Referencia de políticas de OS Management
En este tema, se describen detalles sobre la escritura de políticas para controlar el acceso al servicio OS Management.
Para obtener un ejemplo de las políticas de OS Management, consulte Configuración de políticas de IAM para OS Management y Configuración de políticas de IAM necesarias para Autonomous Linux.
Detalles del servicio OS Management
En este tema, se tratan los detalles de la escritura de políticas para controlar el acceso a OS Management.
Acerca de los permisos para instancias gestionadas
Como una instancia gestionada es una instancia de Compute que el servicio OS Management gestiona activamente, todas las operaciones que se realizan en las instancias gestionadas requieren que los usuarios tengan permisoread
en la instancia de Compute subyacente. Una instancia gestionada, además, no tiene un ID de Oracle Cloud (OCID) independiente. Para determinar qué instancias informáticas están disponibles para los usuarios, se realizan llamadas al servicio de recursos informáticos para recuperar la información de la instancia. Si no tiene acceso read
a los detalles de la instancia de Compute, no podrá gestionar esa instancia de Compute con el servicio OS Management.
Acerca de los permisos para orígenes de software
El juego por defecto de orígenes de software se crea en el compartimento raíz. Para leer esos orígenes de software, los usuarios deben tener permisos read
.
Los permisos en los orígenes de software en el compartimento raíz se deben restringir para evitar que los usuarios supriman o eliminen accidentalmente estos paquetes. Estos paquetes están diseñados para utilizarse como están o como base para crear orígenes de software personalizados, pero no se deben modificar directamente.
Al crear un origen de software, solo se puede rellenar con paquetes de orígenes de software existentes para los que el usuario tenga permisos de acceso. Para restringir los paquetes que se pueden utilizar, puede crear un origen de software personalizado en un compartimento diferente (o con una política que otorgue permisos diferentes). A continuación, puede rellenar el origen de software personalizado solo con los paquetes que desea que los usuarios puedan utilizar.
Acerca de los permisos para Autonomous Linux
Además de las políticas de IAM necesarias para OS Management, las instancias de Autonomous Linux requieren los siguientes permisos.
-
Permisos
use
en el tipo de recursoons-topics
. Este permiso permite al plugin de Oracle Autonomous Linux enviar notificaciones sobre actualizaciones y eventos autónomos a un tema del servicio Notifications. - Permisos
manage
en el tipo de recursoosms-events
. Este permiso permite al plugin de Oracle Autonomous Linux capturar eventos para instancias y permitir a los usuarios ver y gestionar eventos.
Para obtener un ejemplo de las políticas de IAM necesarias para Autonomous Linux, consulte Configuración de políticas de IAM necesarias para Autonomous Linux.
Consideraciones sobre los compartimentos
Puede configurar el servicio OS Management de manera que gestione todas las instancias de su arrendamiento definiendo las políticas en el nivel del compartimento raíz. La definición de políticas en el nivel del compartimento raíz es la forma más sencilla de crear políticas del servicio OS Management, pero depende de si tiene los privilegios necesarios para crear la política. Si no tiene los privilegios necesarios, debe trabajar con el administrador de su arrendamiento.
También puede configurar el servicio OS Management para que gestione solo un subjuego de las instancias definiendo las políticas en el nivel del compartimento. La definición de las políticas en el nivel del compartimento permite al servicio gestionar solo un subjuego de las instancias en el nivel del compartimento y sus subcompartimentos.
Todos los orígenes de software base están en el compartimento raíz. Al definir políticas, asegúrese de que los permisos para la política no sean demasiado limitados. Por ejemplo, se encontraría con errores de autorización si solo se le otorgase acceso a un compartimento e intentase instalar paquetes o actualizaciones de orígenes de software en el compartimento raíz.
Por ejemplo:
Allow group <group_name> to manage osms-family in tenancy
Para asegurarse de que el usuario tiene el acceso adecuado, se le deben otorgar permisos de OSMS_SOFTWARE_SOURCE_READ en el compartimento raíz.
Tipo de recurso de agregado
osms-family
Tipos de recursos individuales
osms-errata
osms-events
osms-managed-instances
osms-managed-instance-groups
osms-scheduled-jobs
osms-software-sources
osms-work-requests
Variables soportadas
Solo están soportadas las variables generales (consulte Variables generales para todas las solicitudes).
Detalles para combinaciones de verbos y tipos de recursos
En las siguientes tablas, se muestran los permisos y las operaciones de API que abarca cada verbo. El nivel de acceso es acumulativo al recorrer la progresión inspect
> read
> use
> manage
. Un signo más (+) en una celda de la tabla indica un acceso incremental en comparación con la celda situada directamente encima, mientras que "sin extra" indica que no hay un acceso incremental.
Verbos | Permisos | API totalmente cubiertas | API parcialmente cubiertas |
---|---|---|---|
inspect | ninguno |
ninguno | ninguno |
read |
INSPECT + OSMS_ERRATA_READ |
|
ninguno |
use |
ninguno |
ninguno |
ninguno |
manage | USE + ninguno |
ninguno |
ninguno |
Verbos | Permisos | API totalmente cubiertas | API parcialmente cubiertas |
---|---|---|---|
inspect |
OSMS_EVENT_INSPECT |
|
ninguno |
read |
INSPECT + OSMS_EVENT_READ |
|
ninguno |
use |
READ + OSMS_EVENT_UPDATE |
|
ninguno |
manage |
USE + OSMS_EVENTS_MANAGE |
|
ninguno |
Verbos | Permisos | API totalmente cubiertas | API parcialmente cubiertas |
---|---|---|---|
inspect |
OSMS_MANAGED_INSTANCE_INSPECT |
|
ninguno |
read | INSPECT + OSMS_MANAGED_INSTANCE_READ |
|
|
use |
READ + OSMS_MANAGED_INSTANCE_ACCESS |
ninguno (No hay operaciones de API cubiertas para este permiso. Este permiso controla si OS Management Service Agent en la instancia informática puede acceder al servicio OS Management). |
ninguno |
manage |
USE + OSMS_MANAGED_INSTANCE_UPDATE OSMS_MANAGED_INSTANCE_INSTALL_UPDATE OSMS_MANAGED_INSTANCE_INSTALL_PACKAGE OSMS_MANAGED_INSTANCE_REMOVE_PACKAGE OSMS_MANAGED_INSTANCE_ADD_SOFTWARE_SOURCE OSMS_MANAGED_INSTANCE_REMOVE_SOFTWARE_SOURCE |
|
|
Verbos | Permisos | API totalmente cubiertas | API parcialmente cubiertas |
---|---|---|---|
inspect | OSMS_MANAGED_INSTANCE_GROUP_INSPECT |
|
ninguno |
read | INSPECT + OSMS_MANAGED_INSTANCE_GROUP_READ |
|
ninguno |
use |
READ + OSMS_MANAGED_INSTANCE_GROUP_INSTALL_UPDATE OSMS_MANAGED_INSTANCE_GROUP_INSTALL_PACKAGE OSMS_MANAGED_INSTANCE_GROUP_REMOVE_PACKAGE OSMS_MANAGED_INSTANCE_GROUP_UPDATE |
|
|
manage |
USE + OSMS_MANAGED_INSTANCE_GROUP_ADD_INSTANCE OSMS_MANAGED_INSTANCE_GROUP_REMOVE_INSTANCE OSMS_MANAGED_INSTANCE_GROUP_CREATE OSMS_MANAGED_INSTANCE_GROUP_DELETE OSMS_MANAGED_INSTANCE_GROUP_MOVE |
|
|
Verbos | Permisos | API totalmente cubiertas | API parcialmente cubiertas |
---|---|---|---|
inspect | OSMS_SOFTWARE_SOURCE_INSPECT |
|
|
read | INSPECT + OSMS_SOFTWARE_SOURCE_READ |
|
|
use |
READ + OSMS_MANAGED_INSTANCE_GROUP_INSTALL_UPDATE |
|
ninguno |
manage |
USE + OSMS_SOFTWARE_SOURCE_CREATE OSMS_SOFTWARE_SOURCE_ADD_PACKAGES OSMS_SOFTWARE_SOURCE_REMOVE_PACKAGE OSMS_SOFTWARE_SOURCE_DELETE OSMS_SOFTWARE_SOURCE_REMOVE_PACKAGE |
|
ninguno |
Verbos | Permisos | API totalmente cubiertas | API parcialmente cubiertas |
---|---|---|---|
inspect |
OSMS_SCHEDULED_JOB_INSPECT |
|
ninguno |
read |
INSPECT + OSMS_SCHEDULED_JOB_READ |
|
ninguno |
use |
READ + OSMS_SCHEDULED_JOB_UPDATE |
|
ninguno |
manage |
USE + OSMS_SCHEDULED_JOB_CREATE OSMS_SCHEDULED_JOB_DELETE OSMS_SCHEDULED_JOB_MOVE |
|
|
Verbos | Permisos | API totalmente cubiertas | API parcialmente cubiertas |
---|---|---|---|
inspect |
OSMS_WORK_REQUEST_INSPECT |
|
ninguno |
read |
INSPECT + OSMS_WORK_REQUEST_READ |
|
ninguno |
use | READ + no extra |
no extra |
ninguno |
manage |
USE + OSMS_WORK_REQUEST_CANCEL |
|
ninguno |
Permisos necesarios para cada operación de API
En las siguientes tablas se muestran las operaciones de API agrupadas por tipo de recurso. Los tipos de recursos se muestran por orden alfabético. Para obtener más información sobre los permisos, consulte Permisos.
Operación de API | Permisos necesarios para utilizar la operación |
---|---|
ListEvents |
OSMS_EVENT_INSPECT |
ListRelatedEvents
|
OSMS_EVENT_INSPECT |
DeleteEventContent |
OSMS_EVENT_MANAGE |
UploadEventContent
|
OSMS_EVENT_MANAGE |
GetEvent
|
OSMS_EVENT_READ |
GetEventContent
|
OSMS_EVENT_READ |
GetEventReport |
OSMS_EVENT_READ |
UpdateEvent |
OSMS_EVENT_UPDATE |
AttachChildSoftwareSourceToManagedInstance
|
OSMS_MANAGED_INSTANCE_ADD_SOFTWARE_SOURCE y OSMS_SOFTWARE_SOURCE_READ |
AttachParentSoftwareSourceToManagedInstance
|
OSMS_MANAGED_INSTANCE_ADD_SOFTWARE_SOURCE y OSMS_SOFTWARE_SOURCE_READ |
AttachManagedInstanceToManagedInstanceGroup
|
OSMS_MANAGED_INSTANCE_GROUP_ADD_INSTANCE y OSMS_MANAGED_INSTANCE_UPDATE |
CreateManagedInstanceGroup
|
OSMS_MANAGED_INSTANCE_GROUP_CREATE |
DeleteManagedInstanceGroup
|
OSMS_MANAGED_INSTANCE_GROUP_DELETE |
ListManagedInstanceGroups
|
OSMS_MANAGED_INSTANCE_GROUP_INSPECT |
ChangeManagedInstanceGroupComparment
|
OSMS_MANAGED_INSTANCE_GROUP_MOVE |
GetManagedInstanceGroup |
OSMS_MANAGED_INSTANCE_GROUP_READ |
DetachManagedInstanceFromManagedInstanceGroup
|
OSMS_MANAGED_INSTANCE_GROUP_REMOVE_INSTANCE y OSMS_MANAGED_INSTANCE_UPDATE |
UpdateManagedInstanceGroup
|
OSMS_MANAGED_INSTANCE_GROUP_UPDATE |
ListManagedInstances
|
OSMS_MANAGED_INSTANCE_INSPECT |
InstallPackageOnManagedInstance
|
OSMS_MANAGED_INSTANCE_INSTALL_PACKAGE y OSMS_SOFTWARE_SOURCE_READ |
InstallPackageUpdateOnManagedInstance
|
OSMS_MANAGED_INSTANCE_INSTALL_UPDATE y OSMS_SOFTWARE_SOURCE_READ |
GetManagedInstance
|
OSMS_MANAGED_INSTANCE_READ |
ListAvailablePackagesForManagedInstance
|
OSMS_MANAGED_INSTANCE_READ |
ListAvailableUpdatesForManagedInstance
|
OSMS_MANAGED_INSTANCE_READ |
ListAvailableSoftwareSourcesForManagedInstance
|
OSMS_MANAGED_INSTANCE_READ y OSMS_SOFTWARE_SOURCE_INSPECT |
ListPackagesInstalledOnManagedInstance
|
OSMS_MANAGED_INSTANCE_READ |
RemovePackageFromManagedInstance
|
OSMS_MANAGED_INSTANCE_REMOVE_PACKAGE |
DetachChildSoftwareSourceFromManagedInstance
|
OSMS_MANAGED_INSTANCE_REMOVE_SOFTWARE_SOURCE |
DetachParentSoftwareSourceFromManagedInstance
|
OSMS_MANAGED_INSTANCE_REMOVE_SOFTWARE_SOURCE |
DisableModuleStreamOnManagedInstance |
OSMS_MANAGED_INSTANCE_UPDATE |
EnableModuleStreamOnManagedInstance |
OSMS_MANAGED_INSTANCE_UPDATE |
InstallModuleStreamProfileOnManagedInstance |
OSMS_MANAGED_INSTANCE_UPDATE |
ManageModuleStreamsOnManagedInstance |
OSMS_MANAGED_INSTANCE_UPDATE |
SwitchModuleStreamOnManagedInstance |
OSMS_MANAGED_INSTANCE_UPDATE |
CreateScheduledJob
|
OSMS_SCHEDULED_JOB_CREATE y uno o más de los siguientes permisos:
|
DeleteScheduledJob
|
OSMS_SCHEDULED_JOB_DELETE |
ListScheduledJobs
|
OSMS_SCHEDULED_JOB_INSPECT |
ChangeScheduledJobCompartment
|
OSMS_SCHEDULED_JOB_MOVE |
GetScheduledJob
|
OSMS_SCHEDULED_JOB_READ |
UpdateScheduledJob
|
OSMS_SCHEDULED_JOB_UPDATE |
AddPackagesToSoftwareSource
|
OSMS_SOFTWARE_SOURCE_ADD_PACKAGES |
CreateSoftwareSource
|
OSMS_SOFTWARE_SOURCE_CREATE |
DeleteSoftwareSource
|
OSMS_SOFTWARE_SOURCE_DELETE |
ChangeSoftwareSourceCompartment
|
OSMS_SOFTWARE_SOURCE_MOVE |
GetSoftwarePackage
|
OSMS_SOFTWARE_SOURCE_READ |
ListSoftwarePackages
|
OSMS_SOFTWARE_SOURCE_READ |
SearchSoftwarePackages
|
OSMS_SOFTWARE_SOURCE_READ |
RemovePackagesFromSoftwareSource
|
OSMS_SOFTWARE_SOURCE_REMOVE_PACKAGES |
UpdateSoftwareSource
|
OSMS_SOFTWARE_SOURCE_UPDATE |
CancelWorkRequest
|
OSMS_WORK_REQUEST_CANCEL |
ListWorkRequests
|
OSMS_WORK_REQUEST_INSPECT |
GetWorkRequest
|
OSMS_WORK_REQUEST_READ |