Documentación de Oracle Cloud Infrastructure

Referencia de políticas de OS Management

En este tema, se describen detalles sobre la escritura de políticas para controlar el acceso al servicio OS Management.

Nota

Para obtener un ejemplo de las políticas de OS Management, consulte Configuración de políticas de IAM para OS Management y Configuración de políticas de IAM necesarias para Autonomous Linux.

Detalles del servicio OS Management

En este tema, se tratan los detalles de la escritura de políticas para controlar el acceso a OS Management.

Acerca de los permisos para instancias gestionadas

Como una instancia gestionada es una instancia de Compute que el servicio OS Management gestiona activamente, todas las operaciones que se realizan en las instancias gestionadas requieren que los usuarios tengan permisoread en la instancia de Compute subyacente. Una instancia gestionada, además, no tiene un ID de Oracle Cloud (OCID) independiente. Para determinar qué instancias informáticas están disponibles para los usuarios, se realizan llamadas al servicio de recursos informáticos para recuperar la información de la instancia. Si no tiene acceso read a los detalles de la instancia de Compute, no podrá gestionar esa instancia de Compute con el servicio OS Management.

Acerca de los permisos para orígenes de software

El juego por defecto de orígenes de software se crea en el compartimento raíz. Para leer esos orígenes de software, los usuarios deben tener permisos read.

Los permisos en los orígenes de software en el compartimento raíz se deben restringir para evitar que los usuarios supriman o eliminen accidentalmente estos paquetes. Estos paquetes están diseñados para utilizarse como están o como base para crear orígenes de software personalizados, pero no se deben modificar directamente.

Al crear un origen de software, solo se puede rellenar con paquetes de orígenes de software existentes para los que el usuario tenga permisos de acceso. Para restringir los paquetes que se pueden utilizar, puede crear un origen de software personalizado en un compartimento diferente (o con una política que otorgue permisos diferentes). A continuación, puede rellenar el origen de software personalizado solo con los paquetes que desea que los usuarios puedan utilizar.

Acerca de los permisos para Autonomous Linux

Además de las políticas de IAM necesarias para OS Management, las instancias de Autonomous Linux requieren los siguientes permisos.

  • Permisos use en el tipo de recurso ons-topics. Este permiso permite al plugin de Oracle Autonomous Linux enviar notificaciones sobre actualizaciones y eventos autónomos a un tema del servicio Notifications.
  • Permisos manage en el tipo de recurso osms-events. Este permiso permite al plugin de Oracle Autonomous Linux capturar eventos para instancias y permitir a los usuarios ver y gestionar eventos.

Para obtener un ejemplo de las políticas de IAM necesarias para Autonomous Linux, consulte Configuración de políticas de IAM necesarias para Autonomous Linux.

Consideraciones sobre los compartimentos

Puede configurar el servicio OS Management de manera que gestione todas las instancias de su arrendamiento definiendo las políticas en el nivel del compartimento raíz. La definición de políticas en el nivel del compartimento raíz es la forma más sencilla de crear políticas del servicio OS Management, pero depende de si tiene los privilegios necesarios para crear la política. Si no tiene los privilegios necesarios, debe trabajar con el administrador de su arrendamiento.

También puede configurar el servicio OS Management para que gestione solo un subjuego de las instancias definiendo las políticas en el nivel del compartimento. La definición de las políticas en el nivel del compartimento permite al servicio gestionar solo un subjuego de las instancias en el nivel del compartimento y sus subcompartimentos.

Todos los orígenes de software base están en el compartimento raíz. Al definir políticas, asegúrese de que los permisos para la política no sean demasiado limitados. Por ejemplo, se encontraría con errores de autorización si solo se le otorgase acceso a un compartimento e intentase instalar paquetes o actualizaciones de orígenes de software en el compartimento raíz.

Por ejemplo: 

Allow group <group_name> to manage osms-family in tenancy

Para asegurarse de que el usuario tiene el acceso adecuado, se le deben otorgar permisos de OSMS_SOFTWARE_SOURCE_READ en el compartimento raíz.

Tipo de recurso de agregado

osms-family

Tipos de recursos individuales

osms-errata

osms-events

osms-managed-instances

osms-managed-instance-groups

osms-scheduled-jobs

osms-software-sources

osms-work-requests

Detalles para combinaciones de verbos y tipos de recursos

En las siguientes tablas, se muestran los permisos y las operaciones de API que abarca cada verbo. El nivel de acceso es acumulativo al recorrer la progresión inspect > read > use > manage. Un signo más (+) en una celda de la tabla indica un acceso incremental en comparación con la celda situada directamente encima, mientras que "sin extra" indica que no hay un acceso incremental.

osms-errata
Verbos Permisos API totalmente cubiertas API parcialmente cubiertas
inspect

ninguno

 ninguno

ninguno
read

INSPECT +

OSMS_ERRATA_READ

GetErratum

ninguno
use

ninguno

ninguno

ninguno
manage

USE +

ninguno

ninguno

ninguno
osms-events

Verbos Permisos API totalmente cubiertas API parcialmente cubiertas
inspect

OSMS_EVENT_INSPECT

ListEvents

ListRelatedEvents

ninguno
read

INSPECT +

OSMS_EVENT_READ

GetEvent

GetEventContent

GetEventReport

ninguno
use

READ +

OSMS_EVENT_UPDATE

UpdateEvent

ninguno
manage

USE +

OSMS_EVENTS_MANAGE

DeleteEventContent

UploadEventContent

ninguno
osms-managed-instances
Verbos Permisos API totalmente cubiertas API parcialmente cubiertas
inspect

OSMS_MANAGED_INSTANCE_INSPECT

ListManagedInstances

ninguno
read

INSPECT +

OSMS_MANAGED_INSTANCE_READ

ListAvailablePackagesForManagedInstance

ListPackagesInstalledOnManagedInstance

ListAvailableUpdatesForManagedInstance

ListAvailableSoftwareSourcesForManagedInstance (también necesita inspect osms-software-source)
use

READ +

OSMS_MANAGED_INSTANCE_ACCESS

ninguno

(No hay operaciones de API cubiertas para este permiso. Este permiso controla si OS Management Service Agent en la instancia informática puede acceder al servicio OS Management).

ninguno
manage

USE +

OSMS_MANAGED_INSTANCE_UPDATE

OSMS_MANAGED_INSTANCE_INSTALL_UPDATE

OSMS_MANAGED_INSTANCE_INSTALL_PACKAGE

OSMS_MANAGED_INSTANCE_REMOVE_PACKAGE

OSMS_MANAGED_INSTANCE_ADD_SOFTWARE_SOURCE

OSMS_MANAGED_INSTANCE_REMOVE_SOFTWARE_SOURCE

DetachChildSoftwareSourceFromManagedInstance

DetachParentSoftwareSourceFromManagedInstance

AttachChildSoftwareSourceToManagedInstance(también necesita read osms-software-sources )

AttachManagedInstanceToManagedInstanceGroup y DetachManagedInstanceFromManagedInstanceGroup (también necesitan manage osms-managed-instance-groups)

CreateScheduledJob (también necesita use osms-scheduled-jobs, use osms-managed-instance-groups y read osms-software-sources)

InstallPackageOnManagedInstance y InstallPackageUpdateOnManagedInstance (también necesitan read osms-software-sources)
osms-managed-instance-groups
Verbos Permisos API totalmente cubiertas API parcialmente cubiertas
inspect OSMS_MANAGED_INSTANCE_GROUP_INSPECT

ListManagedInstanceGroups

ninguno
read

INSPECT +

OSMS_MANAGED_INSTANCE_GROUP_READ

GetManagedInstanceGroup

ninguno
use

READ +

OSMS_MANAGED_INSTANCE_GROUP_INSTALL_UPDATE

OSMS_MANAGED_INSTANCE_GROUP_INSTALL_PACKAGE

OSMS_MANAGED_INSTANCE_GROUP_REMOVE_PACKAGE

OSMS_MANAGED_INSTANCE_GROUP_UPDATE

UpdateManagedInstanceGroup

CreateScheduledJob (también necesita use osms-scheduled-jobs, manage osms-managed-instances y read software sources)
manage

USE +

OSMS_MANAGED_INSTANCE_GROUP_ADD_INSTANCE

OSMS_MANAGED_INSTANCE_GROUP_REMOVE_INSTANCE

OSMS_MANAGED_INSTANCE_GROUP_CREATE

OSMS_MANAGED_INSTANCE_GROUP_DELETE

OSMS_MANAGED_INSTANCE_GROUP_MOVE

CreateManagedInstanceGroup

DeleteManagedInstanceGroup

ChangeManagedInstanceGroupComparment

AttachManagedInstanceToManagedInstanceGroup y DetachManagedInstanceFromManagedInstanceGroup (también necesita use osms-managed-instances)
osms-software-sources
Verbos Permisos API totalmente cubiertas API parcialmente cubiertas
inspect

OSMS_SOFTWARE_SOURCE_INSPECT

ListSoftwareSources

ListAvailableSoftwareSourcesForManagedInstance (también necesita read osms-managed-instances)
read

INSPECT +

OSMS_SOFTWARE_SOURCE_READ

GetSoftwareSource

ListSoftwarePackages

GetSoftwarePackage

SearchSoftwarePackages

AttachChildSoftwareSourceToManagedInstance (también necesita manage osms-managed-instances)

CreateScheduledJob (también necesita use osms-scheduled-jobs, use osms-managed-instance-groups y manage osms-managed-instances)

InstallPackageOnManagedInstance y InstallPackageUpdateOnManagedInstance (también necesitan manage osms-managed-instances)
use

READ +

OSMS_MANAGED_INSTANCE_GROUP_INSTALL_UPDATE

UpdateSoftwareSource

ninguno
manage

USE +

OSMS_SOFTWARE_SOURCE_CREATE

OSMS_SOFTWARE_SOURCE_ADD_PACKAGES

OSMS_SOFTWARE_SOURCE_REMOVE_PACKAGE

OSMS_SOFTWARE_SOURCE_DELETE

OSMS_SOFTWARE_SOURCE_REMOVE_PACKAGE

CreateSoftwareSource

DeleteSoftwareSource

ChangeSoftwareSourceCompartment

AddPackagesToSoftwareSource

RemovePackagesFromSoftwareSource

ninguno
osms-scheduled-jobs
Verbos Permisos API totalmente cubiertas API parcialmente cubiertas
inspect

OSMS_SCHEDULED_JOB_INSPECT

ListScheduledJobs

ninguno
read

INSPECT +

OSMS_SCHEDULED_JOB_READ

GetScheduledJob

ninguno
use

READ +

OSMS_SCHEDULED_JOB_UPDATE

UpdateScheduledJob

ninguno
manage

USE +

OSMS_SCHEDULED_JOB_CREATE

OSMS_SCHEDULED_JOB_DELETE

OSMS_SCHEDULED_JOB_MOVE

DeleteScheduledJob

ChangeScheduledJobCompartment

ChangeScheduledJobCompartment

CreateScheduledJob (también necesita use osms-managed-instance groups, manage osms-managed-instances y read osms-software-sources)
osms-work-requests

Verbos Permisos API totalmente cubiertas API parcialmente cubiertas
inspect

OSMS_WORK_REQUEST_INSPECT

ListWorkRequests

ninguno
read

INSPECT +

OSMS_WORK_REQUEST_READ

GetWorkRequest

ninguno
use

READ +

no extra

no extra

ninguno
manage

USE +

OSMS_WORK_REQUEST_CANCEL

CancelWorkRequest

ninguno

Permisos necesarios para cada operación de API

En las siguientes tablas se muestran las operaciones de API agrupadas por tipo de recurso. Los tipos de recursos se muestran por orden alfabético. Para obtener más información sobre los permisos, consulte Permisos.

Operación de API Permisos necesarios para utilizar la operación
ListEvents OSMS_EVENT_INSPECT
ListRelatedEvents OSMS_EVENT_INSPECT
DeleteEventContent OSMS_EVENT_MANAGE
UploadEventContent OSMS_EVENT_MANAGE
GetEvent OSMS_EVENT_READ
GetEventContent OSMS_EVENT_READ
GetEventReport OSMS_EVENT_READ
UpdateEvent OSMS_EVENT_UPDATE
AttachChildSoftwareSourceToManagedInstance OSMS_MANAGED_INSTANCE_ADD_SOFTWARE_SOURCE y OSMS_SOFTWARE_SOURCE_READ
AttachParentSoftwareSourceToManagedInstance OSMS_MANAGED_INSTANCE_ADD_SOFTWARE_SOURCE y OSMS_SOFTWARE_SOURCE_READ
AttachManagedInstanceToManagedInstanceGroup OSMS_MANAGED_INSTANCE_GROUP_ADD_INSTANCE y OSMS_MANAGED_INSTANCE_UPDATE
CreateManagedInstanceGroup OSMS_MANAGED_INSTANCE_GROUP_CREATE
DeleteManagedInstanceGroup OSMS_MANAGED_INSTANCE_GROUP_DELETE
ListManagedInstanceGroups OSMS_MANAGED_INSTANCE_GROUP_INSPECT
ChangeManagedInstanceGroupComparment OSMS_MANAGED_INSTANCE_GROUP_MOVE
GetManagedInstanceGroup OSMS_MANAGED_INSTANCE_GROUP_READ
DetachManagedInstanceFromManagedInstanceGroup OSMS_MANAGED_INSTANCE_GROUP_REMOVE_INSTANCE y OSMS_MANAGED_INSTANCE_UPDATE
UpdateManagedInstanceGroup OSMS_MANAGED_INSTANCE_GROUP_UPDATE
ListManagedInstances OSMS_MANAGED_INSTANCE_INSPECT
InstallPackageOnManagedInstance OSMS_MANAGED_INSTANCE_INSTALL_PACKAGE y OSMS_SOFTWARE_SOURCE_READ
InstallPackageUpdateOnManagedInstance OSMS_MANAGED_INSTANCE_INSTALL_UPDATE y OSMS_SOFTWARE_SOURCE_READ
GetManagedInstance OSMS_MANAGED_INSTANCE_READ
ListAvailablePackagesForManagedInstance OSMS_MANAGED_INSTANCE_READ
ListAvailableUpdatesForManagedInstance OSMS_MANAGED_INSTANCE_READ
ListAvailableSoftwareSourcesForManagedInstance OSMS_MANAGED_INSTANCE_READ y OSMS_SOFTWARE_SOURCE_INSPECT
ListPackagesInstalledOnManagedInstance OSMS_MANAGED_INSTANCE_READ
RemovePackageFromManagedInstance OSMS_MANAGED_INSTANCE_REMOVE_PACKAGE
DetachChildSoftwareSourceFromManagedInstance OSMS_MANAGED_INSTANCE_REMOVE_SOFTWARE_SOURCE
DetachParentSoftwareSourceFromManagedInstance OSMS_MANAGED_INSTANCE_REMOVE_SOFTWARE_SOURCE
DisableModuleStreamOnManagedInstance OSMS_MANAGED_INSTANCE_UPDATE
EnableModuleStreamOnManagedInstance OSMS_MANAGED_INSTANCE_UPDATE
InstallModuleStreamProfileOnManagedInstance OSMS_MANAGED_INSTANCE_UPDATE
ManageModuleStreamsOnManagedInstance OSMS_MANAGED_INSTANCE_UPDATE
SwitchModuleStreamOnManagedInstance OSMS_MANAGED_INSTANCE_UPDATE
CreateScheduledJob

OSMS_SCHEDULED_JOB_CREATE y uno o más de los siguientes permisos:

  • OSMS_MANAGED_INSTANCE_GROUP_INSTALL_PACKAGE y OSMS_SOFTWARE_SOURCE_READ

  • OSMS_MANAGED_INSTANCE_GROUP_INSTALL_UPDATE y OSMS_SOFTWARE_SOURCE_READ

  • OSMS_MANAGED_INSTANCE_GROUP_REMOVE_PACKAGE

  • OSMS_MANAGED_INSTANCE_INSTALL_PACKAGE y OSMS_SOFTWARE_SOURCE_READ

  • OSMS_MANAGED_INSTANCE_INSTALL_UPDATE y OSMS_SOFTWARE_SOURCE_READ

  • OSMS_MANAGED_INSTANCE_REMOVE_PACKAGE

DeleteScheduledJob OSMS_SCHEDULED_JOB_DELETE
ListScheduledJobs OSMS_SCHEDULED_JOB_INSPECT
ChangeScheduledJobCompartment OSMS_SCHEDULED_JOB_MOVE
GetScheduledJob OSMS_SCHEDULED_JOB_READ
UpdateScheduledJob OSMS_SCHEDULED_JOB_UPDATE
AddPackagesToSoftwareSource OSMS_SOFTWARE_SOURCE_ADD_PACKAGES
CreateSoftwareSource OSMS_SOFTWARE_SOURCE_CREATE
DeleteSoftwareSource OSMS_SOFTWARE_SOURCE_DELETE
ChangeSoftwareSourceCompartment OSMS_SOFTWARE_SOURCE_MOVE
GetSoftwarePackage OSMS_SOFTWARE_SOURCE_READ
ListSoftwarePackages OSMS_SOFTWARE_SOURCE_READ
SearchSoftwarePackages OSMS_SOFTWARE_SOURCE_READ
RemovePackagesFromSoftwareSource OSMS_SOFTWARE_SOURCE_REMOVE_PACKAGES
UpdateSoftwareSource OSMS_SOFTWARE_SOURCE_UPDATE
CancelWorkRequest OSMS_WORK_REQUEST_CANCEL
ListWorkRequests OSMS_WORK_REQUEST_INSPECT
GetWorkRequest OSMS_WORK_REQUEST_READ