Gestion des groupes dynamiques
Cette rubrique décrit comment gérer les groupes dynamiques et définir les règles pour déterminer les membres d'un groupe dynamique.
À propos des groupes dynamiques
Les groupes dynamiques vous permettent de regrouper des instances de calcul Oracle Cloud Infrastructure en tant qu'acteurs principaux (semblables aux groupes d'utilisateurs). Vous pouvez ensuite créer des politiques afin de permettre aux instances d'effectuer des appels d'API pour les services Oracle Cloud Infrastructure. Lorsque vous créez un groupe dynamique, au lieu d'ajouter des membres explicitement au groupe, vous définissez un jeu de règles de correspondance pour définir les membres du groupe. Par exemple, une règle peut indiquer que toutes les instances d'un compartiment particulier sont membres du groupe dynamique. Les membres peuvent changer de manière dynamique car les instances sont lancées et interrompues dans ce compartiment.
Politique GIA requise
Si vous êtes membre du groupe Administrateurs, vous disposez des droits d'accès requis pour gérer les groupes dynamiques.
Pour en connaître davantage sur les politiques, voir Introduction aux politiques et Politiques communes. Pour plus de précisions sur l'écriture de politiques pour des groupes dynamiques ou d'autres composants GIA, voir Informations détaillées sur le service GIA sans domaines d'identité.
Marquage de ressources
Appliquez des marqueurs à vos ressources afin de les organiser en fonction des besoins de l'entreprise. Appliquez des marqueurs au moment de la création d'une ressource, ou mettez à jour la ressource plus tard avec les marqueurs souhaités. Pour des informations générales sur l'application de marqueurs, voir Marqueurs de ressource.
Utilisation des groupes dynamiques
Lors de la création d'un groupe dynamique, vous devez fournir un nom unique non modifiable pour le groupe dynamique. Le nom doit être unique dans tous les groupes de votre location. Vous devez également donner une description (même s'il peut s'agir d'une chaîne vide) pour le groupe dynamique, description qui n'est pas unique et est modifiable. Oracle affecte également au groupe un ID unique appelé ID Oracle Cloud (OCID). Pour plus d'informations, voir Identificateurs de ressource.
Si vous supprimez un groupe dynamique, et que vous créez ensuite un nouveau groupe dynamique avec le même nom, ils seront considérés comme étant différents, car ils auront des OCID différents.
Un groupe dynamique n'a aucune autorisation tant que vous n'écrivez pas au moins une politique qui donne à ce groupe dynamique une autorisation pour la location ou un compartiment. Lorsque vous écrivez la politique, vous pouvez spécifier le groupe dynamique en utilisant le nom unique ou l'OCID du groupe dynamique. Selon la note précédente, même si vous spécifiez le nom du groupe dynamique dans la politique, le service GIA utilise, en interne, l'OCID pour déterminer le groupe dynamique. Pour plus d'informations sur l'écriture des politiques, voir Gestion des politiques.
Vous pouvez supprimer un groupe dynamique, mais uniquement si le groupe est vide.
Mise à jour des groupes dynamiques
Vous pouvez mettre à jour les règles de correspondance qui définissent les membres d'un groupe dynamique. Par exemple, vous pouvez modifier une règle de correspondance qui inclut toutes les instances d'un compartiment pour exclure une instance particulière. Ou, vous pouvez mettre à jour une règle afin d'inclure une nouvelle valeur de marqueur.
Lorsque vous apportez une modification à une règle de correspondance, vous devez attendre environ une heure pour que la politique mise à jour soit appliquée. Par exemple, si vous mettez à jour des marqueurs sur une instance pour inclure ou exclure cette instance d'un groupe dynamique, vous devez attendre que la politique entre en vigueur pour inclure ou exclure l'instance.
Limites sur les groupes dynamiques
Une seule instance de calcul peut appartenir à un maximum de 5 groupes dynamiques.
Vous pouvez avoir un maximum de 50 groupes dynamiques dans votre location.
Utilisation de la console
- Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Domaines. Sous Domaine d'identité, cliquez sur Groupes dynamiques.
- Cliquez sur Créer un groupe dynamique.
- Entrez les informations suivantes :
- Nom : Nom unique pour le groupe. Le nom doit être unique dans tous les groupes de votre location (groupes dynamiques et groupes d'utilisateurs). Vous ne pouvez pas modifier cette valeur ultérieurement. Évitez d'entrer des informations confidentielles.
- Description : Description conviviale.
- Entrez les règles de correspondance. Les ressources qui répondent aux critères de la règle sont membres du groupe.
- Règle 1 : Entrez une règle en suivant les directives sous Écriture des règles de correspondance pour définir des groupes dynamiques. Vous pouvez entrer manuellement la règle dans la zone de texte ou lancer le générateur de règles.
Entrez des règles supplémentaires au besoin. Pour ajouter une règle, cliquez sur +Règle supplémentaire.
- Si vous êtes autorisé à créer une ressource, vous disposez également des autorisations nécessaires pour appliquer des marqueurs à structure libre à cette ressource. Pour appliquer un marqueur défini, vous devez être autorisé à utiliser l'espace de noms de marqueur. Pour plus d'informations sur le marquage, voir Marqueurs de ressource. Si vous n'êtes pas sûr d'appliquer des marqueurs, ignorez cette option ou demandez à un administrateur. Vous pouvez appliquer des marqueurs plus tard.
-
Cliquez sur Créer un groupe dynamique.
La syntaxe de la règle de correspondance est vérifiée, mais les OCID ne le sont pas. Assurez-vous que les OCID entrés sont corrects.
Ensuite, pour accorder des autorisations au groupe dynamique, vous devez écrire une politique. Voir Écriture des politiques pour les groupes dynamiques.
- Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Domaines. Sous Domaine d'identité, cliquez sur Groupes dynamiques. Une liste des groupes dynamiques de votre location s'affiche.
- Localisez le groupe dynamique dans la liste.
- Pour le groupe dynamique à supprimer, cliquez sur Supprimer.
- Confirmez l'opération à l'invite.
- Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Domaines. Sous Domaine d'identité, cliquez sur Groupes dynamiques. Une liste des groupes de votre location s'affiche.
- Cliquez sur le groupe dynamique à mettre à jour. Les détails du groupe dynamique s'affichent.
- Cliquez sur Modifier le groupe dynamique.
- Modifiez la description. Lorsque vous avez terminé, cliquez sur Enregistrer les modifications.
- Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Domaines. Sous Domaine d'identité, cliquez sur Groupes dynamiques. Une liste des groupes dynamiques de votre location s'affiche.
- Cliquez sur le groupe dynamique à mettre à jour. Les détails du groupe dynamique s'affichent.
- Cliquez sur Modifier toutes les règles de correspondance.
- Modifiez la règle de correspondance dans la zone de texte ou utilisez le générateur de règles si la modification est prise en charge par le générateur de règles.
Écriture des règles de correspondance pour définir des groupes dynamiques
Les règles de correspondance définissent les ressources appartenant au groupe dynamique. Dans la console, vous pouvez entrer la règle manuellement dans la zone de texte fournie ou vous pouvez utiliser le générateur de règles. Le générateur de règles vous permet d'effectuer des sélections et des entrées dans une boîte de dialogue, puis écrit la règle pour vous, en fonction de vos entrées.
Vous pouvez définir les membres du groupe dynamique en fonction des éléments suivants :
- ID compartiment - Inclure (ou exclure) les instances résidant dans ce compartiment en fonction de l'OCID du compartiment
- ID instance - Inclure (ou exclure) une instance en fonction de son OCID.
- Espace de noms et clé de marqueur - Inclure (ou exclure) des instances marquées avec un espace de noms de marqueur et une clé de marqueur spécifiques. Toutes les valeurs de marqueur sont incluses. Par exemple, inclure toutes les instances marquées avec l'espace de noms de marqueur
department
et la clé de marqueuroperations
. - Espace de noms de marqueur, clé de marqueur et valeur de marqueur - Inclure (ou exclure) les instances marquées avec une valeur spécifique pour l'espace de noms de marqueur et la clé de marqueur. Par exemple, inclure toutes les instances marquées avec l'espace de noms de marqueur
department
et la clé de marqueuroperations
ainsi que la valeur '45
'. - resource.compartment.id - OCID du compartiment dans lequel réside la ressource
- resource.id - OCID de la ressource
- resource.type - Type de la ressource
Une règle de correspondance a la syntaxe suivante :
Pour une condition unique :
variable =|!= 'value'
Pour des conditions multiples :
any|all {<condition>,<condition>,...}
Les variables prises en charge sont les suivantes :
-
instance.compartment.id
- OCID du compartiment dans lequel se trouve l'instance -
instance.id
- OCID de l'instance -
tag.<tagnamespace>.<tagkey>.value
- L'espace de noms de marqueur et la clé de marqueur. Par exemple,tag.department.operations.value
. -
tag.<tagnamespace>.<tagkey>.value='<tagvalue>'
- espace de noms de marqueur, clé de marqueur et valeur de marqueur. Par exemple,tag.department.operations.value='45'
Voici quelques exemples :
Pour inclure toutes les instances figurant dans un compartiment spécifique, ajoutez une règle avec la syntaxe suivante :
instance.compartment.id = '<compartment_ocid>'
Vous pouvez entrer la règle directement dans la zone de texte ou utiliser le générateur de règles.
Exemple d'entrée dans la zone de texte :
instance.compartment.id = 'ocid1:compartment:oc1:phx:samplecompartmentocid6q6igvfauxmima74jv'
Pour ajouter la même règle à l'aide du générateur de règles de la console :
- Pour Inclure des instances qui correspondent aux éléments suivants, sélectionnez Tous les éléments suivants.
- Pour Mettre en correspondance les instances avec, sélectionnez OCID du compartiment.
- Pour Valeur, entrez l'OCID du compartiment. Pour cet exemple, vous pouvez entrer
ocid1:compartment:oc1:phx:samplecompartmentocid6q6igvfauxmima74jv
Toutes les instances qui existent actuellement ou qui sont créées dans le compartiment (indiquées par l'OCID) sont membres de ce groupe.
Pour inclure toutes les instances figurant dans un des deux compartiments (ou plus), ajoutez une règle avec la syntaxe suivante :
Any {instance.compartment.id = '<compartment_ocid>', instance.compartment.id = '<compartment_ocid>'}
en séparant chaque entrée de compartiment par une virgule.
Vous pouvez entrer la règle directement dans la zone de texte ou utiliser le générateur de règles.
Exemple d'entrée dans la zone de texte :
Any {instance.compartment.id = 'ocid1:compartment:oc1:phx:samplecompartmentocid6q6igvfauxmima74jv', instance.compartment.id = 'ocid1:compartment:oc1:phx:samplecompartmentocidythksk89ekslsoelu2'}
Pour ajouter la même règle à l'aide du générateur de règles de la console :
- Pour Inclure des instances qui correspondent aux éléments suivants, sélectionnez Un des éléments suivants.
- Pour Mettre en correspondance les instances avec, sélectionnez OCID du compartiment.
- Pour Valeur, entrez l'OCID du compartiment. Pour cet exemple, vous pouvez entrer
ocid1:compartment:oc1:phx:samplecompartmentocid6q6igvfauxmima74jv
- Cliquez sur +Ligne supplémentaire. Entrez les informations suivantes sur la deuxième ligne :
- Pour Mettre en correspondance les instances avec, sélectionnez OCID du compartiment.
- Pour Valeur, entrez l'OCID de compartiment supplémentaire. Pour cet exemple, vous pouvez entrer
ocid1:compartment:oc1:phx:samplecompartmentocidythksk89ekslsoelu2
Les instances qui existent actuellement ou seront créées dans l'un des compartiments spécifiés sont membres de ce groupe.
Pour inclure toutes les instances marquées avec un espace de noms de marqueur et une clé de marqueur spécifiques, ajoutez une règle ayant la syntaxe suivante :
tag.<tagnamespace>.<tagkey>.value
Toutes les instances affectées à la combinaison tagnamespace.tagkey sont incluses. Notez que comme la valeur du marqueur n'est pas évaluée, toutes les valeurs sont incluses.
Exemple : Supposons que vous ayez un espace de noms de marqueur nommé department
et une clé de marqueur nommée operations
. Vous voulez inclure toutes les instances marquées avec l'espace de noms et la clé de marqueur.
Entrez la règle suivante dans la zone de texte :
tag.department.operations.value
Toutes les instances qui existent actuellement ou qui seront créées avec l'espace de noms de marqueur et la clé de marqueur department.operations
sont membres de ce groupe.
Pour inclure toutes les instances d'un compartiment spécifique marquées avec un espace de noms, une clé et une valeur de marqueur spécifiques, ajoutez une règle avec la syntaxe suivante :
All {instance.compartment.id = '<compartment_ocid>', tag.<tagnamespace>.<tagkey>.value='<tagvalue>'}
Toutes les instances qui se trouvent dans le compartiment identifié et auxquelles est affecté tagnamespace.tagkey avec la valeur de marqueur spécifiée sont incluses.
Exemple : Supposons que vous ayez un espace de noms de marqueur nommé department
et une clé de marqueur nommée operations
. Vous voulez inclure toutes les instances marquées avec la valeur 45, qui se trouvent dans un compartiment donné.
Entrez l'énoncé suivant dans la zone de texte :
All {instance.compartment.id='ocid1:compartment:oc1:phx:oc1:phx:samplecompartmentocid6q6igvfauxmima74jv,',
tag.department.operations.value='45'}
Utilisation du générateur de règles
Le générateur de règles est un outil disponible à partir de la console, conçu pour vous aider à écrire des règles de correspondance. Le générateur de règles propose des menus et des zones de texte pour que vous puissiez saisir des entrées, et écrit ensuite la règle pour vous. Comme le générateur de règles comporte des limitations, vous ne pouvez pas l'utiliser pour tous les cas.
Limitations du générateur de règles
Le générateur de règles ne prend pas en charge les éléments suivants :
- Règles d'exclusion - Le générateur de règles vous permet de sélectionner les ID compartiment et les ID instance à inclure uniquement.
- Règles basées sur des marqueurs - Le générateur de règles ne vous permet pas de sélectionner des marqueurs à inclure dans votre règle. Pour ajouter une règle basée sur des valeurs de marqueur, vous devez entrer la règle dans la zone de texte Règle en utilisant la syntaxe ci-dessus.
Lancement du générateur de règles
Lorsque vous cliquez sur Créer un groupe dynamique, le générateur de règles s'affiche dans la boîte de dialogue Créer un groupe dynamique.
Pour créer une règle de correspondance à l'aide du générateur de règles :
- Dans la section Règles de correspondance, cliquez sur Générateur de règles.
-
Dans le menu Inclure des instances qui correspondent aux éléments suivants, sélectionnez Tous les éléments suivants ou Un des éléments suivants.
Tous les éléments suivants inclut uniquement les instances correspondant à tous les énoncés de la règle.
Un des éléments suivants inclut les instances correspondant à n'importe lequel des énoncés de la règle.
Note
Vous pouvez sélectionner les variables d'instance et de compartiment suivantes :- instance.compartment.id et instance.id s'appliquent lors de la mise en correspondance d'instances
- resource.compartment.id, resource.id et resource.type s'appliquent lors de la mise en correspondance de ressources
- Les variables tag.* s'appliquent à la fois aux instances et aux ressources
-
Sélectionnez un type de ressource dans le menu Mettre en correspondance les instances avec, puis entrez l'OCID de la ressource dans le champ Valeur.
OCID du compartiment inclut les instances du compartiment que vous spécifiez.
OCID de l'instance inclut les instances avec les OCID que vous spécifiez.
-
Cliquez sur +Ligne supplémentaire pour ajouter d'autres énoncés à cette règle.
Lorsque vous ajoutez plusieurs énoncés à une règle, gardez à l'esprit que Un des éléments suivants inclut les instances qui correspondent à n'importe lequel des énoncés. Si vous choisissez Tous les éléments suivants, les instances doivent correspondre à toutes les spécifications dans les énoncés pour être incluses dans le groupe.
Exemples d'utilisation du générateur de règles
Pour inclure toutes les instances figurant dans un compartiment spécifique, à l'aide du générateur de règles :
- Sélectionnez Tous les éléments suivants.
- Pour Mettre en correspondance les instances avec, sélectionnez OCID du compartiment.
- Pour Valeur, entrez l'OCID du compartiment, par exemple
ocid1:compartment:oc1:phx:samplecompartmentocidythksk89ekslsoelu2
Toutes les instances qui existent actuellement ou qui sont créées ultérieurement dans le compartiment (indiquées par l'OCID) sont membres de ce groupe.
Pour inclure toutes les instances qui se trouvent dans un des deux compartiments (ou plus) à l'aide du générateur de règles :
- Dans le menu Inclure des instances qui correspondent aux éléments suivants, sélectionnez Un des éléments suivants.
- Sur la première ligne, entrez :
- Pour Mettre en correspondance les instances avec, sélectionnez OCID du compartiment.
- Pour Valeur, entrez l'OCID du compartiment, par exemple :
ocid1:compartment:oc1:phx:samplecompartmentocid6q6igvfauxmima74jv
- Cliquez sur +Ligne supplémentaire. Entrez les informations suivantes sur la deuxième ligne :
- Pour Mettre en correspondance les instances avec, sélectionnez OCID du compartiment.
- Pour Valeur, entrez l'OCID du compartiment, par exemple
ocid1:compartment:oc1:phx:samplecompartmentocidythksk89ekslsoelu2
- Poursuivez l'ajout de lignes supplémentaires au besoin pour chaque compartiment à inclure.
Les instances qui existent actuellement ou seront créées l'un des compartiments spécifiés sont membres de ce groupe.
Utilisation de l'API
Pour plus d'informations sur l'utilisation de l'API et sur les demandes de signature, voir la documentation de l'API REST et Données d'identification de sécurité. Pour plus d'informations sur les trousses SDK, voir Trousses SDK et interface de ligne de commande.
Utilisez les opérations d'API suivantes pour gérer les groupes dynamiques :