Énoncés de politique de parc JMS
Une politique définit les personnes pouvant accéder à certaines ressources Oracle Cloud Infrastructure de votre entreprise, ainsi que le mode d'accès. Une politique permet à un groupe d'utiliser de certaines façons des types de ressource spécifiques dans un compartiment donné.
Cette section décrit les différents énoncés de politique créés dans le cadre de la configuration d'Oracle Cloud Infrastructure pour les parcs et de l'activation des fonctions avancées.
Gérer les ressources OCI requises pour les parcs JMS
Les énoncés de politique suivants permettent aux utilisateurs du groupe d'utilisateurs d'accéder au parc JMS, aux agents de gestion, aux plugiciels JMS et aux mesures et de les gérer :
ALLOW GROUP FLEET_MANAGERS TO MANAGE fleet IN COMPARTMENT Fleet_Compartment
ALLOW GROUP FLEET_MANAGERS TO MANAGE management-agents IN COMPARTMENT Fleet_Compartment
ALLOW GROUP FLEET_MANAGERS TO MANAGE jms-plugins IN COMPARTMENT Fleet_Compartment
ALLOW GROUP FLEET_MANAGERS TO READ METRICS IN COMPARTMENT Fleet_Compartment WHERE target.metrics.namespace='java_management_service'Surveiller les charges de travail sur OCI
Les énoncés de politique suivants sont utilisés pour surveiller les charges de travail sur OCI :
ALLOW GROUP FLEET_MANAGERS TO MANAGE instance-family IN COMPARTMENT <instance_compartment>
ALLOW GROUP FLEET_MANAGERS TO READ instance-agent-plugins IN COMPARTMENT <instance_compartment> - Remplacez
<instance_compartment>par le nom du compartiment qui contient les instances Linux OCI que vous voulez surveiller avec les parcs JMS. - Vous devez appliquer ces énoncés de politique pour chaque compartiment contenant des instances OCI Linux que vous voulez surveiller séparément avec des parcs JMS.
Clé d'installation d'agent de gestion
Les énoncés de politique suivants permettent aux parcs JMS et au groupe d'utilisateurs de gérer les clés d'installation de l'agent de gestion :
ALLOW RESOURCE jms SERVER-COMPONENTS TO READ management-agent-install-keys IN COMPARTMENT Fleet_Compartment
ALLOW GROUP FLEET_MANAGERS TO MANAGE management-agent-install-keys IN COMPARTMENT Fleet_CompartmentCommunication avec les agents de gestion
Les énoncés de politique suivants permettent aux agents de gestion d'interagir avec les plugiciels JMS et le module JMS de gestion de parcs et d'autoriser le module JMS de gestion de parcs à stocker des données de surveillance dans votre location :
ALLOW DYNAMIC-GROUP JMS_DYNAMIC_GROUP TO MANAGE jms-plugins IN COMPARTMENT Fleet_Compartment
ALLOW DYNAMIC-GROUP JMS_DYNAMIC_GROUP TO MANAGE jms-plugins IN COMPARTMENT <instance_compartment>
ALLOW DYNAMIC-GROUP JMS_DYNAMIC_GROUP TO MANAGE management-agents IN COMPARTMENT Fleet_Compartment
ALLOW DYNAMIC-GROUP JMS_DYNAMIC_GROUP TO USE METRICS IN COMPARTMENT Fleet_Compartment
ALLOW DYNAMIC-GROUP JMS_DYNAMIC_GROUP TO MANAGE metrics IN COMPARTMENT Fleet_Compartment WHERE target.metrics.namespace='java_management_service'
ALLOW DYNAMIC-GROUP JMS_DYNAMIC_GROUP TO USE METRICS IN COMPARTMENT <instance_compartment>
ALLOW resource jms SERVER-COMPONENTS TO MANAGE metrics IN COMPARTMENT Fleet_Compartment WHERE target.metrics.namespace='java_management_service'- Remplacez
<instance_compartment>par le nom du compartiment qui contient les instances Linux OCI que vous voulez surveiller avec les parcs JMS. - Vous devez appliquer cet énoncé de politique pour chaque compartiment contenant des instances OCI Linux que vous voulez surveiller séparément avec des parcs JMS.
Configuration du journal
Les énoncés de politique suivants permettent aux parcs JMS d'interagir avec le service de journalisation OCI pour configurer la configuration des journaux pour les parcs du compartiment :
ALLOW resource jms SERVER-COMPONENTS TO READ log-groups IN COMPARTMENT Fleet_Compartment
ALLOW resource jms SERVER-COMPONENTS TO MANAGE log-content IN COMPARTMENT Fleet_Compartment
ALLOW DYNAMIC-GROUP JMS_DYNAMIC_GROUP TO MANAGE log-content IN COMPARTMENT Fleet_Compartment
ALLOW GROUP FLEET_MANAGERS TO MANAGE log-groups IN COMPARTMENT Fleet_Compartment
ALLOW GROUP FLEET_MANAGERS TO READ log-content IN COMPARTMENT Fleet_CompartmentConfigurer des instances OCI Linux pour les parcs JMS
Cet énoncé de politique accordera au groupe dynamique les privilèges JMS_DYNAMIC_GROUP pour gérer toutes les instances OCI du compartiment. Pour assurer une configuration correcte de l'agent de gestion sur les instances OCI Linux, le script d'installation nécessite la présence de cette politique. Cette stratégie doit être présente pour chaque exécution du script d'installation. Une fois l'installation terminée, vous pouvez modifier les autorisations de l'énoncé de politique de MANAGE à USE.
ALLOW DYNAMIC-GROUP JMS_DYNAMIC_GROUP TO MANAGE instances IN COMPARTMENT <instance_compartment> WHERE ALL {request.principal.type='instance', target.compartment.id=request.principal.compartment.id}- Remplacez
<instance_compartment>par le nom du compartiment qui contient les instances Linux OCI que vous voulez surveiller avec les parcs JMS. - Vous devez appliquer ces énoncés de politique pour chaque compartiment contenant des instances OCI Linux que vous voulez surveiller séparément avec des parcs JMS.
JMS nécessite les énoncés de politique suivants pour fonctionner avec les instances OCI Linux :
ALLOW RESOURCE jms SERVER-COMPONENTS TO READ instances IN COMPARTMENT <instance_compartment>
ALLOW RESOURCE jms SERVER-COMPONENTS TO INSPECT instance-agent-plugins IN COMPARTMENT <instance_compartment>- Remplacez
<instance_compartment>par le nom du compartiment qui contient les instances Linux OCI que vous voulez surveiller avec les parcs JMS. - Vous devez appliquer ces énoncés de politique pour chaque compartiment contenant des instances OCI Linux que vous voulez surveiller séparément avec des parcs JMS.
Effectuer des fonctions avancées
JMS nécessite certains énoncés de politique pour activer et exécuter des fonctions avancées dans votre parc.
Les énoncés de politique suivants permettent à JMS de lire/d'écrire dans le stockage d'objets :
ALLOW DYNAMIC-GROUP JMS_DYNAMIC_GROUP to READ buckets in COMPARTMENT Fleet_Compartment WHERE target.bucket.name=/jms_ocid1*/
ALLOW DYNAMIC-GROUP JMS_DYNAMIC_GROUP to MANAGE objects in COMPARTMENT Fleet_Compartment WHERE target.bucket.name=/jms_ocid1*/
ALLOW GROUP FLEET_MANAGERS to MANAGE object-family IN COMPARTMENT Fleet_Compartment
ALLOW resource jms SERVER-COMPONENTS TO READ buckets IN COMPARTMENT Fleet_Compartment WHERE target.bucket.name=/jms_ocid1*/
ALLOW resource jms SERVER-COMPONENTS TO MANAGE objects in COMPARTMENT Fleet_Compartment WHERE target.bucket.name=/jms_ocid1*/ALLOW resource jms SERVER-COMPONENTS TO READ instances IN COMPARTMENT <instance_compartment>
ALLOW resource jms SERVER-COMPONENTS TO INSPECT instance-agent-plugins IN COMPARTMENT <instance_compartment>- Remplacez
<instance_compartment>par le nom du compartiment qui contient les instances Linux OCI que vous voulez surveiller avec les parcs JMS. - Vous devez appliquer ces énoncés de politique pour chaque compartiment contenant des instances OCI Linux que vous voulez surveiller séparément avec des parcs JMS.
Activer l'accusé de réception d'abonnement
L'énoncé de politique suivant permet aux gestionnaires de parc d'activer l'accusé de réception d'abonnement :
ALLOW GROUP FLEET_MANAGERS to MANAGE subscription-ack-configs in tenancyAssurez-vous que cette politique est créée dans le compartiment racine.
Configurer des politiques pour le service IAM avec des domaines d'identité
Allow group '<identity_domain_name>'/'<group_name>' to <verb> <resource-type> in tenancyPour plus de détails, voir Aperçu des politiques IAM.
Les énoncés de politique fournis dans ce chapitre concernent des locations sans domaines d'identité.