Documentation Oracle Cloud Infrastructure

Exemples de stratégie

Lors de l'écriture de stratégies, vous pouvez utiliser le groupe Administrateurs pour la gestion des locations, par exemple :

allow group Administrators to manage wlms-managed-instances in tenancy
allow group Administrators to manage wlms-wlsdomains in tenancy
allow group Administrators to manage wlms-family in tenancy

Vous pouvez également simplifier les droits d'accès en combinant des instructions de stratégie lorsque plusieurs groupes nécessitent les mêmes droits d'accès. Par exemple, les instructions de stratégie suivantes :

allow group <user-grp-01> to inspect wlms-wlsdomains in tenancy
allow group <user-grp-01> to inspect wlms-work-requests in tenancy
allow group <user-grp-02> to inspect wlms-wlsdomains in tenancy
allow group <user-grp-02> to inspect wlms-work-requests in tenancy

Peut devenir :

allow group <user-grp-01>,<user-grp-01> { WLMS_WLSDOMAIN_INSPECT, WLMS_WORK_REQUEST_INSPECT } in tenancy

Exemples de stratégie limitant le groupe d'utilisateurs

Les exemples fournis sont des exemples de stratégies utilisées pour restreindre l'accès aux ressources ou aux compartiments pour un groupe d'utilisateurs particulier. La location dans ces exemples présente la structure de compartiment suivante :

  • Compartiment root (location)
    • Compartiment <dev>
      • Sous-compartiment <test> de <dev>
    • Compartiment <prod>
Utilisateur administrateur avec droits d'accès de location

Pour cet exemple :

  • Le groupe dynamique est <wlms-dyn-grp>. Les instructions de règle incluent des instances OCI dans le compartiment racine (location), le compartiment <dev>, le sous-compartiment <test> et le compartiment <prod>.
  • L'utilisateur appartient au groupe d'utilisateurs <wlms-admin-grp>, qui est autorisé à gérer toutes les ressources de la location.

Instructions de stratégie

  • Permet au groupe dynamique de visualiser et d'analyser les instances gérées dans un compartiment spécifique.
    allow dynamic-group <wlms-dyn-grp> to {WLMS_MANAGED_INSTANCE_USE} in tenancy where target.compartment.id='<dev_compartment_ocid>'
  • Permet au groupe d'utilisateurs de visualiser, d'analyser et de mettre à jour toutes les instances gérées de la location.
    allow group <wlms-admin-grp> to use wlms-managed-instances in tenancy
  • Permet au groupe d'utilisateurs d'utiliser, de mettre à jour, de redémarrer, d'appliquer des patches à tous les domaines de la location et de les déplacer.
    allow group <wlms-admin-grp> to use wlms-wlsdomains in tenancy
  • Permet au groupe d'utilisateurs de gérer toutes les ressources de la location.
    allow group <wlms-admin-grp> to manage wlms-family in tenancy
Utilisateur administrateur restreint à un compartiment

Pour cet exemple :

  • L'utilisateur appartient au groupe d'utilisateurs wlms-admin-grp-dev, qui peut gérer toutes les ressources dans le compartiment <dev> et le sous-compartiment <test>.

Instructions de stratégie

  • Permet au groupe d'utilisateurs de gérer toutes les ressources du service de gestion WebLogic dans le compartiment <dev>. Les stratégies utilisent l'héritage de compartiment, de sorte que l'utilisateur puisse également gérer les ressources dans tous les sous-compartiments de <dev> (dans cet exemple, <test>).
    allow group <wlms-admin-grp-dev> to manage wlms-family in compartment <dev>
  • Permet au groupe d'utilisateurs de lire les instances gérées dans le compartiment racine. 
    allow group <wlms-admin-grp-dev> to read wlms-managed-instances in tenancy where target.compartment.id = '<tenancy_ocid>'
  • Permet à l'utilisateur d'utiliser des instances gérées dans le compartiment dev.
    allow group <wlms-admin-grp-dev> to use wlms-managed-instances in compartment <dev>
  • Permet à l'utilisateur d'utiliser, de mettre à jour, de redémarrer, d'appliquer des patches, de déplacer et de supprimer des domaines dans le compartiment dev.
    allow group <wlms-admin-grp-dev> to manage wlms-wlsdomains in compartment <dev>
Utilisateur limité à un compartiment

Pour cet exemple :

  • Le groupe dynamique est <wlms-instances>. L'instruction de règle inclut la ressource d'agent de module d'extension dans le compartiment <prod>.
  • L'utilisateur appartient au groupe d'utilisateurs <wlms-users>, qui peut lire toutes les ressources de gestion WebLogic du compartiment <prod>.

Instructions de stratégie

  • Permet à l'agent sur les instances gérées d'interagir avec la gestion WebLogic.
    allow dynamic-group <wlms-instances> to {WLMS_MANAGED_INSTANCE_PLUGIN_ACCESS} in compartment prod where request.principal.id = target.managed-instance.i
  • Permet au groupe d'utilisateurs de visualiser toutes les ressources de gestion WebLogic dans le compartiment <prod>.
    allow group <wlms-users> to read wlms-family in compartment <prod>

Stratégies d'exemple avancées

Les exemples avancés de gestion WebLogic fournis sont des exemples de stratégies utilisées pour restreindre l'accès aux ressources ou aux compartiments pour un groupe d'utilisateurs particulier.

Autoriser un groupe d'utilisateurs à visualiser uniquement les ressources de gestion WebLogic

Type d'accès : permet de visualiser toutes les instances gérées d'un compartiment sur lequel le module d'extension de gestion WebLogic est activé, les domaines et serveurs de serveur WebLogic repérés par le module d'extension de gestion WebLogic et tous les paramètres de configuration. Avec cette stratégie, un utilisateur du groupe ne peut pas effectuer d'actions de service susceptibles de modifier l'état des domaines de serveur WebLogic.

Quand utiliser : cette stratégie est utile lorsque vous voulez contrôler l'accès à un compartiment dans lequel vous disposez de vos domaines de serveur WebLogic de production.

Emplacement de création de la stratégie : placez cette stratégie dans le compartiment pour lequel vous accorderez l'accès au groupe d'utilisateurs.

Allow group Default/<WlmsDevUsers> to read wlms-family in compartment <WlmsProduction>
Autoriser un groupe d'utilisateurs à effectuer toutes les actions dans la gestion WebLogic, à l'exception des domaines de suppression

Type d'accès : permet d'effectuer toutes les actions de service à l'exception de l'action de suppression de domaine.

Quand utiliser : cette stratégie est utile lorsque vous souhaitez empêcher la suppression accidentelle de domaine.

Emplacement de création de la stratégie : placez cette stratégie dans le compartiment pour lequel vous accorderez l'accès au groupe d'utilisateurs.

Allow group Default/<WlmsUsers> to use wlms-family in compartment <WlmsTest>
Autoriser un groupe d'utilisateurs à effectuer uniquement des actions d'analyse sur les domaines WebLogic et les instances gérées de gestion WebLogic

Type d'accès : permet de visualiser toutes les instances gérées d'un compartiment sur lequel le module d'extension de gestion WebLogic est activé, les domaines et serveurs de serveur WebLogic repérés par le module d'extension de gestion WebLogic et tous les paramètres de configuration. Avec cette stratégie, un utilisateur du groupe peut également obtenir les dernières informations de domaine WebLogic à la demande en exécutant l'action d'analyse.

Quand utiliser : cette stratégie est utile lorsque vous voulez contrôler l'accès à un compartiment dans lequel vous disposez de vos domaines de serveur WebLogic de production.

Emplacement de création de la stratégie : placez cette stratégie dans le compartiment pour lequel vous accorderez l'accès au groupe d'utilisateurs.

Allow group Default/<WlmsDevUsers> to read wlms-family in compartment <WlmsProduction>
Allow group Default/<WlmsDevUsers> to use wlms-wlsdomains in compartment <WlmsProduction> where all {request.permission='WLMS_WLSDOMAIN_USE',request.operation='ScanWlsDomain'}
Allow group Default/<WlmsDevUsers> to {WLMS_MANAGED_INSTANCE_USE} in compartment <WlmsProduction>
Permettre à un groupe d'utilisateurs d'analyser et d'appliquer des patches aux domaines WebLogic sans pouvoir mettre à jour les paramètres de configuration

Type d'accès : permet de visualiser toutes les instances gérées d'un compartiment sur lequel le module d'extension de gestion WebLogic est activé, les domaines et serveurs de serveur WebLogic repérés par le module d'extension de gestion WebLogic et tous les paramètres de configuration. Avec cette stratégie, un utilisateur du groupe peut également obtenir les dernières informations de domaine WebLogic à la demande en exécutant l'action d'analyse et les domaines de patches.

Quand utiliser : cette stratégie est utile lorsque vous voulez indiquer un ensemble particulier d'utilisateurs, tels que des utilisateurs d'opérations, pour effectuer des opérations spécifiques uniquement pendant une fenêtre d'application de patches à un compartiment dans lequel vous disposez de domaines de serveur WebLogic de production.

Emplacement de création de la stratégie : placez cette stratégie dans le compartiment pour lequel vous accorderez l'accès au groupe d'utilisateurs.

Allow group Default/<WlmsOperationsUsers> to read wlms-family in compartment <WlmsProduction>
Allow group Default/<WlmsOperationsUsers> to {WLMS_WLSDOMAIN_USE} in compartment <WlmsProduction>
Allow group Default/<WlmsOperationsUsers> to {WLMS_MANAGED_INSTANCE_USE} in compartment <WlmsProduction>
Allow group Default/<WlmsOperationsUsers> to {WLMS_WLSDOMAIN_PATCH} in compartment <WlmsProduction>
Permettre à un groupe d'utilisateurs d'effectuer des actions de redémarrage et de mettre à jour l'ordre de redémarrage

Type d'accès : permet de visualiser toutes les instances gérées d'un compartiment sur lequel le module d'extension de gestion WebLogic est activé, les domaines et serveurs de serveur WebLogic repérés par le module d'extension de gestion WebLogic et tous les paramètres de configuration. Avec cette stratégie, un utilisateur du groupe peut également obtenir les dernières informations de domaine WebLogic à la demande en exécutant l'action d'analyse, en modifiant les paramètres de configuration et en redémarrant les domaines.

Quand utiliser : cette stratégie est utile lorsque vous voulez indiquer un ensemble particulier d'utilisateurs, tels que des utilisateurs Operations, pour effectuer des opérations spécifiques uniquement pendant une fenêtre d'application de patches à un compartiment dans lequel vous disposez de domaines de serveur WebLogic de production. Grâce à ces paramètres, l'application de patches n'est pas autorisée. WLMS_WLSDOMAIN_RESTART peut être remplacé par le droit d'accès WLMS_WLSDOMAIN_PATCH ultérieurement lorsque la fenêtre d'application de patches est ouverte.

Emplacement de création de la stratégie : placez cette stratégie dans le compartiment pour lequel vous accorderez l'accès au groupe d'utilisateurs.

Allow group Default/<WlmsOperationsUsers> to read wlms-family in compartment <WlmsProduction>
Allow group Default/<WlmsOperationsUsers> to {WLMS_WLSDOMAIN_USE} in compartment <WlmsProduction>
Allow group Default/<WlmsOperationsUsers> to {WLMS_MANAGED_INSTANCE_USE} in compartment <WlmsProduction>
Allow group Default/<WlmsOperationsUsers> to {WLMS_WLSDOMAIN_RESTART} in compartment <WlmsProduction>
Allow group Default/<WlmsOperationsUsers> to {WLMS_WLSDOMAIN_UPDATE} in compartment <WlmsProduction>
Autoriser un groupe d'utilisateurs à effectuer toutes les actions autorisées par le verbe d'utilisation pour les domaines WebLogic, à l'exception du déplacement d'un compartiment

Type d'accès : permet de visualiser toutes les instances gérées d'un compartiment sur lequel le module d'extension de gestion WebLogic est activé, les domaines et serveurs de serveur WebLogic repérés par le module d'extension de gestion WebLogic et tous les paramètres de configuration. Avec cette stratégie, un utilisateur du groupe peut également obtenir les dernières informations sur le domaine WebLogic à la demande en exécutant l'action d'analyse, en modifiant les paramètres de configuration, en redémarrant les domaines et en appliquant des patches aux domaines. La possibilité de déplacer le compartiment n'a pas été ajoutée.

Quand utiliser : cette stratégie est utile lorsque vous disposez d'une structure organisationnelle pour les compartiments à gérer et que vous ne souhaitez pas que d'autres utilisateurs perturbent éventuellement cette organisation en déplaçant un domaine.

Emplacement de création de la stratégie : placez cette stratégie dans le compartiment pour lequel vous accorderez l'accès au groupe d'utilisateurs.

Allow group Default/<WlmsDevUsers> to read wlms-family in compartment <WlmsDev>
Allow group Default/<WlmsDevUsers> to {WLMS_WLSDOMAIN_USE} in compartment <WlmsDev>
Allow group Default/<WlmsDevUsers> to {WLMS_MANAGED_INSTANCE_USE} in compartment <WlmsDev>
Allow group Default/<WlmsDevUsers> to {WLMS_WLSDOMAIN_PATCH} in compartment <WlmsDev>
Allow group Default/<WlmsDevUsers> to {WLMS_WLSDOMAIN_UPDATE} in compartment <WlmsDev>
Autoriser un groupe d'utilisateurs à analyser dans les instances gérées de gestion WebLogic sans pouvoir mettre à jour la configuration

Type d'accès : permet de visualiser toutes les instances gérées d'un compartiment sur lequel le module d'extension de gestion WebLogic est activé, les domaines et serveurs de serveur WebLogic repérés par le module d'extension de gestion WebLogic et tous les paramètres de configuration. Avec cette stratégie, un utilisateur du groupe peut également obtenir les dernières informations de domaine WebLogic à la demande en exécutant l'action d'analyse. La possibilité de mettre à jour les paramètres de configuration d'instance gérée dans le compartiment n'a pas été ajoutée.

Quand utiliser : cette stratégie est utile lorsque vous voulez empêcher un utilisateur de perturber les chemins analysés, mais que vous voulez qu'il puisse obtenir les dernières informations de domaine WebLogic à partir d'une instance gérée.

Emplacement de création de la stratégie : placez cette stratégie dans le compartiment pour lequel vous accorderez l'accès au groupe d'utilisateurs.

Allow group Default/<WlmsDevUsers> to read wlms-family in compartment <WlmsTest>
Allow group Default/<WlmsDevUsers> to {WLMS_MANAGED_INSTANCE_USE} in compartment <WlmsTest>