Documentation Oracle Cloud Infrastructure

Gestion des groupes dynamiques

Cette rubrique explique comment gérer les groupes dynamiques et définir les règles permettant de déterminer leurs membres.

A propos des groupes dynamiques

Les groupes dynamiques vous permettent de regrouper des instances de calcul Oracle Cloud Infrastructure en tant qu'acteurs principaux (comme des groupes d'utilisateurs). Vous pouvez ensuite créer des stratégies permettant aux instances d'effectuer des appels d'API vers les services Oracle Cloud Infrastructure. Lorsque vous créez un groupe dynamique, au lieu de lui ajouter des membres explicitement, vous pouvez configurer un ensemble de règles de mise en correspondance pour définir ses membres. Par exemple, une règle peut indiquer que toutes les instances d'un compartiment particulier sont membres du groupe dynamique. Les membres peuvent changer de manière dynamique à mesure que les instances sont lancées et terminées dans ce compartiment.

Balisage des ressources

Appliquez des balises à vos ressources afin de les organiser selon les besoins de votre entreprise. Appliquer des balises lors de la création d'une ressource ou mettre à jour la ressource ultérieurement avec les balises souhaitées. Pour obtenir des informations générales sur l'application de balises, reportez-vous à Balises de ressource.

Utilisation des groupes dynamiques

Lorsque vous créez un groupe dynamique, vous devez lui donner un nom unique, qui ne peut pas être modifié. Le nom doit être unique parmi tous les groupes de votre location. Vous devez également lui fournir une description (bien qu'il puisse s'agir d'une chaîne vide). Cette description n'est pas nécessairement unique et peut être modifiée. Oracle affecte également au groupe un ID unique, appelé OCID (Oracle Cloud ID). Pour plus d'informations, reportez-vous à Identificateurs de ressource.

Remarque

Si vous supprimez un groupe dynamique, puis en créez un autre avec le même nom, ils seront considérés comme des groupes distincts car ils auront des OCID différents.

Un groupe dynamique ne dispose d'aucun droit d'accès tant que vous n'avez pas écrit au moins une stratégie  lui permettant d'accéder à la location ou à un compartiment. Lors de l'écriture de la stratégie, vous pouvez spécifier le groupe dynamique concerné en utilisant son nom unique ou son OCID. Comme l'indique la remarque précédente, même si vous indiquez le nom du groupe dynamique dans la stratégie, IAM utilise l'OCID pour l'identifier en interne. Pour plus d'informations sur l'écriture de stratégies, reportez-vous à Gestion des stratégies.

Vous ne pouvez supprimer un groupe dynamique que s'il est vide.

Mise à jour des groupes dynamiques

Vous pouvez mettre à jour les règles de mise en correspondance qui définissent les membres d'un groupe dynamique. Par exemple, vous pouvez modifier une règle de mise en correspondance qui inclut toutes les instances d'un compartiment afin d'exclure une instance particulière. Vous pouvez également mettre à jour une règle pour inclure une nouvelle valeur de balise.

Important

Lorsque vous modifiez une règle de mise en correspondance, vous devez attendre environ une heure pour que la règle mise à jour soit appliquée. Par exemple, si vous mettez à jour des balises sur une instance afin d'inclure cette dernière dans un groupe dynamique ou de l'exclure, vous devez attendre que la stratégie soit appliquée pour inclure ou exclure l'instance.

Limites relatives aux groupes dynamiques

Une seule instance de calcul peut appartenir à 5 groupes dynamiques au maximum.

Votre location peut comporter jusqu'à 50 groupes dynamiques.

Utilisation de la console

Procédure de création d'un groupe dynamique
  1. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Groupes dynamiques.
  2. Cliquez sur Créer un groupe dynamique.
  3. Entrez les informations suivantes :
    • Nom : nom unique du groupe. Le nom doit être unique parmi tous les groupes de la location (groupes dynamiques et groupes d'utilisateurs). Vous ne pouvez pas modifier cet élément ultérieurement. Evitez de saisir des informations confidentielles.
    • Description : description conviviale.
  4. Entrez les règles de mise en correspondance. Les ressources qui répondent aux critères de règle sont membres du groupe.
  5. Si vous êtes autorisé à créer une ressource, vous disposez également des droits d'accès nécessaires pour lui appliquer des balises à format libre. Pour appliquer une balise définie, vous devez disposer de droits d'accès permettant d'utiliser l'espace de noms de balise. Pour plus d'informations sur le balisage, reportez-vous à Balises de ressource. Si vous n'êtes pas certain d'appliquer des balises, ignorez cette option ou demandez à un administrateur. Vous pouvez appliquer des balises ultérieurement.

  6. Cliquez sur Créer un groupe dynamique.

    La syntaxe de la règle de mise en correspondance est vérifiée, mais pas les OCID. Assurez-vous que les OCID que vous saisissez sont corrects.

Ensuite, vous devez écrire une stratégie pour octroyer des droits d'accès au groupe dynamique. Reportez-vous à Ecriture de stratégies pour les groupes dynamiques.

Procédure de suppression d'un groupe dynamique
  1. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Groupes dynamiques. La liste des groupes dynamiques de votre location s'affiche.
  2. Recherchez le groupe dynamique dans la liste.
  3. Cliquez sur l'option Supprimer correspondant au groupe dynamique à supprimer.
  4. Confirmez l'opération lorsque vous y êtes invité.
Procédure de mise à jour de la description d'un groupe dynamique
  1. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Groupes dynamiques. La liste des groupes de votre location s'affiche.
  2. Cliquez sur le groupe dynamique à mettre à jour. Les détails du groupe dynamique apparaissent.
  3. Cliquez sur Modifier un groupe dynamique.
  4. Modifiez la description. Lorsque vous avez terminé, cliquez sur Enregistrer les modifications.
Procédure de mise à jour des règles de mise en correspondance d'un groupe dynamique
  1. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Groupes dynamiques. La liste des groupes dynamiques de votre location s'affiche.
  2. Cliquez sur le groupe dynamique à mettre à jour. Les détails du groupe dynamique apparaissent.
  3. Cliquez sur Modifier toutes les règles de mise en correspondance.
  4. Modifiez la règle de mise en correspondance dans la zone de texte ou utilisez le générateur de règles si la modification est prise en charge par le générateur de règles.

Ecriture de règles de mise en correspondance pour définir des groupes dynamiques

Les règles de mise en correspondance définissent les ressources appartenant à un groupe dynamique. Dans la console, vous pouvez entrer la règle manuellement dans la zone de texte fournie ou utiliser le générateur de règles. Le générateur de règles vous permet d'effectuer des sélections et de créer des entrées dans une boîte de dialogue, puis d'écrire la règle pour vous, en fonction de vos entrées.

Vous pouvez définir les membres d'un groupe dynamique en fonction des éléments suivants :

  • ID de compartiment : permet d'inclure (ou d'exclure) les instances résidant dans ce compartiment en fonction de l'OCID du compartiment.
  • ID d'instance : permet d'inclure (ou d'exclure) une instance en fonction de son OCID d'instance.
  • Espace de noms de balise et clé de balise : permettent d'inclure (ou d'exclure) des instances balisées avec un espace de noms de balise et une clé de balise spécifiques. Toutes les valeurs de balise sont incluses. Par exemple, incluez toutes les instances balisées avec l'espace de noms de balise department et la clé de balise operations.
  • Espace de noms de balise, clé de balise et valeur de balise : permettent d'inclure (ou d'exclure) des instances balisées avec une valeur spécifique pour l'espace de noms de balise et la clé de balise. Par exemple, incluez toutes les instances balisées avec l'espace de noms de balise department, la clé de balise operations et la valeur '45'.
  • resource.compartment.id : OCID du compartiment dans lequel réside la ressource
  • resource.id : OCID de la ressource
  • resource.type : type de la ressource

La syntaxe d'une règle de mise en correspondance ressemble aux exemples suivants :

Pour une seule condition :

variable =|!= 'value'

Pour plusieurs conditions :

any|all {<condition>,<condition>,...}

Variables prises en charge :

  • instance.compartment.id : OCID du compartiment dans lequel réside l'instance.
  • instance.id : OCID de l'instance.
  • tag.<tagnamespace>.<tagkey>.value : espace de noms de balise et clé de balise. Par exemple, tag.department.operations.value.
  • tag.<tagnamespace>.<tagkey>.value='<tagvalue>' : espace de noms de balise, clé de balise et valeur de balise. Par exemple, tag.department.operations.value='45'.

Voici quelques exemples :

Inclusion de toutes les instances d'un compartiment spécifique dans le groupe dynamique

Pour inclure toutes les instances présentes dans un compartiment spécifique, ajoutez une règle avec la syntaxe suivante :

instance.compartment.id = '<compartment_ocid>'

Vous pouvez saisir la règle directement dans la zone de texte ou utiliser le générateur de règles.

Exemple d'entrée dans la zone de texte :

instance.compartment.id = 'ocid1:compartment:oc1:phx:samplecompartmentocid6q6igvfauxmima74jv'

Pour ajouter la même règle à l'aide du générateur de règles de la console, effectuez les opérations suivantes :

  • Pour Inclure les instances qui correspondent à :, sélectionnez Tous les éléments suivants.
  • Pour Mettre en correspondance les instances avec :, sélectionnez OCID de compartiment.
  • Pour Valeur :, entrez l'OCID du compartiment. Pour cet exemple, entrez ocid1:compartment:oc1:phx:samplecompartmentocid6q6igvfauxmima74jv.

Toutes les instances existantes ou créées dans le compartiment (identifié par l'OCID) sont membres de ce groupe.

Inclusion de toutes les instances présentes dans l'un ou plusieurs des compartiments indiqués

Pour inclure toutes les instances qui résident dans l'un ou plusieurs des compartiments indiqués, ajoutez une règle avec la syntaxe suivante :

Any {instance.compartment.id = '<compartment_ocid>', instance.compartment.id = '<compartment_ocid>'}

Séparez les entrées de compartiment par une virgule.

Vous pouvez saisir la règle directement dans la zone de texte ou utiliser le générateur de règles.

Exemple d'entrée dans la zone de texte :

Any {instance.compartment.id = 'ocid1:compartment:oc1:phx:samplecompartmentocid6q6igvfauxmima74jv', instance.compartment.id = 'ocid1:compartment:oc1:phx:samplecompartmentocidythksk89ekslsoelu2'}

Pour ajouter la même règle à l'aide du générateur de règles de la console, effectuez les opérations suivantes :

  1. Pour Inclure les instances qui correspondent à :, sélectionnez Un des éléments suivants.
  2. Pour Mettre en correspondance les instances avec :, sélectionnez OCID de compartiment.
  3. Pour Valeur :, entrez l'OCID du compartiment. Pour cet exemple, entrez ocid1:compartment:oc1:phx:samplecompartmentocid6q6igvfauxmima74jv.
  4. Cliquez sur + Ligne supplémentaire. Entrez les éléments suivants sur la deuxième ligne :
    • Pour Mettre en correspondance les instances avec :, sélectionnez OCID de compartiment.
    • Pour Valeur :, entrez l'OCID du compartiment supplémentaire. Pour cet exemple, entrez ocid1:compartment:oc1:phx:samplecompartmentocidythksk89ekslsoelu2

Les instances existantes ou créées ultérieurement dans l'un des compartiments indiqués sont membres de ce groupe.

Inclusion de toutes les instances balisées avec un espace de noms et une clé de balise spécifiques

Pour inclure toutes les instances balisées avec un espace de noms de balise et une clé de balise spécifiques, ajoutez une règle avec la syntaxe suivante :

tag.<tagnamespace>.<tagkey>.value

Toutes les instances auxquelles la combinaison tagnamespace.tagkey a été affectée sont incluses. La valeur de balise n'est pas évaluée. Par conséquent, toutes les valeurs sont incluses.

Exemple : supposons que vous disposez d'un espace de noms de balise appelé department et d'une clé de balise appelée operations. Vous voulez inclure toutes les instances balisées avec l'espace de noms et la clé de balise.

Entrez la règle suivante dans la zone de texte :

tag.department.operations.value

Toutes les instances existantes ou créées avec l'espace de noms de balise et la clé de balise department.operations sont membres de ce groupe.

Inclusion de toutes les instances d'un compartiment spécifique avec un espace de noms de balise, une clé de balise et une valeur de balise spécifiques

Pour inclure toutes les instances d'un compartiment spécifique qui sont balisées avec un espace de noms de balise, une clé de balise et une valeur de balise spécifiques, ajoutez une règle avec la syntaxe suivante :

All {instance.compartment.id = '<compartment_ocid>', tag.<tagnamespace>.<tagkey>.value='<tagvalue>'}

Toutes les instances qui se trouvent dans le compartiment identifié et auxquelles sont affectées la combinaison tagnamespace.tagkey et la valeur de balise spécifiée sont incluses.

Exemple : supposons que vous disposez d'un espace de noms de balise appelé department et d'une clé de balise appelée operations. Vous voulez inclure toutes les instances balisées avec la valeur 45 se trouvant dans un compartiment particulier.

Entrez l'instruction suivante dans la zone de texte :

All {instance.compartment.id='ocid1:compartment:oc1:phx:oc1:phx:samplecompartmentocid6q6igvfauxmima74jv,',
tag.department.operations.value='45'}

Utilisation du générateur de règles

Le générateur de règles est un outil disponible dans la console qui vous aide à écrire des règles de mise en correspondance. Il propose des menus et des zones de texte pour que vous puissiez créer des entrées, puis écrit la règle à votre place. Le générateur de règles présente des restrictions. Vous ne pouvez donc pas l'utiliser pour tous les cas.

Limites du générateur de règles

Le générateur de règles ne prend pas en charge les éléments suivants :

  • Règles d'exclusion : le générateur de règles vous permet de sélectionner les ID de compartiment et les ID d'instance à inclure uniquement.
  • Règles basées sur des balises : le générateur de règles ne vous permet pas de sélectionner les balises à inclure dans votre règle. Pour ajouter une règle basée sur des valeurs de balise, vous devez saisir la règle dans la zone de texte Règle à l'aide de la syntaxe ci-dessus.

Lancement du générateur de règles

Lorsque vous cliquez sur Créer un groupe dynamique, le générateur de règles apparaît dans la boîte de dialogue Créer un groupe dynamique.

Pour créer une règle de mise en correspondance à l'aide du générateur de règles, procédez comme suit :

  1. Dans la section Règles de mise en correspondance, cliquez sur Générateur de règles.

  2. Dans le menu Inclure les instances qui correspondent à, sélectionnez Tous les éléments suivants ou Un des éléments suivants.

    L'option Tous les éléments suivants inclut uniquement les instances correspondant à toutes les instructions de la règle.

    L'option Un des éléments suivants inclut les instances correspondant à l'une des instructions de la règle.

    Remarque

    Vous pouvez sélectionner les variables d'instance et de compartiment suivantes :
    • instance.compartment.id et instance.id s'appliquent lors de la mise en correspondance d'instances
    • resource.compartment.id, resource.id et resource.type s'appliquent lors de la mise en correspondance des ressources
    • Les variables tag.* s'appliquent aux instances et aux ressources

  3. Sélectionnez un type de ressource dans le menu Mettre en correspondance les instances avec, puis entrez l'OCID de la ressource dans le champ Valeur :

    OCID de compartiment : inclut les instances du compartiment indiqué.

    OCID d'instance : inclut les instances avec les OCID indiqués.

  4. Cliquez sur + Ligne supplémentaire pour ajouter d'autres instructions à cette règle.

    Lorsque vous ajoutez plusieurs instructions à une règle, n'oubliez pas que l'option Un des éléments suivants inclut les instances qui correspondent à l'une des instructions. Si vous choisissez Tous les éléments suivants, les instances doivent correspondre à toutes les spécifications des instructions pour être incluses dans le groupe.

Exemples d'utilisation du générateur de règles

Inclusion de toutes les instances d'un compartiment spécifique dans le groupe dynamique

Pour inclure toutes les instances présentes dans un compartiment spécifique à l'aide du générateur de règles, procédez comme suit :

  • Sélectionnez Tous les éléments suivants.
  • Pour Mettre en correspondance les instances avec :, sélectionnez OCID de compartiment.
  • Pour Valeur :, entrez l'OCID de compartiment, par exemple ocid1:compartment:oc1:phx:samplecompartmentocidythksk89ekslsoelu2.

Toutes les instances existantes ou créées ultérieurement dans le compartiment (identifié par l'OCID) sont membres de ce groupe.

Inclusion de toutes les instances présentes dans l'un ou plusieurs des compartiments indiqués

Pour inclure toutes les instances qui résident dans l'un ou plusieurs des compartiments indiqués à l'aide du générateur de règles, procédez comme suit :

  1. Dans le menu Inclure les instances qui correspondent à, sélectionnez Un des éléments suivants.
  2. Sur la première ligne, entrez ce qui suit :
    • Pour Mettre en correspondance les instances avec, sélectionnez OCID de compartiment.
    • Pour Valeur, entrez l'OCID du compartiment, par exemple : ocid1:compartment:oc1:phx:samplecompartmentocid6q6igvfauxmima74jv.
  3. Cliquez sur + Ligne supplémentaire. Entrez les éléments suivants sur la deuxième ligne :
    • Pour Mettre en correspondance les instances avec, sélectionnez OCID de compartiment.
    • Pour Valeur, entrez l'OCID de compartiment, par exemple ocid1:compartment:oc1:phx:samplecompartmentocidythksk89ekslsoelu2.
  4. Continuez à ajouter des lignes supplémentaires si nécessaire pour chaque compartiment à inclure.

Les instances existantes ou créées dans l'un des compartiments indiqués sont membres de ce groupe.