Documentation sur Oracle Cloud Infrastructure

Création d'utilisateurs et de groupes

Pour fonctionner dans la gestion WebLogic, un administrateur de location de votre organisation doit créer des groupes, ajouter des utilisateurs à des groupes et ajouter des politiques qui contrôlent quels utilisateurs peuvent accéder au service et à ses ressources, ainsi que le type d'accès dont ils disposent.

Créez au moins un utilisateur dans la location qui souhaite utiliser la gestion WebLogic. Cet utilisateur doit être créé dans le service IAM.

Les groupes d'utilisateurs, les groupes dynamiques et les politiques IAM spécifient quels utilisateurs et services peuvent accéder à certaines ressources OCI. Vous devez identifier les ressources de gestion WebLogic que le service peut gérer et quels utilisateurs peuvent gérer ces ressources. Pour ce faire, définissez des groupes d'utilisateurs, des groupes dynamiques, puis configurez la politique IAM requise.

Groupe d'utilisateurs

Créez un groupe d'utilisateurs ou identifiez un groupe d'utilisateurs existant pour administrer le service de gestion WebLogic dans la location. Les énoncés de politique requis permettent ensuite à ce groupe d'utilisateurs administrateurs de gérer les ressources de gestion WebLogic.

Si vous devez restreindre davantage l'accès, vous pouvez créer des groupes d'utilisateurs supplémentaires et définir des énoncés de politique plus restrictifs pour limiter l'accès à des ressources spécifiques. Voir Exemples de politique pour les cas d'utilisation non destinés aux administrateurs. Pour plus d'informations sur les groupes d'utilisateurs, voir Gestion des groupes.

Groupe dynamique

Créez un groupe dynamique pour spécifier les ressources que la gestion WebLogic gérera en définissant des énoncés de règle pour les instances OCI.

  1. Assurez-vous de comprendre les éléments suivants :

  2. Suivez les étapes pour créer un groupe dynamique ou mettre à jour un groupe dynamique existant et configurer les règles de correspondance comme suit.

    Conseil

    Réutilisez le même groupe dynamique dans la mesure du possible entre les services au lieu de créer de nouveaux groupes dynamiques, car une seule ressource ne peut appartenir qu'à un maximum de cinq groupes dynamiques.

  3. Pour le paramètre de règle de correspondance globale, sélectionnez : Correspondance avec les règles définies ci-dessous.

  4. Créez des énoncés de règle pour les instances que le service de gestion WebLogic gérera.

    Important

    Les règles de groupe dynamique n'utilisent pas l'héritage de compartiment. Vous devez spécifier un énoncé de règle pour chaque compartiment et sous-compartiment que vous souhaitez gérer par le service.

    Règle pour les instances OCI

    Ajoutez un énoncé de règle qui inclut chaque compartiment (et sous-compartiment) qui contiendra des instances.

    ANY {instance.compartment.id='<compartment_ocid>',instance.compartment.id='<subcompartment_ocid>'}

    Cette règle inclura toutes les instances OCI dans les compartiments spécifiés.

  5. Cliquez sur Créer (si vous créez) ou enregistrer (si vous effectuez une mise à jour).
Que fait le groupe dynamique?
Le groupe dynamique identifie les instances que la gestion WebLogic va gérer. Vous ajoutez des énoncés de règle pour les compartiments et les sous-compartiments qui contiennent les instances que vous voulez gérer par le service. Le groupe dynamique augmente et diminue de manière dynamique en fonction de ces instructions de règle. Au fur et à mesure que les instances sont provisionnées ou mises hors service, le groupe dynamique change en conséquence. Les énoncés de politique requis accordent ensuite à la direction WebLogic la possibilité d'accéder aux instances du groupe dynamique.

Pour plus d'informations sur les groupes dynamiques, voir Gestion des groupes dynamiques .

Quand utiliser ANY et ALL pour un groupe dynamique?

Avant d'écrire des énoncés de règle de groupe dynamique, il est important de comprendre la différence entre ANY et ALL.

Lors de la définition d'un groupe dynamique, vous définissez la manière dont le groupe correspond aux règles définies dans le groupe :

  • Satisfaire à n'importe quelle règle définie ci-dessous inclut des ressources qui correspondent à n'importe laquelle des règles du groupe dynamique. Sélectionnez cette option si vous définissez un groupe qui inclut des règles pour plusieurs compartiments ou plusieurs types d'instance. Ce paramètre indique au groupe d'inclure les ressources qui correspondent à la règle 1 OU à la règle 2 OU à la règle 3, etc.
  • Mettre en correspondance toutes les règles définies ci-dessous inclut les ressources qui correspondent à toutes les règles du groupe dynamique. Sélectionnez cette option lors de la définition d'un groupe dynamique étroit et variable qui inclut un seul compartiment. Ce paramètre indique au groupe d'inclure les ressources correspondant à la règle 1 ET à la règle 2 ET à la règle 3, etc.

Lorsque vous définissez des instructions de règles individuelles dans le groupe dynamique, vous définissez les conditions de chaque instruction :

  • Tout ce qui suit (ALL) inclut uniquement les ressources correspondant à toutes les conditions de la règle. Les énoncés ALL exigent que chaque condition soit vraie. Sinon, les ressources ne sont pas incluses pour la règle.

  • Un des suivants (ANY) inclut les ressources correspondant à n'importe laquelle des conditions de la règle.

Exemples ANY et ALL pour un énoncé de règle individuel

Tenez compte de la règle utilisée pour les instances OCI.

Correct usage:
ALL {resource.type='managementagent', resource.compartment.id='<compartment_ocid>'}

Lors de l'utilisation de ALL, la règle inclut uniquement les ressources du compartiment spécifié. L'énoncé indique au groupe dynamique d'inclure les ressources correspondant au type d'agent de gestion ET qui se trouvent dans le compartiment spécifié.

Incorrect usage. Do not use:
ANY {resource.type='managementagent', resource.compartment.id='<compartment_ocid>'}

Lors de l'utilisation de ANY, la règle inclut chaque ressource dans l'ensemble de la location et chaque ressource OCI présente dans le compartiment spécifié. Bien que l'énoncé inclue les ressources nécessaires pour la gestion WebLogic, il est très large et généralement pas préférable.

Tenez compte de la règle utilisée pour les instances OCI lorsque vous spécifiez plusieurs compartiments.

Correct usage:
ANY {instance.compartment.id='<compartment_ocid>',instance.compartment.id='<subcompartment_ocid>'}

Lors de l'utilisation de ANY, la règle inclut chaque instance dans chacun des compartiments spécifiés. L'énoncé indique au groupe dynamique d'inclure des instances dans <compartment_ocid> OU <subcompartment_ocid>.

Incorrect usage. Do not use:
ALL {instance.compartment.id='<compartment_ocid>',instance.compartment.id='<subcompartment_ocid>'}

Lors de l'utilisation de ALL, la règle indique au groupe dynamique d'inclure des instances dans <compartment_ocid> ET <subcompartment_ocid>. Cette règle n'inclura aucune instance, car il est impossible qu'une instance se trouve dans plusieurs compartiments en même temps. N'utilisez pas ALL avec un énoncé de règle qui spécifie plusieurs compartiments.