Permisos y políticas de Fleet Application Management
Cree políticas de Identity and Access Management (IAM) para controlar quién tiene acceso a los recursos de Fleet Application Management y el tipo de acceso para cada grupo de usuarios.
Cree políticas para que los usuarios tengan los derechos necesarios para los recursos de Fleet Application Management. Por defecto, los usuarios del grupo Administrators
tienen acceso a todos los recursos de Fleet Application Management.
Si no está familiarizado con las políticas de IAM, consulte Introducción a las políticas.
Para obtener una lista completa de todas las políticas de Oracle Cloud Infrastructure, consulte Referencia de política y Políticas comunes.
Gestión de aplicaciones de conjunto requiere que un administrador de arrendamiento agregue reglas al grupo dinámico que Gestión de aplicaciones de conjunto crea durante la vinculación. Esta acción permite a Fleet Application Management realizar operaciones de gestión del ciclo de vida en OCI Compute.
En esta sección se explican los siguientes temas:
Tipos de recursos y permisos
Lista de tipos de recursos de Gestión de aplicaciones de conjunto y permisos asociados.
Para asignar permisos a todos los recursos de Gestión de aplicaciones de conjunto de OCI, utilice el tipo agregado fams-family
. Para obtener más información, consulte Permisos.
En la siguiente tabla, se muestran todos los recursos de fams-family
:
Nombre de Familia | Recursos para Miembros |
---|---|
familia-fams |
|
Una política que utiliza <verb> fams-family
es equivalente a escribir una política con una sentencia <verb> <resource-type>
independiente para cada uno de los tipos de recursos individuales.
Tipo de recurso | Permisos |
---|---|
Flotas de Fams |
|
fams-runbooks |
|
programas de cámaras |
|
fams-maintenance-windows |
|
administrador de cámaras |
|
Variables soportadas
Las variables se utilizan al agregar condiciones a una política en Gestión de aplicaciones de conjunto.
La gestión de aplicaciones de conjunto soporta las siguientes variables:
- Entidad: ID de Oracle Cloud (OCID)
Consulte Variables generales para todas las solicitudes.
Las variables se especifican en minúsculas y separadas por guiones. Por ejemplo, target.tag-namespace.name
, target.display-name
. Aquí name
debe ser un valor único y display-name
es la descripción.
Gestión de aplicaciones de conjunto proporciona las variables necesarias para cada solicitud. El motor de autorización proporciona variables automáticas (ya sea de servicio local con el SDK para un cliente grueso o en el plano de datos de identidad para un cliente fino).
Variables necesarias | Escribir | Descripción |
---|---|---|
target.compartment.id |
Entidad (OCID) | OCID del recurso primario para la solicitud. |
request.operation |
Cadena | ID de operación (por ejemplo, GetUser ) de la solicitud. |
target.resource.kind |
Cadena | Nombre de tipo de recurso del recurso primario de la solicitud. |
Variables automáticas | Escribir | Descripción |
---|---|---|
request.user.id |
Entidad (OCID) | OCID del usuario solicitante. |
request.groups.id |
Lista de entidades (OCID) | OCID de los grupos en los que está el usuario solicitante. |
target.compartment.name |
Cadena | Nombre del compartimento especificado en target.compartment.id . |
target.tenant.id |
Entidad (OCID) | OCID del ID de inquilino de destino. |
Variables dinámicas | Escribir | Descripción |
---|---|---|
request.principal.group.tag.<tagNS>.<tagKey> |
Cadena | Valor de cada etiqueta de un grupo del que el principal es miembro. |
request.principal.compartment.tag.<tagNS>.<tagKey> |
Cadena | Valor de cada etiqueta del compartimento que contiene el principal. |
target.resource.tag.<tagNS>.<tagKey> |
Cadena | Valor de cada etiqueta en el recurso de destino. (Se calcula en función del valor de tagSlug proporcionado por el servicio en cada solicitud). |
target.resource.compartment.tag.<tagNS>.<tagKey> |
Cadena | Valor de cada etiqueta del compartimento que contiene el recurso de destino. (Se calcula en función del valor de tagSlug proporcionado por el servicio en cada solicitud). |
A continuación, se muestra una lista de orígenes disponibles para las variables:
- Solicitud: procede de la entrada de la solicitud.
- Derivado: procede de la solicitud.
- Almacenado: procede del servicio y la entrada retenida.
- Calculado: se calcula a partir de los datos del servicio.
Detalles acerca de las combinaciones de verbos y tipos de recursos
Identifique los permisos y las operaciones de API cubiertas por cada verbo para los recursos de Fleet Application Management.
El nivel de acceso es acumulativo a medida que pasa de inspect
a read
a use
a manage
. Un signo más (+)
en una celda de la tabla indica un acceso incremental en comparación con la celda anterior.
Para obtener más información sobre cómo otorgar acceso, consulte Permisos.
En esta tabla, se muestran los permisos y las API cubiertas totalmente por los permisos para el recurso fams-fleets
.
Verbos | Permisos | API cubiertas | Descripción |
---|---|---|---|
inspect |
FAMS_FLEET_INSPECT |
ListFleets
|
Enumere todas las flotas, todos los recursos de Resource Quality Services (RQS) que coincidan con una condición específica, todos los recursos de una flota y todas las propiedades de una flota. |
read |
|
|
Ver los detalles de un conjunto, recurso dentro de un conjunto y propiedad dentro de un conjunto. |
use |
|
|
Actualizar un conjunto específico, un recurso dentro de un conjunto y una propiedad dentro de un conjunto. |
manage |
|
|
Cree un conjunto específico, agregue un recurso a un conjunto y agregue una propiedad a un conjunto. |
manage |
|
|
Suprimir un conjunto específico, un recurso dentro de un conjunto y una propiedad dentro de un conjunto. |
En esta tabla, se muestran los permisos y las API cubiertas totalmente por los permisos para el recurso fams-runbooks
.
Verbos | Permisos | API cubiertas | Descripción |
---|---|---|---|
inspect |
FAMS_RUNBOOK_INSPECT |
ListRunbook |
Muestre los runbooks. |
read |
|
|
Consulte los detalles de un runbook específico. |
En esta tabla, se muestran los permisos y las API cubiertas totalmente por los permisos para el recurso fams-schedules
.
Verbos | Permisos | API cubiertas | Descripción |
---|---|---|---|
inspect |
FAMS_SCHEDULE_INSPECT |
ListScheduleDefinitions
|
Mostrar todas las definiciones de programa y los trabajos programados. |
read |
|
|
Permite ver los detalles de una definición de programa específica y un trabajo programado específico. |
use |
|
|
Actualizar una Definición de Programa Específica. |
manage |
|
|
Cree un programa para corregir la conformidad con los parches y una definición de programa. |
manage |
|
|
Cree un programa para corregir la conformidad con los parches. |
manage |
|
|
Suprima una definición de programa específica y cancele un trabajo programado específico. |
En esta tabla, se muestran los permisos y las API cubiertas totalmente por los permisos para el recurso fams-maintenance-windows
.
Verbos | Permisos | API cubiertas | Descripción |
---|---|---|---|
inspect |
FAMS_MAINTENANCE_WINDOW_INSPECT |
ListMaintenanceWindows |
Muestre todas las ventanas de mantenimiento. |
read |
|
|
Ver todos los detalles de una ventana de mantenimiento. |
use |
|
|
Actualizar una ventana de mantenimiento. |
manage |
|
|
Cree una ventana de mantenimiento. |
manage |
|
|
Suprimir una ventana de mantenimiento específica. |
En esta tabla, se muestran los permisos y las API cubiertas totalmente por los permisos para el recurso fams-admin
.
Verbos | Permisos | API cubiertas | Descripción |
---|---|---|---|
inspect |
FAMS_ADMIN_INSPECT |
|
Muestre todas las propiedades en Gestión de aplicaciones de conjunto. |
read |
|
|
Vea todos los detalles de una propiedad específica en Gestión de aplicaciones de conjunto. |
use |
|
|
Actualice una propiedad específica en Fleet Application Management. |
manage |
|
|
Cree una propiedad específica en Fleet Application Management. |
manage |
|
|
Suprima una propiedad específica en Fleet Application Management. |
Políticas de Usuario
Las políticas de usuario de Fleet Application Management son necesarias para que los usuarios accedan a los recursos de Fleet Application Management.
Una sintaxis de política es la siguiente:
allow <subject> to <verb> <resource-type> in <location> where <conditions>
Para obtener más información, consulte Sintaxis de políticas.
Cree políticas para usuarios o grupos específicos para obtener acceso a los recursos relacionados con Fleet Application Management. Consulte Creación de una política.
Para aplicar los permisos en un nivel de arrendamiento, sustituya compartment <compartment name>
por tenancy
.
Creación de una Política
El grupo y el compartimento para el que está escribiendo la política ya deben existir. El compartimento debe ser el propietario de los recursos relacionados con API Gateway, a los que se puede acceder mediante la creación de la política.
Para obtener instrucciones sobre cómo crear y gestionar políticas mediante la consola o la API, consulte Gestión de políticas.
Para obtener una lista completa de las políticas de Oracle Cloud Infrastructure, consulte la referencia de políticas.
Ejemplos de políticas
Las políticas de Fleet Application Management son necesarias para utilizar varios recursos de Fleet Application Management.
Consulte las instrucciones de Creación de una política para crear políticas mediante la consola.
Para obtener más información sobre la sintaxis, consulte Sección de políticas.
Se proporcionan los siguientes ejemplos de políticas:
Allow group acme-fams-developers to manage fams-family in tenancy
Adición de reglas a un grupo dinámico
fams-customer-dg
. Fleet Application Management realiza operaciones de ciclo de vida en estas instancias.Políticas de IAM
Un administrador de arrendamiento de su organización activa Fleet Application Management para su arrendamiento. Esta acción crea una "política de funciones" con las siguientes políticas de IAM para utilizar Fleet Application Management.
Las políticas de IAM en "fams-service-dg" son:
define tenancy fams-tenancy as <fams-tenancy-ocid>
allow dynamic-group fams-service-dg to use instances in tenancy
allow dynamic-group fams-service-dg to inspect limits in tenancy
allow dynamic-group fams-service-dg to use tag-namespaces in tenancy where target.tag-namespace.name='Oracle$FAMS-Tags'
allow dynamic-group fams-service-dg to read instance-agent-plugins in tenancy
allow dynamic-group fams-service-dg to read instance-agent-command-family in tenancy
allow dynamic-group fams-service-dg to use ons-family in tenancy
allow dynamic-group fams-service-dg to manage database-family in tenancy
allow dynamic-group fams-service-dg to manage osms-family in tenancy
allow dynamic-group fams-service-dg to manage osmh-family in tenancy
allow dynamic-group fams-service-dg to { INSTANCE_AGENT_COMMAND_CREATE } in tenancy
allow dynamic-group fams-service-dg to { OBJECTSTORAGE_NAMESPACE_READ } in tenancy
Las políticas de IAM en "fams-customer-dg" son:
allow dynamic-group fams-customer-dg to { KEY_READ, KEY_DECRYPT,SECRET_READ } in tenancy
allow dynamic-group fams-customer-dg to use instance-agent-command-execution-family in tenancy where request.instance.id=target.instance.id
allow dynamic-group fams-customer-dg to read instance-family in tenancy
allow dynamic-group fams-customer-dg to use osms-managed-instances in tenancy
allow dynamic-group fams-customer-dg to {OSMH_MANAGED_INSTANCE_ACCESS} in tenancy
allow dynamic-group fams-customer-dg to {VAULT_READ} in tenancy
allow dynamic-group fams-customer-dg to {SECRET_BUNDLE_READ} in tenancy
allow dynamic-group fams-customer-dg to { OBJECT_INSPECT, OBJECT_READ } in tenancy
endorse dynamic-group fams-customer-dg to { OBJECT_CREATE, OBJECT_OVERWRITE, OBJECT_READ } in tenancy fams-tenancy where all { target.bucket.name = '<CUSTOMER_TENANCY_OCID>' }
endorse dynamic-group fams-customer-dg to { OBJECT_INSPECT, OBJECT_READ } in tenancy fams-tenancy where any { target.bucket.name = 'automations', target.bucket.name = 'patches'}
Para evitar la interrupción del servicio, un administrador de arrendamiento debe asegurarse de que no se supriman las políticas de IAM "fams-service-dg", "fams-customer-dg" y "fams-policy".