Documentación de Oracle Cloud Infrastructure

Ejemplos de políticas

Al escribir políticas, puede utilizar el grupo Administradores para la gestión de arrendamiento, por ejemplo:

allow group Administrators to manage wlms-managed-instances in tenancy
allow group Administrators to manage wlms-wlsdomains in tenancy
allow group Administrators to manage wlms-family in tenancy

También puede simplificar los permisos combinando sentencias de política en las que varios grupos necesitan los mismos permisos. Por ejemplo, estas sentencias de política:

allow group <user-grp-01> to inspect wlms-wlsdomains in tenancy
allow group <user-grp-01> to inspect wlms-work-requests in tenancy
allow group <user-grp-02> to inspect wlms-wlsdomains in tenancy
allow group <user-grp-02> to inspect wlms-work-requests in tenancy

Puede convertirse en:

allow group <user-grp-01>,<user-grp-01> { WLMS_WLSDOMAIN_INSPECT, WLMS_WORK_REQUEST_INSPECT } in tenancy

Políticas de ejemplo que restringen el grupo de usuarios

Los ejemplos proporcionados son políticas de ejemplo utilizadas para restringir el acceso a recursos o compartimentos para un grupo de usuarios concreto. El arrendamiento de estos ejemplos tiene la siguiente estructura de compartimentos:

  • Compartimiento root (arrendamiento)
    • Compartimiento <dev>
      • Subcompartimento <test> de <dev>
    • Compartimento <prod>
Usuario administrador con permisos de arrendamiento

Para este ejemplo:

  • El grupo dinámico es <wlms-dyn-grp>. Las sentencias de regla incluyen instancias de OCI en el compartimento raíz (arrendamiento), compartimento <dev>, subcompartimento <test> y compartimento <prod>.
  • El usuario pertenece al grupo de usuarios <wlms-admin-grp>, que puede gestionar todos los recursos del arrendamiento.

Sentencias de política

  • Permite al grupo dinámico ver y explorar instancias gestionadas en un compartimento específico.
    allow dynamic-group <wlms-dyn-grp> to {WLMS_MANAGED_INSTANCE_USE} in tenancy where target.compartment.id='<dev_compartment_ocid>'
  • Permite al grupo de usuarios ver, explorar y actualizar todas las instancias gestionadas del arrendamiento.
    allow group <wlms-admin-grp> to use wlms-managed-instances in tenancy
  • Permite al grupo de usuarios utilizar, actualizar, reiniciar, aplicar parches y mover todos los dominios del arrendamiento.
    allow group <wlms-admin-grp> to use wlms-wlsdomains in tenancy
  • Permite al grupo de usuarios gestionar todos los recursos del arrendamiento.
    allow group <wlms-admin-grp> to manage wlms-family in tenancy
Usuario administrador restringido a un compartimento

Para este ejemplo:

  • El usuario pertenece al grupo de usuarios wlms-admin-grp-dev, que puede gestionar todos los recursos del compartimento <dev> y el subcompartimento <test>.

Sentencias de política

  • Permite al grupo de usuarios gestionar todos los recursos del servicio de gestión WebLogic en el compartimento <dev>. Las políticas utilizan la herencia de compartimentos, por lo que el usuario también podrá gestionar recursos en cualquier subcompartimento de <dev> (en este ejemplo, <test>).
    allow group <wlms-admin-grp-dev> to manage wlms-family in compartment <dev>
  • Permite al grupo de usuarios leer instancias gestionadas en el compartimento raíz. 
    allow group <wlms-admin-grp-dev> to read wlms-managed-instances in tenancy where target.compartment.id = '<tenancy_ocid>'
  • Permite al usuario utilizar instancias gestionadas en el compartimento dev.
    allow group <wlms-admin-grp-dev> to use wlms-managed-instances in compartment <dev>
  • Permite al usuario utilizar, actualizar, reiniciar, aplicar parches, mover y suprimir dominios en el compartimento dev.
    allow group <wlms-admin-grp-dev> to manage wlms-wlsdomains in compartment <dev>
Usuario restringido a un compartimento

Para este ejemplo:

  • El grupo dinámico es <wlms-instances>. La sentencia de regla incluye el recurso de agente de plugin en el compartimento <prod>.
  • El usuario pertenece al grupo de usuarios <wlms-users>, que puede leer todos los recursos de gestión de WebLogic en el compartimento <prod>.

Sentencias de política

  • Permite al agente de las instancias gestionadas interactuar con WebLogic Management.
    allow dynamic-group <wlms-instances> to {WLMS_MANAGED_INSTANCE_PLUGIN_ACCESS} in compartment prod where request.principal.id = target.managed-instance.i
  • Permite al grupo de usuarios ver todos los recursos de gestión de WebLogic en el compartimento <prod>.
    allow group <wlms-users> to read wlms-family in compartment <prod>

Políticas de ejemplo avanzadas

Los ejemplos de gestión avanzada de WebLogic proporcionados son políticas de ejemplo utilizadas para restringir el acceso a recursos o compartimentos para un grupo de usuarios concreto.

Permitir a un grupo de usuarios ver solo los recursos de gestión WebLogic

Tipo de acceso: capacidad para ver todas las instancias gestionadas en un compartimento en el que está activado el plugin de gestión WebLogic, los dominios y servidores del servidor WebLogic detectados por el plugin de gestión WebLogic y todos los valores de configuración. Con esta política, un usuario del grupo no puede realizar ninguna acción de servicio que pueda cambiar el estado de los dominios del servidor WebLogic.

Cuándo utilizar: esta política es útil cuando desea controlar el acceso a un compartimento en el que tenga los dominios de servidor WebLogic de producción.

Dónde crear la política: coloque esta política en el compartimento para el que otorgará acceso al grupo de usuarios.

Allow group Default/<WlmsDevUsers> to read wlms-family in compartment <WlmsProduction>
Permitir a un grupo de usuarios realizar todas las acciones en la gestión de WebLogic, excepto suprimir dominios

Tipo de acceso: capacidad para realizar todas las acciones de servicio excepto la acción de supresión de dominio.

Cuándo se debe utilizar: esta política es útil cuando desea evitar la supresión accidental del dominio.

Dónde crear la política: coloque esta política en el compartimento para el que otorgará acceso al grupo de usuarios.

Allow group Default/<WlmsUsers> to use wlms-family in compartment <WlmsTest>
Permitir que un grupo de usuarios solo pueda realizar acciones de exploración en dominios WebLogic e instancias gestionadas de WebLogic Management

Tipo de acceso: capacidad para ver todas las instancias gestionadas en un compartimento en el que está activado el plugin de gestión WebLogic, los dominios y servidores del servidor WebLogic detectados por el plugin de gestión WebLogic y todos los valores de configuración. Con esta política, un usuario del grupo también puede obtener la información de dominio WebLogic más reciente bajo demanda ejecutando la acción de exploración.

Cuándo utilizar: esta política es útil cuando desea controlar el acceso a un compartimento en el que tenga los dominios de servidor WebLogic de producción.

Dónde crear la política: coloque esta política en el compartimento para el que otorgará acceso al grupo de usuarios.

Allow group Default/<WlmsDevUsers> to read wlms-family in compartment <WlmsProduction>
Allow group Default/<WlmsDevUsers> to use wlms-wlsdomains in compartment <WlmsProduction> where all {request.permission='WLMS_WLSDOMAIN_USE',request.operation='ScanWlsDomain'}
Allow group Default/<WlmsDevUsers> to {WLMS_MANAGED_INSTANCE_USE} in compartment <WlmsProduction>
Permitir a un grupo de usuarios explorar y aplicar parches a dominios WebLogic sin la capacidad de actualizar los valores de configuración

Tipo de acceso: capacidad para ver todas las instancias gestionadas en un compartimento en el que está activado el plugin de gestión WebLogic, los dominios y servidores del servidor WebLogic detectados por el plugin de gestión WebLogic y todos los valores de configuración. Con esta política, un usuario del grupo también puede obtener la información de dominio WebLogic más reciente a demanda ejecutando la acción de exploración y los dominios de parches.

Cuándo utilizar: esta política es útil cuando desea especificar un juego concreto de usuarios, como usuarios de operaciones, para realizar operaciones específicas solo durante una ventana de aplicación de parches en un compartimento en el que tenga los dominios de servidor WebLogic de producción.

Dónde crear la política: coloque esta política en el compartimento para el que otorgará acceso al grupo de usuarios.

Allow group Default/<WlmsOperationsUsers> to read wlms-family in compartment <WlmsProduction>
Allow group Default/<WlmsOperationsUsers> to {WLMS_WLSDOMAIN_USE} in compartment <WlmsProduction>
Allow group Default/<WlmsOperationsUsers> to {WLMS_MANAGED_INSTANCE_USE} in compartment <WlmsProduction>
Allow group Default/<WlmsOperationsUsers> to {WLMS_WLSDOMAIN_PATCH} in compartment <WlmsProduction>
Permitir a un grupo de usuarios realizar acciones de reinicio y actualizar el orden de reinicio

Tipo de acceso: capacidad para ver todas las instancias gestionadas en un compartimento en el que está activado el plugin de gestión WebLogic, los dominios y servidores del servidor WebLogic detectados por el plugin de gestión WebLogic y todos los valores de configuración. Con esta política, un usuario del grupo también puede obtener la información más reciente del dominio WebLogic bajo demanda ejecutando la acción de exploración, cambiando los valores de configuración y reiniciando los dominios.

Cuándo se debe utilizar: esta política es útil cuando desea especificar un juego concreto de usuarios, como usuarios de operaciones, para realizar operaciones específicas solo durante una ventana de aplicación de parches en un compartimento en el que tenga los dominios de servidor WebLogic de producción. Con esta configuración, lo ha realizado para que no se permita la aplicación de parches. WLMS_WLSDOMAIN_RESTART se puede sustituir por el permiso WLMS_WLSDOMAIN_PATCH más adelante cuando la ventana de aplicación de parches esté abierta.

Dónde crear la política: coloque esta política en el compartimento para el que otorgará acceso al grupo de usuarios.

Allow group Default/<WlmsOperationsUsers> to read wlms-family in compartment <WlmsProduction>
Allow group Default/<WlmsOperationsUsers> to {WLMS_WLSDOMAIN_USE} in compartment <WlmsProduction>
Allow group Default/<WlmsOperationsUsers> to {WLMS_MANAGED_INSTANCE_USE} in compartment <WlmsProduction>
Allow group Default/<WlmsOperationsUsers> to {WLMS_WLSDOMAIN_RESTART} in compartment <WlmsProduction>
Allow group Default/<WlmsOperationsUsers> to {WLMS_WLSDOMAIN_UPDATE} in compartment <WlmsProduction>
Permitir a un grupo de usuarios realizar todas las acciones permitidas por el verbo use para los dominios WebLogic, excepto mover un compartimento

Tipo de acceso: capacidad para ver todas las instancias gestionadas en un compartimento en el que está activado el plugin de gestión WebLogic, los dominios y servidores del servidor WebLogic detectados por el plugin de gestión WebLogic y todos los valores de configuración. Con esta política, un usuario del grupo también puede obtener la información de dominio WebLogic más reciente bajo demanda ejecutando la acción de exploración, cambiando los valores de configuración, reiniciando dominios y aplicando parches a dominios. No se agrega la capacidad de mover el compartimento.

Cuándo se debe utilizar: esta política es útil cuando tiene una estructura organizativa para los compartimentos que desea mantener y no desea que otros usuarios puedan interrumpir esta organización moviendo un dominio.

Dónde crear la política: coloque esta política en el compartimento para el que otorgará acceso al grupo de usuarios.

Allow group Default/<WlmsDevUsers> to read wlms-family in compartment <WlmsDev>
Allow group Default/<WlmsDevUsers> to {WLMS_WLSDOMAIN_USE} in compartment <WlmsDev>
Allow group Default/<WlmsDevUsers> to {WLMS_MANAGED_INSTANCE_USE} in compartment <WlmsDev>
Allow group Default/<WlmsDevUsers> to {WLMS_WLSDOMAIN_PATCH} in compartment <WlmsDev>
Allow group Default/<WlmsDevUsers> to {WLMS_WLSDOMAIN_UPDATE} in compartment <WlmsDev>
Permitir a un grupo de usuarios la capacidad de explorar en instancias gestionadas de WebLogic Management sin la capacidad de actualizar la configuración

Tipo de acceso: capacidad para ver todas las instancias gestionadas en un compartimento en el que está activado el plugin de gestión WebLogic, los dominios y servidores del servidor WebLogic detectados por el plugin de gestión WebLogic y todos los valores de configuración. Con esta política, un usuario del grupo también puede obtener la información de dominio WebLogic más reciente bajo demanda ejecutando la acción de exploración. No se ha agregado la capacidad de actualizar los valores de configuración de la instancia gestionada en el compartimento.

Cuándo utilizar: esta política es útil cuando desea evitar que un usuario interrumpa las rutas que se exploran, pero desea que el usuario pueda obtener la información de dominio WebLogic más reciente de una instancia gestionada.

Dónde crear la política: coloque esta política en el compartimento para el que otorgará acceso al grupo de usuarios.

Allow group Default/<WlmsDevUsers> to read wlms-family in compartment <WlmsTest>
Allow group Default/<WlmsDevUsers> to {WLMS_MANAGED_INSTANCE_USE} in compartment <WlmsTest>