Documentation Oracle Cloud Infrastructure

Stratégies et droits d'accès Fleet Application Management

Créez des stratégies IAM (Identity and Access Management) pour contrôler qui a accès aux ressources Fleet Application Management, ainsi que le type d'accès de chaque groupe d'utilisateurs.

Créez des stratégies pour que les utilisateurs disposent des droits nécessaires sur les ressources Fleet Application Management. Par défaut, les utilisateurs du groupe Administrators ont accès à toutes les ressources Fleet Application Management.

Si vous ne connaissez pas les stratégies IAM, reportez-vous à Introduction aux stratégies.

Pour obtenir la liste complète de toutes les stratégies dans Oracle Cloud Infrastructure, reportez-vous à Référence de stratégie et à Stratégies courantes.

Fleet Application Management requiert qu'un administrateur de location ajoute des règles au groupe dynamique créé par Fleet Application Management lors de l'intégration. Cette action permet à Fleet Application Management d'effectuer des opérations de gestion du cycle de vie sur OCI Compute.

Cette section décrit les rubriques suivantes :

Types de ressource et droits d'accès

Liste des types de ressource Fleet Application Management et des droits d'accès associés.

Pour affecter des droits d'accès à toutes les ressources OCI Fleet Application Management, utilisez le type d'agrégation fams-family. Pour plus d'informations, reportez-vous à Droits d'accès.

Le tableau suivant répertorie toutes les ressources de fams-family :

Famille Ressources membre
fams-family
  • fams-fleets
  • fams-runbooks
  • fams-schedules
  • fams-schedule-jobs
  • fams-maintenance-windows
  • fams-admin
  • fams-onboarding
  • fams-workrequests
  • fams-compliance-policies
  • fams-patches
  • fams-provisions
  • fams-catalog-items
  • fams-software-inventory
  • fams-platform
  • fams-properties

Une stratégie qui utilise <verb> fams-family équivaut à écrire une stratégie avec une instruction <verb> <resource-type> distincte pour chaque type de ressource individuel.

Type de ressource Droits d'accès
fams-fleets
  • FAMS_FLEET_INSPECT
  • FAMS_FLEET_READ
  • FAMS_FLEET_CREATE
  • FAMS_FLEET_UPDATE
  • FAMS_FLEET_DELETE
  • FAMS_FLEET_MOVE
  • FAMS_COMPLIANCE_REPORT_READ
fams-runbooks
  • FAMS_RUNBOOK_INSPECT
  • FAMS_RUNBOOK_READ
  • FAMS_RUNBOOK_UPDATE
  • FAMS_RUNBOOK_CREATE
  • FAMS_RUNBOOK_DELETE
  • FAMS_RUNBOOK_MOVE
fams-plans
  • FAMS_SCHEDULE_INSPECT
  • FAMS_SCHEDULE_READ
  • FAMS_SCHEDULE_CREATE
  • FAMS_SCHEDULE_UPDATE
  • FAMS_SCHEDULE_DELETE
  • FAMS_SCHEDULE_CREATE_WITH_SUDO
fam-schedule-jobs
  • FAMS_SCHEDULE_JOB_INSPECT
  • FAMS_SCHEDULE_JOB_READ
  • FAMS_SCHEDULE_JOB_UPDATE
  • FAMS_SCHEDULE_JOB_DELETE
  • FAMS_SCHEDULE_JOB_ACTION
fams-maintenance-fenêtres
  • FAMS_MAINTENANCE_WINDOW_INSPECT
  • FAMS_MAINTENANCE_WINDOW_READ
  • FAMS_MAINTENANCE_WINDOW_CREATE
  • FAMS_MAINTENANCE_WINDOW_UPDATE
  • FAMS_MAINTENANCE_WINDOW_DELETE
fams-admin
  • FAMS_ADMIN_INSPECT
  • FAMS_ADMIN_READ
  • FAMS_ADMIN_CREATE
  • FAMS_ADMIN_UPDATE
  • FAMS_ADMIN_DELETE
  • FAMS_ADMIN_MOVE
  • FAMS_COMPLIANCE_REPORT_READ
fams-onboarding
  • FAMS_ONBOARDING_INSPECT
  • FAMS_ONBOARDING_READ
  • FAMS_ONBOARDING_CREATE
  • FAMS_ONBOARDING_UPDATE
  • FAMS_ONBOARDING_DELETE
fams-demandes de travail
  • FAMS_API_WORK_REQUEST_LIST
  • FAMS_API_WORK_REQUEST_READ
fams-compliance-politiques
  • FAMS_COMPLIANCE_POLICY_INSPECT
  • FAMS_COMPLIANCE_POLICY_READ
  • FAMS_COMPLIANCE_POLICY_CREATE
  • FAMS_COMPLIANCE_POLICY_UPDATE
  • FAMS_COMPLIANCE_POLICY_DELETE
  • FAMS_COMPLIANCE_REPORT_READ
fams-patches
  • FAMS_PATCH_INSPECT
  • FAMS_PATCH_READ
  • FAMS_PATCH_CREATE
  • FAMS_PATCH_UPDATE
  • FAMS_PATCH_DELETE
  • FAMS_PATCH_MOVE
  • FAMS_COMPLIANCE_REPORT_READ
fam-provisions
  • FAMS_PROVISION_INSPECT
  • FAMS_PROVISION_READ
  • FAMS_PROVISION_CREATE
  • FAMS_PROVISION_UPDATE
  • FAMS_PROVISION_DELETE
  • FAMS_PROVISION_MOVE
fams-catalog-items
  • FAMS_CATALOG_ITEM_INSPECT
  • FAMS_CATALOG_ITEM_READ
  • FAMS_CATALOG_ITEM_CREATE
  • FAMS_CATALOG_ITEM_UPDATE
  • FAMS_CATALOG_ITEM_DELETE
  • FAMS_CATALOG_ITEM_MOVE
  • FAMS_CATALOG_ITEM_CLONE
fams-logiciel-inventaire
  • FAMS_SOFTWARE_INVENTORY_INSPECT
fams-plateforme
  • FAMS_PLATFORM_INSPECT
  • FAMS_PLATFORM_READ
  • FAMS_PLATFORM_CREATE
  • FAMS_PLATFORM_UPDATE
  • FAMS_PLATFORM_DELETE
  • FAMS_PLATFORM_MOVE
fam-propriétés
  • FAMS_PROPERTY_INSPECT
  • FAMS_PROPERTY_READ
  • FAMS_PROPERTY_CREATE
  • FAMS_PROPERTY_UPDATE
  • FAMS_PROPERTY_DELETE
  • FAMS_PROPERTY_MOVE

Variables prises en charge

Fleet Application Management prend en charge toutes les variables générales et celles répertoriées ici. Pour plus d'informations sur les variables générales prises en charge par le service Oracle Cloud Infrastructure, reportez-vous à Variables générales pour toutes les demandes.

Type de ressource Variable Type de variable Description
fams-fleets target.famsfleet.id Entité (OCID) Utilisez cette variable pour toutes les opérations de parc à l'exception de create.
fams-schedules target.famsschedulerdefinition.id Entité (OCID) Utilisez cette variable pour toutes les opérations de planification sauf la création.
fams-schedule-jobs target.famsschedulerjob.id Entité (OCID) Utilisez cette variable pour toutes les opérations de travail de planification à l'exception de la création.
fams-maintenance-windows target.famsmaintenacewindow.id Entité (OCID) Utilisez cette variable pour toutes les opérations de fenêtre de maintenance, à l'exception de la création.
fams-runbooks target.famsrunbook.id

target.famstaskrecord.id

Entité (OCID) Utilisez ces variables pour les opérations de tâche de dossier d'exploitation et de dossier d'exploitation, à l'exception de la création.
fams-admin target.famsproperty.id

target.famsplatformconfiguration.id

Entité (OCID) Utilisez ces variables pour les opérations d'administration, à l'exception de create.
fams-workrequests target.famsworkrequest.id Entité (OCID) Utilisez cette variable pour les opérations list et get.
fams-compliance-policies target.famscompliancepolicy.id Entité (OCID) Utilisez cette variable pour toutes les opérations de stratégie de conformité à l'exception de la création.
fams-patches target.famspatch.id Entité (OCID) Utilisez cette variable pour toutes les opérations d'application de patches à l'exception de la création.
fams-catalog-items target.famscatalogitem.id Entité (OCID) Utilisez cette variable pour toutes les opérations d'article de catalogue à l'exception de la création.
fams-provisions target.famsprovision.id Entité (OCID) Utilisez cette variable pour toutes les opérations de provisionnement à l'exception de la création.

Détails des combinaisons de verbe et de type de ressource

Identifiez les droits d'accès et les opérations d'API couverts par chaque verbe pour les ressources Fleet Application Management.

Le niveau d'accès est cumulatif à mesure que vous passez d'un verbe à l'autre, dans l'ordre suivant : inspect, read, use, manage. Un signe plus (+) dans une cellule du tableau indique un accès incrémentiel par rapport à la cellule précédente.

Pour plus d'informations sur l'octroi d'accès, reportez-vous à Droits d'accès.

Familles-Fleets
Verbes Droits d'accès API entièrement couvertes API partiellement couvertes
inspect FAMS_FLEET_INSPECT ListFleets

ListInventoryResources

ListTargets

ListFleetTargets

ListFleetProducts

ListFleetResources

ListFleetProperties

ListFleetCredentials

ListProperties (peut également utiliser FAMS_ADMIN_INSPECT ou FAMS_PROPERTY_INSPECT)
read

inspect+

FAMS_FLEET_READ

inspect+

GetFleet

GetFleetResource

GetFleetProperty

GetComplianceReport

GetFleetCredential

GenerateComplianceReport

CreateSchedulerDefinition (requiert également FAMS_SCHEDULE_CREATE et FAMS_RUNBOOK_READ) et les éléments suivants en fonction de vos besoins :
  • Si le type de paramètre d'entrée est FILE et qu'il doit être sélectionné dans Object Storage, OBJECT_INSPECT, OBJECT_READ est requis
  • Si l'attribut de guide d'exploitation need sudo access a la valeur True, FAMS_SCHEDULE_CREATE_WITH_SUDO est requis
UpdateSchedulerDefinition (requiert également FAMS_SCHEDULE_UPDATE et FAMS_RUNBOOK_READ) et les éléments suivants en fonction de vos besoins :
  • Si le type de paramètre d'entrée est FILE et qu'il doit être sélectionné dans Object Storage, OBJECT_INSPECT, OBJECT_READ est requis
  • Si l'attribut de guide d'exploitation need sudo access a la valeur True, FAMS_SCHEDULE_CREATE_WITH_SUDO est requis

GetProperty (peut également utiliser FAMS_ADMIN_READ ou FAMS_PROPERTY_READ)

ListComplianceRecords (peut également utiliser FAMS_COMPLIANCE_REPORT_READ, FAMS_PATCH_READ, FAMS_ADMIN_READ ou FAMS_COMPLIANCE_POLICY_READ)

ExportComplianceReport (peut également utiliser FAMS_COMPLIANCE_REPORT_READ, FAMS_PATCH_READ, FAMS_ADMIN_READ ou FAMS_COMPLIANCE_POLICY_READ)

SummarizeComplianceRecordCounts (peut également utiliser FAMS_COMPLIANCE_REPORT_READ, FAMS_PATCH_READ, FAMS_ADMIN_READ ou FAMS_COMPLIANCE_POLICY_READ)

SummarizeManagedEntityCounts (peut également utiliser FAMS_COMPLIANCE_REPORT_READ, FAMS_PATCH_READ, FAMS_ADMIN_READ ou FAMS_COMPLIANCE_POLICY_READ)

CreateProvision (requiert également FAMS_PROVISION_CREATE et FAMS_CATALOG_ITEM_READ)
use

read+

FAMS_FLEET_UPDATE

read+

UpdateFleet (requiert également FAMS_PLATFORM_READ) et les éléments suivants en fonction de vos besoins :
  • Si le parc parent doit être indiqué, FAMS_FLEET_READ est requis
  • Si des sujets du service Notifications doivent être indiqués, ONS_TOPIC_READ est requis
  • Si une instance doit être ajoutée à un parc, INSTANCE_READ est requis
  • Si un élément dbSystem doit être ajouté à un parc, DB_SYSTEM_INSPECT et DB_SYSTEM_QUERY sont requis.
  • Si un élément vmCluster doit être ajouté à un parc, VM_CLUSTER_INSPECT est requis
UpdateFleetResource a également besoin des éléments suivants selon vos besoins :
  • Si une instance doit être ajoutée à un parc, INSTANCE_READ est requis
  • Si un élément dbSystem doit être ajouté à un parc, DB_SYSTEM_INSPECT et DB_SYSTEM_QUERY sont requis.
  • Si un élément vmCluster doit être ajouté à un parc, VM_CLUSTER_INSPECT est requis

UpdateFleetProperty (requiert également FAMS_PROPERTY_READ)

UpdateFleetCredential (requiert également FAMS_PROPERTY_READ et VAULT_INSPECT) et les éléments suivants en fonction de vos besoins :
  • Si les informations d'identification sont créées à l'aide de la clé de coffre OCI, KEY_READ est requis
  • Si les informations d'identification sont créées à l'aide de la clé secrète de coffre OCI, SECRET_READ est requis
manage

use+

FAMS_FLEET_CREATE

use+

ConfirmTargets

RequestTargetDiscovery

RequestResourceValidation

CheckResourceTagging

CreateFleet (requiert également FAMS_PLATFORM_READ et les éléments suivants en fonction de vos besoins :
  • Si le parc parent doit être indiqué, FAMS_FLEET_READ est requis
  • Si des sujets du service Notifications doivent être indiqués, ONS_TOPIC_READ est requis
  • Si une instance doit être ajoutée à un parc, INSTANCE_READ est requis
  • Si un élément dbSystem doit être ajouté à un parc, DB_SYSTEM_INSPECT et DB_SYSTEM_QUERY sont requis.
  • Si un élément vmCluster doit être ajouté à un parc, VM_CLUSTER_INSPECT est requis
CreateFleetResource a également besoin des éléments suivants selon vos besoins :
  • Si une instance doit être ajoutée à un parc, INSTANCE_READ est requis
  • Si un élément dbSystem doit être ajouté à un parc, DB_SYSTEM_INSPECT et DB_SYSTEM_QUERY sont requis.
  • Si un élément vmCluster doit être ajouté à un parc, VM_CLUSTER_INSPECT est requis

CreateFleetProperty (requiert également FAMS_PROPERTY_READ)

CreateFleetCredential (requiert également FAMS_PLATFORM_READ, VAULT_INSPECT et les éléments suivants en fonction de vos besoins :
  • Si les informations d'identification sont créées à l'aide de la clé de coffre OCI, KEY_READ est requis
  • Si les informations d'identification sont créées à l'aide de la clé secrète de coffre OCI, SECRET_READ est requis
manage

use+

FAMS_FLEET_DELETE

use+

DeleteFleet

DeleteFleetResource

DeleteFleetProperty

DeleteFleetCredential

manage

use+

FAMS_FLEET_MOVE

use+

ChangeFleetCompartment

fams-runbooks
Verbes Droits d'accès API entièrement couvertes API partiellement couvertes
inspect FAMS_RUNBOOK_INSPECT ListRunbooks

ListTaskRecords

read

inspect+

FAMS_RUNBOOK_READ

inspect+

GetRunbook

GetTaskRecord

CreateRunbook (requiert également FAMS_RUNBOOK_CREATE et FAMS_PLATFORM_READ). Si une tâche est exécutée sur une instance auto-hébergée, INSTANCE_READ est requis

UpdateRunbook (requiert également FAMS_RUNBOOK_UPDATE et FAMS_PLATFORM_READ). Si une tâche est exécutée sur une instance auto-hébergée, INSTANCE_READ est requis

CreateRunbookVersion (requiert également FAMS_RUNBOOK_CREATE et FAMS_PLATFORM_READ). Si une tâche est exécutée sur une instance auto-hébergée, INSTANCE_READ est requis

UpdateRunbookVersion (requiert également FAMS_RUNBOOK_UPDATE et FAMS_PLATFORM_READ). Si une tâche est exécutée sur une instance auto-hébergée, INSTANCE_READ est requis

CreateSchedulerDefinition (requiert également FAMS_SCHEDULE_CREATE et FAMS_FLEET_READ) et les éléments suivants en fonction de vos besoins :
  • Si le type de paramètre d'entrée est FILE et qu'il doit être sélectionné dans Object Storage, OBJECT_INSPECT, OBJECT_READ est requis
  • Si l'attribut de guide d'exploitation need sudo access a la valeur True, FAMS_SCHEDULE_CREATE_WITH_SUDO est requis
UpdateSchedulerDefinition (requiert également FAMS_SCHEDULE_UPDATE et FAMS_FLEET_READ) et les éléments suivants en fonction de vos besoins :
  • Si le type de paramètre d'entrée est FILE et qu'il doit être sélectionné dans Object Storage, OBJECT_INSPECT, OBJECT_READ est requis
  • Si l'attribut de guide d'exploitation need sudo access a la valeur True, FAMS_SCHEDULE_CREATE_WITH_SUDO est requis
use

read+

FAMS_RUNBOOK_UPDATE

read+

SetDefaultRunbook

UpdateRunbook (requiert également FAMS_RUNBOOK_READ et FAMS_PLATFORM_READ). Si la tâche doit être exécutée sur une instance auto-hébergée, INSTANCE_READ est requis

UpdateTaskRecord a également besoin des éléments suivants selon vos besoins :
  • Si la plate-forme (produit), l'opération (opération de cycle de vie), les informations d'identification doivent être indiquées, FAMS_PLATFORM_READ est requis
  • Si le type d'action est TERRAFORM, FAMS_CATALOG_ITEM_READ est requis
  • Si le type d'action est SCRIPT et que le script doit faire référence à une valeur CATALOG ITEM, FAMS_CATALOG_ITEM_READ est requis
  • Si le type d'action est SCRIPT et que le script doit être sélectionné dans Object Storage, OBJECT_INSPECT, OBJECT_READ est requis
manage

use+

FAMS_RUNBOOK_CREATE

use+

CreateRunbook (requiert également FAMS_RUNBOOK_READ et FAMS_PLATFORM_READ). Si la tâche doit être exécutée sur une instance auto-hébergée, INSTANCE_READ est requis

CreateTaskRecord requiert les éléments suivants en fonction de vos besoins :
  • Si la plate-forme (produit), l'opération (opération de cycle de vie), les informations d'identification doivent être indiquées, FAMS_PLATFORM_READ est requis
  • Si le type d'action est TERRAFORM, FAMS_CATALOG_ITEM_READ est requis
  • Si le type d'action est SCRIPT et que le script doit faire référence à une valeur CATALOG ITEM, FAMS_CATALOG_ITEM_READ est requis
  • Si le type d'action est SCRIPT et que le script doit être sélectionné dans Object Storage, OBJECT_INSPECT, OBJECT_READ est requis
manage

use+

FAMS_RUNBOOK_DELETE

use+

DeleteTaskRecord

manage

use+

FAMS_RUNBOOK_MOVE

use+

ChangeRunbookCompartment

ChangeTaskRecordCompartment

fam-schedules
Verbes Droits d'accès API entièrement couvertes API partiellement couvertes
inspect FAMS_SCHEDULE_INSPECT ListSchedulerDefinitions

ListSchedulerJobs (peut également utiliser FAMS_SCHEDULE_JOB_INSPECT)

SummarizeSchedulerJobCounts (peut également utiliser FAMS_SCHEDULE_JOB_INSPECT0)
read

inspect+

FAMS_SCHEDULE_READ

inspect+

GetSchedulerDefinition

ListScheduledFleets

GetSchedulerJob (peut également utiliser FAMS_SCHEDULE_JOB_READ)

GetJobActivity (peut également utiliser FAMS_SCHEDULE_JOB_READ)

ListExecutions (peut également utiliser FAMS_SCHEDULE_JOB_READ)

GetExecution (peut également utiliser FAMS_SCHEDULE_JOB_READ)

ListSteps (peut également utiliser FAMS_SCHEDULE_JOB_READ)

ListResources (peut également utiliser FAMS_SCHEDULE_JOB_READ)

ListSchedulerExecutions (peut également utiliser FAMS_SCHEDULE_JOB_READ)
use

read+

FAMS_SCHEDULE_UPDATE

read+

UpdateSchedulerDefinition (peut également utiliser FAMS_SCHEDULE_CREATE_WITH_SUDO, FAMS_FLEET_READ et FAMS_RUNBOOK_READ) et requiert les éléments suivants en fonction de vos besoins :
  • Si le type de paramètre d'entrée est FILE et qu'il doit être sélectionné dans Object Storage, OBJECT_INSPECT, OBJECT_READ est requis
  • Si l'attribut de guide d'exploitation need sudo access a la valeur True, FAMS_SCHEDULE_CREATE_WITH_SUDO est requis

UpdateSchedulerJob (peut également utiliser FAMS_SCHEDULE_JOB_UPDATE ou FAMS_SCHEDULE_CREATE_WITH_SUDO)

ManageJobExecution (peut également utiliser FAMS_SCHEDULE_JOB_ACTION ou FAMS_SCHEDULE_CREATE_WITH_SUDO)

manage

use+

FAMS_SCHEDULE_CREATE

use+

CreateSchedulerDefinition (peut également utiliser FAMS_SCHEDULE_CREATE_WITH_SUDO et requiert FAMS_RUNBOOK_READ et FAMS_FLEET_READ) et les éléments suivants en fonction de vos besoins :
  • Si le type de paramètre d'entrée est FILE et qu'il doit être sélectionné dans Object Storage, OBJECT_INSPECT, OBJECT_READ est requis
  • Si l'attribut de guide d'exploitation need sudo access a la valeur True, FAMS_SCHEDULE_CREATE_WITH_SUDO est requis
manage

use+

FAMS_SCHEDULE_DELETE

use+

DeleteSchedulerDefinition

DeleteSchedulerJob (peut également utiliser FAMS_SCHEDULE_JOB_DELETE)
manage

use+

FAMS_SCHEDULE_CREATE_WITH_SUDO

use+

CreateSchedulerDefinition (peut également utiliser FAMS_SCHEDULE_CREATE et requiert FAMS_RUNBOOK_READ et FAMS_FLEET_READ) et les éléments suivants en fonction de vos besoins :
  • Si le type de paramètre d'entrée est FILE et qu'il doit être sélectionné dans Object Storage, OBJECT_INSPECT, OBJECT_READ est requis
  • Si l'attribut de guide d'exploitation need sudo access a la valeur True, FAMS_SCHEDULE_CREATE_WITH_SUDO est requis
UpdateSchedulerDefinition (peut également utiliser FAMS_SCHEDULE_UPDATE et requiert FAMS_RUNBOOK_READ et FAMS_FLEET_READ) et les éléments suivants en fonction de vos besoins :
  • Si le type de paramètre d'entrée est FILE et qu'il doit être sélectionné dans Object Storage, OBJECT_INSPECT, OBJECT_READ est requis
  • Si l'attribut de guide d'exploitation need sudo access a la valeur True, FAMS_SCHEDULE_CREATE_WITH_SUDO est requis

UpdateSchedulerJob (peut également utiliser FAMS_SCHEDULE_UPDATE ou FAMS_SCHEDULE_JOB_UPDATE )

ManageJobExecution (peut également utiliser FAMS_SCHEDULE_UPDATE ou FAMS_SCHEDULE_JOB_ACTION)

fam-schedule-jobs
Verbes Droits d'accès API entièrement couvertes API partiellement couvertes
inspect FAMS_SCHEDULE_JOB_INSPECT

ListSchedulerJobs (peut également utiliser FAMS_SCHEDULE_INSPECT)

SummarizeSchedulerJobCounts (peut également utiliser FAMS_SCHEDULE_INSPECT0)
read

inspect+

FAMS_SCHEDULE_JOB_READ

inspect+

GetSchedulerJob (peut également utiliser FAMS_SCHEDULE_READ)

GetJobActivity (peut également utiliser FAMS_SCHEDULE_READ )

ListExecutions (peut également utiliser FAMS_SCHEDULE_READ )

GetExecution (peut également utiliser FAMS_SCHEDULE_READ )

ListSteps (peut également utiliser FAMS_SCHEDULE_READ )

ListResources (peut également utiliser FAMS_SCHEDULE_READ )

ListSchedulerExecutions (peut également utiliser FAMS_SCHEDULE_READ )
use

read+

FAMS_SCHEDULE_JOB_UPDATE

read+

UpdateSchedulerJob (peut également utiliser FAMS_SCHEDULE_UPDATE ou FAMS_SCHEDULE_CREATE_WITH_SUDO)
use

read+

FAMS_SCHEDULE_JOB_ACTION

read+

ManageJobExecution (peut également utiliser FAMS_SCHEDULE_UPDATE ou FAMS_SCHEDULE_CREATE_WITH_SUDO)
manage

use+

FAMS_SCHEDULE_JOB_DELETE

use+

DeleteSchedulerJob (peut également utiliser FAMS_SCHEDULE_DELETE)
fams-maintenance-windows
Verbes Droits d'accès API entièrement couvertes API partiellement couvertes
inspect FAMS_MAINTENANCE_WINDOW_INSPECT ListMaintenanceWindows
read

inspect+

FAMS_MAINTENANCE_WINDOW_READ

inspect+

GetMaintenanceWindow

use

read+

FAMS_MAINTENANCE_WINDOW_UPDATE

read+

UpdateMaintenanceWindow

manage

use+

FAMS_MAINTENANCE_WINDOW_CREATE

use+

CreateMaintenanceWindow

manage

use+

FAMS_MAINTENANCE_WINDOW_DELETE

use+

DeleteMaintenanceWindow

fams-admin
Verbes Droits d'accès API entièrement couvertes API partiellement couvertes
inspect FAMS_ADMIN_INSPECT

ListProperties (peut également utiliser FAMS_FLEET_INSPECT ou FAMS_PROPERTY_INSPECT)
read

inspect+

FAMS_ADMIN_READ

inspect+

GetProperty (peut également utiliser FAMS_FLEET_READ ou FAMS_PROPERTY_READ)

CompliaceReportDetails (peut également utiliser FAMS_COMPLIANCE_REPORT_READ, FAMS_FLEET_READ, FAMS_PATCH_READ ou FAMS_COMPLIANCE_POLICY_READ)

ListComplianceRecords (peut également utiliser FAMS_COMPLIANCE_REPORT_READ , FAMS_FLEET_READ , FAMS_PATCH_READ ou FAMS_COMPLIANCE_POLICY_READ)

ExportComplianceReport (peut également utiliser FAMS_COMPLIANCE_REPORT_READ, FAMS_FLEET_READ, FAMS_PATCH_READ ou FAMS_COMPLIANCE_POLICY_READ)

SummarizeComplianceRecordCounts (peut également utiliser FAMS_COMPLIANCE_REPORT_READ, FAMS_FLEET_READ, FAMS_PATCH_READ, FAMS_COMPLIANCE_POLICY_READ)

SummarizeManagedEntityCounts (peut également utiliser FAMS_COMPLIANCE_REPORT_READ, FAMS_FLEET_READ, FAMS_PATCH_READ ou FAMS_COMPLIANCE_POLICY_READ)

use

read+

FAMS_ADMIN_UPDATE

read+

ManageSettings

UpdateProperty (peut également utiliser FAMS_PROPERTY_UPDATE)

UpdatePlatformConfiguration (peut également utiliser FAMS_PLATFORM_UPDATE ) et les éléments suivants en fonction de vos besoins :
  • Si configCategory est PRODUCT_STACK et que les produits qui appartiennent à une pile, un type de patch ou des informations d'identification doivent être indiqués, FAMS_PLATFORM_READ est requis
  • Si configCategory est PRODUCT et que des produits compatibles, un type de patch ou des informations d'identification doivent être ajoutés, FAMS_PLATFORM_READ est requis
  • Si configCategory est SELF_HOSTED_INSTANCE, INSTANCE_READ est requis.

UpdateOnboarding (peut également utiliser FAMS_ONBOARDING_UPDATE et requiert TAG_NAMESPACE_CREATE et TAG_DEFINITION_ADD)
manage

use+

FAMS_ADMIN_CREATE

use+

CreateProperty (peut également utiliser FAMS_PROPERTY_CREATE)

CreatePlatformConfiguration (peut également utiliser FAMS_PLATFORM_CREATE) et requiert les éléments suivants en fonction de vos besoins :
  • Si configCategory est PRODUCT_STACK et que les produits qui appartiennent à une pile, un type de patch ou des informations d'identification doivent être indiqués, FAMS_PLATFORM_READ est requis
  • Si configCategory est PRODUCT et que des produits compatibles, un type de patch ou des informations d'identification doivent être ajoutés, FAMS_PLATFORM_READ est requis
  • Si configCategory est SELF_HOSTED_INSTANCE, INSTANCE_READ est requis.

CreateOnboarding (peut également utiliser FAMS_ONBOARDING_CREATE et requiert DYNAMIC_GROUP_CREATE, POLICY_CREATE, TAG_NAMESPACE_CREATE et TAG_DEFINITION_ADD)

EnableLatestPolicy (peut également utiliser FAMS_ONBOARDING_CREATE et requiert DYNAMIC_GROUP_CREATE, POLICY_CREATE, TAG_NAMESPACE_CREATE et TAG_DEFINITION_ADD)

ListOnboardingPolicies (peut également utiliser FAMS_ONBOARDING_CREATE et requiert DYNAMIC_GROUP_CREATE, POLICY_CREATE, TAG_NAMESPACE_CREATE et TAG_DEFINITION_ADD)
manage

use+

FAMS_ADMIN_DELETE

use+

DeleteProperty (peut également utiliser FAMS_PROPERTY_DELETE)

DeletePlatformConfiguration (peut également utiliser FAMS_PLATFORM_DELETE)

DeleteOnboarding (peut également utiliser FAMS_ONBOARDING_DELETE et requiert DYNAMIC_GROUP_DELETE, POLICY_DELETE, TAG_NAMESPACE_RETIRE et TAG_DEFINITION_RETIRE)
manage

use+

FAMS_ADMIN_MOVE

use+

ChangePropertyCompartment (peut également utiliser FAMS_PROPERTY_MOVE)

ChangePlatformConfigurationCompartment (peut également utiliser FAMS_PLATFORM_MOVE)
fams-onboarding
Verbes Droits d'accès API entièrement couvertes API partiellement couvertes
inspect FAMS_ONBOARDING_INSPECT

Un utilisateur standard (et non un administrateur) doit disposer de ce droit d'accès à la location.

ListOnboardings

ListAnnouncements

read

inspect+

FAMS_ONBOARDING_READ

inspect+

GetOnboarding

use

read+

FAMS_ONBOARDING_UPDATE

read+

UpdateOnboarding (peut également utiliser FAMS_ADMIN_UPDATE et requiert TAG_NAMESPACE_CREATE et TAG_DEFINITION_ADD)
manage

use+

FAMS_ONBOARDING_CREATE

use+

CreateOnboarding (peut également utiliser FAMS_ADMIN_CREATE et requiert DYNAMIC_GROUP_CREATE, POLICY_CREATE, TAG_NAMESPACE_CREATE et TAG_DEFINITION_ADD)

EnableLatestPolicy (peut également utiliser FAMS_ADMIN_CREATE et requiert DYNAMIC_GROUP_CREATE, POLICY_CREATE, TAG_NAMESPACE_CREATE et TAG_DEFINITION_ADD)

ListOnboardingPolicies (peut également utiliser FAMS_ADMIN_CREATE et requiert DYNAMIC_GROUP_CREATE, POLICY_CREATE, TAG_NAMESPACE_CREATE et TAG_DEFINITION_ADD)
manage

use+

FAMS_ONBOARDING_DELETE

use+

DeleteOnboarding (peut également utiliser FAMS_ADMIN_DELETE et requiert DYNAMIC_GROUP_DELETE, POLICY_DELETE, TAG_NAMESPACE_RETIRE et TAG_DEFINITION_RETIRE)
familes-demandes de travail
Verbes Droits d'accès API entièrement couvertes API partiellement couvertes
inspect FAMS_API_WORK_REQUEST_LIST ListWorkRequests
read

inspect+

FAMS_API_WORK_REQUEST_READ

inspect+

GetWorkRequest

ListWorkRequestErrors

ListWorkRequestLogs

fams-conformité-politiques
Verbes Droits d'accès API entièrement couvertes API partiellement couvertes
inspect FAMS_COMPLIANCE_POLICY_INSPECT

ListCompliancePolicies

ListCompliancePolicyRules

read

inspect+

FAMS_COMPLIANCE_POLICY_READ

inspect+

GetCompliancePolicy

GetCompliancePolicyRule

CompliaceReportDetails (peut également utiliser FAMS_COMPLIANCE_REPORT_READ, FAMS_FLEET_READ, FAMS_PATCH_READ ou FAMS_ADMIN_READ)

ListComplianceRecords (peut également utiliser FAMS_COMPLIANCE_REPORT_READ, FAMS_FLEET_READ, FAMS_PATCH_READ ou FAMS_ADMIN_READ)

ExportComplianceReport (peut également utiliser FAMS_COMPLIANCE_REPORT_READ FAMS_FLEET_READ FAMS_PATCH_READ ou FAMS_ADMIN_READ)

SummarizeComplianceRecordCounts (peut également utiliser FAMS_COMPLIANCE_REPORT_READ FAMS_FLEET_READ FAMS_PATCH_READ ou FAMS_ADMIN_READ)

SummarizeManagedEntityCounts (peut également utiliser FAMS_COMPLIANCE_REPORT_READ FAMS_FLEET_READ FAMS_PATCH_READ ou FAMS_ADMIN_READ)
read

inspect+

FAMS_COMPLIANCE_REPORT_READ

inspect+

ListComplianceRecords (peut également utiliser FAMS_FLEET_READ, FAMS_PATCH_READ, FAMS_ADMIN_READ ou FAMS_COMPLIANCE_POLICY_READ)

ExportComplianceReport (peut également utiliser FAMS_FLEET_READ, FAMS_PATCH_READ, FAMS_ADMIN_READ ou FAMS_COMPLIANCE_POLICY_READ)

SummarizeComplianceRecordCounts (peut également utiliser FAMS_FLEET_READ, FAMS_PATCH_READ, FAMS_ADMIN_READ ou FAMS_COMPLIANCE_POLICY_READ)

SummarizeManagedEntityCounts (peut également utiliser FAMS_FLEET_READ, FAMS_PATCH_READ, FAMS_ADMIN_READ ou FAMS_COMPLIANCE_POLICY_READ)
use

read+

FAMS_COMPLIANCE_POLICY_UPDATE

read+

UpdateCompliancePolicyRule

manage

use+

FAMS_COMPLIANCE_POLICY_CREATE

use+

CreateCompliancePolicyRule

manage

use+

FAMS_COMPLIANCE_POLICY_DELETE

use+

DeleteCompliancePolicyRule

fam-patches
Verbes Droits d'accès API entièrement couvertes API partiellement couvertes
inspect FAMS_PATCH_INSPECT ListPatches
read

inspect+

FAMS_PATCH_READ

inspect+

GetPatch

ListComplianceRecords (peut également utiliser FAMS_COMPLIANCE_REPORT_READ, FAMS_FLEET_READ, FAMS_ADMIN_READ ou FAMS_COMPLIANCE_POLICY_READ)

ExportComplianceReport (peut également utiliser FAMS_COMPLIANCE_REPORT_READ, FAMS_FLEET_READ, FAMS_ADMIN_READ ou FAMS_COMPLIANCE_POLICY_READ)

SummarizeComplianceRecordCounts (peut également utiliser FAMS_COMPLIANCE_REPORT_READ, FAMS_FLEET_READ, FAMS_ADMIN_READ ou FAMS_COMPLIANCE_POLICY_READ)

SummarizeManagedEntityCounts (peut également utiliser FAMS_COMPLIANCE_REPORT_READ, FAMS_FLEET_READ, FAMS_ADMIN_READ ou FAMS_COMPLIANCE_POLICY_READ)
use

read+

FAMS_PATCH_UPDATE

read+

UpdatePatch (requiert également FAMS_PLATFORM_READ, OBJECT_INSPECT et OBJECT_READ)
manage

use+

FAMS_PATCH_CREATE

use+

CreatePatch (requiert également FAMS_PLATFORM_READ, OBJECT_INSPECT et OBJECT_READ)
manage

use+

FAMS_PATCH_DELETE

use+

DeletePatch

manage

use+

FAMS_PATCH_MOVE

use+

ChangePatchCompartment

fam-provisions
Verbes Droits d'accès API entièrement couvertes API partiellement couvertes
inspect FAMS_PROVISION_INSPECT

ListProvisions

read

inspect+

FAMS_PROVISION_READ

inspect+

GetProvision

use

read+

FAMS_PROVISION_UPDATE

read+

UpdateProvision

manage

use+

FAMS_PROVISION_CREATE

use+

CreateProvision (requiert également FAMS_FLEET_READ et FAMS_CATALOG_ITEM_READ)

manage

use+

FAMS_PROVISION_DELETE

use+

DeleteProvision

manage

use+

FAMS_PROVISION_MOVE

use+

ChangeProvisionCompartment

fams-catalog-items
Verbes Droits d'accès API entièrement couvertes API partiellement couvertes
inspect FAMS_CATALOG_ITEM_INSPECT

ListCatalogItems

read

inspect+

FAMS_CATALOG_ITEM_READ

inspect+

GetCatalogItem

CreateTaskRecord requiert les éléments suivants en fonction de vos besoins :
  • Si la plate-forme (produit), l'opération (opération de cycle de vie), les informations d'identification doivent être indiquées, FAMS_PLATFORM_READ est requis
  • Si le type d'action est TERRAFORM, FAMS_CATALOG_ITEM_READ est requis
  • Si le type d'action est SCRIPT et que le script doit faire référence à une valeur CATALOG ITEM, FAMS_CATALOG_ITEM_READ est requis
  • Si le type d'action est SCRIPT et que le script doit être sélectionné dans Object Storage, OBJECT_INSPECT, OBJECT_READ est requis
UpdateTaskRecord a également besoin des éléments suivants selon vos besoins :
  • Si la plate-forme (produit), l'opération (opération de cycle de vie), les informations d'identification doivent être indiquées, FAMS_PLATFORM_READ est requis
  • Si le type d'action est TERRAFORM, FAMS_CATALOG_ITEM_READ est requis
  • Si le type d'action est SCRIPT et que le script doit faire référence à une valeur CATALOG ITEM, FAMS_CATALOG_ITEM_READ est requis
  • Si le type d'action est SCRIPT et que le script doit être sélectionné dans Object Storage, OBJECT_INSPECT, OBJECT_READ est requis

CreateProvision (requiert également FAMS_PROVISION_CREATE et FAMS_FLEET_READ)

use

read+

FAMS_CATALOG_ITEM_UPDATE

read+

UpdateCatalogItem (requiert également les éléments suivants en fonction de vos besoins) :
  • Si vous créez un article de catalogue à l'aide de la source en tant qu'Object Storage, OBJECT_INSPECT et OBJECT_READ sont alors requis.
  • Si vous créez un article de catalogue à l'aide de la configuration du gestionnaire de ressources, ORM_CONFIG_SOURCE_PROVIDER_INSPECT est requis
manage

use+

FAMS_CATALOG_ITEM_CREATE

use+

CreateCatalogItem (requiert également les éléments suivants en fonction de vos besoins) :
  • Si vous créez un article de catalogue à l'aide de la source en tant qu'Object Storage, OBJECT_INSPECT et OBJECT_READ sont requis.
  • Si vous créez un article de catalogue à l'aide de la configuration du gestionnaire de ressources, ORM_CONFIG_SOURCE_PROVIDER_INSPECT est requis
manage

use+

FAMS_CATALOG_ITEM_DELETE

use+

DeleteCatalogItem

manage

use+

FAMS_CATALOG_ITEM_MOVE

use+

ChangeCatalogItemCompartment

manage

use+

FAMS_CATALOG_ITEM_CLONE

CloneCatalogItem
fams-logiciel-inventaire
Verbes Droits d'accès API entièrement couvertes API partiellement couvertes
inspect FAMS_SOFTWARE_INVENTORY_INSPECT

ListInventoryRecords

fams-plateforme
Verbes Droits d'accès API entièrement couvertes API partiellement couvertes
inspect FAMS_PLATFORM_INSPECT

ListPlatformConfigurations

read

inspect+

FAMS_PLATFORM_READ

inspect+

GetPlatformConfiguration

CreateFleet (requiert également FAMS_FLEET_CREATE et les éléments suivants en fonction de vos besoins :
  • Si le parc parent doit être indiqué, FAMS_FLEET_READ est requis
  • Si des sujets du service Notifications doivent être indiqués, ONS_TOPIC_READ est requis
  • Si une instance doit être ajoutée à un parc, INSTANCE_READ est requis
  • Si un élément dbSystem doit être ajouté à un parc, DB_SYSTEM_INSPECT et DB_SYSTEM_QUERY sont requis.
  • Si un élément vmCluster doit être ajouté à un parc, VM_CLUSTER_INSPECT est requis
UpdateFleet (requiert également FAMS_FLEET_UPDATE) et les éléments suivants en fonction de vos besoins :
  • Si le parc parent doit être indiqué, FAMS_FLEET_READ est requis
  • Si des sujets du service Notifications doivent être indiqués, ONS_TOPIC_READ est requis
  • Si une instance doit être ajoutée à un parc, INSTANCE_READ est requis
  • Si un élément dbSystem doit être ajouté à un parc, DB_SYSTEM_INSPECT et DB_SYSTEM_QUERY sont requis.
  • Si un élément vmCluster doit être ajouté à un parc, VM_CLUSTER_INSPECT est requis
CreateFleetCredential (requiert également FAMS_FLEET_CREATE , VAULT_INSPECT et les éléments suivants en fonction de vos besoins :
  • Si les informations d'identification sont créées à l'aide de la clé de coffre OCI, KEY_READ est requis
  • Si les informations d'identification sont créées à l'aide de la clé secrète de coffre OCI, SECRET_READ est requis

CreateRunbook (requiert également FAMS_RUNBOOK_READ et FAMS_RUNBOOK_CREATE). Si la tâche doit être exécutée sur une instance auto-hébergée, INSTANCE_READ est requis

UpdateRunbook (requiert également FAMS_RUNBOOK_READ et FAMS_RUNBOOK_UPDATE). Si la tâche doit être exécutée sur une instance auto-hébergée, INSTANCE_READ est requis

CreateRunbookVersion (requiert également FAMS_RUNBOOK_CREATE et FAMS_RUNBOOK_READ ). Si une tâche est exécutée sur une instance auto-hébergée, INSTANCE_READ est requis

UpdateRunbookVersion (requiert également FAMS_RUNBOOK_UPDATE et FAMS_RUNBOOK_READ). Si une tâche est exécutée sur une instance auto-hébergée, INSTANCE_READ est requis

CreateTaskRecord requiert les éléments suivants en fonction de vos besoins :
  • Si la plate-forme (produit), l'opération (opération de cycle de vie), les informations d'identification doivent être indiquées, FAMS_PLATFORM_READ est requis
  • Si le type d'action est TERRAFORM, FAMS_CATALOG_ITEM_READ est requis
  • Si le type d'action est SCRIPT et que le script doit faire référence à une valeur CATALOG ITEM, FAMS_CATALOG_ITEM_READ est requis
  • Si le type d'action est SCRIPT et que le script doit être sélectionné dans Object Storage, OBJECT_INSPECT, OBJECT_READ est requis
UpdateTaskRecord a également besoin des éléments suivants selon vos besoins :
  • Si la plate-forme (produit), l'opération (opération de cycle de vie), les informations d'identification doivent être indiquées, FAMS_PLATFORM_READ est requis
  • Si le type d'action est TERRAFORM, FAMS_CATALOG_ITEM_READ est requis
  • Si le type d'action est SCRIPT et que le script doit faire référence à une valeur CATALOG ITEM, FAMS_CATALOG_ITEM_READ est requis
  • Si le type d'action est SCRIPT et que le script doit être sélectionné dans Object Storage, OBJECT_INSPECT, OBJECT_READ est requis
CreatePlatformConfiguration (peut également utiliser FAMS_PLATFORM_CREATE) et requiert les éléments suivants en fonction de vos besoins :
  • Si configCategory est PRODUCT_STACK et que les produits qui appartiennent à une pile, un type de patch ou des informations d'identification doivent être indiqués, FAMS_PLATFORM_READ est requis
  • Si configCategory est PRODUCT et que des produits compatibles, un type de patch ou des informations d'identification doivent être ajoutés, FAMS_PLATFORM_READ est requis
  • Si configCategory est SELF_HOSTED_INSTANCE, INSTANCE_READ est requis.
UpdatePlatformConfiguration (peut également utiliser FAMS_PLATFORM_UPDATE ) et les éléments suivants en fonction de vos besoins :
  • Si configCategory est PRODUCT_STACK et que les produits qui appartiennent à une pile, un type de patch ou des informations d'identification doivent être indiqués, FAMS_PLATFORM_READ est requis
  • Si configCategory est PRODUCT et que des produits compatibles, un type de patch ou des informations d'identification doivent être ajoutés, FAMS_PLATFORM_READ est requis
  • Si configCategory est SELF_HOSTED_INSTANCE, INSTANCE_READ est requis.

CreatePatch (requiert également FAMS_PATCH_CREATE, OBJECT_INSPECT et OBJECT_READ)

UpdatePatch (requiert également FAMS_PATCH_UPDATE , OBJECT_INSPECT et OBJECT_READ)
use

read+

FAMS_PLATFORM_UPDATE

read+

UpdatePlatformConfiguration (peut également utiliser FAMS_ADMIN_UPDATE ) et les éléments suivants en fonction de vos besoins :
  • Si configCategory est PRODUCT_STACK et que les produits qui appartiennent à une pile, un type de patch ou des informations d'identification doivent être indiqués, FAMS_PLATFORM_READ est requis
  • Si configCategory est PRODUCT et que des produits compatibles, un type de patch ou des informations d'identification doivent être ajoutés, FAMS_PLATFORM_READ est requis
  • Si configCategory est SELF_HOSTED_INSTANCE, INSTANCE_READ est requis.
manage

use+

FAMS_PLATFORM_CREATE

use+

CreatePlatformConfiguration (peut également utiliser FAMS_ADMIN_CREATE) et requiert les éléments suivants en fonction de vos besoins :
  • Si configCategory est PRODUCT_STACK et que les produits qui appartiennent à une pile, un type de patch ou des informations d'identification doivent être indiqués, FAMS_PLATFORM_READ est requis
  • Si configCategory est PRODUCT et que des produits compatibles, un type de patch ou des informations d'identification doivent être ajoutés, FAMS_PLATFORM_READ est requis
  • Si configCategory est SELF_HOSTED_INSTANCE, INSTANCE_READ est requis.
manage

use+

FAMS_PLATFORM_DELETE

use+

DeletePlatformConfiguration (peut également utiliser FAMS_ADMIN_DELETE)
manage

use+

FAMS_PLATFORM_MOVE

use+

ChangePlatformConfigurationCompartment (peut également utiliser FAMS_ADMIN_MOVE)
fam-propriétés
Verbes Droits d'accès API entièrement couvertes API partiellement couvertes
inspect FAMS_PROPERTY_INSPECT

ListProperties (peut également utiliser FAMS_ADMIN_INSPECT ou FAMS_FLEET_INSPECT)
read

inspect+

FAMS_PROPERTY_READ

inspect+

CreateFleetProperty (requiert également FAMS_FLEET_CREATE)

UpdateFleetProperty (requiert également FAMS_FLEET_UPDATE)

UpdateFleetCredential (requiert également FAMS_FLEET_UPDATE et VAULT_INSPECT) et les éléments suivants en fonction de vos besoins :
  • Si les informations d'identification sont créées à l'aide de la clé de coffre OCI, KEY_READ est requis
  • Si les informations d'identification sont créées à l'aide de la clé secrète de coffre OCI, SECRET_READ est requis

GetProperty (peut également utiliser FAMS_ADMIN_READ ou FAMS_FLEET_READ)
use

read+

FAMS_PROPERTY_UPDATE

read+

UpdateProperty (peut également utiliser FAMS_ADMIN_UPDATE)
manage

use+

FAMS_PROPERTY_CREATE

use+

CreateProperty (peut également utiliser FAMS_ADMIN_CREATE)
manage

use+

FAMS_PROPERTY_DELETE

use+

DeleteProperty (peut également utiliser FAMS_ADMIN_DELETE)
manage

use+

FAMS_PROPERTY_MOVE

use+

ChangePropertyCompartment (peut également utiliser FAMS_ADMIN_MOVE)

Droits d'accès requis pour chaque opération d'API

Le tableau suivant présente les opérations d'API dans un ordre logique, regroupées par type de ressource.

Pour plus d'informations sur les droits d'accès, reportez-vous à Droits d'accès.

Opération d'API Droits d'accès requis pour utiliser l'opération
ListFleets FAMS_FLEET_INSPECT
GetFleet FAMS_FLEET_READ
CreateFleet FAMS_FLEET_CREATE et FAMS_PLATFORM_READ
et les éléments suivants :
  • FAMS_FLEET_READ si le parc parent doit être indiqué
  • ONS_TOPIC_READ si des sujets doivent être associés à un parc pour activer les notifications.
  • INSTANCE_READ si une instance doit être ajoutée à un parc
  • DB_SYSTEM_INSPECT, DB_SYSTEM_QUERY si un élément dbSystem doit être ajouté à un parc
  • VM_CLUSTER_INSPECT si un élément vmCluster doit être ajouté à un parc
UpdateFleet FAMS_FLEET_UPDATE et FAMS_PLATFORM_READ
et les éléments suivants :
  • FAMS_FLEET_READ si le parc parent doit être indiqué
  • ONS_TOPIC_READ si des sujets doivent être associés à un parc pour activer les notifications.
  • INSTANCE_READ si une instance doit être ajoutée à un parc
  • DB_SYSTEM_INSPECT, DB_SYSTEM_QUERY si un élément dbSystem doit être ajouté à un parc
  • VM_CLUSTER_INSPECT si un élément vmCluster doit être ajouté à un parc
DeleteFleet FAMS_FLEET_DELETE
ChangeFleetCompartment FAMS_FLEET_MOVE
ListInventoryResources FAMS_FLEET_INSPECT
ListFleetResources FAMS_FLEET_INSPECT
CreateFleetResource FAMS_FLEET_CREATE
et les éléments suivants :
  • INSTANCE_READ si une instance doit être ajoutée à un parc
  • DB_SYSTEM_INSPECT, DB_SYSTEM_QUERY si un élément dbSystem doit être ajouté à un parc
  • VM_CLUSTER_INSPECT si un élément vmCluster doit être ajouté à un parc
GetFleetResource FAMS_FLEET_READ
UpdateFleetResource FAMS_FLEET_UPDATE
et les éléments suivants :
  • INSTANCE_READ si une instance doit être ajoutée à un parc
  • DB_SYSTEM_INSPECT, DB_SYSTEM_QUERY si un élément dbSystem doit être ajouté à un parc
  • VM_CLUSTER_INSPECT si un élément vmCluster doit être ajouté à un parc
DeleteFleetResource FAMS_FLEET_DELETE
ListFleetProperties FAMS_FLEET_INSPECT
CreateFleetProperty FAMS_FLEET_CREATE et FAMS_PROPERTY_READ
GetFleetProperty FAMS_FLEET_READ
UpdateFleetProperty FAMS_FLEET_UPDAT et FAMS_PROPERTY_READ
DeleteFleetProperty FAMS_FLEET_DELETE
ConfirmTargets FAMS_FLEET_CREATE
ListTargets FAMS_FLEET_INSPECT
ListFleetTargets FAMS_FLEET_INSPECT
ListFleetProducts FAMS_FLEET_INSPECT
GetComplianceReport FAMS_FLEET_READ
ListAnnouncements FAMS_ONBOARDING_INSPECT
ListFleetCredentials FAMS_FLEET_INSPECT
CreateFleetCredential FAMS_FLEET_CREATE, FAMS_PLATFORM_READ et VAULT_INSPECT
et les éléments suivants :
  • KEY_READ si les informations d'identification sont créées à l'aide de la clé de coffre.
  • SECRET_READ si les informations d'identification sont créées à l'aide de la clé secrète de coffre.
GetFleetCredential FAMS_FLEET_READ
UpdateFleetCredential FAMS_FLEET_UPDATE, FAMS_PROPERTY_READ et VAULT_INSPECT
et les éléments suivants :
  • KEY_READ si les informations d'identification sont créées à l'aide de la clé de coffre.
  • SECRET_READ si les informations d'identification sont créées à l'aide de la clé secrète de coffre.
DeleteFleetCredential FAMS_FLEET_DELETE
GenerateComplianceReport FAMS_FLEET_READ
RequestTargetDiscovery FAMS_FLEET_CREATE
RequestResourceValidation FAMS_FLEET_CREATE
CheckResourceTagging FAMS_FLEET_CREATE
ListRunbooks FAMS_RUNBOOK_INSPECT
GetRunbook FAMS_RUNBOOK_READ
CreateRunbook FAMS_RUNBOOK_CREATE, FAMS_RUNBOOK_READ et FAMS_PLATFORM_READ

également INSTANCE_READ si la tâche doit être exécutée sur une instance auto-hébergée
UpdateRunbook FAMS_RUNBOOK_UPDATE, FAMS_RUNBOOK_READ et FAMS_PLATFORM_READ

également INSTANCE_READ si la tâche doit être exécutée sur une instance auto-hébergée
DeleteRunbook FLEET_RUNBOOK_DELETE
ChangeRunbookCompartment FAMS_RUNBOOK_MOVE
PublishRunbook FAMS_RUNBOOK_PUBLISH
ListRunbookVersions FLEET_RUNBOOK_INSPECT
CreateRunbookVersion FLEET_RUNBOOK_CREATE, FAMS_RUNBOOK_READ et FAMS_PLATFORM_READ

également INSTANCE_READ si la tâche doit être exécutée sur une instance auto-hébergée
GetRunbookVersion FLEET_RUNBOOK_READ
UpdateRunbookVersion FLEET_RUNBOOK_UPDATE, FAMS_RUNBOOK_READ et FAMS_PLATFORM_READ

également INSTANCE_READ si la tâche doit être exécutée sur une instance auto-hébergée
DeleteRunbookVersion FLEET_RUNBOOK_DELETE
ListTaskRecords FAMS_RUNBOOK_INSPECT
GetTaskRecord FAMS_RUNBOOK_READ
CreateTaskRecord FAMS_RUNBOOK_CREATE
et les éléments suivants :
  • FAMS_PLATFORM_READ si plate-forme (produit), opération (opération de cycle de vie), les informations d'identification doivent être indiquées
  • FAMS_CATALOG_ITEM_READ si le type d'action est TERRAFORM
  • FAMS_CATALOG_ITEM_READ si le type d'action est SCRIPT et que le script doit faire référence à CATALOG ITEM
  • OBJECT_INSPECT, OBJECT_READ si le type d'action est SCRIPT et que le script doit être sélectionné dans Object Storage
UpdateTaskRecord FAMS_RUNBOOK_UPDATE
et les éléments suivants :
  • FAMS_PLATFORM_READ si plate-forme (produit), opération (opération de cycle de vie), les informations d'identification doivent être indiquées
  • FAMS_CATALOG_ITEM_READ si le type d'action est TERRAFORM
  • FAMS_CATALOG_ITEM_READ si le type d'action est SCRIPT et que le script doit faire référence à CATALOG ITEM
  • OBJECT_INSPECT, OBJECT_READ si le type d'action est SCRIPT et que le script doit être sélectionné dans Object Storage
DeleteTaskRecord FAMS_RUNBOOK_DELETE
ChangeTaskRecordCompartment FAMS_RUNBOOK_MOVE
ListMaintenanceWindows FAMS_MAINTENANCE_WINDOW_INSPECT
CreateMaintenanceWindow FAMS_MAINTENANCE_WINDOW_CREATE
GetMaintenanceWindow FAMS_MAINTENANCE_WINDOW_READ
UpdateMaintenanceWindow FAMS_MAINTENANCE_WINDOW_UPDATE
DeleteMaintenanceWindow FAMS_MAINTENANCE_WINDOW_DELETE
CreateSchedulerDefinition (FAMS_SCHEDULE_CREATE ou FAMS_SCHEDULE_CREATE_WITH_SUDO), FAMS_FLEET_READ et FAMS_RUNBOOK_READ
et les éléments suivants :
  • OBJECT_INSPECT, OBJECT_READ si le type de paramètre d'entrée est FILE et doit être sélectionné dans Object Storage
  • FAMS_SCHEDULE_CREATE_WITH_SUDO si l'attribut de guide d'exploitation need sudo access est vrai
UpdateSchedulerDefinition (FAMS_SCHEDULE_UPDATE ou FAMS_SCHEDULE_CREATE_WITH_SUDO), FAMS_FLEET_READ et FAMS_RUNBOOK_READ
et les éléments suivants :
  • OBJECT_INSPECT, OBJECT_READ si le type de paramètre d'entrée est FILE et doit être sélectionné dans Object Storage
  • FAMS_SCHEDULE_CREATE_WITH_SUDO si l'attribut de guide d'exploitation need sudo access est vrai
DeleteSchedulerDefinition FAMS_SCHEDULE_DELETE
ListSchedulerDefinitions FAMS_SCHEDULE_INSPECT
GetSchedulerDefinition FAMS_SCHEDULE_READ
DeleteSchedulerJob FAMS_SCHEDULE_DELETE ou FAMS_SCHEDULE_JOB_DELETE
ListSchedulerJobs FAMS_SCHEDULE_INSPECT ou FAMS_SCHEDULE_JOB_INSPECT
GetSchedulerJob FAMS_SCHEDULE_READ ou FAMS_SCHEDULE_JOB_READ
UpdateSchedulerJob FAMS_SCHEDULE_UPDATE, FAMS_SCHEDULE_JOB_UPDATE ou FAMS_SCHEDULE_CREATE_WITH_SUDO
GetJobActivity FAMS_SCHEDULE_READ ou FAMS_SCHEDULE_JOB_READ
ManageJobExecution FAMS_SCHEDULE_UPDATE, FAMS_SCHEDULE_JOB_ACTION ou FAMS_SCHEDULE_CREATE_WITH_SUDO
ListExecutions FAMS_SCHEDULE_READou FAMS_SCHEDULE_JOB_READ
GetExecution FAMS_SCHEDULE_READ ou FAMS_SCHEDULE_JOB_READ
ListSteps FAMS_SCHEDULE_READ ou FAMS_SCHEDULE_JOB_READ
ListResources FAMS_SCHEDULE_READ ou FAMS_SCHEDULE_JOB_READ
SummarizeSchedulerJobCounts FAMS_SCHEDULE_INSPECT ou FAMS_SCHEDULE_JOB_INSPECT
ListSchedulerExecutions FAMS_SCHEDULE_READ ou FAMS_SCHEDULE_JOB_READ
SetDefaultRunbook FAMS_RUNBOOK_UPDATE
ListScheduledFleets FAMS_SCHEDULE_READ
ListProperties FAMS_ADMIN_INSPECT, FAMS_FLEET_INSPECT ou FAMS_PROPERTY_INSPECT
CreateProperty FAMS_ADMIN_CREATE ou FAMS_PROPERTY_CREATE
GetProperty FAMS_ADMIN_READ, FAMS_FLEET_READ ou FAMS_PROPERTY_READ
UpdateProperty FAMS_ADMIN_UPDATE ou FAMS_PROPERTY_UPDATE
DeleteProperty FAMS_ADMIN_DELETE ou FAMS_PROPERTY_DELETE
ChangePropertyCompartment FAMS_ADMIN_MOVE ou FAMS_PROPERTY_MOVE
ListPlatformConfigurations FAMS_PLATFORM_INSPECT
CreatePlatformConfiguration FAMS_ADMIN_CREATE ou FAMS_PLATFORM_CREATE
et les éléments suivants :
  • FAMS_PLATFORM_READ si configCategory est PRODUCT_STACK et que les produits appartenant à une pile, un type de patch ou des informations d'identification doivent être indiqués
  • FAMS_PLATFORM_READ si configCategory est PRODUCT et que les produits compatibles, le type de patch ou les informations d'identification doivent être indiqués
  • INSTANCE_READ si configCategory est SELF_HOSTED_INSTANCE
GetPlatformConfiguration FAMS_PLATFORM_READ
UpdatePlatformConfiguration FAMS_ADMIN_UPDATE ou FAMS_PLATFORM_UPDATE
et les éléments suivants :
  • FAMS_PLATFORM_READ si configCategory est PRODUCT_STACK et que les produits appartenant à une pile, un type de patch ou des informations d'identification doivent être indiqués
  • FAMS_PLATFORM_READ si configCategory est PRODUCT et que les produits compatibles, le type de patch ou les informations d'identification doivent être indiqués
  • INSTANCE_READ si configCategory est SELF_HOSTED_INSTANCE
DeletePlatformConfiguration FAMS_ADMIN_DELETE ou FAMS_PLATFORM_DELETE
ChangePlatformConfigurationCompartment FAMS_ADMIN_MOVE ou FAMS_PLATFORM_MOVE
ListWorkRequests FAMS_API_WORK_REQUEST_LIST
GetWorkRequest FAMS_API_WORK_REQUEST_READ
ListWorkRequestErrors FAMS_API_WORK_REQUEST_READ
ListWorkRequestLogs FAMS_API_WORK_REQUEST_READ
ListOnboardings FAMS_ONBOARDING_INSPECT
GetOnboarding FAMS_ONBOARDING_READ
CreateOnboarding DYNAMIC_GROUP_CREATE, POLICY_CREATE, TAG_NAMESPACE_CREATE, TAG_DEFINITION_ADD et ( FAMS_ADMIN_CREATE ou FAMS_ONBOARDING_CREATE)
UpdateOnboarding TAG_NAMESPACE_CREATE, TAG_DEFINITION_ADD et ( FAMS_ADMIN_UPDATE ou FAMS_ONBOARDING_UPDATE)
DeleteOnboarding DYNAMIC_GROUP_DELETE, POLICY_DELETE, TAG_NAMESPACE_RETIRE, TAG_DEFINITION_RETIRE et ( FAMS_ADMIN_DELETE ou FAMS_ONBOARDING_DELETE)
EnableLatestPolicy DYNAMIC_GROUP_CREATE, POLICY_CREATE, TAG_NAMESPACE_CREATE, TAG_DEFINITION_ADD et ( FAMS_ADMIN_CREATE ou FAMS_ONBOARDING_CREATE)
ManageSettings FAMS_ADMIN_UPDATE
ListOnboardingPolicies DYNAMIC_GROUP_CREATE, POLICY_CREATE, TAG_NAMESPACE_CREATE, TAG_DEFINITION_ADD et ( FAMS_ADMIN_CREATE ou FAMS_ONBOARDING_CREATE)
ListCompliancePolicies FAMS_COMPLIANCE_POLICY_INSPECT
GetCompliancePolicy FAMS_COMPLIANCE_POLICY_READ
ListCompliancePolicyRules FAMS_COMPLIANCE_POLICY_INSPECT
GetCompliancePolicyRule FAMS_COMPLIANCE_POLICY_READ
CreateCompliancePolicyRule FAMS_COMPLIANCE_POLICY_CREATE
UpdateCompliancePolicyRule FAMS_COMPLIANCE_POLICY_UPDATE
DeleteCompliancePolicyRule FAMS_COMPLIANCE_POLICY_DELETE
ListComplianceRecords FAMS_COMPLIANCE_REPORT_READ, FAMS_FLEET_READ, FAMS_PATCH_READ, FAMS_ADMIN_READ ou FAMS_COMPLIANCE_POLICY_READ
ExportComplianceReport FAMS_COMPLIANCE_REPORT_READ, FAMS_FLEET_READ, FAMS_PATCH_READ, FAMS_ADMIN_READ ou FAMS_COMPLIANCE_POLICY_READ
SummarizeComplianceRecordCounts FAMS_COMPLIANCE_REPORT_READ, FAMS_FLEET_READ, FAMS_PATCH_READ, FAMS_ADMIN_READ ou FAMS_COMPLIANCE_POLICY_READ
SummarizeManagedEntityCounts FAMS_COMPLIANCE_REPORT_READ, FAMS_FLEET_READ, FAMS_PATCH_READ, FAMS_ADMIN_READ ou FAMS_COMPLIANCE_POLICY_READ
ListPatches FAMS_PATCH_INSPECT
GetPatch FAMS_PATCH_READ
CreatePatch FAMS_PATCH_CREATE, FAMS_PLATFORM_READ, OBJECT_INSPECT et OBJECT_READ
DeletePatch FAMS_PATCH_DELETE
UpdatePatch FAMS_PATCH_UPDATE, FAMS_PLATFORM_READ, OBJECT_INSPECT et OBJECT_READ
ChangePatchCompartment FAMS_PATCH_MOVE
CreateProvision FAMS_PROVISION_CREATE, FAMS_FLEET_READ et FAMS_CATALOG_ITEM_READ
DeleteProvision FAMS_PROVISION_DELETE
ListProvisions FAMS_PROVISION_INSPECT
UpdateProvision FAMS_PROVISION_UPDATE
GetProvision FAMS_PROVISION_READ
ChangeProvisionCompartment FAMS_PROVISION_MOVE
ListCatalogItems FAMS_CATALOG_ITEM_INSPECT
CreateCatalogItem FAMS_CATALOG_ITEM_CREATE
et les éléments suivants :
  • OBJECT_INSPECT et OBJECT_READ si l'élément de catalogue est créé à l'aide de la source en tant qu'Object Storage
  • ORM_CONFIG_SOURCE_PROVIDER_INSPECT si l'élément de catalogue est créé à l'aide de la configuration du gestionnaire de ressources
GetCatalogItem FAMS_CATALOG_ITEM_READ
UpdateCatalogItem FAMS_CATALOG_ITEM_UPDATE
et les éléments suivants :
  • OBJECT_INSPECT et OBJECT_READ si l'élément de catalogue est créé à l'aide de la source en tant qu'Object Storage
  • ORM_CONFIG_SOURCE_PROVIDER_INSPECT si l'élément de catalogue est créé à l'aide de la configuration du gestionnaire de ressources
DeleteCatalogItem FAMS_CATALOG_ITEM_DELETE
ChangeCatalogItemCompartment FAMS_CATALOG_ITEM_MOVE
CloneCatalogItem FAMS_CATALOG_ITEM_CLONE
ListInventoryRecords FAMS_SOFTWARE_INVENTORY_INSPECT

Règles utilisateur

Des stratégies utilisateur Fleet Application Management sont requises pour que les utilisateurs puissent accéder aux ressources Fleet Application Management.

La syntaxe d'une stratégie est la suivante : 

allow <subject> to <verb>
                        <resource-type> in <location> where <conditions>

Pour plus d'informations, reportez-vous à Syntaxe de stratégie.

Créez des stratégies pour des utilisateurs ou des groupes spécifiques afin d'accéder aux ressources liées à Fleet Application Management. Reportez-vous à Création d'une stratégie.

Pour appliquer les droits d'accès au niveau de la location, remplacez compartment <compartment name> par tenancy.

Exemples de stratégie

Des stratégies de gestion d'application de parc sont requises pour utiliser diverses ressources de gestion d'application de parc.

Reportez-vous aux instructions de la section Création d'une stratégie pour créer des stratégies à l'aide de la console

Pour plus de détails sur la syntaxe, reportez-vous à Syntaxe de stratégie.

Exemples de stratégie Fleet Application Management :

  • Permet à un groupe de gérer toutes les ressources de votre location :
    Allow group acme-fams-developers to manage fams-family in tenancy
  • Autoriser les utilisateurs d'un groupe à lire ou à gérer les articles de catalogue pour la place de marché ou les articles de catalogue privés en fonction du rôle d'utilisateur :
    
Allow group <USER_GROUP> to read fams-catalog-items in compartment <USER_COMPARTMENT_NAME>

    L'exemple suppose que les éléments de catalogue et les instances Compute se trouvent dans le même compartiment que Fleet Application Management.

  • Autoriser les utilisateurs d'un groupe à accéder aux scripts d'articles de catalogue à partir des emplacements appropriés :
    Allow group <USER_GROUP> to {PAR_MANAGE} in compartment <USER_COMPARTMENT_NAME>
Allow group <USER_GROUP>  to read object-family in compartment <USER_COMPARTMENT_NAME>  
Allow group <USER_GROUP> to read buckets in compartment <USER_COMPARTMENT_NAME>

    L'exemple suppose que les buckets Object Storage et les instances Compute se trouvent dans le même compartiment que Fleet Application Management.

  • Autoriser les utilisateurs d'un groupe à gérer les demandes de provisionnement :
    Allow group <USER_GROUP> to manage fams-provisions in compartment <USER_COMPARTMENT_NAME>

    L'exemple suppose que les demandes de provisionnement et les instances Compute se trouvent dans le même compartiment que Fleet Application Management.

  • Autoriser les utilisateurs d'un groupe à gérer le provisionnement en connectant Fleet Application Management à Resource Manager. 
    Allow group <USER_GROUP> to manage orm-config-source-providers in compartment <USER_COMPARTMENT_NAME>
Allow group <USER_GROUP> to manage orm-jobs in compartment <USER_COMPARTMENT_NAME>
Allow group <USER_GROUP> to manage orm-stacks in compartment <USER_COMPARTMENT_NAME>
Allow group <USER_GROUP> to manage orm-template in compartment <USER_COMPARTMENT_NAME>
Allow group <USER_GROUP> to manage orm-work-requests in compartment <USER_COMPARTMENT_NAME>

    L'exemple suppose que les demandes de provisionnement et les instances Compute se trouvent dans le même compartiment que Fleet Application Management.

  • Autoriser les utilisateurs d'un groupe à programmer et à gérer le provisionnement :
    Allow group <USER_GROUP> to manage fams-schedules in compartment <USER_COMPARTMENT_NAME>

    L'exemple suppose que la programmation et les demandes de provisionnement se trouvent dans le même compartiment que Fleet Application Management.

  • Autorisez les utilisateurs d'un groupe à provisionner le type de ressource OCI approprié.
    Allow group <USER_GROUP> to manage <resource_type> in compartment <USER_COMPARTMENT_NAME>

    L'exemple suppose que les types de ressource se trouvent dans le même compartiment que Fleet Application Management.

Ajout de règles à un groupe dynamique

Un administrateur de location dans une organisation active Fleet Application Management pour une location. Cette action crée deux groupes dynamiques, "fams-customer-dg" et "fams-service-dg". L'administrateur définit des règles de mise en correspondance pour créer des instances et des membres du groupe fams-customer-dg. Fleet Application Management effectue des opérations de cycle de vie sur ces instances.
  1. Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Identité, sélectionnez Domaines.
  2. Sélectionnez le domaine d'identité dans lequel vous souhaitez travailler.
  3. Sous Domaine d'identité (sur le côté gauche de la page), sélectionnez Groupes dynamiques.
  4. Sélectionnez le groupe dynamique fams-customer-dg. La page de détails du groupe dynamique s'ouvre.
  5. Sélectionnez Modifier toutes les règles de mise en correspondance.
  6. Modifiez la règle de mise en correspondance dans la zone de texte ou utilisez le générateur de règles si la modification est prise en charge par le générateur de règles.
    Par exemple, saisissez la règle directement dans la zone de texte ou utilisez le générateur de règles.

    Exemple d'entrée dans la zone de texte :

    All {instance.compartement.id = 'ocid1.instance1.oc1.iad:sampleuniqueid1', instance.compartment.id ='ocid1.compartmentA.oc1:sampleuniqueid2'}

    Toutes les instances existantes ou créées dans les compartiments (identifiés par l'OCID) sont membres de ce groupe dynamique.

Stratégies IAM

Un administrateur de location de votre organisation active Fleet Application Management pour votre location. Cette action crée les stratégies IAM suivantes pour l'utilisation de Fleet Application Management.

Les stratégies IAM dans "fams-service-dg" sont les suivantes :

define tenancy fams-tenancy as <fams-tenancy-ocid>
define dynamic-group fams-workload-dg as <fams-dynamicgroup-ocid>
allow dynamic-group fams-service-dg to use fams-agent-command-executions in tenancy
allow dynamic-group fams-service-dg to { FAMS_CATALOG_ITEM_INSPECT, FAMS_CATALOG_ITEM_READ } in tenancy
allow dynamic-group fams-service-dg to { INSTANCE_UPDATE } in tenancy
allow dynamic-group fams-service-dg to read instance-family in tenancy
allow dynamic-group fams-service-dg to use instances in tenancy
allow dynamic-group fams-service-dg to inspect limits in tenancy
allow dynamic-group fams-service-dg to use tag-namespaces in tenancy where target.tag-namespace.name='Oracle$FAMS-Tags'
allow dynamic-group fams-service-dg to read instance-agent-plugins in tenancy
allow dynamic-group fams-service-dg to read instance-agent-command-family in tenancy
allow dynamic-group fams-service-dg to use ons-family in tenancy
allow dynamic-group fams-service-dg to manage database-family in tenancy
allow dynamic-group fams-service-dg to manage osmh-family in tenancy
allow dynamic-group fams-service-dg to { INSTANCE_AGENT_COMMAND_CREATE } in tenancy
allow dynamic-group fams-service-dg to { OBJECTSTORAGE_NAMESPACE_READ } in tenancy
allow dynamic-group fams-service-dg to manage work-requests in tenancy

Pour utiliser la gestion des applications de parc, les stratégies IAM suivantes sont requises dans "fams-customer-dg" :

Vous pouvez configurer les stratégies pour une location ou un compartiment en fonction de vos préférences. Si vous choisissez de configurer des stratégies pour un compartiment, l'instruction de stratégie peut être la suivante :

allow dynamic-group fams-customer-dg to {VAULT_READ} in <compartment_OCID>

Si vous laissez Fleet Application Management configurer les stratégies d'une location, les stratégies IAM suivantes sont dans "fams-customer-dg" :


endorse any-group to { FAMS_CATALOG_ITEM_INSPECT, FAMS_CATALOG_ITEM_READ} in tenancy fams-tenancy
admit dynamic-group fams-workload-dg of tenancy fams-tenancy to read orm-stack in tenancy where all { request.principal.type = 'workload' }
allow dynamic-group fams-customer-dg to use instance-agent-command-execution-family in tenancy where request.instance.id=target.instance.id
allow dynamic-group fams-customer-dg to read instance-family in tenancy
allow dynamic-group fams-customer-dg to use fams-agent-command-executions in tenancy where request.instance.id=target.instance.id
allow dynamic-group fams-customer-dg to {OSMH_MANAGED_INSTANCE_ACCESS} in tenancy
allow dynamic-group fams-customer-dg to { OBJECT_INSPECT, OBJECT_READ } in tenancy
endorse dynamic-group fams-customer-dg to { OBJECT_CREATE, OBJECT_OVERWRITE, OBJECT_READ } in tenancy fams-tenancy where all { target.bucket.name = '<CUSTOMER_TENANCY_OCID>' }
endorse dynamic-group fams-customer-dg to { OBJECT_INSPECT, OBJECT_READ } in tenancy fams-tenancy where any { target.bucket.name = 'automations', target.bucket.name = 'patches'}
Voici le type d'accès de chacune des stratégies dans "fams-customer-dg" :
  • endorse any-group to { FAMS_CATALOG_ITEM_INSPECT, FAMS_CATALOG_ITEM_READ}  in  tenancy fams-tenancy

    Permet à la location d'accéder aux articles de catalogue Marketplace.

  • admit dynamic-group fams-workload-dg of tenancy fams-tenancy to read orm-stack in tenancy where all { request.principal.type = 'workload' }

    Permet de gérer les exigences de provisionnement pour vérifier le statut de la pile Resource Manager.

  • allow dynamic-group fams-customer-dg to { KEY_READ, KEY_DECRYPT,SECRET_READ } in tenancy
allow dynamic-group fams-customer-dg to {VAULT_READ} in tenancy
allow dynamic-group fams-customer-dg to {SECRET_BUNDLE_READ} in tenancy

    Autorise la location à accéder à Fleet Application Management avec des clés de coffre et des clés secrètes pour les opérations de cycle de vie. 

  • allow dynamic-group fams-customer-dg to use instance-agent-command-execution-family in tenancy where request.instance.id=target.instance.id

    Permet de gérer les opérations de cycle de vie à l'aide de la commande d'exécution.

  • allow dynamic-group fams-customer-dg to read instance-family in tenancy

    Permet à Fleet Application Management d'obtenir les détails de l'instance pour les vérifications d'état. 

  • allow dynamic-group fams-customer-dg to use fams-agent-command-executions in tenancy where request.instance.id=target.instance.id

    Permet à Fleet Application Management de gérer les opérations de cycle de vie sur les instances à l'aide du module d'extension Fleet Application Management.

  • allow dynamic-group fams-customer-dg to {OSMH_MANAGED_INSTANCE_ACCESS} in tenancy

    Permet à Fleet Application Management de gérer l'application de patches au système d'exploitation avec OS Management Hub.

  • allow dynamic-group fams-customer-dg to { OBJECT_INSPECT, OBJECT_READ } in tenancy

    Autorise les scripts d'opération de cycle de vie d'accès Fleet Application Management à partir d'Object Storage.

  • endorse dynamic-group fams-customer-dg to { OBJECT_CREATE, OBJECT_OVERWRITE, OBJECT_READ } in tenancy fams-tenancy where all { target.bucket.name = '<CUSTOMER_TENANCY_OCID>' }

    Permet à Fleet Application Management de gérer les journaux d'opération de cycle de vie dans Object Storage.

  • endorse dynamic-group fams-customer-dg to { OBJECT_INSPECT, OBJECT_READ } in tenancy fams-tenancy where any { target.bucket.name = 'automations', target.bucket.name = 'patches'}

    Autorise la location à accéder aux scripts et patches d'opération de cycle de vie Fleet Application Management.

Important

Pour éviter toute interruption de service, un administrateur de location doit s'assurer que les stratégies IAM des groupes dynamiques "fams-service-dg", "fams-customer-dg" ne sont pas supprimées. Toutefois, vous pouvez créer vos propres stratégies pour vos cas d'emploi, par exemple, si vous avez besoin d'administrateurs différents pour différents groupes et piles de produits.