Référence des stratégies OS Management
Cette rubrique traite de l'écriture de stratégies afin de contrôler l'accès au service OS Management.
Pour obtenir des exemples de stratégies OS Management, reportez-vous à Configuration de stratégies IAM pour OS Management et à Configuration des stratégies IAM requises pour Autonomous Linux.
Détails du service OS Management
Cette rubrique traite des détails relatifs à l'écriture de stratégies pour contrôler l'accès à OS Management.
A propos des droits d'accès pour les instances gérées
Une instance gérée étant une instance Compute gérée de façon active par le service OS Management, toutes les opérations exécutées sur des instances gérées exigent que les utilisateurs disposent du droit d'accès read sur l'instance Compute sous-jacente. De plus, une instance gérée n'a pas d'OCID distinct. Afin de déterminer les instances Compute disponibles pour les utilisateurs, des appels sont effectués vers le service Compute afin d'extraire les informations d'instance. Si vous ne disposez pas de l'accès read pour les détails de l'instance Compute, vous ne pouvez pas gérer cette instance avec le service OS Management.
A propos des droits d'accès pour les sources logicielles
L'ensemble de sources logicielles par défaut est créé dans le compartiment racine. Pour lire ces sources logicielles, les utilisateurs doivent disposer des droits d'accès read.
Les droits d'accès sur les sources logicielles dans le compartiment racine doivent être restreints pour empêcher les utilisateurs de supprimer ou d'enlever accidentellement ces packages. Ces derniers peuvent être utilisés tels quels ou servir de base à la création de sources logicielles personnalisées, mais ils ne doivent pas être modifiés directement.
Lorsqu'une source logicielle est créée, elle peut uniquement être remplie avec des packages de sources logicielles existantes auxquelles l'utilisateur a le droit d'accéder. Pour limiter les packages pouvant être utilisés, vous pouvez créer une source logicielle personnalisée dans un autre compartiment (ou avec une stratégie accordant des droits d'accès différents). Vous pouvez ensuite remplir la source logicielle personnalisée avec uniquement les packages que vous souhaitez que les utilisateurs puissent employer.
A propos des droits d'accès pour Autonomous Linux
En plus des stratégies IAM requises pour OS Management, les instances Autonomous Linux requièrent les droits d'accès suivants.
-
Droit d'accès
usesur le type de ressourceons-topics. Ce droit d'accès permet au module d'extension Oracle Autonomous Linux d'envoyer des notifications concernant les événements et les mises à jour autonomes à un sujet du service Notifications. - Droit d'accès
managesur le type de ressourceosms-events. Ce droit d'accès permet au module d'extension Oracle Autonomous Linux de capturer des événements pour les instances ainsi que d'autoriser les utilisateurs à visualiser et à gérer les événements.
Afin d'obtenir un exemple des stratégies IAM requises pour Autonomous Linux, reportez-vous à Configuration des stratégies IAM requises pour Autonomous Linux.
Remarques concernant le compartiment
Vous pouvez configurer le service OS Management pour gérer toutes les instances de votre location en définissant les stratégies au niveau du compartiment racine. La définition des stratégies au niveau du compartiment racine est le moyen le plus simple de créer des stratégies de service OS Management, mais elle dépend du fait que vous ayez ou non les privilèges requis pour créer les stratégies. Si vous ne disposez pas des privilèges requis, vous devez faire appel à l'administrateur de votre location.
Vous pouvez également configurer le service OS Management pour ne gérer qu'un sous-ensemble de vos instances en définissant les stratégies au niveau du compartiment. La définition des stratégies au niveau du compartiment permet au service de gérer uniquement un sous-ensemble de vos instances au niveau du compartiment et de ses sous-compartiments.
Toutes les sources logicielles de base se trouvent dans le compartiment racine. Lors de la définition de stratégies, assurez-vous que les droits d'accès relatifs ne sont pas trop restreints. Par exemple, vous risquez de rencontrer des erreurs d'autorisation si vous n'avez accès qu'à un compartiment et que vous essayez d'installer des packages ou des mises à jour à partir de sources logicielles dans le compartiment racine.
Par exemple :
Allow group <group_name> to manage osms-family in tenancyPour vous assurer que l'utilisateur dispose des accès appropriés, vous devez lui accorder les droits d'accès OSMS_SOFTWARE_SOURCE_READ dans le compartiment racine.
Type agrégé de ressource
osms-family
Types individuels de ressource
osms-errata
osms-events
osms-managed-instances
osms-managed-instance-groups
osms-scheduled-jobs
osms-software-sources
osms-work-requests
Variables prises en charge
Seules les variables générales sont prises en charge (reportez-vous à Variables générales pour toutes les demandes).
Détails des combinaisons de verbe et de type de ressource
Les tableaux suivants indiquent les droits d'accès et les opérations d'API couverts par chaque verbe. Le niveau d'accès est cumulatif à mesure que vous passez d'un verbe à l'autre de la façon suivante :inspect > read > use > manage. Le signe plus (+) dans une cellule du tableau indique un accès incrémentiel par rapport à la cellule directement au-dessus, alors que la mention "aucun élément supplémentaire" n'indique aucun accès incrémentiel.
| Verbes | Droits d'accès | API entièrement couvertes | API partiellement couvertes |
|---|---|---|---|
| inspect | aucun |
aucune | aucune |
| read |
INSPECT + OSMS_ERRATA_READ |
|
aucune |
| use |
aucun |
aucune |
aucune |
| manage | USE + aucun |
aucune |
aucune |
| Verbes | Droits d'accès | API entièrement couvertes | API partiellement couvertes |
|---|---|---|---|
| inspect |
OSMS_EVENT_INSPECT |
|
aucune |
| read |
INSPECT + OSMS_EVENT_READ |
|
aucune |
| use |
READ + OSMS_EVENT_UPDATE |
|
aucune |
| manage |
USE + OSMS_EVENTS_MANAGE |
|
aucune |
| Verbes | Droits d'accès | API entièrement couvertes | API partiellement couvertes |
|---|---|---|---|
| inspect |
OSMS_MANAGED_INSTANCE_INSPECT |
|
aucune |
| read | INSPECT + OSMS_MANAGED_INSTANCE_READ |
|
|
| use |
READ + OSMS_MANAGED_INSTANCE_ACCESS |
aucune (Aucune opération d'API n'est couverte pour ce droit d'accès. Ce dernier contrôle si l'agent du service OS Management de l'instance Compute peut accéder au service OS Management.) |
aucune |
| manage |
USE + OSMS_MANAGED_INSTANCE_UPDATE OSMS_MANAGED_INSTANCE_INSTALL_UPDATE OSMS_MANAGED_INSTANCE_INSTALL_PACKAGE OSMS_MANAGED_INSTANCE_REMOVE_PACKAGE OSMS_MANAGED_INSTANCE_ADD_SOFTWARE_SOURCE OSMS_MANAGED_INSTANCE_REMOVE_SOFTWARE_SOURCE |
|
|
| Verbes | Droits d'accès | API entièrement couvertes | API partiellement couvertes |
|---|---|---|---|
| inspect | OSMS_MANAGED_INSTANCE_GROUP_INSPECT |
|
aucune |
| read | INSPECT + OSMS_MANAGED_INSTANCE_GROUP_READ |
|
aucune |
| use |
READ + OSMS_MANAGED_INSTANCE_GROUP_INSTALL_UPDATE OSMS_MANAGED_INSTANCE_GROUP_INSTALL_PACKAGE OSMS_MANAGED_INSTANCE_GROUP_REMOVE_PACKAGE OSMS_MANAGED_INSTANCE_GROUP_UPDATE |
|
|
| manage |
USE + OSMS_MANAGED_INSTANCE_GROUP_ADD_INSTANCE OSMS_MANAGED_INSTANCE_GROUP_REMOVE_INSTANCE OSMS_MANAGED_INSTANCE_GROUP_CREATE OSMS_MANAGED_INSTANCE_GROUP_DELETE OSMS_MANAGED_INSTANCE_GROUP_MOVE |
|
|
| Verbes | Droits d'accès | API entièrement couvertes | API partiellement couvertes |
|---|---|---|---|
| inspect | OSMS_SOFTWARE_SOURCE_INSPECT |
|
|
| read | INSPECT + OSMS_SOFTWARE_SOURCE_READ |
|
|
| use |
READ + OSMS_MANAGED_INSTANCE_GROUP_INSTALL_UPDATE |
|
aucune |
| manage |
USE + OSMS_SOFTWARE_SOURCE_CREATE OSMS_SOFTWARE_SOURCE_ADD_PACKAGES OSMS_SOFTWARE_SOURCE_REMOVE_PACKAGE OSMS_SOFTWARE_SOURCE_DELETE OSMS_SOFTWARE_SOURCE_REMOVE_PACKAGE |
|
aucune |
| Verbes | Droits d'accès | API entièrement couvertes | API partiellement couvertes |
|---|---|---|---|
| inspect |
OSMS_SCHEDULED_JOB_INSPECT |
|
aucune |
| read |
INSPECT + OSMS_SCHEDULED_JOB_READ |
|
aucune |
| use |
READ + OSMS_SCHEDULED_JOB_UPDATE |
|
aucune |
| manage |
USE + OSMS_SCHEDULED_JOB_CREATE OSMS_SCHEDULED_JOB_DELETE OSMS_SCHEDULED_JOB_MOVE |
|
|
| Verbes | Droits d'accès | API entièrement couvertes | API partiellement couvertes |
|---|---|---|---|
| inspect |
OSMS_WORK_REQUEST_INSPECT |
|
aucune |
| read |
INSPECT + OSMS_WORK_REQUEST_READ |
|
aucune |
| use | READ + aucun élément supplémentaire |
aucun élément supplémentaire |
aucune |
| manage |
USE + OSMS_WORK_REQUEST_CANCEL |
|
aucune |
Droits d'accès requis pour chaque opération d'API
Les tableaux suivants répertorient les opérations d'API regroupées par type de ressource. Les types de ressource sont répertoriés par ordre alphabétique. Pour plus d'informations sur les droits d'accès, reportez-vous à Droits d'accès.
| Opération d'API | Droits d'accès requis pour utiliser l'opération |
|---|---|
ListEvents |
OSMS_EVENT_INSPECT |
ListRelatedEvents
|
OSMS_EVENT_INSPECT |
DeleteEventContent |
OSMS_EVENT_MANAGE |
UploadEventContent
|
OSMS_EVENT_MANAGE |
GetEvent
|
OSMS_EVENT_READ |
GetEventContent
|
OSMS_EVENT_READ |
GetEventReport |
OSMS_EVENT_READ |
UpdateEvent |
OSMS_EVENT_UPDATE |
AttachChildSoftwareSourceToManagedInstance
|
OSMS_MANAGED_INSTANCE_ADD_SOFTWARE_SOURCE et OSMS_SOFTWARE_SOURCE_READ |
AttachParentSoftwareSourceToManagedInstance
|
OSMS_MANAGED_INSTANCE_ADD_SOFTWARE_SOURCE et OSMS_SOFTWARE_SOURCE_READ |
AttachManagedInstanceToManagedInstanceGroup
|
OSMS_MANAGED_INSTANCE_GROUP_ADD_INSTANCE et OSMS_MANAGED_INSTANCE_UPDATE |
CreateManagedInstanceGroup
|
OSMS_MANAGED_INSTANCE_GROUP_CREATE |
DeleteManagedInstanceGroup
|
OSMS_MANAGED_INSTANCE_GROUP_DELETE |
ListManagedInstanceGroups
|
OSMS_MANAGED_INSTANCE_GROUP_INSPECT |
ChangeManagedInstanceGroupComparment
|
OSMS_MANAGED_INSTANCE_GROUP_MOVE |
GetManagedInstanceGroup |
OSMS_MANAGED_INSTANCE_GROUP_READ |
DetachManagedInstanceFromManagedInstanceGroup
|
OSMS_MANAGED_INSTANCE_GROUP_REMOVE_INSTANCE et OSMS_MANAGED_INSTANCE_UPDATE |
UpdateManagedInstanceGroup
|
OSMS_MANAGED_INSTANCE_GROUP_UPDATE |
ListManagedInstances
|
OSMS_MANAGED_INSTANCE_INSPECT |
InstallPackageOnManagedInstance
|
OSMS_MANAGED_INSTANCE_INSTALL_PACKAGE et OSMS_SOFTWARE_SOURCE_READ |
InstallPackageUpdateOnManagedInstance
|
OSMS_MANAGED_INSTANCE_INSTALL_UPDATE et OSMS_SOFTWARE_SOURCE_READ |
GetManagedInstance
|
OSMS_MANAGED_INSTANCE_READ |
ListAvailablePackagesForManagedInstance
|
OSMS_MANAGED_INSTANCE_READ |
ListAvailableUpdatesForManagedInstance
|
OSMS_MANAGED_INSTANCE_READ |
ListAvailableSoftwareSourcesForManagedInstance
|
OSMS_MANAGED_INSTANCE_READ et OSMS_SOFTWARE_SOURCE_INSPECT |
ListPackagesInstalledOnManagedInstance
|
OSMS_MANAGED_INSTANCE_READ |
RemovePackageFromManagedInstance
|
OSMS_MANAGED_INSTANCE_REMOVE_PACKAGE |
DetachChildSoftwareSourceFromManagedInstance
|
OSMS_MANAGED_INSTANCE_REMOVE_SOFTWARE_SOURCE |
DetachParentSoftwareSourceFromManagedInstance
|
OSMS_MANAGED_INSTANCE_REMOVE_SOFTWARE_SOURCE |
DisableModuleStreamOnManagedInstance |
OSMS_MANAGED_INSTANCE_UPDATE |
EnableModuleStreamOnManagedInstance |
OSMS_MANAGED_INSTANCE_UPDATE |
InstallModuleStreamProfileOnManagedInstance |
OSMS_MANAGED_INSTANCE_UPDATE |
ManageModuleStreamsOnManagedInstance |
OSMS_MANAGED_INSTANCE_UPDATE |
SwitchModuleStreamOnManagedInstance |
OSMS_MANAGED_INSTANCE_UPDATE |
CreateScheduledJob
|
OSMS_SCHEDULED_JOB_CREATE et au moins l'un des droits d'accès suivants :
|
DeleteScheduledJob
|
OSMS_SCHEDULED_JOB_DELETE |
ListScheduledJobs
|
OSMS_SCHEDULED_JOB_INSPECT |
ChangeScheduledJobCompartment
|
OSMS_SCHEDULED_JOB_MOVE |
GetScheduledJob
|
OSMS_SCHEDULED_JOB_READ |
UpdateScheduledJob
|
OSMS_SCHEDULED_JOB_UPDATE |
AddPackagesToSoftwareSource
|
OSMS_SOFTWARE_SOURCE_ADD_PACKAGES |
CreateSoftwareSource
|
OSMS_SOFTWARE_SOURCE_CREATE |
DeleteSoftwareSource
|
OSMS_SOFTWARE_SOURCE_DELETE |
ChangeSoftwareSourceCompartment
|
OSMS_SOFTWARE_SOURCE_MOVE |
GetSoftwarePackage
|
OSMS_SOFTWARE_SOURCE_READ |
ListSoftwarePackages
|
OSMS_SOFTWARE_SOURCE_READ |
SearchSoftwarePackages
|
OSMS_SOFTWARE_SOURCE_READ |
RemovePackagesFromSoftwareSource
|
OSMS_SOFTWARE_SOURCE_REMOVE_PACKAGES |
UpdateSoftwareSource
|
OSMS_SOFTWARE_SOURCE_UPDATE |
CancelWorkRequest
|
OSMS_WORK_REQUEST_CANCEL |
ListWorkRequests
|
OSMS_WORK_REQUEST_INSPECT |
GetWorkRequest
|
OSMS_WORK_REQUEST_READ |