Sentencias de Política de Flotas de JMS
Una política especifica quién puede acceder a los recursos de Oracle Cloud Infrastructure que tiene la compañía y cómo. Una política permite a un grupo trabajar de determinadas formas con tipos de recursos específicos de un compartimento concreto.
En esta sección se describen las distintas sentencias de política que se crean como parte de Configuración de Oracle Cloud Infrastructure para flotas y Activación de funciones avanzadas.
Gestionar los recursos de OCI necesarios para los conjuntos de JMS
Las siguientes sentencias de política permiten a los usuarios del grupo de usuarios acceder y gestionar JMS Fleets, agentes de gestión, plugins de JMS y métricas:
ALLOW GROUP FLEET_MANAGERS TO MANAGE fleet IN COMPARTMENT Fleet_Compartment
ALLOW GROUP FLEET_MANAGERS TO MANAGE management-agents IN COMPARTMENT Fleet_Compartment
ALLOW GROUP FLEET_MANAGERS TO MANAGE jms-plugins IN COMPARTMENT Fleet_Compartment
ALLOW GROUP FLEET_MANAGERS TO READ METRICS IN COMPARTMENT Fleet_Compartment WHERE target.metrics.namespace='java_management_service'Supervisar cargas de trabajo en OCI
Las siguientes sentencias de política se utilizan para supervisar cargas de trabajo en OCI:
ALLOW GROUP FLEET_MANAGERS TO MANAGE instance-family IN COMPARTMENT <instance_compartment>
ALLOW GROUP FLEET_MANAGERS TO READ instance-agent-plugins IN COMPARTMENT <instance_compartment> - Sustituya
<instance_compartment>por el nombre del compartimento que contiene las instancias de OCI Linux que desea supervisar con conjuntos de JMS. - Debe aplicar estas sentencias de política para cada compartimento que tenga instancias de OCI Linux que desee supervisar con conjuntos de JMS por separado.
Claves de instalación de agentes de gestión
Las siguientes sentencias de política permiten que los conjuntos de JMS y el grupo de usuarios gestionen las claves de instalación del agente de gestión:
ALLOW RESOURCE jms SERVER-COMPONENTS TO READ management-agent-install-keys IN COMPARTMENT Fleet_Compartment
ALLOW GROUP FLEET_MANAGERS TO MANAGE management-agent-install-keys IN COMPARTMENT Fleet_CompartmentComunicación del agente de gestión
Las siguientes sentencias de política permiten a los agentes de gestión interactuar con los plugins de JMS y JMS Fleets y permiten a JMS Fleets almacenar datos de supervisión en su arrendamiento:
ALLOW DYNAMIC-GROUP JMS_DYNAMIC_GROUP TO MANAGE jms-plugins IN COMPARTMENT Fleet_Compartment
ALLOW DYNAMIC-GROUP JMS_DYNAMIC_GROUP TO MANAGE jms-plugins IN COMPARTMENT <instance_compartment>
ALLOW DYNAMIC-GROUP JMS_DYNAMIC_GROUP TO MANAGE management-agents IN COMPARTMENT Fleet_Compartment
ALLOW DYNAMIC-GROUP JMS_DYNAMIC_GROUP TO USE METRICS IN COMPARTMENT Fleet_Compartment
ALLOW DYNAMIC-GROUP JMS_DYNAMIC_GROUP TO MANAGE metrics IN COMPARTMENT Fleet_Compartment WHERE target.metrics.namespace='java_management_service'
ALLOW DYNAMIC-GROUP JMS_DYNAMIC_GROUP TO USE METRICS IN COMPARTMENT <instance_compartment>
ALLOW resource jms SERVER-COMPONENTS TO MANAGE metrics IN COMPARTMENT Fleet_Compartment WHERE target.metrics.namespace='java_management_service'- Sustituya
<instance_compartment>por el nombre del compartimento que contiene las instancias de OCI Linux que desea supervisar con conjuntos de JMS. - Debe aplicar esta sentencia de política para cada compartimento que tenga instancias de OCI Linux que desee supervisar con conjuntos de JMS por separado.
Configuración de Log
Las siguientes sentencias de política permiten que los conjuntos de JMS interactúen con el servicio OCI Logging para configurar la configuración de log para conjuntos en el compartimento:
ALLOW resource jms SERVER-COMPONENTS TO READ log-groups IN COMPARTMENT Fleet_Compartment
ALLOW resource jms SERVER-COMPONENTS TO MANAGE log-content IN COMPARTMENT Fleet_Compartment
ALLOW DYNAMIC-GROUP JMS_DYNAMIC_GROUP TO MANAGE log-content IN COMPARTMENT Fleet_Compartment
ALLOW GROUP FLEET_MANAGERS TO MANAGE log-groups IN COMPARTMENT Fleet_Compartment
ALLOW GROUP FLEET_MANAGERS TO READ log-content IN COMPARTMENT Fleet_CompartmentConfigurar instancias de OCI Linux para conjuntos de JMS
Esta sentencia de política otorgará al grupo dinámico privilegios JMS_DYNAMIC_GROUP para gestionar todas las instancias de OCI del compartimento. Para garantizar la configuración adecuada del agente de gestión en instancias de OCI Linux, el script de instalación requiere la presencia de esta política. Esta política debe estar presente para cada ejecución del script de instalación. Una vez finalizada la instalación, puede cambiar los permisos de sentencia de política de MANAGE a USE.
ALLOW DYNAMIC-GROUP JMS_DYNAMIC_GROUP TO MANAGE instances IN COMPARTMENT <instance_compartment> WHERE ALL {request.principal.type='instance', target.compartment.id=request.principal.compartment.id}- Sustituya
<instance_compartment>por el nombre del compartimento que contiene las instancias de OCI Linux que desea supervisar con conjuntos de JMS. - Debe aplicar estas sentencias de política para cada compartimento que tenga instancias de OCI Linux que desee supervisar con conjuntos de JMS por separado.
JMS necesita las siguientes sentencias de política para trabajar con instancias de OCI Linux:
ALLOW RESOURCE jms SERVER-COMPONENTS TO READ instances IN COMPARTMENT <instance_compartment>
ALLOW RESOURCE jms SERVER-COMPONENTS TO INSPECT instance-agent-plugins IN COMPARTMENT <instance_compartment>- Sustituya
<instance_compartment>por el nombre del compartimento que contiene las instancias de OCI Linux que desea supervisar con conjuntos de JMS. - Debe aplicar estas sentencias de política para cada compartimento que tenga instancias de OCI Linux que desee supervisar con conjuntos de JMS por separado.
Realizar funciones avanzadas
JMS necesita determinadas sentencias de política para activar y llevar a cabo funciones avanzadas en su conjunto.
Las siguientes sentencias de política permiten que JMS lea/escriba en el almacenamiento de objetos:
ALLOW DYNAMIC-GROUP JMS_DYNAMIC_GROUP to READ buckets in COMPARTMENT Fleet_Compartment WHERE target.bucket.name=/jms_ocid1*/
ALLOW DYNAMIC-GROUP JMS_DYNAMIC_GROUP to MANAGE objects in COMPARTMENT Fleet_Compartment WHERE target.bucket.name=/jms_ocid1*/
ALLOW GROUP FLEET_MANAGERS to MANAGE object-family IN COMPARTMENT Fleet_Compartment
ALLOW resource jms SERVER-COMPONENTS TO READ buckets IN COMPARTMENT Fleet_Compartment WHERE target.bucket.name=/jms_ocid1*/
ALLOW resource jms SERVER-COMPONENTS TO MANAGE objects in COMPARTMENT Fleet_Compartment WHERE target.bucket.name=/jms_ocid1*/ALLOW resource jms SERVER-COMPONENTS TO READ instances IN COMPARTMENT <instance_compartment>
ALLOW resource jms SERVER-COMPONENTS TO INSPECT instance-agent-plugins IN COMPARTMENT <instance_compartment>- Sustituya
<instance_compartment>por el nombre del compartimento que contiene las instancias de OCI Linux que desea supervisar con conjuntos de JMS. - Debe aplicar estas sentencias de política para cada compartimento que tenga instancias de OCI Linux que desee supervisar con conjuntos de JMS por separado.
Activar acuse de recibo de suscripción
La siguiente sentencia de política permite a los gestores de conjuntos activar la confirmación de suscripción:
ALLOW GROUP FLEET_MANAGERS to MANAGE subscription-ack-configs in tenancyAsegúrese de que esta política se crea en el compartimento raíz.
Configuración de políticas para IAM con dominios de identidades
Allow group '<identity_domain_name>'/'<group_name>' to <verb> <resource-type> in tenancyConsulte Visión general de las políticas de IAM para obtener más información.
Las sentencias de política proporcionadas en este capítulo son para arrendamientos sin dominios de identidad.