLogic Management.
allow dynamic-group <wlms-instances> to {WLMS_MANAGED_INSTANCE_PLUGIN_ACCESS} in compartment prod where request.principal.id = target.managed-instance.i - Ermöglicht der Benutzergruppe die Anzeige aller WebLogic-Verwaltungsressourcen im Compartment <prod>.
allow group <wlms-users> to read wlms-family in compartment <prod>
Erweiterte Beispiel-Policys
Die erweiterten WebLogic-Managementbeispiele sind Beispiel-Policys, mit denen der Ressourcen- oder Compartment-Zugriff für eine bestimmte Benutzergruppe eingeschränkt wird.
Zugriffstyp: Bietet die Möglichkeit, alle verwalteten Instanzen in einem Compartment anzuzeigen, in dem das Management-Plug-in WebLogic aktiviert ist, die vom Management-Plug-in WebLogic erkannten WebLogic Server-Domains und -Server sowie alle Konfigurationseinstellungen. Mit dieser Policy kann ein Benutzer in der Gruppe keine Serviceaktionen ausführen, die den Status der WebLogic Server-Domains ändern könnten.
Verwendung: Diese Policy ist nützlich, wenn Sie den Zugriff auf ein Compartment kontrollieren möchten, in dem Sie die WebLogic Server-Produktionsdomains haben.
Wo wird die Policy erstellt: Legen Sie diese Policy in das Compartment ab, für das Sie Zugriff auf die Benutzergruppe erteilen.
Allow group Default/<WlmsDevUsers> to read wlms-family in compartment <WlmsProduction>Zugriffstyp: Bietet die Möglichkeit, alle Serviceaktionen mit Ausnahme der Aktion "Domain löschen" auszuführen.
Verwendung: Diese Policy ist nützlich, wenn Sie das versehentliche Löschen der Domain verhindern möchten.
Wo wird die Policy erstellt: Legen Sie diese Policy in das Compartment ab, für das Sie Zugriff auf die Benutzergruppe erteilen.
Allow group Default/<WlmsUsers> to use wlms-family in compartment <WlmsTest>Zugriffstyp: Bietet die Möglichkeit, alle verwalteten Instanzen in einem Compartment anzuzeigen, in dem das Management-Plug-in WebLogic aktiviert ist, die vom Management-Plug-in WebLogic erkannten WebLogic Server-Domains und -Server sowie alle Konfigurationseinstellungen. Mit dieser Policy kann ein Benutzer in der Gruppe auch die neuesten Informationen zur WebLogic-Domain bei Bedarf abrufen, indem er die Scanaktion ausführt.
Verwendung: Diese Policy ist nützlich, wenn Sie den Zugriff auf ein Compartment kontrollieren möchten, in dem Sie die WebLogic Server-Produktionsdomains haben.
Wo wird die Policy erstellt: Legen Sie diese Policy in das Compartment ab, für das Sie Zugriff auf die Benutzergruppe erteilen.
Allow group Default/<WlmsDevUsers> to read wlms-family in compartment <WlmsProduction>
Allow group Default/<WlmsDevUsers> to use wlms-wlsdomains in compartment <WlmsProduction> where all {request.permission='WLMS_WLSDOMAIN_USE',request.operation='ScanWlsDomain'}
Allow group Default/<WlmsDevUsers> to {WLMS_MANAGED_INSTANCE_USE} in compartment <WlmsProduction>Zugriffstyp: Bietet die Möglichkeit, alle verwalteten Instanzen in einem Compartment anzuzeigen, in dem das Management-Plug-in WebLogic aktiviert ist, die vom Management-Plug-in WebLogic erkannten WebLogic Server-Domains und -Server sowie alle Konfigurationseinstellungen. Mit dieser Policy kann ein Benutzer in der Gruppe auch die neuesten Informationen zur WebLogic-Domain bei Bedarf abrufen, indem er die Scanaktion und die Patchdomains ausführt.
Verwendung: Diese Policy ist nützlich, wenn Sie eine bestimmte Gruppe von Benutzern angeben möchten, wie z.B. Operationsbenutzer, um bestimmte Vorgänge nur während eines Patching-Fensters in einem Compartment auszuführen, in dem Ihre WebLogic Server-Produktionsdomains vorhanden sind.
Wo wird die Policy erstellt: Legen Sie diese Policy in das Compartment ab, für das Sie Zugriff auf die Benutzergruppe erteilen.
Allow group Default/<WlmsOperationsUsers> to read wlms-family in compartment <WlmsProduction>
Allow group Default/<WlmsOperationsUsers> to {WLMS_WLSDOMAIN_USE} in compartment <WlmsProduction>
Allow group Default/<WlmsOperationsUsers> to {WLMS_MANAGED_INSTANCE_USE} in compartment <WlmsProduction>
Allow group Default/<WlmsOperationsUsers> to {WLMS_WLSDOMAIN_PATCH} in compartment <WlmsProduction>Zugriffstyp: Bietet die Möglichkeit, alle verwalteten Instanzen in einem Compartment anzuzeigen, in dem das Management-Plug-in WebLogic aktiviert ist, die vom Management-Plug-in WebLogic erkannten WebLogic Server-Domains und -Server sowie alle Konfigurationseinstellungen. Mit dieser Policy kann ein Benutzer in der Gruppe auch die neuesten Informationen zur WebLogic-Domain bei Bedarf abrufen, indem er die Scanaktion ausführt, Konfigurationseinstellungen ändert und Domains neu startet.
Verwendung: Diese Policy ist nützlich, wenn Sie eine bestimmte Gruppe von Benutzern angeben möchten, wie z.B. Operationsbenutzer, um bestimmte Vorgänge nur während eines Patching-Fensters in einem Compartment auszuführen, in dem Ihre WebLogic Server-Produktionsdomains vorhanden sind. Mit diesen Einstellungen haben Sie es so gemacht, dass das Patching nicht zulässig ist. Die WLMS_WLSDOMAIN_RESTART kann später durch die Berechtigung WLMS_WLSDOMAIN_PATCH ersetzt werden, wenn das Patching-Fenster geöffnet ist.
Wo wird die Policy erstellt: Legen Sie diese Policy in das Compartment ab, für das Sie Zugriff auf die Benutzergruppe erteilen.
Allow group Default/<WlmsOperationsUsers> to read wlms-family in compartment <WlmsProduction>
Allow group Default/<WlmsOperationsUsers> to {WLMS_WLSDOMAIN_USE} in compartment <WlmsProduction>
Allow group Default/<WlmsOperationsUsers> to {WLMS_MANAGED_INSTANCE_USE} in compartment <WlmsProduction>
Allow group Default/<WlmsOperationsUsers> to {WLMS_WLSDOMAIN_RESTART} in compartment <WlmsProduction>
Allow group Default/<WlmsOperationsUsers> to {WLMS_WLSDOMAIN_UPDATE} in compartment <WlmsProduction>Zugriffstyp: Bietet die Möglichkeit, alle verwalteten Instanzen in einem Compartment anzuzeigen, in dem das Management-Plug-in WebLogic aktiviert ist, die vom Management-Plug-in WebLogic erkannten WebLogic Server-Domains und -Server sowie alle Konfigurationseinstellungen. Mit dieser Policy kann ein Benutzer in der Gruppe auch die neuesten Informationen zur WebLogic-Domain bei Bedarf abrufen, indem er die Scanaktion ausführt, Konfigurationseinstellungen ändert, Domains neu startet und Domains patcht. Die Möglichkeit, das Compartment zu verschieben, wird nicht hinzugefügt.
Verwendung: Diese Policy ist nützlich, wenn Sie über eine Organisationsstruktur für Compartments verfügen, die Sie verwalten möchten, und Sie nicht möchten, dass andere Benutzer diese Organisation möglicherweise durch Verschieben einer Domain unterbrechen.
Wo wird die Policy erstellt: Legen Sie diese Policy in das Compartment ab, für das Sie Zugriff auf die Benutzergruppe erteilen.
Allow group Default/<WlmsDevUsers> to read wlms-family in compartment <WlmsDev>
Allow group Default/<WlmsDevUsers> to {WLMS_WLSDOMAIN_USE} in compartment <WlmsDev>
Allow group Default/<WlmsDevUsers> to {WLMS_MANAGED_INSTANCE_USE} in compartment <WlmsDev>
Allow group Default/<WlmsDevUsers> to {WLMS_WLSDOMAIN_PATCH} in compartment <WlmsDev>
Allow group Default/<WlmsDevUsers> to {WLMS_WLSDOMAIN_UPDATE} in compartment <WlmsDev>Zugriffstyp: Bietet die Möglichkeit, alle verwalteten Instanzen in einem Compartment anzuzeigen, in dem das Management-Plug-in WebLogic aktiviert ist, die vom Management-Plug-in WebLogic erkannten WebLogic Server-Domains und -Server sowie alle Konfigurationseinstellungen. Mit dieser Policy kann ein Benutzer in der Gruppe auch die neuesten Informationen zur WebLogic-Domain bei Bedarf abrufen, indem er die Scanaktion ausführt. Die Möglichkeit, die Konfigurationseinstellungen der verwalteten Instanz im Compartment zu aktualisieren, wird nicht hinzugefügt.
Verwendung: Diese Policy ist nützlich, wenn Sie verhindern möchten, dass ein Benutzer die gescannten Pfade unterbricht, der Benutzer jedoch die neuesten WebLogic-Domaininformationen aus einer verwalteten Instanz abrufen kann.
Wo wird die Policy erstellt: Legen Sie diese Policy in das Compartment ab, für das Sie Zugriff auf die Benutzergruppe erteilen.
Allow group Default/<WlmsDevUsers> to read wlms-family in compartment <WlmsTest>
Allow group Default/<WlmsDevUsers> to {WLMS_MANAGED_INSTANCE_USE} in compartment <WlmsTest>