Documentación de Oracle Cloud Infrastructure

Permisos y políticas de Fleet Application Management

Cree políticas de Identity and Access Management (IAM) para controlar quién tiene acceso a los recursos de Fleet Application Management y el tipo de acceso para cada grupo de usuarios.

Cree políticas para que los usuarios tengan los derechos necesarios para los recursos de Fleet Application Management. Por defecto, los usuarios del grupo Administrators tienen acceso a todos los recursos de Fleet Application Management.

Si no está familiarizado con las políticas de IAM, consulte Introducción a las políticas.

Para obtener una lista completa de todas las políticas de Oracle Cloud Infrastructure, consulte Referencia de política y Políticas comunes.

Gestión de aplicaciones de conjunto requiere que un administrador de arrendamiento agregue reglas al grupo dinámico que Gestión de aplicaciones de conjunto crea durante la vinculación. Esta acción permite a Fleet Application Management realizar operaciones de gestión del ciclo de vida en OCI Compute.

En esta sección se explican los siguientes temas:

Tipos de recursos y permisos

Lista de tipos de recursos de Gestión de aplicaciones de conjunto y permisos asociados.

Para asignar permisos a todos los recursos de Gestión de aplicaciones de conjunto de OCI, utilice el tipo agregado fams-family. Para obtener más información, consulte Permisos.

En la siguiente tabla, se muestran todos los recursos de fams-family:

Nombre de Familia Recursos para Miembros
familia-fams
  • Flotas de Fams
  • fams-runbooks
  • programas de cámaras
  • fams-maintenance-windows
  • administrador de cámaras

Una política que utiliza <verb> fams-family es equivalente a escribir una política con una sentencia <verb> <resource-type> independiente para cada uno de los tipos de recursos individuales.

Tipo de recurso Permisos
Flotas de Fams
  • FAMS_FLEET_INSPECT
  • FAMS_FLEET_READ
  • FAMS_FLEET_CREATE
  • FAMS_FLEET_UPDATE
  • FAMS_FLEET_DELETE
fams-runbooks
  • FAMS_RUNBOOK_INSPECT
  • FAMS_RUNBOOK_READ
  • FAMS_RUNBOOK_UPDATE
  • FAMS_RUNBOOK_CREATE
  • FAMS_RUNBOOK_DELETE
programas de cámaras
  • FAMS_SCHEDULE_INSPECT
  • FAMS_SCHEDULE_READ
  • FAMS_SCHEDULE_CREATE
  • FAMS_SCHEDULE_UPDATE
  • FAMS_SCHEDULE_DELETE
  • FAMS_SCHEDULE_PATCHING
fams-maintenance-windows
  • FAMS_MAINTENANCE_WINDOW_INSPECT
  • FAMS_MAINTENANCE_WINDOW_CREATE
  • FAMS_MAINTENANCE_WINDOW_READ
  • FAMS_MAINTENANCE_WINDOW_UPDATE
  • FAMS_MAINTENANCE_WINDOW_DELETE
administrador de cámaras
  • FAMS_ADMIN_INSPECT
  • FAMS_ADMIN_READ
  • FAMS_ADMIN_UPDATE
  • FAMS_ADMIN_CREATE
  • FAMS_ADMIN_DELETE

Variables soportadas

Las variables se utilizan al agregar condiciones a una política en Gestión de aplicaciones de conjunto.

La gestión de aplicaciones de conjunto soporta las siguientes variables:

  • Entidad: ID de Oracle Cloud (OCID)

Consulte Variables generales para todas las solicitudes.

Las variables se especifican en minúsculas y separadas por guiones. Por ejemplo, target.tag-namespace.name, target.display-name. Aquí name debe ser un valor único y display-name es la descripción.

Gestión de aplicaciones de conjunto proporciona las variables necesarias para cada solicitud. El motor de autorización proporciona variables automáticas (ya sea de servicio local con el SDK para un cliente grueso o en el plano de datos de identidad para un cliente fino).

Variables necesarias Escribir Descripción
target.compartment.id Entidad (OCID) OCID del recurso primario para la solicitud.
request.operation Cadena ID de operación (por ejemplo, GetUser) de la solicitud.
target.resource.kind Cadena Nombre de tipo de recurso del recurso primario de la solicitud.
Variables automáticas Escribir Descripción
request.user.id Entidad (OCID) OCID del usuario solicitante.
request.groups.id Lista de entidades (OCID) OCID de los grupos en los que está el usuario solicitante.
target.compartment.name Cadena Nombre del compartimento especificado en target.compartment.id.
target.tenant.id Entidad (OCID) OCID del ID de inquilino de destino.
Variables dinámicas Escribir Descripción
request.principal.group.tag.<tagNS>.<tagKey> Cadena Valor de cada etiqueta de un grupo del que el principal es miembro.
request.principal.compartment.tag.<tagNS>.<tagKey> Cadena Valor de cada etiqueta del compartimento que contiene el principal.
target.resource.tag.<tagNS>.<tagKey> Cadena Valor de cada etiqueta en el recurso de destino. (Se calcula en función del valor de tagSlug proporcionado por el servicio en cada solicitud).
target.resource.compartment.tag.<tagNS>.<tagKey> Cadena Valor de cada etiqueta del compartimento que contiene el recurso de destino. (Se calcula en función del valor de tagSlug proporcionado por el servicio en cada solicitud).

A continuación, se muestra una lista de orígenes disponibles para las variables:

  • Solicitud: procede de la entrada de la solicitud.
  • Derivado: procede de la solicitud.
  • Almacenado: procede del servicio y la entrada retenida.
  • Calculado: se calcula a partir de los datos del servicio.

Detalles acerca de las combinaciones de verbos y tipos de recursos

Identifique los permisos y las operaciones de API cubiertas por cada verbo para los recursos de Fleet Application Management.

El nivel de acceso es acumulativo a medida que pasa de inspect a read a use a manage. Un signo más (+) en una celda de la tabla indica un acceso incremental en comparación con la celda anterior.

Para obtener más información sobre cómo otorgar acceso, consulte Permisos.

Flotas de Fams

En esta tabla, se muestran los permisos y las API cubiertas totalmente por los permisos para el recurso fams-fleets.

Verbos Permisos API cubiertas Descripción
inspect FAMS_FLEET_INSPECT ListFleets

ListInventoryResources

ListFleetResources

ListFleetProperties

 Enumere todas las flotas, todos los recursos de Resource Quality Services (RQS) que coincidan con una condición específica, todos los recursos de una flota y todas las propiedades de una flota.
read

inspect+

FAMS_FLEET_READ

inspect+

GetFleet

GetFleetResource

GetFleetProperty

Ver los detalles de un conjunto, recurso dentro de un conjunto y propiedad dentro de un conjunto.
use

read+

FAMS_FLEET_UPDATE

read+

UpdateFleet

UpdateFleetResource

UpdateFleetProperty

Actualizar un conjunto específico, un recurso dentro de un conjunto y una propiedad dentro de un conjunto.
manage

use+

FAMS_FLEET_CREATE

use+

CreateFleet

CreateFleetResource

CreateFleetProperty

Cree un conjunto específico, agregue un recurso a un conjunto y agregue una propiedad a un conjunto.
manage

use+

FAMS_FLEET_DELETE

use+

DeleteFleet

DeleteFleetResource

DeleteFleetProperty

Suprimir un conjunto específico, un recurso dentro de un conjunto y una propiedad dentro de un conjunto.
fams-runbooks

En esta tabla, se muestran los permisos y las API cubiertas totalmente por los permisos para el recurso fams-runbooks.

Verbos Permisos API cubiertas Descripción
inspect FAMS_RUNBOOK_INSPECT ListRunbook Muestre los runbooks.
read

inspect+

FAMS_RUNBOOK_READ

inspect+

GetRunbook

Consulte los detalles de un runbook específico.
programas de cámaras

En esta tabla, se muestran los permisos y las API cubiertas totalmente por los permisos para el recurso fams-schedules.

Verbos Permisos API cubiertas Descripción
inspect FAMS_SCHEDULE_INSPECT ListScheduleDefinitions

ListScheduleJobs

 Mostrar todas las definiciones de programa y los trabajos programados.
read

inspect+

FAMS_SCHEDULE_READ

inspect+

GetScheduleDefinition

GetScheduleJob

Permite ver los detalles de una definición de programa específica y un trabajo programado específico.
use

read+

FAMS_SCHEDULE_UPDATE

read+

UpdateScheduleDefinition

Actualizar una Definición de Programa Específica.
manage

use+

FAMS_SCHEDULE_CREATE

use+

FixCompliance

CreateScheduleDefinition

Cree un programa para corregir la conformidad con los parches y una definición de programa.
manage

use+

FAMS_SCHEDULE_PATCHING

use+

FixCompliance

Cree un programa para corregir la conformidad con los parches.
manage

use+

FAMS_SCHEDULE_DELETE

use+

DeleteScheduleDefinition

CancelScheduleJob

Suprima una definición de programa específica y cancele un trabajo programado específico.
fams-maintenance-windows

En esta tabla, se muestran los permisos y las API cubiertas totalmente por los permisos para el recurso fams-maintenance-windows.

Verbos Permisos API cubiertas Descripción
inspect FAMS_MAINTENANCE_WINDOW_INSPECT ListMaintenanceWindows Muestre todas las ventanas de mantenimiento.
read

inspect+

FAMS_MAINTENANCE_WINDOW_READ

inspect+

GetMaintenanceWindow

Ver todos los detalles de una ventana de mantenimiento.
use

read+

FAMS_MAINTENANCE_WINDOW_UPDATE

read+

UpdateMaintenanceWindow

Actualizar una ventana de mantenimiento.
manage

use+

FAMS_MAINTENANCE_WINDOW_CREATE

use+

CreateMaintenanceWindow

Cree una ventana de mantenimiento.
manage

use+

FAMS_MAINTENANCE_WINDOW_DELETE

use+

DeleteMaintenanceWindow

Suprimir una ventana de mantenimiento específica.
administrador de cámaras

En esta tabla, se muestran los permisos y las API cubiertas totalmente por los permisos para el recurso fams-admin.

Verbos Permisos API cubiertas Descripción
inspect FAMS_ADMIN_INSPECT

ListProperties

 Muestre todas las propiedades en Gestión de aplicaciones de conjunto.
read

inspect+

FAMS_ADMIN_READ

inspect+

GetProperty

Vea todos los detalles de una propiedad específica en Gestión de aplicaciones de conjunto.
use

read+

FAMS_ADMIN_UPDATE

read+

UpdateProperty

Actualice una propiedad específica en Fleet Application Management.
manage

use+

FAMS_ADMIN_CREATE

use+

CreateProperty

Cree una propiedad específica en Fleet Application Management.
manage

use+

FAMS_ADMIN_DELETE

use+

DeleteProperty

Suprima una propiedad específica en Fleet Application Management.

Políticas de Usuario

Las políticas de usuario de Fleet Application Management son necesarias para que los usuarios accedan a los recursos de Fleet Application Management.

Una sintaxis de política es la siguiente: 

allow <subject> to <verb> <resource-type> in <location> where <conditions>

Para obtener más información, consulte Sintaxis de políticas.

Cree políticas para usuarios o grupos específicos para obtener acceso a los recursos relacionados con Fleet Application Management. Consulte Creación de una política.

Para aplicar los permisos en un nivel de arrendamiento, sustituya compartment <compartment name> por tenancy.

Creación de una Política

El grupo y el compartimento para el que está escribiendo la política ya deben existir. El compartimento debe ser el propietario de los recursos relacionados con API Gateway, a los que se puede acceder mediante la creación de la política.

Cree una política en la consola.
  1. Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Políticas.
  2. En la página Políticas, haga clic en Crear política.
  3. En la ventana de flujo de trabajo Crear política, introduzca un nombre, una descripción para la política y especifique el compartimento en el que desea crear la política.
  4. En Creador de política, haga clic en el conmutador Mostrar editor manual para activar el editor.

    Introduzca una regla de política con el siguiente formato para permitir a un usuario o grupo dinámico gestionar todos los recursos en Gestión de aplicaciones de conjunto: 

    Allow group <group-name> to manage fams-family in tenancy
  5. Para agregar etiquetas a esta política, haga clic en Mostrar opciones avanzadas. Si tiene permisos para crear un recurso, también tiene permisos para aplicar etiquetas de formato libre al recurso. Para aplicar una etiqueta definida, debe tener permisos para utilizar el espacio de nombres de la etiqueta. Para obtener más información sobre el etiquetado, consulte Etiquetas de recursos. Si no está seguro de si debe aplicar etiquetas, omita esta opción ( puede aplicar etiquetas posteriormente) o consulte con el administrador del arrendamiento.
  6. Haga clic en Crear.

Para obtener instrucciones sobre cómo crear y gestionar políticas mediante la consola o la API, consulte Gestión de políticas.

Para obtener una lista completa de las políticas de Oracle Cloud Infrastructure, consulte la referencia de políticas.

Ejemplos de políticas

Las políticas de Fleet Application Management son necesarias para utilizar varios recursos de Fleet Application Management.

Consulte las instrucciones de Creación de una política para crear políticas mediante la consola.

Para obtener más información sobre la sintaxis, consulte Sección de políticas.

Se proporcionan los siguientes ejemplos de políticas:

Políticas de familia de Fleet Application Management
Para permitir que un grupo gestione todos los recursos de Fleet Application Management, cree esta política en su arrendamiento:
Allow group acme-fams-developers to manage fams-family in tenancy

Adición de reglas a un grupo dinámico

Un administrador de arrendamiento de una organización activa Fleet Application Management para un arrendamiento. Esta acción permite crear dos grupos dinámicos, "fams-customer-dg" y "fams-service-dg". El administrador define reglas de coincidencia para crear instancias y miembros del grupo fams-customer-dg. Fleet Application Management realiza operaciones de ciclo de vida en estas instancias.
  1. Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Dominios.
  2. Haga clic en el dominio de identidad en el que desea trabajar.
  3. En Dominio de identidad (en la parte izquierda de la página), haga clic en Grupos dinámicos.
  4. Haga clic en el grupo dinámico fams-customer-dg. Se abre la página de detalles del grupo dinámico.
  5. Haga clic en Editar todas las reglas de coincidencia.
  6. Edite la regla de coincidencia en el cuadro de texto o puede utilizar el creador de reglas si el cambio está soportado por el creador de reglas.
    Por ejemplo, escriba la regla directamente en el cuadro de texto o utilice el generador de reglas.

    Entrada de ejemplo en un cuadro de texto:

    All {instance.compartement.id = 'ocid1.instance1.oc1.iad:sampleuniqueid1', instance.compartment.id ='ocid1.compartmentA.oc1:sampleuniqueid2'}

    Todas las instancias que existen o que se crean en los compartimentos (identificado por el OCID) son miembros de este grupo dinámico.

Políticas de IAM

Un administrador de arrendamiento de su organización activa Fleet Application Management para su arrendamiento. Esta acción crea una "política de funciones" con las siguientes políticas de IAM para utilizar Fleet Application Management.

Las políticas de IAM en "fams-service-dg" son:

define tenancy fams-tenancy as <fams-tenancy-ocid>
allow dynamic-group fams-service-dg to use instances in tenancy
allow dynamic-group fams-service-dg to inspect limits in tenancy
allow dynamic-group fams-service-dg to use tag-namespaces in tenancy where target.tag-namespace.name='Oracle$FAMS-Tags'
allow dynamic-group fams-service-dg to read instance-agent-plugins in tenancy
allow dynamic-group fams-service-dg to read instance-agent-command-family in tenancy
allow dynamic-group fams-service-dg to use ons-family in tenancy
allow dynamic-group fams-service-dg to manage database-family in tenancy
allow dynamic-group fams-service-dg to manage osms-family in tenancy
allow dynamic-group fams-service-dg to manage osmh-family in tenancy
allow dynamic-group fams-service-dg to { INSTANCE_AGENT_COMMAND_CREATE } in tenancy
allow dynamic-group fams-service-dg to { OBJECTSTORAGE_NAMESPACE_READ } in tenancy

Las políticas de IAM en "fams-customer-dg" son:

allow dynamic-group fams-customer-dg to { KEY_READ, KEY_DECRYPT,SECRET_READ } in tenancy
allow dynamic-group fams-customer-dg to use instance-agent-command-execution-family in tenancy where request.instance.id=target.instance.id
allow dynamic-group fams-customer-dg to read instance-family in tenancy
allow dynamic-group fams-customer-dg to use osms-managed-instances in tenancy
allow dynamic-group fams-customer-dg to {OSMH_MANAGED_INSTANCE_ACCESS} in tenancy
allow dynamic-group fams-customer-dg to {VAULT_READ} in tenancy
allow dynamic-group fams-customer-dg to {SECRET_BUNDLE_READ} in tenancy
allow dynamic-group fams-customer-dg to { OBJECT_INSPECT, OBJECT_READ } in tenancy
endorse dynamic-group fams-customer-dg to { OBJECT_CREATE, OBJECT_OVERWRITE, OBJECT_READ } in tenancy fams-tenancy where all { target.bucket.name = '<CUSTOMER_TENANCY_OCID>' }
endorse dynamic-group fams-customer-dg to { OBJECT_INSPECT, OBJECT_READ } in tenancy fams-tenancy where any { target.bucket.name = 'automations', target.bucket.name = 'patches'}
Importante

Para evitar la interrupción del servicio, un administrador de arrendamiento debe asegurarse de que no se supriman las políticas de IAM "fams-service-dg", "fams-customer-dg" y "fams-policy".