Documentazione di Oracle Cloud Infrastructure

Gestione dei gruppi dinamici

Questo argomento descrive come gestire i gruppi dinamici e definire le regole per determinare i membri di un gruppo dinamico.

Informazioni sui gruppi dinamici

I gruppi dinamici ti consentono di raggruppare le istanze di computazione Oracle Cloud Infrastructure come attori "principali" (simili ai gruppi di utenti). È quindi possibile creare criteri per consentire alle istanze di effettuare chiamate API sui servizi Oracle Cloud Infrastructure. Quando si crea un gruppo dinamico, anziché aggiungere membri in modo esplicito al gruppo, è necessario definire un set di regole di corrispondenza per definire i membri del gruppo. Ad esempio, una regola potrebbe specificare che tutte le istanze di un determinato compartimento sono membri del gruppo dinamico. I membri possono cambiare dinamicamente quando le istanze vengono avviate e arrestate in tale compartimento.

Applicazione di tag alle risorse

Applica tag alle risorse per organizzarle in base alle esigenze aziendali. È possibile applicare le tag quando si crea una risorsa ed è possibile aggiornare una risorsa in un secondo momento per aggiungere, rivedere o rimuovere le tag. Per informazioni generali sull'applicazione delle tag, vedere Tag risorsa.

Utilizzo dei gruppi dinamici

Quando si crea un gruppo dinamico, è necessario fornire un nome univoco e immodificabile per il gruppo dinamico. Il nome deve essere univoco in tutti i gruppi all'interno della tenancy. È inoltre necessario fornire al gruppo dinamico una descrizione (anche se può essere una stringa vuota), che è una descrizione non univoca e modificabile per il gruppo. Oracle assegnerà inoltre al gruppo un ID univoco denominato OCID (Oracle Cloud ID). Per ulteriori informazioni, vedere Identificativi risorse.

Nota

Se si elimina un gruppo dinamico e quindi si crea un nuovo gruppo dinamico con lo stesso nome, verranno considerati gruppi diversi perché avranno OCID diversi.

Un gruppo dinamico non dispone di autorizzazioni finché non si scrive almeno un criterio che concede al gruppo dinamico l'autorizzazione per la tenancy o un compartimento. Quando si scrive il criterio, è possibile specificare il gruppo dinamico utilizzando il nome univoco o l'OCID del gruppo dinamico. In base alla nota precedente, anche se si specifica il nome del gruppo dinamico nel criterio, IAM utilizza internamente l'OCID per determinare il gruppo dinamico. Per informazioni sulla scrittura dei criteri, vedere Gestione dei criteri.

È possibile eliminare un gruppo dinamico, ma solo se è vuoto.

Aggiornamento dei gruppi dinamici

È possibile aggiornare le regole di corrispondenza che definiscono i membri di un gruppo dinamico. Ad esempio, è possibile modificare una regola di corrispondenza che include tutte le istanze di un compartimento per escludere un'istanza specifica. In alternativa, è possibile aggiornare una regola per includere un nuovo valore di tag.

Importante

Quando si apporta una modifica a una regola di corrispondenza, è necessario consentire l'entrata in vigore del criterio aggiornato per circa un'ora. Ad esempio, se si aggiornano le tag in un'istanza per includere o escludere tale istanza da un gruppo dinamico, è necessario attendere che tale criterio diventi effettivo per includere o escludere l'istanza.

Limiti nei gruppi dinamici

Una singola istanza di computazione può appartenere a un massimo di 5 gruppi dinamici.

Nella tenancy puoi avere al massimo 50 gruppi dinamici.

Utilizzo di Console

Per creare un gruppo dinamico
  1. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità, selezionare Domini. In Dominio di Identity, selezionare Gruppi dinamici.
  2. Selezionare Crea gruppo dinamico.
  3. Immettere quanto riportato di seguito.
    • Nome: un nome univoco per il gruppo. Il nome deve essere univoco in tutti i gruppi della tenancy (gruppi dinamici e gruppi di utenti). Non può essere modificato in un secondo momento. Evitare di fornire informazioni riservate.
    • Descrizione: una descrizione descrittiva.
  4. Inserire le regole di corrispondenza. Le risorse che soddisfano i criteri della regola sono membri del gruppo.
    • Regola 1: immettere una regola in base alle linee guida riportate in Scrittura di regole di corrispondenza per definire i gruppi dinamici. È possibile immettere manualmente la regola nella casella di testo o avviare la Costruzione guidata regola.

    • Immettere ulteriori regole in base alle esigenze. Per aggiungere una regola, selezionare +Additional Regola.

  5. Se si dispone delle autorizzazioni per creare una risorsa, si dispone anche delle autorizzazioni per applicare le tag in formato libero a tale risorsa. Per applicare una tag defined, è necessario disporre delle autorizzazioni per utilizzare la tag namespace. Per ulteriori informazioni sull'applicazione di tag, vedere Tag risorsa. Se non si è certi di applicare le tag, saltare questa opzione o chiedere a un amministratore. È possibile applicare le tag in un secondo momento.

  6. Selezionare Crea gruppo dinamico.

    La sintassi della regola di corrispondenza è stata verificata, ma gli OCID non lo sono. Assicurarsi che gli OCID immessi siano corretti.

Successivamente, per concedere le autorizzazioni per il gruppo dinamico, è necessario scrivere un criterio. Vedere Scrittura di criteri per i gruppi dinamici.

Per eliminare un gruppo dinamico
  1. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità, selezionare Domini. In Dominio di Identity, selezionare Gruppi dinamici. Viene visualizzata una lista dei gruppi dinamici nella tenancy.
  2. Individuare il gruppo dinamico nell'elenco.
  3. Per il gruppo dinamico da eliminare, selezionare Elimina.
  4. Confermare quando richiesto.
Per aggiornare la descrizione di un gruppo dinamico
  1. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità, selezionare Domini. In Dominio di Identity, selezionare Gruppi dinamici. Viene visualizzata una lista dei gruppi nella tenancy.
  2. Selezionare il gruppo dinamico da aggiornare. Vengono visualizzati i dettagli del gruppo dinamico.
  3. Selezionare Modifica gruppo dinamico.
  4. Modificare la descrizione. Al termine, selezionare Salva modifiche.
Per aggiornare le regole di corrispondenza di un gruppo dinamico
  1. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità, selezionare Domini. In Dominio di Identity, selezionare Gruppi dinamici. Viene visualizzata una lista dei gruppi dinamici nella tenancy.
  2. Selezionare il gruppo dinamico da aggiornare. Vengono visualizzati i dettagli del gruppo dinamico.
  3. Selezionare Modifica tutte le regole di corrispondenza.
  4. Modificare la regola di corrispondenza nella casella di testo oppure utilizzare la Costruzione guidata regola se la modifica è supportata dalla Costruzione guidata regola.

Scrittura delle regole di corrispondenza per definire i gruppi dinamici

Le regole di corrispondenza definiscono le risorse che appartengono al gruppo dinamico. Nella console è possibile immettere la regola manualmente nella casella di testo fornita oppure utilizzare la generazione regole. La Costruzione guidata regola consente di effettuare selezioni e voci in una finestra di dialogo, quindi di scrivere automaticamente la regola in base alle voci.

È possibile definire i membri del gruppo dinamico in base ai seguenti elementi:

  • ID compartimento: include (o esclude) le istanze che risiedono in tale compartimento in base all'OCID compartimento
  • ID istanza: include (o esclude) un'istanza in base al relativo OCID istanza
  • spazio di nomi e chiave di tag: includono (o escludono) istanze contrassegnate con uno spazio di nomi e una chiave di tag specifici. Tutti i valori tag sono inclusi. Ad esempio, includere tutte le istanze contrassegnate con lo spazio di nomi tag department e la chiave tag operations.
  • spazio di nomi, chiave di tag e valore di tag: includono (o escludono) istanze contrassegnate con un valore specifico per lo spazio di nomi e la chiave di tag. Ad esempio, includere tutte le istanze contrassegnate con lo spazio di nomi tag department e la chiave tag operations e con il valore '45'.
  • resource.compartment.id: l'OCID del compartimento in cui risiede la risorsa
  • resource.id: l'OCID della risorsa
  • resource.type: il tipo della risorsa.

Una regola di corrispondenza ha la seguente sintassi:

Per una singola condizione:

variable =|!= 'value'

Per più condizioni:

any|all {<condition>,<condition>,...}

Le variabili supportate sono:

  • instance.compartment.id: l'OCID del compartimento in cui risiede l'istanza
  • instance.id: l'OCID dell'istanza
  • tag.<tagnamespace>.<tagkey>.value: lo spazio di nomi tag e la chiave tag. Ad esempio, tag.department.operations.value.
  • tag.<tagnamespace>.<tagkey>.value='<tagvalue>': spazio di nomi tag, chiave tag e valore tag. Ad esempio, tag.department.operations.value='45'

Di seguito ne vengono riportati alcuni esempi.

Includi tutte le istanze in un compartimento specifico nel gruppo dinamico

Per includere tutte le istanze che si trovano in un compartimento specifico, aggiungere una regola con la seguente sintassi:

instance.compartment.id = '<compartment_ocid>'

È possibile digitare la regola direttamente nella casella di testo oppure utilizzare la generazione regole.

Voce di esempio nella casella di testo:

instance.compartment.id = 'ocid1:compartment:oc1:phx:samplecompartmentocid6q6igvfauxmima74jv'

Per aggiungere la stessa regola utilizzando la Costruzione guidata regola della console:

  • Per Includi istanze corrispondenti: selezionare Tutte le istanze seguenti.
  • Per Corrispondenza istanze con: selezionare OCID compartimento.
  • Per Valore: immettere l'OCID compartimento. In questo esempio è possibile immettere ocid1:compartment:oc1:phx:samplecompartmentocid6q6igvfauxmima74jv

Tutte le istanze attualmente esistenti o create nel compartimento (identificate dall'OCID) sono membri di questo gruppo.

Includi tutte le istanze in uno qualsiasi di due o più compartimenti

Per includere tutte le istanze che risiedono in uno o più compartimenti, aggiungere una regola con la seguente sintassi:

Any {instance.compartment.id = '<compartment_ocid>', instance.compartment.id = '<compartment_ocid>'}

separare ogni voce del compartimento con una virgola.

È possibile digitare la regola direttamente nella casella di testo oppure utilizzare la generazione regole.

Esempio di voce nella casella di testo:

Any {instance.compartment.id = 'ocid1:compartment:oc1:phx:samplecompartmentocid6q6igvfauxmima74jv', instance.compartment.id = 'ocid1:compartment:oc1:phx:samplecompartmentocidythksk89ekslsoelu2'}

Per aggiungere la stessa regola utilizzando la Costruzione guidata regola della console:

  1. Per Includi istanze corrispondenti: selezionare Una delle seguenti.
  2. Per Corrispondenza istanze con: selezionare OCID compartimento.
  3. Per Valore: immettere l'OCID compartimento. In questo esempio è possibile immettere ocid1:compartment:oc1:phx:samplecompartmentocid6q6igvfauxmima74jv
  4. Selezionare +Additional riga. Nella seconda riga inserire quanto segue:
    • Per Corrispondenza istanze con: selezionare OCID compartimento.
    • Per Valore: immettere l'OCID compartimento aggiuntivo. In questo esempio è possibile immettere ocid1:compartment:oc1:phx:samplecompartmentocidythksk89ekslsoelu2

Le istanze attualmente esistenti o create in seguito in uno dei compartimenti specificati sono membri di questo gruppo.

Includi tutte le istanze contrassegnate con uno spazio di nomi e una chiave di tag specifici

Per includere tutte le istanze contrassegnate con uno spazio di nomi tag e una chiave tag specifici, aggiungere una regola con la seguente sintassi:

tag.<tagnamespace>.<tagkey>.value

Sono incluse tutte le istanze assegnate alla combinazione tagnamespace.tagkey. Si noti che il valore del tag non viene valutato, pertanto vengono inclusi tutti i valori.

Esempio: si supponga di disporre di uno spazio di nomi tag denominato department e di una chiave tag denominata operations. Si desidera includere tutte le istanze contrassegnate con lo spazio di nomi e la chiave di tag.

Immettere la regola seguente nella casella di testo:

tag.department.operations.value

Tutte le istanze attualmente esistenti o create con lo spazio di nomi tag e la chiave tag department.operations sono membri di questo gruppo.

Includi tutte le istanze in un compartimento specifico con uno spazio di nomi tag, una chiave tag e un valore tag specifici

Per includere tutte le istanze in un compartimento specifico contrassegnate con uno spazio di nomi, una chiave e un valore di tag specifici, aggiungere una regola con la seguente sintassi:

All {instance.compartment.id = '<compartment_ocid>', tag.<tagnamespace>.<tagkey>.value='<tagvalue>'}

Vengono incluse tutte le istanze presenti nel compartimento identificato e a cui è assegnato il valore tagnamespace.tagkey con il valore di tag specificato.

Esempio: si supponga di disporre di uno spazio di nomi tag denominato department e di una chiave tag denominata operations. Si desidera includere tutte le istanze contrassegnate con il valore 45 che si trovano in un determinato compartimento.

Immettere la seguente istruzione nella casella di testo:

All {instance.compartment.id='ocid1:compartment:oc1:phx:oc1:phx:samplecompartmentocid6q6igvfauxmima74jv,',
tag.department.operations.value='45'}

Uso del Builder di regole

La Costruzione guidata regola è uno strumento disponibile nella console per facilitare la scrittura delle regole di corrispondenza. La Costruzione guidata regola fornisce menu e caselle di testo per creare voci e quindi scrivere la regola automaticamente. La Costruzione guidata regola ha alcune limitazioni, pertanto non è possibile utilizzarla per tutti i casi.

Limitazioni del generatore di regole

La Costruzione guidata regola non supporta i seguenti elementi:

  • Regole di esclusione: la Costruzione guidata regola consente di selezionare solo gli ID compartimento e gli ID istanza da includere.
  • Regole basate su tag: la Costruzione guidata regole non consente di selezionare le tag da includere nella regola. Per aggiungere una regola basata su valori tag, è necessario immettere la regola nella casella di testo Regola utilizzando la sintassi sopra riportata.

Avvio di Rule Builder

Quando si seleziona Crea gruppo dinamico, Generatore regole viene visualizzato nella finestra di dialogo Crea gruppo dinamico.

Per creare una regola di corrispondenza utilizzando la Costruzione guidata regola

  1. Nella sezione Regole corrispondenti selezionare Generatore regole.

  2. Nel menu Includi istanze corrispondenti selezionare Tutte le seguenti o Una delle seguenti opzioni.

    Tutte le seguenti include solo le istanze che corrispondono a tutte le istruzioni della regola.

    Una delle seguenti opzioni include le istanze che corrispondono a una qualsiasi delle istruzioni nella regola.

    Nota

    È possibile selezionare le seguenti variabili di istanza e compartimento:
    • instance.compartment.id e instance.id sono applicabili durante la corrispondenza delle istanze
    • resource.compartment.id, resource.id e resource.type sono applicabili per la corrispondenza delle risorse
    • Le variabili tag.* si applicano sia alle istanze che alle risorse

  3. Selezionare un tipo di risorsa dal menu Corrispondenza istanze con, quindi immettere l'OCID per la risorsa nel campo Valore:

    OCID compartimento include le istanze nel compartimento specificato.

    OCID istanza include le istanze con gli OCID specificati.

  4. Selezionare riga +Additional per aggiungere altre istruzioni a questa regola.

    Quando si aggiungono più istruzioni a una regola, tenere presente che Qualsiasi delle seguenti include istanze che corrispondono a una qualsiasi delle istruzioni. Se si sceglie Tutti i seguenti, le istanze devono corrispondere a tutte le specifiche delle istruzioni da includere nel gruppo.

Esempi di utilizzo del generatore di regole

Includi tutte le istanze in un compartimento specifico nel gruppo dinamico

Per includere tutte le istanze che si trovano in un compartimento specifico, utilizzare la Costruzione guidata regola:

  • Selezionare Tutte le opzioni riportate di seguito.
  • Per Corrispondenza istanze con: selezionare OCID compartimento.
  • Per Valore: immettere l'OCID del compartimento, ad esempio ocid1:compartment:oc1:phx:samplecompartmentocidythksk89ekslsoelu2

Tutte le istanze attualmente esistenti o create in seguito nel compartimento (identificate dall'OCID) sono membri di questo gruppo.

Includi tutte le istanze in uno qualsiasi di due o più compartimenti

Per includere tutte le istanze che risiedono in uno o più compartimenti utilizzando la Costruzione guidata regola, effettuare le operazioni riportate di seguito.

  1. Nel menu Includi istanze corrispondenti selezionare Qualsiasi delle seguenti.
  2. Nella prima riga inserire:
    • Per Corrispondenza istanze con, selezionare OCID compartimento.
    • In Valore, immettere l'OCID compartimento, ad esempio: ocid1:compartment:oc1:phx:samplecompartmentocid6q6igvfauxmima74jv
  3. Selezionare +Additional riga. Nella seconda riga inserire quanto segue:
    • Per Corrispondenza istanze con, selezionare OCID compartimento
    • In Valore, immettere l'OCID compartimento, ad esempio: ocid1:compartment:oc1:phx:samplecompartmentocidythksk89ekslsoelu2
  4. Continuare ad aggiungere righe aggiuntive in base alle esigenze per ogni compartimento che si desidera includere.

Le istanze attualmente esistenti o create in uno qualsiasi dei compartimenti specificati sono membri di questo gruppo.