Documentación de Oracle Cloud Infrastructure

Creación de Usuarios y Grupos

Para trabajar en WebLogic Management, un administrador de arrendamiento de su organización debe crear grupos, agregar usuarios a grupos y agregar políticas que controlen qué usuarios pueden acceder al servicio y sus recursos, así como el tipo de acceso que tienen.

Cree al menos un usuario en el arrendamiento que desee trabajar con WebLogic Management. Este usuario debe crearse en el servicio IAM.

Los grupos de usuarios, los grupos dinámicos y las políticas de IAM especifican qué usuarios y servicios pueden acceder a determinados recursos de OCI. Debe identificar qué recursos de gestión de WebLogic puede gestionar el servicio y qué usuarios pueden gestionar esos recursos. Para ello, defina grupos de usuarios, grupos dinámicos y, a continuación, configure la política de IAM necesaria.

Grupo de Usuarios

Cree un grupo de usuarios o identifique un grupo de usuarios existente para administrar el servicio de gestión WebLogic en el arrendamiento. A continuación, las sentencias de política necesarias otorgan a este grupo de usuarios administradores la capacidad de gestionar los recursos de gestión de WebLogic.

Si necesita restringir aún más el acceso, puede crear grupos de usuarios adicionales y definir sentencias de política más restrictivas para limitar el acceso a recursos específicos. Consulte Ejemplos de políticas para conocer los casos de uso que no son de administrador. Para obtener más información sobre los grupos de usuarios, consulte Gestión de grupos.

Grupo dinámico

Cree un grupo dinámico para especificar los recursos que gestionará WebLogic Management definiendo sentencias de regla para instancias de OCI.

  1. Asegúrese de que comprende lo siguiente:

  2. Siga los pasos para crear un grupo dinámico o actualizar un grupo dinámico existente y configurar las reglas de coincidencia de la siguiente manera.

    Consejo

    Reutilice el mismo grupo dinámico siempre que sea posible en los servicios en lugar de crear nuevos grupos dinámicos porque un único recurso solo puede pertenecer a un máximo de cinco grupos dinámicos.

  3. Para la configuración general de reglas de coincidencia, seleccione: Coincidir con cualquier regla definida a continuación.

  4. Cree sentencias de regla para las instancias que gestionará WebLogic Management.

    Importante

    Las reglas de grupo dinámico no utilizan la herencia de compartimentos. Debe especificar una sentencia de regla para cada compartimento y subcompartimento que desee que gestione el servicio.

    Regla para instancias de OCI

    Agregue una sentencia de regla que incluya cada compartimento (y subcompartimento) que contendrá instancias.

    ANY {instance.compartment.id='<compartment_ocid>',instance.compartment.id='<subcompartment_ocid>'}

    Esta regla incluirá todas las instancias de OCI en los compartimentos especificados.

  5. Haga clic en Crear (si se crea) o Guardar (si se actualiza).
¿Qué hace el grupo dinámico?
El grupo dinámico identifica las instancias que gestionará WebLogic Management. Puede agregar sentencias de regla para los compartimentos y subcompartimentos que contienen instancias que desea que gestione el servicio. El grupo dinámico crece y se reduce de forma dinámica en función de estas sentencias de regla. A medida que se aprovisionan o se dan de baja las instancias, el grupo dinámico cambia según corresponda. A continuación, las sentencias de política necesarias otorgan a WebLogic Management la capacidad de acceder a las instancias del grupo dinámico.

Para obtener más información sobre los grupos dinámicos, consulte Gestión de grupos dinámicos.

¿Cuándo utilizar ANY y ALL para un grupo dinámico?

Antes de escribir sentencias de reglas de grupo dinámico, es importante comprender la diferencia entre ANY y ALL.

Al definir un grupo dinámico, se define el modo en que el grupo coincide con las reglas definidas en el grupo:

  • Coincidir con cualquier regla definida a continuación incluye recursos que coinciden con cualquiera de las reglas del grupo dinámico. Seleccione esta opción si define un grupo que incluya reglas para varios compartimentos o varios tipos de instancia. Esta configuración indica al grupo que incluya recursos que coincidan con la regla 1 O la regla 2 O la regla 3, y así sucesivamente.
  • Coincidir con todas las reglas definidas a continuación incluye recursos que coinciden con todas las reglas del grupo dinámico. Seleccione esta opción al definir un grupo dinámico reducido de variación que incluya solo un compartimento. Esta configuración indica al grupo que incluya recursos que coincidan con la regla 1 Y la regla 2 Y la regla 3, etc.

Al definir sentencias de reglas individuales dentro del grupo dinámico, defina las condiciones para cada sentencia:

  • Todo lo siguiente (ALL) incluye solo los recursos que coinciden con todas las condiciones de la regla. Las sentencias ALL necesitan que cada condición sea verdadera. De lo contrario, no se incluyen recursos para la regla.

  • Alguno de los siguientes (ANY) incluye recursos que coinciden con cualquiera de las condiciones de la regla.

Ejemplos de ANY y ALL para una sentencia de regla individual

Tenga en cuenta la regla utilizada para las instancias de OCI.

Correct usage:
ALL {resource.type='managementagent', resource.compartment.id='<compartment_ocid>'}

Al utilizar ALL, la regla solo incluye recursos en el compartimento especificado. La sentencia indica al grupo dinámico que incluya recursos que coincidan con el tipo de agente de gestión AND dentro del compartimento especificado.

Incorrect usage. Do not use:
ANY {resource.type='managementagent', resource.compartment.id='<compartment_ocid>'}

Al utilizar ANY, la regla incluye todos los recursos de todo el arrendamiento y todos los recursos de OCI presentes en el compartimento especificado. Si bien la sentencia incluirá los recursos necesarios para WebLogic Management, es muy amplia y, por lo general, no es preferible.

Tenga en cuenta la regla utilizada para las instancias de OCI al especificar varios compartimentos.

Correct usage:
ANY {instance.compartment.id='<compartment_ocid>',instance.compartment.id='<subcompartment_ocid>'}

Al utilizar ANY, la regla incluye todas las instancias de cada uno de los compartimentos especificados. La sentencia indica al grupo dinámico que incluya instancias en <compartment_ocid> O <subcompartment_ocid>.

Incorrect usage. Do not use:
ALL {instance.compartment.id='<compartment_ocid>',instance.compartment.id='<subcompartment_ocid>'}

Al utilizar ALL, la regla indica al grupo dinámico que incluya instancias que estén en <compartment_ocid> AND <subcompartment_ocid>. Esta regla no incluirá ninguna instancia porque es imposible que una instancia esté en más de un compartimento al mismo tiempo. No utilice ALL con una sentencia de regla que especifique varios compartimentos.