Documentation sur Oracle Cloud Infrastructure

Exemples de politique

Lors de l'écriture de politiques, vous pouvez utiliser le groupe Administrateurs pour la gestion des locations, par exemple :

allow group Administrators to manage wlms-managed-instances in tenancy
allow group Administrators to manage wlms-wlsdomains in tenancy
allow group Administrators to manage wlms-family in tenancy

Vous pouvez également simplifier les autorisations en combinant des énoncés de politique pour lesquels plusieurs groupes nécessitent les mêmes autorisations. Par exemple, ces énoncés de politique :

allow group <user-grp-01> to inspect wlms-wlsdomains in tenancy
allow group <user-grp-01> to inspect wlms-work-requests in tenancy
allow group <user-grp-02> to inspect wlms-wlsdomains in tenancy
allow group <user-grp-02> to inspect wlms-work-requests in tenancy

Peut devenir :

allow group <user-grp-01>,<user-grp-01> { WLMS_WLSDOMAIN_INSPECT, WLMS_WORK_REQUEST_INSPECT } in tenancy

Exemples de politiques limitant le groupe d'utilisateurs

Les exemples fournis sont des exemples de politiques utilisées pour restreindre l'accès aux ressources ou aux compartiments pour un groupe d'utilisateurs particulier. La location de ces exemples présente la structure de compartiment suivante :

  • Compartiment root (location)
    • Compartiment <dev>
      • Sous-compartiment <test> de <dev>
    • Compartiment <prod>
Utilisateur administrateur avec les autorisations de location

Pour cet exemple :

  • Le groupe dynamique est <wlms-dyn-grp>. Les énoncés de règle incluent les instances OCI dans le compartiment racine (location), le compartiment <dev>, le sous-compartiment <test> et le compartiment <prod>.
  • L'utilisateur appartient au groupe d'utilisateurs <wlms-admin-grp>, qui est autorisé à gérer toutes les ressources de la location.

énoncés de politique

  • Permet au groupe dynamique de voir et de balayer les instances gérées d'un compartiment spécifique.
    allow dynamic-group <wlms-dyn-grp> to {WLMS_MANAGED_INSTANCE_USE} in tenancy where target.compartment.id='<dev_compartment_ocid>'
  • Permet au groupe d'utilisateurs de voir, de balayer et de mettre à jour toutes les instances gérées de la location.
    allow group <wlms-admin-grp> to use wlms-managed-instances in tenancy
  • Permet au groupe d'utilisateurs d'utiliser, de mettre à jour, de redémarrer, d'appliquer des correctifs et de déplacer tous les domaines de la location.
    allow group <wlms-admin-grp> to use wlms-wlsdomains in tenancy
  • Permet au groupe d'utilisateurs de gérer toutes les ressources de la location.
    allow group <wlms-admin-grp> to manage wlms-family in tenancy
Utilisateur administrateur restreint à un compartiment

Pour cet exemple :

  • L'utilisateur appartient au groupe d'utilisateurs wlms-admin-grp-dev qui peut gérer toutes les ressources dans le compartiment <dev> et le sous-compartiment <test>.

énoncés de politique

  • Permet au groupe d'utilisateurs de gérer toutes les ressources du service de gestion WebLogic dans le compartiment <dev>. Les politiques utilisent l'héritage de compartiment, de sorte que l'utilisateur pourra également gérer les ressources dans tous les sous-compartiments de <dev> (dans cet exemple, <test>).
    allow group <wlms-admin-grp-dev> to manage wlms-family in compartment <dev>
  • Permet au groupe d'utilisateurs de lire les instances gérées dans le compartiment racine. 
    allow group <wlms-admin-grp-dev> to read wlms-managed-instances in tenancy where target.compartment.id = '<tenancy_ocid>'
  • Permet à l'utilisateur d'utiliser des instances gérées dans le compartiment dev.
    allow group <wlms-admin-grp-dev> to use wlms-managed-instances in compartment <dev>
  • Permet à l'utilisateur d'utiliser, de mettre à jour, de redémarrer, d'appliquer des correctifs, de déplacer et de supprimer des domaines dans le compartiment dev.
    allow group <wlms-admin-grp-dev> to manage wlms-wlsdomains in compartment <dev>
Utilisateur limité à un compartiment

Pour cet exemple :

  • Le groupe dynamique est <wlms-instances>. L'énoncé de règle inclut la ressource d'agent de plugiciel dans le compartiment <prod>.
  • L'utilisateur appartient au groupe d'utilisateurs <wlms-users> qui peut lire toutes les ressources de gestion WebLogic dans le compartiment <prod>.

énoncés de politique

  • Permet à l'agent des instances gérées d'interagir avec la gestion WebLogic.
    allow dynamic-group <wlms-instances> to {WLMS_MANAGED_INSTANCE_PLUGIN_ACCESS} in compartment prod where request.principal.id = target.managed-instance.i
  • Permet au groupe d'utilisateurs de voir toutes les ressources de gestion WebLogic dans le compartiment <prod>.
    allow group <wlms-users> to read wlms-family in compartment <prod>

Exemples de politiques avancées

Les exemples avancés de gestion WebLogic fournis sont des exemples de politiques utilisées pour restreindre l'accès aux ressources ou aux compartiments pour un groupe d'utilisateurs particulier.

Autoriser un groupe d'utilisateurs à voir uniquement les ressources de gestion WebLogic

Type d'accès : Permet de voir toutes les instances gérées d'un compartiment dans lequel le plugiciel de gestion WebLogic est activé, les domaines et serveurs de serveur WebLogic détectés par le plugiciel de gestion WebLogic et tous les paramètres de configuration. Avec cette politique, un utilisateur du groupe ne peut pas effectuer d'actions de service pouvant modifier l'état des domaines de serveur WebLogic.

Quand utiliser : Cette politique est utile lorsque vous voulez contrôler l'accès à un compartiment dans lequel vous disposez de vos domaines de serveur WebLogic de production.

Où créer la politique : Placez cette politique dans le compartiment pour lequel vous accorderez l'accès au groupe d'utilisateurs.

Allow group Default/<WlmsDevUsers> to read wlms-family in compartment <WlmsProduction>
Autoriser un groupe d'utilisateurs à effectuer toutes les actions dans la gestion WebLogic, à l'exception des domaines de suppression

Type d'accès : Permet d'effectuer toutes les actions de service à l'exception de l'action de suppression de domaine.

Quand utiliser : Cette politique est utile pour empêcher la suppression accidentelle de domaine.

Où créer la politique : Placez cette politique dans le compartiment pour lequel vous accorderez l'accès au groupe d'utilisateurs.

Allow group Default/<WlmsUsers> to use wlms-family in compartment <WlmsTest>
Autoriser un groupe d'utilisateurs à effectuer des actions de balayage uniquement sur les domaines WebLogic et les instances gérées de gestion WebLogic

Type d'accès : Permet de voir toutes les instances gérées d'un compartiment dans lequel le plugiciel de gestion WebLogic est activé, les domaines et serveurs de serveur WebLogic détectés par le plugiciel de gestion WebLogic et tous les paramètres de configuration. Avec cette politique, un utilisateur du groupe peut également obtenir les dernières informations de domaine WebLogic sur demande en exécutant l'action de balayage.

Quand utiliser : Cette politique est utile lorsque vous voulez contrôler l'accès à un compartiment dans lequel vous disposez de vos domaines de serveur WebLogic de production.

Où créer la politique : Placez cette politique dans le compartiment pour lequel vous accorderez l'accès au groupe d'utilisateurs.

Allow group Default/<WlmsDevUsers> to read wlms-family in compartment <WlmsProduction>
Allow group Default/<WlmsDevUsers> to use wlms-wlsdomains in compartment <WlmsProduction> where all {request.permission='WLMS_WLSDOMAIN_USE',request.operation='ScanWlsDomain'}
Allow group Default/<WlmsDevUsers> to {WLMS_MANAGED_INSTANCE_USE} in compartment <WlmsProduction>
Permettre à un groupe d'utilisateurs de balayer et d'appliquer des correctifs aux domaines WebLogic sans pouvoir mettre à jour les paramètres de configuration

Type d'accès : Permet de voir toutes les instances gérées d'un compartiment dans lequel le plugiciel de gestion WebLogic est activé, les domaines et serveurs de serveur WebLogic détectés par le plugiciel de gestion WebLogic et tous les paramètres de configuration. Avec cette politique, un utilisateur du groupe peut également obtenir les dernières informations de domaine WebLogic sur demande en exécutant l'action de balayage et les domaines de correctif.

Quand utiliser : Cette politique est utile lorsque vous voulez spécifier un jeu particulier d'utilisateurs, tels que les utilisateurs d'opérations, pour effectuer des opérations spécifiques uniquement pendant une fenêtre d'application de correctifs à un compartiment dans lequel vous avez vos domaines de serveur WebLogic de production.

Où créer la politique : Placez cette politique dans le compartiment pour lequel vous accorderez l'accès au groupe d'utilisateurs.

Allow group Default/<WlmsOperationsUsers> to read wlms-family in compartment <WlmsProduction>
Allow group Default/<WlmsOperationsUsers> to {WLMS_WLSDOMAIN_USE} in compartment <WlmsProduction>
Allow group Default/<WlmsOperationsUsers> to {WLMS_MANAGED_INSTANCE_USE} in compartment <WlmsProduction>
Allow group Default/<WlmsOperationsUsers> to {WLMS_WLSDOMAIN_PATCH} in compartment <WlmsProduction>
Permettre à un groupe d'utilisateurs d'effectuer des actions de redémarrage et de mettre à jour l'ordre de redémarrage

Type d'accès : Permet de voir toutes les instances gérées d'un compartiment dans lequel le plugiciel de gestion WebLogic est activé, les domaines et serveurs de serveur WebLogic détectés par le plugiciel de gestion WebLogic et tous les paramètres de configuration. Avec cette politique, un utilisateur du groupe peut également obtenir les informations les plus récentes sur le domaine WebLogic sur demande en exécutant l'action de balayage, en modifiant les paramètres de configuration et en redémarrant les domaines.

Quand utiliser : Cette politique est utile lorsque vous voulez spécifier un jeu particulier d'utilisateurs, tels que les utilisateurs des opérations, pour effectuer des opérations spécifiques uniquement pendant une fenêtre d'application de correctifs à un compartiment dans lequel vous avez vos domaines de serveur WebLogic de production. Avec ces paramètres, vous l'avez fait pour que l'application de correctifs ne soit pas autorisée. L'autorisation WLMS_WLSDOMAIN_RESTART peut être remplacée par l'autorisation WLMS_WLSDOMAIN_PATCH ultérieurement lorsque la fenêtre d'application de correctifs est ouverte.

Où créer la politique : Placez cette politique dans le compartiment pour lequel vous accorderez l'accès au groupe d'utilisateurs.

Allow group Default/<WlmsOperationsUsers> to read wlms-family in compartment <WlmsProduction>
Allow group Default/<WlmsOperationsUsers> to {WLMS_WLSDOMAIN_USE} in compartment <WlmsProduction>
Allow group Default/<WlmsOperationsUsers> to {WLMS_MANAGED_INSTANCE_USE} in compartment <WlmsProduction>
Allow group Default/<WlmsOperationsUsers> to {WLMS_WLSDOMAIN_RESTART} in compartment <WlmsProduction>
Allow group Default/<WlmsOperationsUsers> to {WLMS_WLSDOMAIN_UPDATE} in compartment <WlmsProduction>
Autoriser un groupe d'utilisateurs à effectuer toutes les actions autorisées par le verbe use pour les domaines WebLogic, sauf déplacer un compartiment

Type d'accès : Permet de voir toutes les instances gérées d'un compartiment dans lequel le plugiciel de gestion WebLogic est activé, les domaines et serveurs de serveur WebLogic détectés par le plugiciel de gestion WebLogic et tous les paramètres de configuration. Avec cette politique, un utilisateur du groupe peut également obtenir les informations les plus récentes sur le domaine WebLogic à la demande en exécutant l'action de balayage, en modifiant les paramètres de configuration, en redémarrant les domaines et en appliquant des correctifs aux domaines. La possibilité de déplacer le compartiment n'est pas ajoutée.

Quand utiliser : Cette politique est utile lorsque vous disposez d'une structure organisationnelle pour les compartiments que vous voulez tenir à jour et que vous ne voulez pas que d'autres utilisateurs perturbent cette organisation en déplaçant un domaine.

Où créer la politique : Placez cette politique dans le compartiment pour lequel vous accorderez l'accès au groupe d'utilisateurs.

Allow group Default/<WlmsDevUsers> to read wlms-family in compartment <WlmsDev>
Allow group Default/<WlmsDevUsers> to {WLMS_WLSDOMAIN_USE} in compartment <WlmsDev>
Allow group Default/<WlmsDevUsers> to {WLMS_MANAGED_INSTANCE_USE} in compartment <WlmsDev>
Allow group Default/<WlmsDevUsers> to {WLMS_WLSDOMAIN_PATCH} in compartment <WlmsDev>
Allow group Default/<WlmsDevUsers> to {WLMS_WLSDOMAIN_UPDATE} in compartment <WlmsDev>
Autoriser un groupe d'utilisateurs à balayer dans les instances gérées du service de gestion WebLogic sans pouvoir mettre à jour la configuration

Type d'accès : Permet de voir toutes les instances gérées d'un compartiment dans lequel le plugiciel de gestion WebLogic est activé, les domaines et serveurs de serveur WebLogic détectés par le plugiciel de gestion WebLogic et tous les paramètres de configuration. Avec cette politique, un utilisateur du groupe peut également obtenir les dernières informations de domaine WebLogic sur demande en exécutant l'action de balayage. La possibilité de mettre à jour les paramètres de configuration d'instance gérée dans le compartiment n'est pas ajoutée.

Lors de l'utilisation : Cette politique est utile lorsque vous voulez empêcher un utilisateur d'interrompre les chemins balayés, mais que vous voulez que l'utilisateur puisse obtenir les dernières informations de domaine WebLogic à partir d'une instance gérée.

Où créer la politique : Placez cette politique dans le compartiment pour lequel vous accorderez l'accès au groupe d'utilisateurs.

Allow group Default/<WlmsDevUsers> to read wlms-family in compartment <WlmsTest>
Allow group Default/<WlmsDevUsers> to {WLMS_MANAGED_INSTANCE_USE} in compartment <WlmsTest>