Documentation sur Oracle Cloud Infrastructure

Gestion des groupes dynamiques

Cette rubrique décrit comment gérer les groupes dynamiques et définir les règles pour déterminer les membres d'un groupe dynamique.

À propos des groupes dynamiques

Les groupes dynamiques vous permettent de regrouper des instances de calcul Oracle Cloud Infrastructure en tant qu'acteurs principaux (semblables aux groupes d'utilisateurs). Vous pouvez ensuite créer des politiques afin de permettre aux instances d'effectuer des appels d'API pour les services Oracle Cloud Infrastructure. Lorsque vous créez un groupe dynamique, au lieu d'ajouter des membres explicitement au groupe, vous définissez un jeu de règles de correspondance pour définir les membres du groupe. Par exemple, une règle peut indiquer que toutes les instances d'un compartiment particulier sont membres du groupe dynamique. Les membres peuvent changer de manière dynamique car les instances sont lancées et interrompues dans ce compartiment.

Marquage de ressources

Appliquez des marqueurs à vos ressources afin de les organiser en fonction des besoins de l'entreprise. Appliquez des marqueurs au moment de la création d'une ressource, ou mettez à jour la ressource plus tard avec les marqueurs souhaités. Pour des informations générales sur l'application de marqueurs, voir Marqueurs de ressource.

Utilisation des groupes dynamiques

Lors de la création d'un groupe dynamique, vous devez fournir un nom unique non modifiable pour le groupe dynamique. Le nom doit être unique dans tous les groupes de votre location. Vous devez également donner une description (même s'il peut s'agir d'une chaîne vide) pour le groupe dynamique, description qui n'est pas unique et est modifiable. Oracle affecte également au groupe un ID unique appelé ID Oracle Cloud (OCID). Pour plus d'informations, voir Identificateurs de ressource.

Note

Si vous supprimez un groupe dynamique, et que vous créez ensuite un nouveau groupe dynamique avec le même nom, ils seront considérés comme étant différents, car ils auront des OCID différents.

Un groupe dynamique n'a aucune autorisation tant que vous n'écrivez pas au moins une politique qui donne à ce groupe dynamique une autorisation pour la location ou un compartiment. Lorsque vous écrivez la politique, vous pouvez spécifier le groupe dynamique en utilisant le nom unique ou l'OCID du groupe dynamique. Selon la note précédente, même si vous spécifiez le nom du groupe dynamique dans la politique, le service GIA utilise, en interne, l'OCID pour déterminer le groupe dynamique. Pour plus d'informations sur l'écriture des politiques, voir Gestion des politiques.

Vous pouvez supprimer un groupe dynamique, mais uniquement si le groupe est vide.

Mise à jour des groupes dynamiques

Vous pouvez mettre à jour les règles de correspondance qui définissent les membres d'un groupe dynamique. Par exemple, vous pouvez modifier une règle de correspondance qui inclut toutes les instances d'un compartiment pour exclure une instance particulière. Ou, vous pouvez mettre à jour une règle afin d'inclure une nouvelle valeur de marqueur.

Important

Lorsque vous apportez une modification à une règle de correspondance, vous devez attendre environ une heure pour que la politique mise à jour soit appliquée. Par exemple, si vous mettez à jour des marqueurs sur une instance pour inclure ou exclure cette instance d'un groupe dynamique, vous devez attendre que la politique entre en vigueur pour inclure ou exclure l'instance.

Limites sur les groupes dynamiques

Une seule instance de calcul peut appartenir à un maximum de 5 groupes dynamiques.

Vous pouvez avoir un maximum de 50 groupes dynamiques dans votre location.

Utilisation de la console

Pour créer un groupe dynamique
  1. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Domaines. Sous Domaine d'identité, cliquez sur Groupes dynamiques.
  2. Cliquez sur Créer un groupe dynamique.
  3. Entrez les informations suivantes :
    • Nom : Nom unique pour le groupe. Le nom doit être unique dans tous les groupes de votre location (groupes dynamiques et groupes d'utilisateurs). Vous ne pouvez pas modifier cette valeur ultérieurement. Évitez d'entrer des informations confidentielles.
    • Description : Description conviviale.
  4. Entrez les règles de correspondance. Les ressources qui répondent aux critères de la règle sont membres du groupe.
  5. Si vous êtes autorisé à créer une ressource, vous disposez également des autorisations nécessaires pour appliquer des marqueurs à structure libre à cette ressource. Pour appliquer un marqueur défini, vous devez être autorisé à utiliser l'espace de noms de marqueur. Pour plus d'informations sur le marquage, voir Marqueurs de ressource. Si vous n'êtes pas sûr d'appliquer des marqueurs, ignorez cette option ou demandez à un administrateur. Vous pouvez appliquer des marqueurs plus tard.

  6. Cliquez sur Créer un groupe dynamique.

    La syntaxe de la règle de correspondance est vérifiée, mais les OCID ne le sont pas. Assurez-vous que les OCID entrés sont corrects.

Ensuite, pour accorder des autorisations au groupe dynamique, vous devez écrire une politique. Voir Écriture des politiques pour les groupes dynamiques.

Pour supprimer un groupe dynamique
  1. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Domaines. Sous Domaine d'identité, cliquez sur Groupes dynamiques. Une liste des groupes dynamiques de votre location s'affiche.
  2. Localisez le groupe dynamique dans la liste.
  3. Pour le groupe dynamique à supprimer, cliquez sur Supprimer.
  4. Confirmez l'opération à l'invite.
Pour mettre à jour la description d'un groupe dynamique
  1. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Domaines. Sous Domaine d'identité, cliquez sur Groupes dynamiques. Une liste des groupes de votre location s'affiche.
  2. Cliquez sur le groupe dynamique à mettre à jour. Les détails du groupe dynamique s'affichent.
  3. Cliquez sur Modifier le groupe dynamique.
  4. Modifiez la description. Lorsque vous avez terminé, cliquez sur Enregistrer les modifications.
Pour mettre à jour les règles de correspondance d'un groupe dynamique
  1. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Domaines. Sous Domaine d'identité, cliquez sur Groupes dynamiques. Une liste des groupes dynamiques de votre location s'affiche.
  2. Cliquez sur le groupe dynamique à mettre à jour. Les détails du groupe dynamique s'affichent.
  3. Cliquez sur Modifier toutes les règles de correspondance.
  4. Modifiez la règle de correspondance dans la zone de texte ou utilisez le générateur de règles si la modification est prise en charge par le générateur de règles.

Écriture des règles de correspondance pour définir des groupes dynamiques

Les règles de correspondance définissent les ressources appartenant au groupe dynamique. Dans la console, vous pouvez entrer la règle manuellement dans la zone de texte fournie ou vous pouvez utiliser le générateur de règles. Le générateur de règles vous permet d'effectuer des sélections et des entrées dans une boîte de dialogue, puis écrit la règle pour vous, en fonction de vos entrées.

Vous pouvez définir les membres du groupe dynamique en fonction des éléments suivants :

  • ID compartiment - Inclure (ou exclure) les instances résidant dans ce compartiment en fonction de l'OCID du compartiment
  • ID instance - Inclure (ou exclure) une instance en fonction de son OCID.
  • Espace de noms et clé de marqueur - Inclure (ou exclure) des instances marquées avec un espace de noms de marqueur et une clé de marqueur spécifiques. Toutes les valeurs de marqueur sont incluses. Par exemple, inclure toutes les instances marquées avec l'espace de noms de marqueur department et la clé de marqueur operations.
  • Espace de noms de marqueur, clé de marqueur et valeur de marqueur - Inclure (ou exclure) les instances marquées avec une valeur spécifique pour l'espace de noms de marqueur et la clé de marqueur. Par exemple, inclure toutes les instances marquées avec l'espace de noms de marqueur department et la clé de marqueur operations ainsi que la valeur '45'.
  • resource.compartment.id - OCID du compartiment dans lequel réside la ressource
  • resource.id - OCID de la ressource
  • resource.type - Type de la ressource

Une règle de correspondance a la syntaxe suivante :

Pour une condition unique :

variable =|!= 'value'

Pour des conditions multiples :

any|all {<condition>,<condition>,...}

Les variables prises en charge sont les suivantes :

  • instance.compartment.id - OCID du compartiment dans lequel se trouve l'instance
  • instance.id - OCID de l'instance
  • tag.<tagnamespace>.<tagkey>.value - L'espace de noms de marqueur et la clé de marqueur. Par exemple, tag.department.operations.value.
  • tag.<tagnamespace>.<tagkey>.value='<tagvalue>' - espace de noms de marqueur, clé de marqueur et valeur de marqueur. Par exemple, tag.department.operations.value='45'

Voici quelques exemples :

Inclure toutes les instances d'un compartiment spécifique du groupe dynamique

Pour inclure toutes les instances figurant dans un compartiment spécifique, ajoutez une règle avec la syntaxe suivante :

instance.compartment.id = '<compartment_ocid>'

Vous pouvez entrer la règle directement dans la zone de texte ou utiliser le générateur de règles.

Exemple d'entrée dans la zone de texte :

instance.compartment.id = 'ocid1:compartment:oc1:phx:samplecompartmentocid6q6igvfauxmima74jv'

Pour ajouter la même règle à l'aide du générateur de règles de la console :

  • Pour Inclure des instances qui correspondent aux éléments suivants, sélectionnez Tous les éléments suivants.
  • Pour Mettre en correspondance les instances avec, sélectionnez OCID du compartiment.
  • Pour Valeur, entrez l'OCID du compartiment. Pour cet exemple, vous pouvez entrer ocid1:compartment:oc1:phx:samplecompartmentocid6q6igvfauxmima74jv

Toutes les instances qui existent actuellement ou qui sont créées dans le compartiment (indiquées par l'OCID) sont membres de ce groupe.

Inclure toutes les instances dans au moins deux compartiments

Pour inclure toutes les instances figurant dans un des deux compartiments (ou plus), ajoutez une règle avec la syntaxe suivante :

Any {instance.compartment.id = '<compartment_ocid>', instance.compartment.id = '<compartment_ocid>'}

en séparant chaque entrée de compartiment par une virgule.

Vous pouvez entrer la règle directement dans la zone de texte ou utiliser le générateur de règles.

Exemple d'entrée dans la zone de texte :

Any {instance.compartment.id = 'ocid1:compartment:oc1:phx:samplecompartmentocid6q6igvfauxmima74jv', instance.compartment.id = 'ocid1:compartment:oc1:phx:samplecompartmentocidythksk89ekslsoelu2'}

Pour ajouter la même règle à l'aide du générateur de règles de la console :

  1. Pour Inclure des instances qui correspondent aux éléments suivants, sélectionnez Un des éléments suivants.
  2. Pour Mettre en correspondance les instances avec, sélectionnez OCID du compartiment.
  3. Pour Valeur, entrez l'OCID du compartiment. Pour cet exemple, vous pouvez entrer ocid1:compartment:oc1:phx:samplecompartmentocid6q6igvfauxmima74jv
  4. Cliquez sur +Ligne supplémentaire. Entrez les informations suivantes sur la deuxième ligne :
    • Pour Mettre en correspondance les instances avec, sélectionnez OCID du compartiment.
    • Pour Valeur, entrez l'OCID de compartiment supplémentaire. Pour cet exemple, vous pouvez entrer ocid1:compartment:oc1:phx:samplecompartmentocidythksk89ekslsoelu2

Les instances qui existent actuellement ou seront créées dans l'un des compartiments spécifiés sont membres de ce groupe.

Inclure toutes les instances marquées avec un espace de noms et une clé de marqueur spécifiques

Pour inclure toutes les instances marquées avec un espace de noms de marqueur et une clé de marqueur spécifiques, ajoutez une règle ayant la syntaxe suivante :

tag.<tagnamespace>.<tagkey>.value

Toutes les instances affectées à la combinaison tagnamespace.tagkey sont incluses. Notez que comme la valeur du marqueur n'est pas évaluée, toutes les valeurs sont incluses.

Exemple : Supposons que vous ayez un espace de noms de marqueur nommé department et une clé de marqueur nommée operations. Vous voulez inclure toutes les instances marquées avec l'espace de noms et la clé de marqueur.

Entrez la règle suivante dans la zone de texte :

tag.department.operations.value

Toutes les instances qui existent actuellement ou qui seront créées avec l'espace de noms de marqueur et la clé de marqueur department.operations sont membres de ce groupe.

Inclure toutes les instances d'un compartiment spécifique avec un espace de noms de marqueur, une clé de marqueur et une valeur de marqueur spécifiques

Pour inclure toutes les instances d'un compartiment spécifique marquées avec un espace de noms, une clé et une valeur de marqueur spécifiques, ajoutez une règle avec la syntaxe suivante :

All {instance.compartment.id = '<compartment_ocid>', tag.<tagnamespace>.<tagkey>.value='<tagvalue>'}

Toutes les instances qui se trouvent dans le compartiment identifié et auxquelles est affecté tagnamespace.tagkey avec la valeur de marqueur spécifiée sont incluses.

Exemple : Supposons que vous ayez un espace de noms de marqueur nommé department et une clé de marqueur nommée operations. Vous voulez inclure toutes les instances marquées avec la valeur 45, qui se trouvent dans un compartiment donné.

Entrez l'énoncé suivant dans la zone de texte :

All {instance.compartment.id='ocid1:compartment:oc1:phx:oc1:phx:samplecompartmentocid6q6igvfauxmima74jv,',
tag.department.operations.value='45'}

Utilisation du générateur de règles

Le générateur de règles est un outil disponible à partir de la console, conçu pour vous aider à écrire des règles de correspondance. Le générateur de règles propose des menus et des zones de texte pour que vous puissiez saisir des entrées, et écrit ensuite la règle pour vous. Comme le générateur de règles comporte des limitations, vous ne pouvez pas l'utiliser pour tous les cas.

Limitations du générateur de règles

Le générateur de règles ne prend pas en charge les éléments suivants :

  • Règles d'exclusion - Le générateur de règles vous permet de sélectionner les ID compartiment et les ID instance à inclure uniquement.
  • Règles basées sur des marqueurs - Le générateur de règles ne vous permet pas de sélectionner des marqueurs à inclure dans votre règle. Pour ajouter une règle basée sur des valeurs de marqueur, vous devez entrer la règle dans la zone de texte Règle en utilisant la syntaxe ci-dessus.

Lancement du générateur de règles

Lorsque vous cliquez sur Créer un groupe dynamique, le générateur de règles s'affiche dans la boîte de dialogue Créer un groupe dynamique.

Pour créer une règle de correspondance à l'aide du générateur de règles :

  1. Dans la section Règles de correspondance, cliquez sur Générateur de règles.

  2. Dans le menu Inclure des instances qui correspondent aux éléments suivants, sélectionnez Tous les éléments suivants ou Un des éléments suivants.

    Tous les éléments suivants inclut uniquement les instances correspondant à tous les énoncés de la règle.

    Un des éléments suivants inclut les instances correspondant à n'importe lequel des énoncés de la règle.

    Note

    Vous pouvez sélectionner les variables d'instance et de compartiment suivantes :
    • instance.compartment.id et instance.id s'appliquent lors de la mise en correspondance d'instances
    • resource.compartment.id, resource.id et resource.type s'appliquent lors de la mise en correspondance de ressources
    • Les variables tag.* s'appliquent à la fois aux instances et aux ressources

  3. Sélectionnez un type de ressource dans le menu Mettre en correspondance les instances avec, puis entrez l'OCID de la ressource dans le champ Valeur.

    OCID du compartiment inclut les instances du compartiment que vous spécifiez.

    OCID de l'instance inclut les instances avec les OCID que vous spécifiez.

  4. Cliquez sur +Ligne supplémentaire pour ajouter d'autres énoncés à cette règle.

    Lorsque vous ajoutez plusieurs énoncés à une règle, gardez à l'esprit que Un des éléments suivants inclut les instances qui correspondent à n'importe lequel des énoncés. Si vous choisissez Tous les éléments suivants, les instances doivent correspondre à toutes les spécifications dans les énoncés pour être incluses dans le groupe.

Exemples d'utilisation du générateur de règles

Inclure toutes les instances d'un compartiment spécifique du groupe dynamique

Pour inclure toutes les instances figurant dans un compartiment spécifique, à l'aide du générateur de règles :

  • Sélectionnez Tous les éléments suivants.
  • Pour Mettre en correspondance les instances avec, sélectionnez OCID du compartiment.
  • Pour Valeur, entrez l'OCID du compartiment, par exemple ocid1:compartment:oc1:phx:samplecompartmentocidythksk89ekslsoelu2

Toutes les instances qui existent actuellement ou qui sont créées ultérieurement dans le compartiment (indiquées par l'OCID) sont membres de ce groupe.

Inclure toutes les instances dans au moins deux compartiments

Pour inclure toutes les instances qui se trouvent dans un des deux compartiments (ou plus) à l'aide du générateur de règles :

  1. Dans le menu Inclure des instances qui correspondent aux éléments suivants, sélectionnez Un des éléments suivants.
  2. Sur la première ligne, entrez :
    • Pour Mettre en correspondance les instances avec, sélectionnez OCID du compartiment.
    • Pour Valeur, entrez l'OCID du compartiment, par exemple : ocid1:compartment:oc1:phx:samplecompartmentocid6q6igvfauxmima74jv
  3. Cliquez sur +Ligne supplémentaire. Entrez les informations suivantes sur la deuxième ligne :
    • Pour Mettre en correspondance les instances avec, sélectionnez OCID du compartiment.
    • Pour Valeur, entrez l'OCID du compartiment, par exemple ocid1:compartment:oc1:phx:samplecompartmentocidythksk89ekslsoelu2
  4. Poursuivez l'ajout de lignes supplémentaires au besoin pour chaque compartiment à inclure.

Les instances qui existent actuellement ou seront créées l'un des compartiments spécifiés sont membres de ce groupe.