Documentation Oracle Cloud Infrastructure

Création d'utilisateurs et de groupes

Pour utiliser WebLogic Management, un administrateur de location de votre organisation doit créer des groupes, ajouter des utilisateurs à des groupes et ajouter des stratégies qui contrôlent les utilisateurs pouvant accéder au service et à ses ressources, ainsi que le type d'accès dont ils disposent.

Créez au moins un utilisateur dans la location qui souhaite utiliser WebLogic Management. Cet utilisateur doit être créé dans le service IAM.

Les groupes d'utilisateurs, les groupes dynamiques et les stratégies IAM indiquent quels utilisateurs et services peuvent accéder à certaines ressources OCI. Vous devez identifier les ressources de gestion WebLogic que le service peut gérer et les utilisateurs qui peuvent les gérer. Pour ce faire, définissez des groupes d'utilisateurs, des groupes dynamiques, puis configurez la stratégie IAM requise.

Groupe d'utilisateurs

Créez un groupe d'utilisateurs ou identifiez un groupe d'utilisateurs existant pour administrer le service de gestion WebLogic dans la location. Les instructions de stratégie requises permettent ensuite à ce groupe d'administrateurs de gérer les ressources de gestion WebLogic.

Si vous devez restreindre davantage l'accès, vous pouvez créer des groupes d'utilisateurs supplémentaires et définir des instructions de stratégie plus restrictives pour limiter l'accès à des ressources spécifiques. Reportez-vous à Exemples de stratégie pour connaître les cas d'emploi de non-administrateur. Pour plus d'informations sur les groupes d'utilisateurs, reportez-vous à Gestion des groupes.

Groupe dynamique

Créez un groupe dynamique pour indiquer les ressources que la gestion WebLogic gérera en définissant des instructions de règle pour les instances OCI.

  1. Veillez à bien comprendre les points suivants :

  2. Suivez les étapes pour créer un groupe dynamique ou mettre à jour un groupe dynamique existant et configurez les règles de mise en correspondance comme suit.

    Conseil

    Réutilisez le même groupe dynamique dans la mesure du possible entre les services au lieu de créer de nouveaux groupes dynamiques car une seule ressource ne peut appartenir qu'à cinq groupes dynamiques au maximum.

  3. Pour le paramètre de règle de mise en correspondance globale, sélectionnez : Mettre en correspondance toutes les règles définies ci-dessous.

  4. Créez des instructions de règle pour les instances que la gestion WebLogic va gérer.

    Important

    Les règles de groupe dynamique n'utilisent pas l'héritage de compartiment. Vous devez indiquer une instruction de règle pour chaque compartiment et sous-compartiment que vous voulez gérer par le service.

    Règle pour les instances OCI

    Ajoutez une instruction de règle qui inclut chaque compartiment (et sous-compartiment) qui contiendra des instances.

    ANY {instance.compartment.id='<compartment_ocid>',instance.compartment.id='<subcompartment_ocid>'}

    Cette règle inclura toutes les instances OCI dans les compartiments indiqués.

  5. Cliquez sur Créer (en cas de création) ou Enregistrer (en cas de mise à jour).
Que fait le groupe dynamique ?
Le groupe dynamique identifie les instances que la gestion WebLogic va gérer. Vous ajoutez des instructions de règle pour les compartiments et sous-compartiments contenant les instances que le service doit gérer. Le groupe dynamique augmente et diminue dynamiquement en fonction de ces instructions de règle. Lorsque des instances sont provisionnées ou mises hors service, le groupe dynamique change en conséquence. Les instructions de stratégie requises permettent ensuite à la gestion WebLogic d'accéder aux instances du groupe dynamique.

Pour plus d'informations sur les groupes dynamiques, reportez-vous à Gestion des groupes dynamiques.

Quand utiliser ANY et ALL pour un groupe dynamique ?

Avant d'écrire des instructions de règle de groupe dynamique, il est important de comprendre la différence entre ANY et ALL.

Lorsque vous définissez un groupe dynamique, vous définissez la façon dont le groupe correspond aux règles définies au sein du groupe :

  • Mettre en correspondance les règles définies ci-dessous inclut les ressources qui correspondent à l'une des règles du groupe dynamique. Sélectionnez cette option si vous définissez un groupe qui inclut des règles pour plusieurs compartiments ou plusieurs types d'instance. Ce paramètre indique au groupe d'inclure les ressources correspondant à la règle 1 OU à la règle 2 OU à la règle 3, etc.
  • Mettre en correspondance toutes les règles définies ci-dessous inclut les ressources qui correspondent à toutes les règles du groupe dynamique. Sélectionnez cette option lors de la définition d'un groupe dynamique variable étroit qui inclut un seul compartiment. Ce paramètre indique au groupe d'inclure les ressources correspondant à la règle 1 ET à la règle 2 ET à la règle 3, etc.

Lorsque vous définissez des instructions de règle individuelles dans le groupe dynamique, vous définissez les conditions de chaque instruction :

  • L'option Tous les éléments suivants (ALL) inclut uniquement les ressources qui correspondent à toutes les conditions de la règle. Les instructions ALL exigent que chaque condition soit vérifiée. Sinon, les ressources ne sont pas incluses pour la règle.

  • L'option Un des éléments suivants (ANY) inclut les ressources qui correspondent à l'une des conditions de la règle.

Exemples ANY et ALL pour une instruction de règle individuelle

Prenons la règle utilisée pour les instances OCI.

Correct usage:
ALL {resource.type='managementagent', resource.compartment.id='<compartment_ocid>'}

Lorsque vous utilisez ALL, la règle inclut uniquement les ressources du compartiment indiqué. L'instruction indique au groupe dynamique d'inclure les ressources qui correspondent au type d'agent de gestion ET se trouvent dans le compartiment indiqué.

Incorrect usage. Do not use:
ANY {resource.type='managementagent', resource.compartment.id='<compartment_ocid>'}

Lorsque vous utilisez ANY, la règle inclut toutes les ressources de la location complète et toutes les ressources OCI présentes dans le compartiment indiqué. Bien que l'instruction contienne les ressources nécessaires à la gestion de WebLogic, elle est très large et n'est généralement pas préférable.

Tenez compte de la règle utilisée pour les instances OCI lors de la spécification de plusieurs compartiments.

Correct usage:
ANY {instance.compartment.id='<compartment_ocid>',instance.compartment.id='<subcompartment_ocid>'}

Lorsque vous utilisez ANY, la règle inclut toutes les instances de chacun des compartiments indiqués. L'instruction indique au groupe dynamique d'inclure des instances dans <compartment_ocid> OU <subcompartment_ocid>.

Incorrect usage. Do not use:
ALL {instance.compartment.id='<compartment_ocid>',instance.compartment.id='<subcompartment_ocid>'}

Lorsque vous utilisez ALL, la règle indique au groupe dynamique d'inclure les instances qui se trouvent dans <compartment_ocid> AND <subcompartment_ocid>. Cette règle n'inclut aucune instance car il est impossible qu'une instance se trouve dans plusieurs compartiments en même temps. N'utilisez pas ALL avec une instruction de règle qui indique plusieurs compartiments.