Documentation sur Oracle Cloud Infrastructure

Politiques et autorisations pour la gestion d'application de parc

Créez des politiques IAM (Identity and Access Management) pour contrôler qui a accès aux ressources de gestion d'applications de parc et le type d'accès pour chaque groupe d'utilisateurs.

Créez des politiques permettant aux utilisateurs d'avoir les droits nécessaires sur les ressources de gestion des applications de parc. Par défaut, les utilisateurs du groupe Administrators ont accès à toutes les ressources du service de gestion d'applications du parc.

Pour en savoir plus sur les politiques GIA, voir Introduction aux politiques.

Pour obtenir la liste complète de toutes les politiques d'Oracle Cloud Infrastructure, voir Informations de référence sur les politiques et Politiques communes.

La gestion des applications de parc nécessite qu'un administrateur de location ajoute des règles au groupe dynamique créé par la gestion des applications de parc lors de l'intégration. Cette action permet au service de gestion d'applications de parc d'effectuer des opérations de gestion du cycle de vie sur le service de calcul OCI.

Cette section traite des sujets suivants :

Types de ressource et autorisations

Liste des types de ressource Fleet Application Management et des autorisations associées.

Pour affecter des autorisations à toutes les ressources de gestion des applications du parc OCI, utilisez le type d'agrégation fams-family. Pour plus d'informations, voir Autorisations.

Le tableau suivant répertorie toutes les ressources dans fams-family :

Nom de la famille Ressources de membre
fams-family
  • fams-fleets
  • fams-runbooks
  • fams-schedules
  • fams-schedule-jobs
  • fams-maintenance-windows
  • fams-admin
  • fams-onboarding
  • fams-workrequests
  • fams-compliance-policies
  • fams-patches
  • fams-provisions
  • fams-catalog-items
  • fams-software-inventory
  • fams-platform
  • fams-properties

Une politique utilisant <verb> fams-family revient à écrire une politique avec un énoncé <verb> <resource-type> distinct pour chacun des types de ressource individuels.

Type de ressource Permissions
fams-fleets
  • FAMS_FLEET_INSPECT
  • FAMS_FLEET_READ
  • FAMS_FLEET_CREATE
  • FAMS_FLEET_UPDATE
  • FAMS_FLEET_DELETE
  • FAMS_FLEET_MOVE
  • FAMS_COMPLIANCE_REPORT_READ
fams-runbooks
  • FAMS_RUNBOOK_INSPECT
  • FAMS_RUNBOOK_READ
  • FAMS_RUNBOOK_UPDATE
  • FAMS_RUNBOOK_CREATE
  • FAMS_RUNBOOK_DELETE
  • FAMS_RUNBOOK_MOVE
fams-programmes
  • FAMS_SCHEDULE_INSPECT
  • FAMS_SCHEDULE_READ
  • FAMS_SCHEDULE_CREATE
  • FAMS_SCHEDULE_UPDATE
  • FAMS_SCHEDULE_DELETE
  • FAMS_SCHEDULE_CREATE_WITH_SUDO
fams-schedule-jobs
  • FAMS_SCHEDULE_JOB_INSPECT
  • FAMS_SCHEDULE_JOB_READ
  • FAMS_SCHEDULE_JOB_UPDATE
  • FAMS_SCHEDULE_JOB_DELETE
  • FAMS_SCHEDULE_JOB_ACTION
fams-maintenance-fenêtres
  • FAMS_MAINTENANCE_WINDOW_INSPECT
  • FAMS_MAINTENANCE_WINDOW_READ
  • FAMS_MAINTENANCE_WINDOW_CREATE
  • FAMS_MAINTENANCE_WINDOW_UPDATE
  • FAMS_MAINTENANCE_WINDOW_DELETE
Fam-Admin
  • FAMS_ADMIN_INSPECT
  • FAMS_ADMIN_READ
  • FAMS_ADMIN_CREATE
  • FAMS_ADMIN_UPDATE
  • FAMS_ADMIN_DELETE
  • FAMS_ADMIN_MOVE
  • FAMS_COMPLIANCE_REPORT_READ
Fams-onboarding
  • FAMS_ONBOARDING_INSPECT
  • FAMS_ONBOARDING_READ
  • FAMS_ONBOARDING_CREATE
  • FAMS_ONBOARDING_UPDATE
  • FAMS_ONBOARDING_DELETE
fams-demandes de travail
  • FAMS_API_WORK_REQUEST_LIST
  • FAMS_API_WORK_REQUEST_READ
fams-conformité-politiques
  • FAMS_COMPLIANCE_POLICY_INSPECT
  • FAMS_COMPLIANCE_POLICY_READ
  • FAMS_COMPLIANCE_POLICY_CREATE
  • FAMS_COMPLIANCE_POLICY_UPDATE
  • FAMS_COMPLIANCE_POLICY_DELETE
  • FAMS_COMPLIANCE_REPORT_READ
Fam-patches
  • FAMS_PATCH_INSPECT
  • FAMS_PATCH_READ
  • FAMS_PATCH_CREATE
  • FAMS_PATCH_UPDATE
  • FAMS_PATCH_DELETE
  • FAMS_PATCH_MOVE
  • FAMS_COMPLIANCE_REPORT_READ
fams-provisions
  • FAMS_PROVISION_INSPECT
  • FAMS_PROVISION_READ
  • FAMS_PROVISION_CREATE
  • FAMS_PROVISION_UPDATE
  • FAMS_PROVISION_DELETE
  • FAMS_PROVISION_MOVE
fams-catalogues-articles
  • FAMS_CATALOG_ITEM_INSPECT
  • FAMS_CATALOG_ITEM_READ
  • FAMS_CATALOG_ITEM_CREATE
  • FAMS_CATALOG_ITEM_UPDATE
  • FAMS_CATALOG_ITEM_DELETE
  • FAMS_CATALOG_ITEM_MOVE
  • FAMS_CATALOG_ITEM_CLONE
fams-inventaire logiciel
  • FAMS_SOFTWARE_INVENTORY_INSPECT
fams-plateforme
  • FAMS_PLATFORM_INSPECT
  • FAMS_PLATFORM_READ
  • FAMS_PLATFORM_CREATE
  • FAMS_PLATFORM_UPDATE
  • FAMS_PLATFORM_DELETE
  • FAMS_PLATFORM_MOVE
fams-propriétés
  • FAMS_PROPERTY_INSPECT
  • FAMS_PROPERTY_READ
  • FAMS_PROPERTY_CREATE
  • FAMS_PROPERTY_UPDATE
  • FAMS_PROPERTY_DELETE
  • FAMS_PROPERTY_MOVE

Variables prises en charge

Fleet Application Management prend en charge toutes les variables générales et celles listées ici. Pour plus d'informations sur les variables générales prises en charge par les services Oracle Cloud Infrastructure, voir Variables générales pour toutes les demandes.

Type de ressource Variable Type de variable Description
fams-fleets target.famsfleet.id Entité (OCID) Utilisez cette variable pour toutes les opérations de parc à l'exception de la création.
fams-schedules target.famsschedulerdefinition.id Entité (OCID) Utilisez cette variable pour toutes les opérations de programmation à l'exception de la création.
fams-schedule-jobs target.famsschedulerjob.id Entité (OCID) Utilisez cette variable pour toutes les opérations de programmation de commande de production, à l'exception de la création.
fams-maintenance-windows target.famsmaintenacewindow.id Entité (OCID) Utilisez cette variable pour toutes les opérations de fenêtre de maintenance, à l'exception de la création.
fams-runbooks target.famsrunbook.id

target.famstaskrecord.id

Entité (OCID) Utilisez ces variables pour les opérations de tâche de dossier d'exploitation et de dossier d'exploitation, à l'exception de la création.
fams-admin target.famsproperty.id

target.famsplatformconfiguration.id

Entité (OCID) Utilisez ces variables pour les opérations d'administration, à l'exception de la création.
fams-workrequests target.famsworkrequest.id Entité (OCID) Utilisez cette variable pour les opérations list et get.
fams-compliance-policies target.famscompliancepolicy.id Entité (OCID) Utilisez cette variable pour toutes les opérations de politique de conformité, à l'exception de la création.
fams-patches target.famspatch.id Entité (OCID) Utilisez cette variable pour toutes les opérations d'application de correctifs, à l'exception de la création.
fams-catalog-items target.famscatalogitem.id Entité (OCID) Utilisez cette variable pour toutes les opérations d'article de catalogue à l'exception de la création.
fams-provisions target.famsprovision.id Entité (OCID) Utilisez cette variable pour toutes les opérations de provisionnement, à l'exception de la création.

Détails des combinaisons verbe + type de ressource

Identifiez les autorisations et les opérations d'API couvertes par chaque verbe pour les ressources de gestion des applications de parc.

Le niveau d'accès est cumulatif au fur et à mesure que vous progressez depuis inspect à read, use et manage. Un signe plus (+) dans une cellule de tableau indique un accès incrémentiel par rapport à la cellule précédente.

Pour plus d'informations sur l'octroi de l'accès, voir Autorisations.

fams-fleets
Verbes Permissions API entièrement couvertes API partiellement couvertes
inspect FAMS_FLEET_INSPECT ListFleets

ListInventoryResources

ListTargets

ListFleetTargets

ListFleetProducts

ListFleetResources

ListFleetProperties

ListFleetCredentials

ListProperties (peut également utiliser FAMS_ADMIN_INSPECT ou FAMS_PROPERTY_INSPECT)
read

inspect+

FAMS_FLEET_READ

inspect+

GetFleet

GetFleetResource

GetFleetProperty

GetComplianceReport

GetFleetCredential

GenerateComplianceReport

CreateSchedulerDefinition (requiert également FAMS_SCHEDULE_CREATE et FAMS_RUNBOOK_READ) et les éléments suivants selon vos besoins :
  • Si le type de paramètre d'entrée est FILE et qu'il doit être sélectionné dans le stockage d'objets, OBJECT_INSPECT, OBJECT_READ sont nécessaires
  • Si l'attribut de dossier d'exploitation need sudo access est Vrai, FAMS_SCHEDULE_CREATE_WITH_SUDO est nécessaire
UpdateSchedulerDefinition (requiert également FAMS_SCHEDULE_UPDATE et FAMS_RUNBOOK_READ) et les éléments suivants selon vos besoins :
  • Si le type de paramètre d'entrée est FILE et qu'il doit être sélectionné dans le stockage d'objets, OBJECT_INSPECT, OBJECT_READ sont nécessaires
  • Si l'attribut de dossier d'exploitation need sudo access est Vrai, FAMS_SCHEDULE_CREATE_WITH_SUDO est nécessaire

GetProperty (peut également utiliser FAMS_ADMIN_READ ou FAMS_PROPERTY_READ)

ListComplianceRecords (peut également utiliser FAMS_COMPLIANCE_REPORT_READ, FAMS_PATCH_READ, FAMS_ADMIN_READ ou FAMS_COMPLIANCE_POLICY_READ)

ExportComplianceReport (peut également utiliser FAMS_COMPLIANCE_REPORT_READ, FAMS_PATCH_READ, FAMS_ADMIN_READ ou FAMS_COMPLIANCE_POLICY_READ)

SummarizeComplianceRecordCounts (peut également utiliser FAMS_COMPLIANCE_REPORT_READ, FAMS_PATCH_READ, FAMS_ADMIN_READ ou FAMS_COMPLIANCE_POLICY_READ)

SummarizeManagedEntityCounts (peut également utiliser FAMS_COMPLIANCE_REPORT_READ, FAMS_PATCH_READ, FAMS_ADMIN_READ ou FAMS_COMPLIANCE_POLICY_READ)

CreateProvision (requiert également FAMS_PROVISION_CREATE et FAMS_CATALOG_ITEM_READ)
use

read+

FAMS_FLEET_UPDATE

read+

UpdateFleet (requiert également FAMS_PLATFORM_READ) et les éléments suivants selon vos besoins :
  • Si le parc parent doit être spécifié, FAMS_FLEET_READ est nécessaire
  • Si des sujets du service d'avis doivent être spécifiés, ONS_TOPIC_READ est nécessaire
  • Si une instance doit être ajoutée à un parc, INSTANCE_READ est nécessaire
  • Si un dbSystem doit être ajouté à un parc, DB_SYSTEM_INSPECT, DB_SYSTEM_QUERY est nécessaire
  • Si un vmCluster doit être ajouté à un parc, VM_CLUSTER_INSPECT est nécessaire
UpdateFleetResource nécessite également les éléments suivants selon vos besoins :
  • Si une instance doit être ajoutée à un parc, INSTANCE_READ est nécessaire
  • Si un dbSystem doit être ajouté à un parc, DB_SYSTEM_INSPECT, DB_SYSTEM_QUERY est nécessaire
  • Si un vmCluster doit être ajouté à un parc, VM_CLUSTER_INSPECT est nécessaire

UpdateFleetProperty (requiert également FAMS_PROPERTY_READ

UpdateFleetCredential (requiert également FAMS_PROPERTY_READ et VAULT_INSPECT) et les éléments suivants selon vos besoins :
  • Si les données d'identification sont créées à l'aide de la clé de chambre forte OCI, KEY_READ est nécessaire
  • Si les données d'identification sont créées à l'aide de la clé secrète de la chambre forte OCI, SECRET_READ est nécessaire
manage

use+

FAMS_FLEET_CREATE

use+

ConfirmTargets

RequestTargetDiscovery

RequestResourceValidation

CheckResourceTagging

CreateFleet (requiert également FAMS_PLATFORM_READ et les éléments suivants selon vos besoins :
  • Si le parc parent doit être spécifié, FAMS_FLEET_READ est nécessaire
  • Si des sujets du service d'avis doivent être spécifiés, ONS_TOPIC_READ est nécessaire
  • Si une instance doit être ajoutée à un parc, INSTANCE_READ est nécessaire
  • Si un dbSystem doit être ajouté à un parc, DB_SYSTEM_INSPECT, DB_SYSTEM_QUERY est nécessaire
  • Si un vmCluster doit être ajouté à un parc, VM_CLUSTER_INSPECT est nécessaire
CreateFleetResource nécessite également les éléments suivants selon vos besoins :
  • Si une instance doit être ajoutée à un parc, INSTANCE_READ est nécessaire
  • Si un dbSystem doit être ajouté à un parc, DB_SYSTEM_INSPECT, DB_SYSTEM_QUERY est nécessaire
  • Si un vmCluster doit être ajouté à un parc, VM_CLUSTER_INSPECT est nécessaire

CreateFleetProperty (requiert également FAMS_PROPERTY_READ

CreateFleetCredential (requiert également FAMS_PLATFORM_READ, VAULT_INSPECT et les éléments suivants selon vos besoins :
  • Si les données d'identification sont créées à l'aide de la clé de chambre forte OCI, KEY_READ est nécessaire
  • Si les données d'identification sont créées à l'aide de la clé secrète de la chambre forte OCI, SECRET_READ est nécessaire
manage

use+

FAMS_FLEET_DELETE

use+

DeleteFleet

DeleteFleetResource

DeleteFleetProperty

DeleteFleetCredential

manage

use+

FAMS_FLEET_MOVE

use+

ChangeFleetCompartment

fams-runbooks
Verbes Permissions API entièrement couvertes API partiellement couvertes
inspect FAMS_RUNBOOK_INSPECT ListRunbooks

ListTaskRecords

read

inspect+

FAMS_RUNBOOK_READ

inspect+

GetRunbook

GetTaskRecord

CreateRunbook (requiert également FAMS_RUNBOOK_CREATE et FAMS_PLATFORM_READ). Si une tâche s'exécute sur une instance auto-hébergée, INSTANCE_READ est nécessaire

UpdateRunbook (requiert également FAMS_RUNBOOK_UPDATE et FAMS_PLATFORM_READ). Si une tâche s'exécute sur une instance auto-hébergée, INSTANCE_READ est nécessaire

CreateRunbookVersion (requiert également FAMS_RUNBOOK_CREATE et FAMS_PLATFORM_READ). Si une tâche s'exécute sur une instance auto-hébergée, INSTANCE_READ est nécessaire

UpdateRunbookVersion (requiert également FAMS_RUNBOOK_UPDATE et FAMS_PLATFORM_READ). Si une tâche s'exécute sur une instance auto-hébergée, INSTANCE_READ est nécessaire

CreateSchedulerDefinition (requiert également FAMS_SCHEDULE_CREATE et FAMS_FLEET_READ) et les éléments suivants selon vos besoins :
  • Si le type de paramètre d'entrée est FILE et qu'il doit être sélectionné dans le stockage d'objets, OBJECT_INSPECT, OBJECT_READ est nécessaire
  • Si l'attribut de dossier d'exploitation need sudo access est Vrai, FAMS_SCHEDULE_CREATE_WITH_SUDO est nécessaire
UpdateSchedulerDefinition (requiert également FAMS_SCHEDULE_UPDATE et FAMS_FLEET_READ) et les éléments suivants selon vos besoins :
  • Si le type de paramètre d'entrée est FILE et qu'il doit être sélectionné dans le stockage d'objets, OBJECT_INSPECT, OBJECT_READ est nécessaire
  • Si l'attribut de dossier d'exploitation need sudo access est Vrai, FAMS_SCHEDULE_CREATE_WITH_SUDO est nécessaire
use

read+

FAMS_RUNBOOK_UPDATE

read+

SetDefaultRunbook

UpdateRunbook (requiert également FAMS_RUNBOOK_READ et FAMS_PLATFORM_READ). Si la tâche doit être exécutée sur une instance auto-hébergée, INSTANCE_READ est nécessaire

UpdateTaskRecord nécessite également les éléments suivants selon vos besoins :
  • Si la plate-forme (produit), l'opération (opération de cycle de vie), les données d'identification doivent être spécifiées, requiert FAMS_PLATFORM_READ
  • Si le type d'action est TERRAFORM, FAMS_CATALOG_ITEM_READ est nécessaire
  • Si le type d'action est SCRIPT et que le script doit référencer CATALOG ITEM, FAMS_CATALOG_ITEM_READ est nécessaire
  • Si le type d'action est SCRIPT et que le script doit être sélectionné dans le stockage d'objets, OBJECT_INSPECT, OBJECT_READ est nécessaire
manage

use+

FAMS_RUNBOOK_CREATE

use+

CreateRunbook (requiert également FAMS_RUNBOOK_READ et FAMS_PLATFORM_READ). Si la tâche doit être exécutée sur une instance auto-hébergée, INSTANCE_READ est nécessaire

CreateTaskRecord nécessite les éléments suivants selon vos besoins :
  • Si la plate-forme (produit), l'opération (opération de cycle de vie), les données d'identification doivent être spécifiées, requiert FAMS_PLATFORM_READ
  • Si le type d'action est TERRAFORM, FAMS_CATALOG_ITEM_READ est nécessaire
  • Si le type d'action est SCRIPT et que le script doit référencer CATALOG ITEM, FAMS_CATALOG_ITEM_READ est nécessaire
  • Si le type d'action est SCRIPT et que le script doit être sélectionné dans le stockage d'objets, OBJECT_INSPECT, OBJECT_READ est nécessaire
manage

use+

FAMS_RUNBOOK_DELETE

use+

DeleteTaskRecord

manage

use+

FAMS_RUNBOOK_MOVE

use+

ChangeRunbookCompartment

ChangeTaskRecordCompartment

fams-horaires
Verbes Permissions API entièrement couvertes API partiellement couvertes
inspect FAMS_SCHEDULE_INSPECT ListSchedulerDefinitions

ListSchedulerJobs (peut également utiliser FAMS_SCHEDULE_JOB_INSPECT)

SummarizeSchedulerJobCounts (peut également utiliser FAMS_SCHEDULE_JOB_INSPECT0
read

inspect+

FAMS_SCHEDULE_READ

inspect+

GetSchedulerDefinition

ListScheduledFleets

GetSchedulerJob (peut également utiliser FAMS_SCHEDULE_JOB_READ)

GetJobActivity (peut également utiliser FAMS_SCHEDULE_JOB_READ)

ListExecutions (peut également utiliser FAMS_SCHEDULE_JOB_READ)

GetExecution (peut également utiliser FAMS_SCHEDULE_JOB_READ)

ListSteps (peut également utiliser FAMS_SCHEDULE_JOB_READ

ListResources (peut également utiliser FAMS_SCHEDULE_JOB_READ

ListSchedulerExecutions (peut également utiliser FAMS_SCHEDULE_JOB_READ)
use

read+

FAMS_SCHEDULE_UPDATE

read+

UpdateSchedulerDefinition (peut également utiliser FAMS_SCHEDULE_CREATE_WITH_SUDO, FAMS_FLEET_READ et FAMS_RUNBOOK_READ) et nécessite les éléments suivants selon vos besoins :
  • Si le type de paramètre d'entrée est FILE et qu'il doit être sélectionné dans le stockage d'objets, OBJECT_INSPECT, OBJECT_READ est nécessaire
  • Si l'attribut de dossier d'exploitation need sudo access est Vrai, FAMS_SCHEDULE_CREATE_WITH_SUDO est nécessaire

UpdateSchedulerJob (peut également utiliser FAMS_SCHEDULE_JOB_UPDATE ou FAMS_SCHEDULE_CREATE_WITH_SUDO)

ManageJobExecution (peut également utiliser FAMS_SCHEDULE_JOB_ACTION ou FAMS_SCHEDULE_CREATE_WITH_SUDO)

manage

use+

FAMS_SCHEDULE_CREATE

use+

CreateSchedulerDefinition (peut également utiliser FAMS_SCHEDULE_CREATE_WITH_SUDO et nécessite FAMS_RUNBOOK_READ et FAMS_FLEET_READ) et les éléments suivants selon vos besoins :
  • Si le type de paramètre d'entrée est FILE et qu'il doit être sélectionné dans le stockage d'objets, OBJECT_INSPECT, OBJECT_READ est nécessaire
  • Si l'attribut de dossier d'exploitation need sudo access est Vrai, FAMS_SCHEDULE_CREATE_WITH_SUDO est nécessaire
manage

use+

FAMS_SCHEDULE_DELETE

use+

DeleteSchedulerDefinition

DeleteSchedulerJob (peut également utiliser FAMS_SCHEDULE_JOB_DELETE)
manage

use+

FAMS_SCHEDULE_CREATE_WITH_SUDO

use+

CreateSchedulerDefinition (peut également utiliser FAMS_SCHEDULE_CREATE et nécessite FAMS_RUNBOOK_READ et FAMS_FLEET_READ) et les éléments suivants selon vos besoins :
  • Si le type de paramètre d'entrée est FILE et qu'il doit être sélectionné dans le stockage d'objets, OBJECT_INSPECT, OBJECT_READ est nécessaire
  • Si l'attribut de dossier d'exploitation need sudo access est Vrai, FAMS_SCHEDULE_CREATE_WITH_SUDO est nécessaire
UpdateSchedulerDefinition (peut également utiliser FAMS_SCHEDULE_UPDATE et nécessite FAMS_RUNBOOK_READ et FAMS_FLEET_READ) et les éléments suivants selon vos besoins :
  • Si le type de paramètre d'entrée est FILE et qu'il doit être sélectionné dans le stockage d'objets, OBJECT_INSPECT, OBJECT_READ est nécessaire
  • Si l'attribut de dossier d'exploitation need sudo access est Vrai, FAMS_SCHEDULE_CREATE_WITH_SUDO est nécessaire

UpdateSchedulerJob (peut également utiliser FAMS_SCHEDULE_UPDATE ou FAMS_SCHEDULE_JOB_UPDATE )

ManageJobExecution (peut également utiliser FAMS_SCHEDULE_UPDATE ou FAMS_SCHEDULE_JOB_ACTION)

fams-schedule-jobs
Verbes Permissions API entièrement couvertes API partiellement couvertes
inspect FAMS_SCHEDULE_JOB_INSPECT

ListSchedulerJobs (peut également utiliser FAMS_SCHEDULE_INSPECT)

SummarizeSchedulerJobCounts (peut également utiliser FAMS_SCHEDULE_INSPECT0
read

inspect+

FAMS_SCHEDULE_JOB_READ

inspect+

GetSchedulerJob (peut également utiliser FAMS_SCHEDULE_READ)

GetJobActivity (peut également utiliser FAMS_SCHEDULE_READ )

ListExecutions (peut également utiliser FAMS_SCHEDULE_READ )

GetExecution (peut également utiliser FAMS_SCHEDULE_READ )

ListSteps (peut également utiliser FAMS_SCHEDULE_READ )

ListResources (peut également utiliser FAMS_SCHEDULE_READ )

ListSchedulerExecutions (peut également utiliser FAMS_SCHEDULE_READ )
use

read+

FAMS_SCHEDULE_JOB_UPDATE

read+

UpdateSchedulerJob (peut également utiliser FAMS_SCHEDULE_UPDATE ou FAMS_SCHEDULE_CREATE_WITH_SUDO)
use

read+

FAMS_SCHEDULE_JOB_ACTION

read+

ManageJobExecution (peut également utiliser FAMS_SCHEDULE_UPDATE ou FAMS_SCHEDULE_CREATE_WITH_SUDO)
manage

use+

FAMS_SCHEDULE_JOB_DELETE

use+

DeleteSchedulerJob (peut également utiliser FAMS_SCHEDULE_DELETE)
fams-maintenance-fenêtres
Verbes Permissions API entièrement couvertes API partiellement couvertes
inspect FAMS_MAINTENANCE_WINDOW_INSPECT ListMaintenanceWindows
read

inspect+

FAMS_MAINTENANCE_WINDOW_READ

inspect+

GetMaintenanceWindow

use

read+

FAMS_MAINTENANCE_WINDOW_UPDATE

read+

UpdateMaintenanceWindow

manage

use+

FAMS_MAINTENANCE_WINDOW_CREATE

use+

CreateMaintenanceWindow

manage

use+

FAMS_MAINTENANCE_WINDOW_DELETE

use+

DeleteMaintenanceWindow

fams-admin
Verbes Permissions API entièrement couvertes API partiellement couvertes
inspect FAMS_ADMIN_INSPECT

ListProperties (peut également utiliser FAMS_FLEET_INSPECT ou FAMS_PROPERTY_INSPECT)
read

inspect+

FAMS_ADMIN_READ

inspect+

GetProperty (peut également utiliser FAMS_FLEET_READ ou FAMS_PROPERTY_READ)

CompliaceReportDetails (peut également utiliser FAMS_COMPLIANCE_REPORT_READ, FAMS_FLEET_READ, FAMS_PATCH_READ ou FAMS_COMPLIANCE_POLICY_READ)

ListComplianceRecords (peut également utiliser FAMS_COMPLIANCE_REPORT_READ , FAMS_FLEET_READ , FAMS_PATCH_READ ou FAMS_COMPLIANCE_POLICY_READ)

ExportComplianceReport (peut également utiliser FAMS_COMPLIANCE_REPORT_READ, FAMS_FLEET_READ, FAMS_PATCH_READ ou FAMS_COMPLIANCE_POLICY_READ)

SummarizeComplianceRecordCounts (peut également utiliser FAMS_COMPLIANCE_REPORT_READ, FAMS_FLEET_READ, FAMS_PATCH_READ, FAMS_COMPLIANCE_POLICY_READ)

SummarizeManagedEntityCounts (peut également utiliser FAMS_COMPLIANCE_REPORT_READ, FAMS_FLEET_READ, FAMS_PATCH_READ ou FAMS_COMPLIANCE_POLICY_READ)

use

read+

FAMS_ADMIN_UPDATE

read+

ManageSettings

UpdateProperty (peut également utiliser FAMS_PROPERTY_UPDATE)

UpdatePlatformConfiguration (peut également utiliser FAMS_PLATFORM_UPDATE ) et les éléments suivants selon vos besoins :
  • Si configCategory est PRODUCT_STACK et que les produits appartenant à une pile, à un type de correctif ou à des données d'identification doivent être spécifiés, FAMS_PLATFORM_READ est nécessaire
  • Si configCategory est PRODUCT et que des produits, un type de correctif ou des données d'identification compatibles doivent être ajoutés, FAMS_PLATFORM_READ est nécessaire
  • Si configCategory est SELF_HOSTED_INSTANCE, requiert INSTANCE_READ

UpdateOnboarding (peut également utiliser FAMS_ONBOARDING_UPDATE et nécessite TAG_NAMESPACE_CREATE et TAG_DEFINITION_ADD)
manage

use+

FAMS_ADMIN_CREATE

use+

CreateProperty (peut également utiliser FAMS_PROPERTY_CREATE)

CreatePlatformConfiguration (peut également utiliser FAMS_PLATFORM_CREATE) et nécessite les éléments suivants selon vos besoins :
  • Si configCategory est PRODUCT_STACK et que les produits appartenant à une pile, à un type de correctif ou à des données d'identification doivent être spécifiés, FAMS_PLATFORM_READ est nécessaire
  • Si configCategory est PRODUCT et que des produits, un type de correctif ou des données d'identification compatibles doivent être ajoutés, FAMS_PLATFORM_READ est nécessaire
  • Si configCategory est SELF_HOSTED_INSTANCE, requiert INSTANCE_READ

CreateOnboarding (peut également utiliser FAMS_ONBOARDING_CREATE et nécessite DYNAMIC_GROUP_CREATE, POLICY_CREATE, TAG_NAMESPACE_CREATE et TAG_DEFINITION_ADD)

EnableLatestPolicy (peut également utiliser FAMS_ONBOARDING_CREATE et nécessite DYNAMIC_GROUP_CREATE, POLICY_CREATE, TAG_NAMESPACE_CREATE et TAG_DEFINITION_ADD)

ListOnboardingPolicies (peut également utiliser FAMS_ONBOARDING_CREATE et nécessite DYNAMIC_GROUP_CREATE, POLICY_CREATE, TAG_NAMESPACE_CREATE et TAG_DEFINITION_ADD)
manage

use+

FAMS_ADMIN_DELETE

use+

DeleteProperty (peut également utiliser FAMS_PROPERTY_DELETE)

DeletePlatformConfiguration (peut également utiliser FAMS_PLATFORM_DELETE)

DeleteOnboarding (peut également utiliser FAMS_ONBOARDING_DELETE et nécessite DYNAMIC_GROUP_DELETE, POLICY_DELETE, TAG_NAMESPACE_RETIRE et TAG_DEFINITION_RETIRE)
manage

use+

FAMS_ADMIN_MOVE

use+

ChangePropertyCompartment (peut également utiliser FAMS_PROPERTY_MOVE)

ChangePlatformConfigurationCompartment (peut également utiliser FAMS_PLATFORM_MOVE)
Fams-onboarding
Verbes Permissions API entièrement couvertes API partiellement couvertes
inspect FAMS_ONBOARDING_INSPECT

Un utilisateur normal (et non un administrateur) doit disposer de cette autorisation pour accéder à la location.

ListOnboardings

ListAnnouncements

read

inspect+

FAMS_ONBOARDING_READ

inspect+

GetOnboarding

use

read+

FAMS_ONBOARDING_UPDATE

read+

UpdateOnboarding (peut également utiliser FAMS_ADMIN_UPDATE et nécessite TAG_NAMESPACE_CREATE et TAG_DEFINITION_ADD)
manage

use+

FAMS_ONBOARDING_CREATE

use+

CreateOnboarding (peut également utiliser FAMS_ADMIN_CREATE et nécessite DYNAMIC_GROUP_CREATE, POLICY_CREATE, TAG_NAMESPACE_CREATE et TAG_DEFINITION_ADD)

EnableLatestPolicy (peut également utiliser FAMS_ADMIN_CREATE et nécessite DYNAMIC_GROUP_CREATE, POLICY_CREATE, TAG_NAMESPACE_CREATE et TAG_DEFINITION_ADD)

ListOnboardingPolicies (peut également utiliser FAMS_ADMIN_CREATE et nécessite DYNAMIC_GROUP_CREATE, POLICY_CREATE, TAG_NAMESPACE_CREATE et TAG_DEFINITION_ADD)
manage

use+

FAMS_ONBOARDING_DELETE

use+

DeleteOnboarding (peut également utiliser FAMS_ADMIN_DELETE et nécessite DYNAMIC_GROUP_DELETE, POLICY_DELETE, TAG_NAMESPACE_RETIRE et TAG_DEFINITION_RETIRE)
fams-demandes de travail
Verbes Permissions API entièrement couvertes API partiellement couvertes
inspect FAMS_API_WORK_REQUEST_LIST ListWorkRequests
read

inspect+

FAMS_API_WORK_REQUEST_READ

inspect+

GetWorkRequest

ListWorkRequestErrors

ListWorkRequestLogs

fams-conformité-politiques
Verbes Permissions API entièrement couvertes API partiellement couvertes
inspect FAMS_COMPLIANCE_POLICY_INSPECT

ListCompliancePolicies

ListCompliancePolicyRules

read

inspect+

FAMS_COMPLIANCE_POLICY_READ

inspect+

GetCompliancePolicy

GetCompliancePolicyRule

CompliaceReportDetails (peut également utiliser FAMS_COMPLIANCE_REPORT_READ, FAMS_FLEET_READ, FAMS_PATCH_READ ou FAMS_ADMIN_READ)

ListComplianceRecords (peut également utiliser FAMS_COMPLIANCE_REPORT_READ, FAMS_FLEET_READ, FAMS_PATCH_READ ou FAMS_ADMIN_READ)

ExportComplianceReport (peut également utiliser FAMS_COMPLIANCE_REPORT_READ FAMS_FLEET_READ FAMS_PATCH_READ ou FAMS_ADMIN_READ)

SummarizeComplianceRecordCounts (peut également utiliser FAMS_COMPLIANCE_REPORT_READ FAMS_FLEET_READ FAMS_PATCH_READ ou FAMS_ADMIN_READ)

SummarizeManagedEntityCounts (peut également utiliser FAMS_COMPLIANCE_REPORT_READ FAMS_FLEET_READ FAMS_PATCH_READ ou FAMS_ADMIN_READ)
read

inspect+

FAMS_COMPLIANCE_REPORT_READ

inspect+

ListComplianceRecords (peut également utiliser FAMS_FLEET_READ, FAMS_PATCH_READ, FAMS_ADMIN_READ ou FAMS_COMPLIANCE_POLICY_READ)

ExportComplianceReport (peut également utiliser FAMS_FLEET_READ, FAMS_PATCH_READ, FAMS_ADMIN_READ ou FAMS_COMPLIANCE_POLICY_READ)

SummarizeComplianceRecordCounts (peut également utiliser FAMS_FLEET_READ, FAMS_PATCH_READ, FAMS_ADMIN_READ ou FAMS_COMPLIANCE_POLICY_READ)

SummarizeManagedEntityCounts (peut également utiliser FAMS_FLEET_READ, FAMS_PATCH_READ, FAMS_ADMIN_READ ou FAMS_COMPLIANCE_POLICY_READ)
use

read+

FAMS_COMPLIANCE_POLICY_UPDATE

read+

UpdateCompliancePolicyRule

manage

use+

FAMS_COMPLIANCE_POLICY_CREATE

use+

CreateCompliancePolicyRule

manage

use+

FAMS_COMPLIANCE_POLICY_DELETE

use+

DeleteCompliancePolicyRule

fams-patches
Verbes Permissions API entièrement couvertes API partiellement couvertes
inspect FAMS_PATCH_INSPECT ListPatches
read

inspect+

FAMS_PATCH_READ

inspect+

GetPatch

ListComplianceRecords (peut également utiliser FAMS_COMPLIANCE_REPORT_READ, FAMS_FLEET_READ, FAMS_ADMIN_READ ou FAMS_COMPLIANCE_POLICY_READ)

ExportComplianceReport (peut également utiliser FAMS_COMPLIANCE_REPORT_READ, FAMS_FLEET_READ, FAMS_ADMIN_READ ou FAMS_COMPLIANCE_POLICY_READ)

SummarizeComplianceRecordCounts (peut également utiliser FAMS_COMPLIANCE_REPORT_READ, FAMS_FLEET_READ, FAMS_ADMIN_READ ou FAMS_COMPLIANCE_POLICY_READ)

SummarizeManagedEntityCounts (peut également utiliser FAMS_COMPLIANCE_REPORT_READ, FAMS_FLEET_READ, FAMS_ADMIN_READ ou FAMS_COMPLIANCE_POLICY_READ)
use

read+

FAMS_PATCH_UPDATE

read+

UpdatePatch (requiert également FAMS_PLATFORM_READ, OBJECT_INSPECT et OBJECT_READ)
manage

use+

FAMS_PATCH_CREATE

use+

CreatePatch (requiert également FAMS_PLATFORM_READ, OBJECT_INSPECT et OBJECT_READ)
manage

use+

FAMS_PATCH_DELETE

use+

DeletePatch

manage

use+

FAMS_PATCH_MOVE

use+

ChangePatchCompartment

fams-provisions
Verbes Permissions API entièrement couvertes API partiellement couvertes
inspect FAMS_PROVISION_INSPECT

ListProvisions

read

inspect+

FAMS_PROVISION_READ

inspect+

GetProvision

use

read+

FAMS_PROVISION_UPDATE

read+

UpdateProvision

manage

use+

FAMS_PROVISION_CREATE

use+

CreateProvision (requiert également FAMS_FLEET_READ et FAMS_CATALOG_ITEM_READ)

manage

use+

FAMS_PROVISION_DELETE

use+

DeleteProvision

manage

use+

FAMS_PROVISION_MOVE

use+

ChangeProvisionCompartment

fams-catalogues-articles
Verbes Permissions API entièrement couvertes API partiellement couvertes
inspect FAMS_CATALOG_ITEM_INSPECT

ListCatalogItems

read

inspect+

FAMS_CATALOG_ITEM_READ

inspect+

GetCatalogItem

CreateTaskRecord nécessite les éléments suivants selon vos besoins :
  • Si la plate-forme (produit), l'opération (opération de cycle de vie), les données d'identification doivent être spécifiées, requiert FAMS_PLATFORM_READ
  • Si le type d'action est TERRAFORM, FAMS_CATALOG_ITEM_READ est nécessaire
  • Si le type d'action est SCRIPT et que le script doit référencer CATALOG ITEM, FAMS_CATALOG_ITEM_READ est nécessaire
  • Si le type d'action est SCRIPT et que le script doit être sélectionné dans le stockage d'objets, OBJECT_INSPECT, OBJECT_READ est nécessaire
UpdateTaskRecord nécessite également les éléments suivants selon vos besoins :
  • Si la plate-forme (produit), l'opération (opération de cycle de vie), les données d'identification doivent être spécifiées, requiert FAMS_PLATFORM_READ
  • Si le type d'action est TERRAFORM, FAMS_CATALOG_ITEM_READ est nécessaire
  • Si le type d'action est SCRIPT et que le script doit référencer CATALOG ITEM, FAMS_CATALOG_ITEM_READ est nécessaire
  • Si le type d'action est SCRIPT et que le script doit être sélectionné dans le stockage d'objets, OBJECT_INSPECT, OBJECT_READ est nécessaire

CreateProvision (requiert également FAMS_PROVISION_CREATE et FAMS_FLEET_READ)

use

read+

FAMS_CATALOG_ITEM_UPDATE

read+

UpdateCatalogItem (requiert également les éléments suivants selon vos besoins) :
  • Si vous créez un élément de catalogue à l'aide de la source en tant que stockage d'objets, OBJECT_INSPECT et OBJECT_READ sont nécessaires
  • Si vous créez un élément de catalogue à l'aide de la configuration du gestionnaire de ressources, ORM_CONFIG_SOURCE_PROVIDER_INSPECT est nécessaire
manage

use+

FAMS_CATALOG_ITEM_CREATE

use+

CreateCatalogItem (requiert également les éléments suivants selon vos besoins) :
  • Si vous créez un élément de catalogue à l'aide de la source en tant que stockage d'objets, OBJECT_INSPECT et OBJECT_READ sont nécessaires
  • Si vous créez un élément de catalogue à l'aide de la configuration du gestionnaire de ressources, ORM_CONFIG_SOURCE_PROVIDER_INSPECT est nécessaire
manage

use+

FAMS_CATALOG_ITEM_DELETE

use+

DeleteCatalogItem

manage

use+

FAMS_CATALOG_ITEM_MOVE

use+

ChangeCatalogItemCompartment

manage

use+

FAMS_CATALOG_ITEM_CLONE

CloneCatalogItem
fams-inventaire logiciel
Verbes Permissions API entièrement couvertes API partiellement couvertes
inspect FAMS_SOFTWARE_INVENTORY_INSPECT

ListInventoryRecords

fams-plateforme
Verbes Permissions API entièrement couvertes API partiellement couvertes
inspect FAMS_PLATFORM_INSPECT

ListPlatformConfigurations

read

inspect+

FAMS_PLATFORM_READ

inspect+

GetPlatformConfiguration

CreateFleet (requiert également FAMS_FLEET_CREATE et les éléments suivants selon vos besoins :
  • Si le parc parent doit être spécifié, FAMS_FLEET_READ est nécessaire
  • Si des sujets du service d'avis doivent être spécifiés, ONS_TOPIC_READ est nécessaire
  • Si une instance doit être ajoutée à un parc, INSTANCE_READ est nécessaire
  • Si un dbSystem doit être ajouté à un parc, DB_SYSTEM_INSPECT, DB_SYSTEM_QUERY est nécessaire
  • Si un vmCluster doit être ajouté à un parc, VM_CLUSTER_INSPECT est nécessaire
UpdateFleet (requiert également FAMS_FLEET_UPDATE) et les éléments suivants selon vos besoins :
  • Si le parc parent doit être spécifié, FAMS_FLEET_READ est nécessaire
  • Si des sujets du service d'avis doivent être spécifiés, ONS_TOPIC_READ est nécessaire
  • Si une instance doit être ajoutée à un parc, INSTANCE_READ est nécessaire
  • Si un dbSystem doit être ajouté à un parc, DB_SYSTEM_INSPECT, DB_SYSTEM_QUERY est nécessaire
  • Si un vmCluster doit être ajouté à un parc, VM_CLUSTER_INSPECT est nécessaire
CreateFleetCredential (requiert également FAMS_FLEET_CREATE , VAULT_INSPECT et les éléments suivants selon vos besoins :
  • Si les données d'identification sont créées à l'aide de la clé de chambre forte OCI, KEY_READ est nécessaire
  • Si les données d'identification sont créées à l'aide de la clé secrète de la chambre forte OCI, SECRET_READ est nécessaire

CreateRunbook (requiert également FAMS_RUNBOOK_READ et FAMS_RUNBOOK_CREATE). Si la tâche doit être exécutée sur une instance auto-hébergée, INSTANCE_READ est nécessaire

UpdateRunbook (requiert également FAMS_RUNBOOK_READ et FAMS_RUNBOOK_UPDATE). Si la tâche doit être exécutée sur une instance auto-hébergée, INSTANCE_READ est nécessaire

CreateRunbookVersion (requiert également FAMS_RUNBOOK_CREATE et FAMS_RUNBOOK_READ ). Si une tâche s'exécute sur une instance auto-hébergée, INSTANCE_READ est nécessaire

UpdateRunbookVersion (requiert également FAMS_RUNBOOK_UPDATE et FAMS_RUNBOOK_READ). Si une tâche s'exécute sur une instance auto-hébergée, INSTANCE_READ est nécessaire

CreateTaskRecord nécessite les éléments suivants selon vos besoins :
  • Si la plate-forme (produit), l'opération (opération de cycle de vie), les données d'identification doivent être spécifiées, requiert FAMS_PLATFORM_READ
  • Si le type d'action est TERRAFORM, FAMS_CATALOG_ITEM_READ est nécessaire
  • Si le type d'action est SCRIPT et que le script doit référencer CATALOG ITEM, FAMS_CATALOG_ITEM_READ est nécessaire
  • Si le type d'action est SCRIPT et que le script doit être sélectionné dans le stockage d'objets, OBJECT_INSPECT, OBJECT_READ est nécessaire
UpdateTaskRecord nécessite également les éléments suivants selon vos besoins :
  • Si la plate-forme (produit), l'opération (opération de cycle de vie), les données d'identification doivent être spécifiées, requiert FAMS_PLATFORM_READ
  • Si le type d'action est TERRAFORM, FAMS_CATALOG_ITEM_READ est nécessaire
  • Si le type d'action est SCRIPT et que le script doit référencer CATALOG ITEM, FAMS_CATALOG_ITEM_READ est nécessaire
  • Si le type d'action est SCRIPT et que le script doit être sélectionné dans le stockage d'objets, OBJECT_INSPECT, OBJECT_READ est nécessaire
CreatePlatformConfiguration (peut également utiliser FAMS_PLATFORM_CREATE) et nécessite les éléments suivants selon vos besoins :
  • Si configCategory est PRODUCT_STACK et que les produits appartenant à une pile, à un type de correctif ou à des données d'identification doivent être spécifiés, FAMS_PLATFORM_READ est nécessaire
  • Si configCategory est PRODUCT et que des produits, un type de correctif ou des données d'identification compatibles doivent être ajoutés, FAMS_PLATFORM_READ est nécessaire
  • Si configCategory est SELF_HOSTED_INSTANCE, requiert INSTANCE_READ
UpdatePlatformConfiguration (peut également utiliser FAMS_PLATFORM_UPDATE ) et les éléments suivants selon vos besoins :
  • Si configCategory est PRODUCT_STACK et que les produits appartenant à une pile, à un type de correctif ou à des données d'identification doivent être spécifiés, FAMS_PLATFORM_READ est nécessaire
  • Si configCategory est PRODUCT et que des produits, un type de correctif ou des données d'identification compatibles doivent être ajoutés, FAMS_PLATFORM_READ est nécessaire
  • Si configCategory est SELF_HOSTED_INSTANCE, requiert INSTANCE_READ

CreatePatch (requiert également FAMS_PATCH_CREATE, OBJECT_INSPECT et OBJECT_READ)

UpdatePatch (requiert également FAMS_PATCH_UPDATE , OBJECT_INSPECT et OBJECT_READ)
use

read+

FAMS_PLATFORM_UPDATE

read+

UpdatePlatformConfiguration (peut également utiliser FAMS_ADMIN_UPDATE ) et les éléments suivants selon vos besoins :
  • Si configCategory est PRODUCT_STACK et que les produits appartenant à une pile, à un type de correctif ou à des données d'identification doivent être spécifiés, FAMS_PLATFORM_READ est nécessaire
  • Si configCategory est PRODUCT et que des produits, un type de correctif ou des données d'identification compatibles doivent être ajoutés, FAMS_PLATFORM_READ est nécessaire
  • Si configCategory est SELF_HOSTED_INSTANCE, requiert INSTANCE_READ
manage

use+

FAMS_PLATFORM_CREATE

use+

CreatePlatformConfiguration (peut également utiliser FAMS_ADMIN_CREATE) et nécessite les éléments suivants selon vos besoins :
  • Si configCategory est PRODUCT_STACK et que les produits appartenant à une pile, à un type de correctif ou à des données d'identification doivent être spécifiés, FAMS_PLATFORM_READ est nécessaire
  • Si configCategory est PRODUCT et que des produits, un type de correctif ou des données d'identification compatibles doivent être ajoutés, FAMS_PLATFORM_READ est nécessaire
  • Si configCategory est SELF_HOSTED_INSTANCE, requiert INSTANCE_READ
manage

use+

FAMS_PLATFORM_DELETE

use+

DeletePlatformConfiguration (peut également utiliser FAMS_ADMIN_DELETE)
manage

use+

FAMS_PLATFORM_MOVE

use+

ChangePlatformConfigurationCompartment (peut également utiliser FAMS_ADMIN_MOVE)
fams-propriétés
Verbes Permissions API entièrement couvertes API partiellement couvertes
inspect FAMS_PROPERTY_INSPECT

ListProperties (peut également utiliser FAMS_ADMIN_INSPECT ou FAMS_FLEET_INSPECT)
read

inspect+

FAMS_PROPERTY_READ

inspect+

CreateFleetProperty (requiert également FAMS_FLEET_CREATE)

UpdateFleetProperty (requiert également FAMS_FLEET_UPDATE)

UpdateFleetCredential (requiert également FAMS_FLEET_UPDATE et VAULT_INSPECT) et les éléments suivants selon vos besoins :
  • Si les données d'identification sont créées à l'aide de la clé de chambre forte OCI, KEY_READ est nécessaire
  • Si les données d'identification sont créées à l'aide de la clé secrète de la chambre forte OCI, SECRET_READ est nécessaire

GetProperty (peut également utiliser FAMS_ADMIN_READ ou FAMS_FLEET_READ)
use

read+

FAMS_PROPERTY_UPDATE

read+

UpdateProperty (peut également utiliser FAMS_ADMIN_UPDATE)
manage

use+

FAMS_PROPERTY_CREATE

use+

CreateProperty (peut également utiliser FAMS_ADMIN_CREATE)
manage

use+

FAMS_PROPERTY_DELETE

use+

DeleteProperty (peut également utiliser FAMS_ADMIN_DELETE)
manage

use+

FAMS_PROPERTY_MOVE

use+

ChangePropertyCompartment (peut également utiliser FAMS_ADMIN_MOVE)

Autorisations requises pour chaque opération d'API

Le tableau suivant liste les opérations d'API dans un ordre logique, regroupées par type de ressource.

Pour plus d'informations sur les autorisations, voir Autorisations.

Opérations d'API Autorisations requises pour utiliser l'opération
ListFleets FAMS_FLEET_INSPECT
GetFleet FAMS_FLEET_READ
CreateFleet FAMS_FLEET_CREATE et FAMS_PLATFORM_READ
et ce qui suit :
  • FAMS_FLEET_READ si le parc parent doit être spécifié
  • ONS_TOPIC_READ si les sujets doivent être associés à un parc pour l'activation des avis.
  • INSTANCE_READ si une instance doit être ajoutée à un parc
  • DB_SYSTEM_INSPECT, DB_SYSTEM_QUERY si un dbSystem doit être ajouté à un parc
  • VM_CLUSTER_INSPECT si une valeur vmCluster doit être ajoutée à un parc
UpdateFleet FAMS_FLEET_UPDATE et FAMS_PLATFORM_READ
et ce qui suit :
  • FAMS_FLEET_READ si le parc parent doit être spécifié
  • ONS_TOPIC_READ si les sujets doivent être associés à un parc pour l'activation des avis.
  • INSTANCE_READ si une instance doit être ajoutée à un parc
  • DB_SYSTEM_INSPECT, DB_SYSTEM_QUERY si un dbSystem doit être ajouté à un parc
  • VM_CLUSTER_INSPECT si une valeur vmCluster doit être ajoutée à un parc
DeleteFleet FAMS_FLEET_DELETE
ChangeFleetCompartment FAMS_FLEET_MOVE
ListInventoryResources FAMS_FLEET_INSPECT
ListFleetResources FAMS_FLEET_INSPECT
CreateFleetResource FAMS_FLEET_CREATE
et ce qui suit :
  • INSTANCE_READ si une instance doit être ajoutée à un parc
  • DB_SYSTEM_INSPECT, DB_SYSTEM_QUERY si un dbSystem doit être ajouté à un parc
  • VM_CLUSTER_INSPECT si une valeur vmCluster doit être ajoutée à un parc
GetFleetResource FAMS_FLEET_READ
UpdateFleetResource FAMS_FLEET_UPDATE
et ce qui suit :
  • INSTANCE_READ si une instance doit être ajoutée à un parc
  • DB_SYSTEM_INSPECT, DB_SYSTEM_QUERY si un dbSystem doit être ajouté à un parc
  • VM_CLUSTER_INSPECT si une valeur vmCluster doit être ajoutée à un parc
DeleteFleetResource FAMS_FLEET_DELETE
ListFleetProperties FAMS_FLEET_INSPECT
CreateFleetProperty FAMS_FLEET_CREATE et FAMS_PROPERTY_READ
GetFleetProperty FAMS_FLEET_READ
UpdateFleetProperty FAMS_FLEET_UPDAT et FAMS_PROPERTY_READ
DeleteFleetProperty FAMS_FLEET_DELETE
ConfirmTargets FAMS_FLEET_CREATE
ListTargets FAMS_FLEET_INSPECT
ListFleetTargets FAMS_FLEET_INSPECT
ListFleetProducts FAMS_FLEET_INSPECT
GetComplianceReport FAMS_FLEET_READ
ListAnnouncements FAMS_ONBOARDING_INSPECT
ListFleetCredentials FAMS_FLEET_INSPECT
CreateFleetCredential FAMS_FLEET_CREATE, FAMS_PLATFORM_READ et VAULT_INSPECT
et ce qui suit :
  • KEY_READ si les données d'identification sont créées à l'aide de la clé de chambre forte.
  • SECRET_READ si les données d'identification sont créées à l'aide de la clé secrète de la chambre forte.
GetFleetCredential FAMS_FLEET_READ
UpdateFleetCredential FAMS_FLEET_UPDATE, FAMS_PROPERTY_READ et VAULT_INSPECT
et ce qui suit :
  • KEY_READ si les données d'identification sont créées à l'aide de la clé de chambre forte.
  • SECRET_READ si les données d'identification sont créées à l'aide de la clé secrète de la chambre forte.
DeleteFleetCredential FAMS_FLEET_DELETE
GenerateComplianceReport FAMS_FLEET_READ
RequestTargetDiscovery FAMS_FLEET_CREATE
RequestResourceValidation FAMS_FLEET_CREATE
CheckResourceTagging FAMS_FLEET_CREATE
ListRunbooks FAMS_RUNBOOK_INSPECT
GetRunbook FAMS_RUNBOOK_READ
CreateRunbook FAMS_RUNBOOK_CREATE, FAMS_RUNBOOK_READ et FAMS_PLATFORM_READ

également INSTANCE_READ si la tâche doit s'exécuter sur une instance auto-hébergée
UpdateRunbook FAMS_RUNBOOK_UPDATE, FAMS_RUNBOOK_READ et FAMS_PLATFORM_READ

également INSTANCE_READ si la tâche doit s'exécuter sur une instance auto-hébergée
DeleteRunbook FLEET_RUNBOOK_DELETE
ChangeRunbookCompartment FAMS_RUNBOOK_MOVE
PublishRunbook FAMS_RUNBOOK_PUBLISH
ListRunbookVersions FLEET_RUNBOOK_INSPECT
CreateRunbookVersion FLEET_RUNBOOK_CREATE, FAMS_RUNBOOK_READ et FAMS_PLATFORM_READ

également INSTANCE_READ si la tâche doit s'exécuter sur une instance auto-hébergée
GetRunbookVersion FLEET_RUNBOOK_READ
UpdateRunbookVersion FLEET_RUNBOOK_UPDATE, FAMS_RUNBOOK_READ et FAMS_PLATFORM_READ

également INSTANCE_READ si la tâche doit s'exécuter sur une instance auto-hébergée
DeleteRunbookVersion FLEET_RUNBOOK_DELETE
ListTaskRecords FAMS_RUNBOOK_INSPECT
GetTaskRecord FAMS_RUNBOOK_READ
CreateTaskRecord FAMS_RUNBOOK_CREATE
et ce qui suit :
  • FAMS_PLATFORM_READ si la plate-forme (produit), l'opération (opération de cycle de vie), les données d'identification doivent être spécifiées
  • FAMS_CATALOG_ITEM_READ si le type d'action est TERRAFORM
  • FAMS_CATALOG_ITEM_READ si le type d'action est SCRIPT et que le script doit référencer CATALOG ITEM
  • OBJECT_INSPECT, OBJECT_READ si le type d'action est SCRIPT et que le script doit être sélectionné dans le stockage d'objets
UpdateTaskRecord FAMS_RUNBOOK_UPDATE
et ce qui suit :
  • FAMS_PLATFORM_READ si la plate-forme (produit), l'opération (opération de cycle de vie), les données d'identification doivent être spécifiées
  • FAMS_CATALOG_ITEM_READ si le type d'action est TERRAFORM
  • FAMS_CATALOG_ITEM_READ si le type d'action est SCRIPT et que le script doit référencer CATALOG ITEM
  • OBJECT_INSPECT, OBJECT_READ si le type d'action est SCRIPT et que le script doit être sélectionné dans le stockage d'objets
DeleteTaskRecord FAMS_RUNBOOK_DELETE
ChangeTaskRecordCompartment FAMS_RUNBOOK_MOVE
ListMaintenanceWindows FAMS_MAINTENANCE_WINDOW_INSPECT
CreateMaintenanceWindow FAMS_MAINTENANCE_WINDOW_CREATE
GetMaintenanceWindow FAMS_MAINTENANCE_WINDOW_READ
UpdateMaintenanceWindow FAMS_MAINTENANCE_WINDOW_UPDATE
DeleteMaintenanceWindow FAMS_MAINTENANCE_WINDOW_DELETE
CreateSchedulerDefinition (FAMS_SCHEDULE_CREATE ou FAMS_SCHEDULE_CREATE_WITH_SUDO), FAMS_FLEET_READ et FAMS_RUNBOOK_READ
et ce qui suit :
  • OBJECT_INSPECT, OBJECT_READ si le type de paramètre d'entrée est FILE et doit être sélectionné dans le stockage d'objets
  • FAMS_SCHEDULE_CREATE_WITH_SUDO si l'attribut de dossier d'exploitation need sudo access est Vrai
UpdateSchedulerDefinition (FAMS_SCHEDULE_UPDATE ou FAMS_SCHEDULE_CREATE_WITH_SUDO), FAMS_FLEET_READ et FAMS_RUNBOOK_READ
et ce qui suit :
  • OBJECT_INSPECT, OBJECT_READ si le type de paramètre d'entrée est FILE et doit être sélectionné dans le stockage d'objets
  • FAMS_SCHEDULE_CREATE_WITH_SUDO si l'attribut de dossier d'exploitation need sudo access est Vrai
DeleteSchedulerDefinition FAMS_SCHEDULE_DELETE
ListSchedulerDefinitions FAMS_SCHEDULE_INSPECT
GetSchedulerDefinition FAMS_SCHEDULE_READ
DeleteSchedulerJob FAMS_SCHEDULE_DELETE ou FAMS_SCHEDULE_JOB_DELETE
ListSchedulerJobs FAMS_SCHEDULE_INSPECT ou FAMS_SCHEDULE_JOB_INSPECT
GetSchedulerJob FAMS_SCHEDULE_READ ou FAMS_SCHEDULE_JOB_READ
UpdateSchedulerJob FAMS_SCHEDULE_UPDATE, FAMS_SCHEDULE_JOB_UPDATE ou FAMS_SCHEDULE_CREATE_WITH_SUDO
GetJobActivity FAMS_SCHEDULE_READ ou FAMS_SCHEDULE_JOB_READ
ManageJobExecution FAMS_SCHEDULE_UPDATE, FAMS_SCHEDULE_JOB_ACTION ou FAMS_SCHEDULE_CREATE_WITH_SUDO
ListExecutions FAMS_SCHEDULE_READou FAMS_SCHEDULE_JOB_READ
GetExecution FAMS_SCHEDULE_READ ou FAMS_SCHEDULE_JOB_READ
ListSteps FAMS_SCHEDULE_READ ou FAMS_SCHEDULE_JOB_READ
ListResources FAMS_SCHEDULE_READ ou FAMS_SCHEDULE_JOB_READ
SummarizeSchedulerJobCounts FAMS_SCHEDULE_INSPECT ou FAMS_SCHEDULE_JOB_INSPECT
ListSchedulerExecutions FAMS_SCHEDULE_READ ou FAMS_SCHEDULE_JOB_READ
SetDefaultRunbook FAMS_RUNBOOK_UPDATE
ListScheduledFleets FAMS_SCHEDULE_READ
ListProperties FAMS_ADMIN_INSPECT, FAMS_FLEET_INSPECT ou FAMS_PROPERTY_INSPECT
CreateProperty FAMS_ADMIN_CREATE ou FAMS_PROPERTY_CREATE
GetProperty FAMS_ADMIN_READ, FAMS_FLEET_READ ou FAMS_PROPERTY_READ
UpdateProperty FAMS_ADMIN_UPDATE ou FAMS_PROPERTY_UPDATE
DeleteProperty FAMS_ADMIN_DELETE ou FAMS_PROPERTY_DELETE
ChangePropertyCompartment FAMS_ADMIN_MOVE ou FAMS_PROPERTY_MOVE
ListPlatformConfigurations FAMS_PLATFORM_INSPECT
CreatePlatformConfiguration FAMS_ADMIN_CREATE ou FAMS_PLATFORM_CREATE
et ce qui suit :
  • FAMS_PLATFORM_READ si configCategory est PRODUCT_STACK et que les produits appartenant à une pile, à un type de correctif ou à des données d'identification doivent être spécifiés
  • FAMS_PLATFORM_READ si configCategory est PRODUCT et que des produits compatibles, un type de correctif ou des données d'identification doivent être spécifiés
  • INSTANCE_READ si configCategory est SELF_HOSTED_INSTANCE
GetPlatformConfiguration FAMS_PLATFORM_READ
UpdatePlatformConfiguration FAMS_ADMIN_UPDATE ou FAMS_PLATFORM_UPDATE
et ce qui suit :
  • FAMS_PLATFORM_READ si configCategory est PRODUCT_STACK et que les produits appartenant à une pile, à un type de correctif ou à des données d'identification doivent être spécifiés
  • FAMS_PLATFORM_READ si configCategory est PRODUCT et que des produits compatibles, un type de correctif ou des données d'identification doivent être spécifiés
  • INSTANCE_READ si configCategory est SELF_HOSTED_INSTANCE
DeletePlatformConfiguration FAMS_ADMIN_DELETE ou FAMS_PLATFORM_DELETE
ChangePlatformConfigurationCompartment FAMS_ADMIN_MOVE ou FAMS_PLATFORM_MOVE
ListWorkRequests FAMS_API_WORK_REQUEST_LIST
GetWorkRequest FAMS_API_WORK_REQUEST_READ
ListWorkRequestErrors FAMS_API_WORK_REQUEST_READ
ListWorkRequestLogs FAMS_API_WORK_REQUEST_READ
ListOnboardings FAMS_ONBOARDING_INSPECT
GetOnboarding FAMS_ONBOARDING_READ
CreateOnboarding DYNAMIC_GROUP_CREATE, POLICY_CREATE, TAG_NAMESPACE_CREATE, TAG_DEFINITION_ADD et ( FAMS_ADMIN_CREATE ou FAMS_ONBOARDING_CREATE)
UpdateOnboarding TAG_NAMESPACE_CREATE, TAG_DEFINITION_ADD et ( FAMS_ADMIN_UPDATE ou FAMS_ONBOARDING_UPDATE)
DeleteOnboarding DYNAMIC_GROUP_DELETE, POLICY_DELETE, TAG_NAMESPACE_RETIRE, TAG_DEFINITION_RETIRE et ( FAMS_ADMIN_DELETE ou FAMS_ONBOARDING_DELETE)
EnableLatestPolicy DYNAMIC_GROUP_CREATE, POLICY_CREATE, TAG_NAMESPACE_CREATE, TAG_DEFINITION_ADD et ( FAMS_ADMIN_CREATE ou FAMS_ONBOARDING_CREATE)
ManageSettings FAMS_ADMIN_UPDATE
ListOnboardingPolicies DYNAMIC_GROUP_CREATE, POLICY_CREATE, TAG_NAMESPACE_CREATE, TAG_DEFINITION_ADD et ( FAMS_ADMIN_CREATE ou FAMS_ONBOARDING_CREATE)
ListCompliancePolicies FAMS_COMPLIANCE_POLICY_INSPECT
GetCompliancePolicy FAMS_COMPLIANCE_POLICY_READ
ListCompliancePolicyRules FAMS_COMPLIANCE_POLICY_INSPECT
GetCompliancePolicyRule FAMS_COMPLIANCE_POLICY_READ
CreateCompliancePolicyRule FAMS_COMPLIANCE_POLICY_CREATE
UpdateCompliancePolicyRule FAMS_COMPLIANCE_POLICY_UPDATE
DeleteCompliancePolicyRule FAMS_COMPLIANCE_POLICY_DELETE
ListComplianceRecords FAMS_COMPLIANCE_REPORT_READ, FAMS_FLEET_READ, FAMS_PATCH_READ, FAMS_ADMIN_READ ou FAMS_COMPLIANCE_POLICY_READ
ExportComplianceReport FAMS_COMPLIANCE_REPORT_READ, FAMS_FLEET_READ, FAMS_PATCH_READ, FAMS_ADMIN_READ ou FAMS_COMPLIANCE_POLICY_READ
SummarizeComplianceRecordCounts FAMS_COMPLIANCE_REPORT_READ, FAMS_FLEET_READ, FAMS_PATCH_READ, FAMS_ADMIN_READ ou FAMS_COMPLIANCE_POLICY_READ
SummarizeManagedEntityCounts FAMS_COMPLIANCE_REPORT_READ, FAMS_FLEET_READ, FAMS_PATCH_READ, FAMS_ADMIN_READ ou FAMS_COMPLIANCE_POLICY_READ
ListPatches FAMS_PATCH_INSPECT
GetPatch FAMS_PATCH_READ
CreatePatch FAMS_PATCH_CREATE, FAMS_PLATFORM_READ, OBJECT_INSPECT et OBJECT_READ
DeletePatch FAMS_PATCH_DELETE
UpdatePatch FAMS_PATCH_UPDATE, FAMS_PLATFORM_READ, OBJECT_INSPECT et OBJECT_READ
ChangePatchCompartment FAMS_PATCH_MOVE
CreateProvision FAMS_PROVISION_CREATE, FAMS_FLEET_READ et FAMS_CATALOG_ITEM_READ
DeleteProvision FAMS_PROVISION_DELETE
ListProvisions FAMS_PROVISION_INSPECT
UpdateProvision FAMS_PROVISION_UPDATE
GetProvision FAMS_PROVISION_READ
ChangeProvisionCompartment FAMS_PROVISION_MOVE
ListCatalogItems FAMS_CATALOG_ITEM_INSPECT
CreateCatalogItem FAMS_CATALOG_ITEM_CREATE
et ce qui suit :
  • OBJECT_INSPECT et OBJECT_READ si l'élément de catalogue est créé à l'aide de la source en tant que stockage d'objets
  • ORM_CONFIG_SOURCE_PROVIDER_INSPECT si l'élément de catalogue est créé à l'aide de la configuration du gestionnaire de ressources
GetCatalogItem FAMS_CATALOG_ITEM_READ
UpdateCatalogItem FAMS_CATALOG_ITEM_UPDATE
et ce qui suit :
  • OBJECT_INSPECT et OBJECT_READ si l'élément de catalogue est créé à l'aide de la source en tant que stockage d'objets
  • ORM_CONFIG_SOURCE_PROVIDER_INSPECT si l'élément de catalogue est créé à l'aide de la configuration du gestionnaire de ressources
DeleteCatalogItem FAMS_CATALOG_ITEM_DELETE
ChangeCatalogItemCompartment FAMS_CATALOG_ITEM_MOVE
CloneCatalogItem FAMS_CATALOG_ITEM_CLONE
ListInventoryRecords FAMS_SOFTWARE_INVENTORY_INSPECT

Politiques d'utilisateur

Des politiques d'utilisateur de gestion d'application de parc sont requises pour permettre aux utilisateurs d'accéder aux ressources de gestion d'application de parc.

Voici la syntaxe d'une politique : 

allow <subject> to <verb>
                        <resource-type> in <location> where <conditions>

Pour plus de détails, voir Syntaxe de politique.

Créer des politiques pour des utilisateurs ou des groupes spécifiques afin d'accéder aux ressources liées à la gestion des applications de parc. Voir Création d'une politique.

Pour appliquer les autorisations au niveau d'une location, remplacez compartment <compartment name> par tenancy.

Exemples de politique

Des politiques de gestion d'application de parc sont requises pour utiliser diverses ressources de gestion d'application de parc.

Voir les instructions sous Création d'une politique pour créer des politiques à l'aide de la console.

Pour plus de détails sur la syntaxe, voir Syntaxe d'une politique.

Exemples de politique de gestion d'application de flotte :

  • Autoriser un groupe à gérer toutes les ressources de votre location :
    Allow group acme-fams-developers to manage fams-family in tenancy
  • Autoriser les utilisateurs d'un groupe à lire ou à gérer les éléments de catalogue pour le marché des applications ou les éléments de catalogue privés en fonction du rôle d'utilisateur :
    
Allow group <USER_GROUP> to read fams-catalog-items in compartment <USER_COMPARTMENT_NAME>

    L'exemple suppose que les éléments de catalogue et les instances de calcul se trouvent dans le même compartiment que Fleet Application Management.

  • Permettre aux utilisateurs d'un groupe d'accéder aux scripts d'articles de catalogue à partir des emplacements pertinents :
    Allow group <USER_GROUP> to {PAR_MANAGE} in compartment <USER_COMPARTMENT_NAME>
Allow group <USER_GROUP>  to read object-family in compartment <USER_COMPARTMENT_NAME>  
Allow group <USER_GROUP> to read buckets in compartment <USER_COMPARTMENT_NAME>

    L'exemple suppose que les seaux de stockage d'objets et les instances de calcul se trouvent dans le même compartiment que Fleet Application Management.

  • Autoriser les utilisateurs d'un groupe à gérer les demandes de provisionnement :
    Allow group <USER_GROUP> to manage fams-provisions in compartment <USER_COMPARTMENT_NAME>

    L'exemple suppose que les demandes de provisionnement et les instances de calcul se trouvent dans le même compartiment que Fleet Application Management.

  • Autoriser les utilisateurs d'un groupe à gérer le provisionnement en connectant Fleet Application Management à Resource Manager. 
    Allow group <USER_GROUP> to manage orm-config-source-providers in compartment <USER_COMPARTMENT_NAME>
Allow group <USER_GROUP> to manage orm-jobs in compartment <USER_COMPARTMENT_NAME>
Allow group <USER_GROUP> to manage orm-stacks in compartment <USER_COMPARTMENT_NAME>
Allow group <USER_GROUP> to manage orm-template in compartment <USER_COMPARTMENT_NAME>
Allow group <USER_GROUP> to manage orm-work-requests in compartment <USER_COMPARTMENT_NAME>

    L'exemple suppose que les demandes de provisionnement et les instances de calcul se trouvent dans le même compartiment que Fleet Application Management.

  • Autoriser les utilisateurs d'un groupe à programmer et à gérer le provisionnement :
    Allow group <USER_GROUP> to manage fams-schedules in compartment <USER_COMPARTMENT_NAME>

    L'exemple suppose que la programmation et les demandes de provisionnement se trouvent dans le même compartiment que Fleet Application Management.

  • Autoriser les utilisateurs d'un groupe à provisionner le type de ressource OCI approprié.
    Allow group <USER_GROUP> to manage <resource_type> in compartment <USER_COMPARTMENT_NAME>

    L'exemple suppose que les types de ressource se trouvent dans le même compartiment que Fleet Application Management.

Ajout de règles à un groupe dynamique

Un administrateur de location d'une organisation active la gestion des applications de parc pour une location. Cette action crée deux groupes dynamiques : "fams-customer-dg" et "fams-service-dg". L'administrateur définit des règles de correspondance pour créer des instances et des membres du groupe fams-customer-dg. La gestion des applications de parc effectue des opérations de cycle de vie sur ces instances.
  1. Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Identité, sélectionnez Domaines.
  2. Sélectionnez le domaine d'identité dans lequel vous voulez travailler.
  3. Sous Domaine d'identité (dans la partie gauche de la page), sélectionnez Groupes dynamiques.
  4. Sélectionnez le groupe dynamique fams-customer-dg. La page de détails du groupe dynamique s'ouvre.
  5. Sélectionnez Modifier toutes les règles de correspondance.
  6. Modifiez la règle de correspondance dans la zone de texte ou utilisez le générateur de règles si la modification est prise en charge par le générateur de règles.
    Par exemple, entrez la règle directement dans la zone de texte ou utilisez le générateur de règles.

    Exemple d'entrée dans la zone de texte :

    All {instance.compartement.id = 'ocid1.instance1.oc1.iad:sampleuniqueid1', instance.compartment.id ='ocid1.compartmentA.oc1:sampleuniqueid2'}

    Toutes les instances qui existent ou sont créées dans les compartiments (indiquées par l'OCID) sont membres de ce groupe dynamique.

Politiques GIA

Un administrateur de location de votre organisation active la gestion des applications de parc pour votre location. Cette action crée les politiques IAM suivantes pour l'utilisation de Fleet Application Management.

Les politiques IAM dans "fams-service-dg" sont les suivantes :

define tenancy fams-tenancy as <fams-tenancy-ocid>
define dynamic-group fams-workload-dg as <fams-dynamicgroup-ocid>
allow dynamic-group fams-service-dg to use fams-agent-command-executions in tenancy
allow dynamic-group fams-service-dg to { FAMS_CATALOG_ITEM_INSPECT, FAMS_CATALOG_ITEM_READ } in tenancy
allow dynamic-group fams-service-dg to { INSTANCE_UPDATE } in tenancy
allow dynamic-group fams-service-dg to read instance-family in tenancy
allow dynamic-group fams-service-dg to use instances in tenancy
allow dynamic-group fams-service-dg to inspect limits in tenancy
allow dynamic-group fams-service-dg to use tag-namespaces in tenancy where target.tag-namespace.name='Oracle$FAMS-Tags'
allow dynamic-group fams-service-dg to read instance-agent-plugins in tenancy
allow dynamic-group fams-service-dg to read instance-agent-command-family in tenancy
allow dynamic-group fams-service-dg to use ons-family in tenancy
allow dynamic-group fams-service-dg to manage database-family in tenancy
allow dynamic-group fams-service-dg to manage osmh-family in tenancy
allow dynamic-group fams-service-dg to { INSTANCE_AGENT_COMMAND_CREATE } in tenancy
allow dynamic-group fams-service-dg to { OBJECTSTORAGE_NAMESPACE_READ } in tenancy
allow dynamic-group fams-service-dg to manage work-requests in tenancy

Pour utiliser Fleet Application Management, les politiques IAM suivantes sont requises dans "fams-customer-dg" :

Vous pouvez configurer les politiques pour une location ou un compartiment en fonction de vos préférences. Si vous choisissez de configurer des politiques pour un compartiment, l'énoncé de politique peut être le suivant :

allow dynamic-group fams-customer-dg to {VAULT_READ} in <compartment_OCID>

Si vous laissez Fleet Application Management configurer les politiques pour une location, les politiques IAM suivantes se trouvent dans "fams-customer-dg" :


endorse any-group to { FAMS_CATALOG_ITEM_INSPECT, FAMS_CATALOG_ITEM_READ} in tenancy fams-tenancy
admit dynamic-group fams-workload-dg of tenancy fams-tenancy to read orm-stack in tenancy where all { request.principal.type = 'workload' }
allow dynamic-group fams-customer-dg to use instance-agent-command-execution-family in tenancy where request.instance.id=target.instance.id
allow dynamic-group fams-customer-dg to read instance-family in tenancy
allow dynamic-group fams-customer-dg to use fams-agent-command-executions in tenancy where request.instance.id=target.instance.id
allow dynamic-group fams-customer-dg to {OSMH_MANAGED_INSTANCE_ACCESS} in tenancy
allow dynamic-group fams-customer-dg to { OBJECT_INSPECT, OBJECT_READ } in tenancy
endorse dynamic-group fams-customer-dg to { OBJECT_CREATE, OBJECT_OVERWRITE, OBJECT_READ } in tenancy fams-tenancy where all { target.bucket.name = '<CUSTOMER_TENANCY_OCID>' }
endorse dynamic-group fams-customer-dg to { OBJECT_INSPECT, OBJECT_READ } in tenancy fams-tenancy where any { target.bucket.name = 'automations', target.bucket.name = 'patches'}
Voici le type d'accès de chacune des politiques dans "fams-customer-dg" :
  • endorse any-group to { FAMS_CATALOG_ITEM_INSPECT, FAMS_CATALOG_ITEM_READ}  in  tenancy fams-tenancy

    Permet à la location d'accéder aux éléments de catalogue du service de marché d'applications.

  • admit dynamic-group fams-workload-dg of tenancy fams-tenancy to read orm-stack in tenancy where all { request.principal.type = 'workload' }

    Permet de gérer les exigences de provisionnement pour vérifier le statut de la pile du gestionnaire de ressources.

  • allow dynamic-group fams-customer-dg to { KEY_READ, KEY_DECRYPT,SECRET_READ } in tenancy
allow dynamic-group fams-customer-dg to {VAULT_READ} in tenancy
allow dynamic-group fams-customer-dg to {SECRET_BUNDLE_READ} in tenancy

    Autorise l'accès de la location avec des clés de chambre forte et des clés secrètes à Fleet Application Management pour les opérations de cycle de vie. 

  • allow dynamic-group fams-customer-dg to use instance-agent-command-execution-family in tenancy where request.instance.id=target.instance.id

    Permet de gérer les opérations de cycle de vie à l'aide de la commande d'exécution.

  • allow dynamic-group fams-customer-dg to read instance-family in tenancy

    Permet à Fleet Application Management d'obtenir les détails d'instance pour les vérifications d'état. 

  • allow dynamic-group fams-customer-dg to use fams-agent-command-executions in tenancy where request.instance.id=target.instance.id

    Permet à Fleet Application Management de gérer les opérations de cycle de vie sur les instances à l'aide du plugiciel Fleet Application Management.

  • allow dynamic-group fams-customer-dg to {OSMH_MANAGED_INSTANCE_ACCESS} in tenancy

    Permet à Fleet Application Management de gérer l'application de correctifs au système d'exploitation à l'aide du centre de gestion du système d'exploitation.

  • allow dynamic-group fams-customer-dg to { OBJECT_INSPECT, OBJECT_READ } in tenancy

    Permet aux scripts d'opération de cycle de vie d'accès à Fleet Application Management à partir du stockage d'objets.

  • endorse dynamic-group fams-customer-dg to { OBJECT_CREATE, OBJECT_OVERWRITE, OBJECT_READ } in tenancy fams-tenancy where all { target.bucket.name = '<CUSTOMER_TENANCY_OCID>' }

    Permet à Fleet Application Management de gérer les journaux des opérations de cycle de vie dans le stockage d'objets.

  • endorse dynamic-group fams-customer-dg to { OBJECT_INSPECT, OBJECT_READ } in tenancy fams-tenancy where any { target.bucket.name = 'automations', target.bucket.name = 'patches'}

    Permet à la location d'accéder aux scripts et aux correctifs des opérations du cycle de vie de Fleet Application Management.

Important

Pour éviter toute interruption de service, un administrateur de location doit s'assurer que les politiques IAM des groupes dynamiques "fams-service-dg", "fams-customer-dg" ne sont pas supprimées. Toutefois, vous pouvez créer vos propres politiques pour vos cas d'utilisation, par exemple, si vous avez besoin d'administrateurs différents pour différents groupes et piles de produits.