Criteri e autorizzazioni per la gestione delle applicazioni della flotta
Crea criteri IAM (Identity and Access Management) per controllare chi ha accesso alle risorse di Fleet Application Management e il tipo di accesso per ogni gruppo di utenti.
Creare criteri per consentire agli utenti di disporre dei diritti necessari per le risorse di Fleet Application Management. Per impostazione predefinita, gli utenti del gruppo Administrators
hanno accesso a tutte le risorse di Fleet Application Management.
Se non conosci i criteri IAM, consulta la Guida introduttiva ai criteri.
Per un elenco completo di tutti i criteri in Oracle Cloud Infrastructure, consulta il riferimento ai criteri e i criteri comuni.
Fleet Application Management richiede che un amministratore della tenancy aggiunga regole al gruppo dinamico creato da Fleet Application Management durante l'inserimento. Questa azione consente a Fleet Application Management di eseguire operazioni di gestione del ciclo di vita su OCI Compute.
Questa sezione illustra gli argomenti riportati di seguito.
Tipi e autorizzazioni risorsa
Lista dei tipi di risorsa Fleet Application Management e delle autorizzazioni associate.
Per assegnare le autorizzazioni a tutte le risorse OCI Fleet Application Management, utilizzare il tipo di aggregazione fams-family
. Per ulteriori informazioni, vedere Autorizzazioni.
Nella tabella seguente sono elencate tutte le risorse in fams-family
:
Nome famiglia | Risorse membro |
---|---|
fams-family
|
|
Un criterio che utilizza <verb> fams-family
equivale a scrivere un criterio con un'istruzione <verb> <resource-type>
separata per ciascuno dei singoli tipi di risorsa.
Tipo di risorsa | Autorizzazioni |
---|---|
Famiglie |
|
libri genealogici |
|
fams-schedules |
|
fams-schedule-jobs |
|
fam-maintenance-windows |
|
fams-admin |
|
formazione iniziale |
|
fam-richieste di lavoro |
|
fam-compliance-policies |
|
fams-patches |
|
fams-provision |
|
fams-catalog-articoli |
|
fams-software-inventario |
|
fams-platform |
|
fams-properties |
|
Variabili supportate
Fleet Application Management supporta tutte le variabili generali e quelle elencate qui. Per ulteriori informazioni sulle variabili generali supportate dai servizi Oracle Cloud Infrastructure, vedere Variabili generali per tutte le richieste.
Tipo di risorsa | Variabile | Tipo di variabile | descrizione; |
---|---|---|---|
fams-fleets
|
target.famsfleet.id
|
Entità (OCID) | Utilizzare questa variabile per tutte le operazioni della flotta ad eccezione della creazione. |
fams-schedules
|
target.famsschedulerdefinition.id
|
Entità (OCID) | Utilizzare questa variabile per tutte le operazioni di schedulazione tranne la creazione. |
fams-schedule-jobs
|
target.famsschedulerjob.id
|
Entità (OCID) | Utilizzare questa variabile per tutte le operazioni dell'OdL schedulazione ad eccezione di Crea. |
fams-maintenance-windows
|
target.famsmaintenacewindow.id
|
Entità (OCID) | Utilizzare questa variabile per tutte le operazioni della finestra di manutenzione ad eccezione della creazione. |
fams-runbooks
|
target.famsrunbook.id
|
Entità (OCID) | Utilizzare queste variabili per le operazioni dei task runbook e runbook ad eccezione della creazione. |
fams-admin
|
target.famsproperty.id
|
Entità (OCID) | Utilizzare queste variabili per le operazioni di amministrazione ad eccezione della creazione. |
fams-workrequests
|
target.famsworkrequest.id
|
Entità (OCID) | Utilizzare questa variabile per le operazioni list e get. |
fams-compliance-policies
|
target.famscompliancepolicy.id
|
Entità (OCID) | Utilizzare questa variabile per tutte le operazioni dei criteri di conformità ad eccezione della creazione. |
fams-patches
|
target.famspatch.id
|
Entità (OCID) | Utilizzare questa variabile per tutte le operazioni di applicazione delle patch tranne create. |
fams-catalog-items
|
target.famscatalogitem.id
|
Entità (OCID) | Utilizzare questa variabile per tutte le operazioni articolo catalogo ad eccezione della creazione. |
fams-provisions
|
target.famsprovision.id
|
Entità (OCID) | Utilizzare questa variabile per tutte le operazioni di provisioning ad eccezione della creazione. |
Dettagli sulle combinazioni verbo-tipo di risorsa
Identifica le autorizzazioni e le operazioni API coperte da ciascun verbo per le risorse di Fleet Application Management.
Il livello di accesso è cumulativo quando si passa da inspect
a read
a use
a manage
. Un segno più (+)
in una cella di tabella indica l'accesso incrementale rispetto alla cella precedente.
Per informazioni sulla concessione dell'accesso, vedere Autorizzazioni.
Verbi | Autorizzazioni | API completamente coperte | API parzialmente coperte |
---|---|---|---|
ispezionare |
FAMS_FLEET_INSPECT
|
ListFleets
|
|
read
|
|
|
CreateSchedulerDefinition (ha bisogno anche di FAMS_SCHEDULE_CREATE e FAMS_RUNBOOK_READ ) e i seguenti a seconda delle vostre esigenze:
UpdateSchedulerDefinition (ha bisogno anche di FAMS_SCHEDULE_UPDATE e FAMS_RUNBOOK_READ ) e i seguenti a seconda delle vostre esigenze:
|
use
|
|
|
UpdateFleet (ha bisogno anche di FAMS_PLATFORM_READ ) e i seguenti a seconda delle vostre esigenze:
UpdateFleetResource ha anche bisogno di quanto segue a seconda delle vostre esigenze:
UpdateFleetCredential (ha bisogno anche di FAMS_PROPERTY_READ e VAULT_INSPECT ) e i seguenti a seconda delle vostre esigenze:
|
manage
|
|
|
CreateFleet (ha bisogno anche di FAMS_PLATFORM_READ e i seguenti a seconda delle vostre esigenze:
CreateFleetResource ha anche bisogno di quanto segue a seconda delle vostre esigenze:
CreateFleetCredential (ha bisogno anche di FAMS_PLATFORM_READ , VAULT_INSPECT e i seguenti a seconda delle tue esigenze:
|
manage
|
|
|
|
manage
|
|
|
Verbi | Autorizzazioni | API completamente coperte | API parzialmente coperte |
---|---|---|---|
inspect
|
FAMS_RUNBOOK_INSPECT
|
ListRunbooks
|
|
read
|
|
|
CreateSchedulerDefinition (ha bisogno anche di FAMS_SCHEDULE_CREATE e FAMS_FLEET_READ ) e i seguenti a seconda delle vostre esigenze:
UpdateSchedulerDefinition (ha bisogno anche di FAMS_SCHEDULE_UPDATE e FAMS_FLEET_READ ) e i seguenti a seconda delle vostre esigenze:
|
use
|
|
|
UpdateTaskRecord ha anche bisogno di quanto segue a seconda delle vostre esigenze:
|
manage
|
|
|
CreateTaskRecord ha bisogno di quanto segue a seconda delle vostre esigenze:
|
manage
|
|
|
|
manage
|
|
|
Verbi | Autorizzazioni | API completamente coperte | API parzialmente coperte |
---|---|---|---|
inspect
|
FAMS_SCHEDULE_INSPECT
|
ListSchedulerDefinitions
|
|
read
|
|
|
|
use
|
|
|
UpdateSchedulerDefinition (può utilizzare anche FAMS_SCHEDULE_CREATE_WITH_SUDO , FAMS_FLEET_READ e FAMS_RUNBOOK_READ ) e richiede quanto segue a seconda delle esigenze:
|
manage
|
|
|
CreateSchedulerDefinition (può utilizzare anche FAMS_SCHEDULE_CREATE_WITH_SUDO e ha bisogno di FAMS_RUNBOOK_READ e FAMS_FLEET_READ ) e i seguenti a seconda delle esigenze:
|
manage
|
|
|
|
manage
|
|
|
CreateSchedulerDefinition (può utilizzare anche FAMS_SCHEDULE_CREATE e ha bisogno di FAMS_RUNBOOK_READ e FAMS_FLEET_READ ) e i seguenti a seconda delle esigenze:
UpdateSchedulerDefinition (può utilizzare anche FAMS_SCHEDULE_UPDATE e ha bisogno di FAMS_RUNBOOK_READ e FAMS_FLEET_READ ) e i seguenti a seconda delle vostre esigenze:
|
Verbi | Autorizzazioni | API completamente coperte | API parzialmente coperte |
---|---|---|---|
inspect
|
FAMS_SCHEDULE_JOB_INSPECT
|
|
|
read
|
|
|
|
use
|
|
|
|
use
|
|
|
|
manage
|
|
|
|
Verbi | Autorizzazioni | API completamente coperte | API parzialmente coperte |
---|---|---|---|
inspect
|
FAMS_MAINTENANCE_WINDOW_INSPECT
|
ListMaintenanceWindows
|
|
read
|
|
|
|
use
|
|
|
|
manage
|
|
|
|
manage
|
|
|
Verbs | Autorizzazioni | API completamente coperte | API parzialmente coperte |
---|---|---|---|
inspect
|
FAMS_ADMIN_INSPECT
|
|
|
read
|
|
|
|
use
|
|
|
UpdatePlatformConfiguration (può utilizzare anche FAMS_PLATFORM_UPDATE ) e i seguenti a seconda delle esigenze:
|
manage
|
|
|
CreatePlatformConfiguration (può utilizzare anche FAMS_PLATFORM_CREATE ) e richiede quanto segue a seconda delle esigenze:
|
manage
|
|
|
|
manage
|
|
|
|
Verbs | Autorizzazioni | API completamente coperte | API parzialmente coperte |
---|---|---|---|
inspect
|
FAMS_ONBOARDING_INSPECT
Un utente regolare (non un amministratore) deve disporre di questa autorizzazione per accedere alla tenancy. |
ListOnboardings
|
|
read
|
|
|
|
use
|
|
|
|
manage
|
|
|
|
manage
|
|
|
|
Verbs | Autorizzazioni | API completamente coperte | API parzialmente coperte |
---|---|---|---|
inspect
|
FAMS_API_WORK_REQUEST_LIST
|
ListWorkRequests
|
|
read
|
|
|
Verbs | Autorizzazioni | API completamente coperte | API parzialmente coperte |
---|---|---|---|
inspect
|
FAMS_COMPLIANCE_POLICY_INSPECT
|
|
|
read
|
|
|
|
read
|
|
|
|
use
|
|
|
|
manage
|
|
|
|
manage
|
|
|
Verbs | Autorizzazioni | API completamente coperte | API parzialmente coperte |
---|---|---|---|
inspect
|
FAMS_PATCH_INSPECT
|
ListPatches
|
|
read
|
|
|
|
use
|
|
|
|
manage
|
|
|
|
manage
|
|
|
|
manage
|
|
|
Verbs | Autorizzazioni | API completamente coperte | API parzialmente coperte |
---|---|---|---|
inspect
|
FAMS_PROVISION_INSPECT
|
|
|
read
|
|
|
|
use
|
|
|
|
manage
|
|
|
|
manage
|
|
|
|
manage
|
|
|
Verbs | Autorizzazioni | API completamente coperte | API parzialmente coperte |
---|---|---|---|
inspect
|
FAMS_CATALOG_ITEM_INSPECT
|
|
|
read
|
|
|
CreateTaskRecord ha bisogno di quanto segue a seconda delle vostre esigenze:
UpdateTaskRecord ha anche bisogno di quanto segue a seconda delle vostre esigenze:
|
use
|
|
|
UpdateCatalogItem (ha anche bisogno dei seguenti a seconda delle vostre esigenze):
|
manage
|
|
|
CreateCatalogItem (ha anche bisogno dei seguenti a seconda delle vostre esigenze):
|
manage
|
|
|
|
manage
|
|
|
|
manage
|
|
CloneCatalogItem
|
Verbs | Autorizzazioni | API completamente coperte | API parzialmente coperte |
---|---|---|---|
inspect
|
FAMS_SOFTWARE_INVENTORY_INSPECT
|
|
Verbs | Autorizzazioni | API completamente coperte | API parzialmente coperte |
---|---|---|---|
inspect
|
FAMS_PLATFORM_INSPECT
|
|
|
read
|
|
|
CreateFleet (ha bisogno anche di FAMS_FLEET_CREATE e i seguenti a seconda delle vostre esigenze:
UpdateFleet (ha bisogno anche di FAMS_FLEET_UPDATE ) e i seguenti a seconda delle vostre esigenze:
CreateFleetCredential (ha bisogno anche di FAMS_FLEET_CREATE , VAULT_INSPECT e i seguenti a seconda delle tue esigenze:
CreateTaskRecord ha bisogno di quanto segue a seconda delle vostre esigenze:
UpdateTaskRecord ha anche bisogno di quanto segue a seconda delle vostre esigenze:
CreatePlatformConfiguration (può utilizzare anche FAMS_PLATFORM_CREATE ) e richiede quanto segue a seconda delle esigenze:
UpdatePlatformConfiguration (può utilizzare anche FAMS_PLATFORM_UPDATE ) e i seguenti a seconda delle esigenze:
|
use
|
|
|
UpdatePlatformConfiguration (può utilizzare anche FAMS_ADMIN_UPDATE ) e i seguenti a seconda delle esigenze:
|
manage
|
|
|
CreatePlatformConfiguration (può utilizzare anche FAMS_ADMIN_CREATE ) e richiede quanto segue a seconda delle esigenze:
|
manage
|
|
|
|
manage
|
|
|
|
Verbs | Autorizzazioni | API completamente coperte | API parzialmente coperte |
---|---|---|---|
inspect
|
FAMS_PROPERTY_INSPECT
|
|
|
read
|
|
|
UpdateFleetCredential (ha bisogno anche di FAMS_FLEET_UPDATE e VAULT_INSPECT ) e i seguenti a seconda delle vostre esigenze:
|
use
|
|
|
|
manage
|
|
|
|
manage
|
|
|
|
manage
|
|
|
|
Autorizzazioni necessarie per ogni operazione API
Nella tabella seguente sono elencate le operazioni API in ordine logico, raggruppate per tipo di risorsa.
Per informazioni sulle autorizzazioni, vedere Autorizzazioni.
Operazione API | Autorizzazioni necessarie per utilizzare l'operazione |
---|---|
ListFleets
|
FAMS_FLEET_INSPECT
|
GetFleet
|
FAMS_FLEET_READ
|
CreateFleet
|
FAMS_FLEET_CREATE e FAMS_PLATFORM_READ
e gli elementi seguenti:
|
UpdateFleet
|
FAMS_FLEET_UPDATE e FAMS_PLATFORM_READ
e gli elementi seguenti:
|
DeleteFleet
|
FAMS_FLEET_DELETE
|
ChangeFleetCompartment
|
FAMS_FLEET_MOVE
|
ListInventoryResources
|
FAMS_FLEET_INSPECT
|
ListFleetResources
|
FAMS_FLEET_INSPECT
|
CreateFleetResource
|
FAMS_FLEET_CREATE
e gli elementi seguenti:
|
GetFleetResource
|
FAMS_FLEET_READ
|
UpdateFleetResource
|
FAMS_FLEET_UPDATE
e gli elementi seguenti:
|
DeleteFleetResource
|
FAMS_FLEET_DELETE
|
ListFleetProperties
|
FAMS_FLEET_INSPECT
|
CreateFleetProperty
|
FAMS_FLEET_CREATE e FAMS_PROPERTY_READ
|
GetFleetProperty
|
FAMS_FLEET_READ
|
UpdateFleetProperty
|
FAMS_FLEET_UPDAT e FAMS_PROPERTY_READ
|
DeleteFleetProperty
|
FAMS_FLEET_DELETE
|
ConfirmTargets
|
FAMS_FLEET_CREATE
|
ListTargets
|
FAMS_FLEET_INSPECT
|
ListFleetTargets
|
FAMS_FLEET_INSPECT
|
ListFleetProducts
|
FAMS_FLEET_INSPECT
|
GetComplianceReport
|
FAMS_FLEET_READ
|
ListAnnouncements
|
FAMS_ONBOARDING_INSPECT
|
ListFleetCredentials
|
FAMS_FLEET_INSPECT
|
CreateFleetCredential
|
FAMS_FLEET_CREATE , FAMS_PLATFORM_READ e VAULT_INSPECT
e gli elementi seguenti:
|
GetFleetCredential
|
FAMS_FLEET_READ
|
UpdateFleetCredential
|
FAMS_FLEET_UPDATE , FAMS_PROPERTY_READ e VAULT_INSPECT
e gli elementi seguenti:
|
DeleteFleetCredential
|
FAMS_FLEET_DELETE
|
GenerateComplianceReport
|
FAMS_FLEET_READ
|
RequestTargetDiscovery
|
FAMS_FLEET_CREATE
|
RequestResourceValidation
|
FAMS_FLEET_CREATE
|
CheckResourceTagging
|
FAMS_FLEET_CREATE
|
ListRunbooks
|
FAMS_RUNBOOK_INSPECT
|
GetRunbook
|
FAMS_RUNBOOK_READ
|
CreateRunbook
|
FAMS_RUNBOOK_CREATE , FAMS_RUNBOOK_READ e FAMS_PLATFORM_READ
anche |
UpdateRunbook
|
FAMS_RUNBOOK_UPDATE , FAMS_RUNBOOK_READ e FAMS_PLATFORM_READ
anche |
DeleteRunbook
|
FLEET_RUNBOOK_DELETE
|
ChangeRunbookCompartment
|
FAMS_RUNBOOK_MOVE
|
PublishRunbook
|
FAMS_RUNBOOK_PUBLISH
|
ListRunbookVersions
|
FLEET_RUNBOOK_INSPECT
|
CreateRunbookVersion
|
FLEET_RUNBOOK_CREATE , FAMS_RUNBOOK_READ e FAMS_PLATFORM_READ
anche |
GetRunbookVersion
|
FLEET_RUNBOOK_READ
|
UpdateRunbookVersion
|
FLEET_RUNBOOK_UPDATE , FAMS_RUNBOOK_READ e FAMS_PLATFORM_READ
anche |
DeleteRunbookVersion
|
FLEET_RUNBOOK_DELETE
|
ListTaskRecords
|
FAMS_RUNBOOK_INSPECT
|
GetTaskRecord
|
FAMS_RUNBOOK_READ
|
CreateTaskRecord
|
FAMS_RUNBOOK_CREATE
e gli elementi seguenti:
|
UpdateTaskRecord
|
FAMS_RUNBOOK_UPDATE
e gli elementi seguenti:
|
DeleteTaskRecord
|
FAMS_RUNBOOK_DELETE
|
ChangeTaskRecordCompartment
|
FAMS_RUNBOOK_MOVE
|
ListMaintenanceWindows
|
FAMS_MAINTENANCE_WINDOW_INSPECT
|
CreateMaintenanceWindow
|
FAMS_MAINTENANCE_WINDOW_CREATE
|
GetMaintenanceWindow
|
FAMS_MAINTENANCE_WINDOW_READ
|
UpdateMaintenanceWindow
|
FAMS_MAINTENANCE_WINDOW_UPDATE
|
DeleteMaintenanceWindow
|
FAMS_MAINTENANCE_WINDOW_DELETE
|
CreateSchedulerDefinition
|
(FAMS_SCHEDULE_CREATE o FAMS_SCHEDULE_CREATE_WITH_SUDO ), FAMS_FLEET_READ e FAMS_RUNBOOK_READ
e gli elementi seguenti:
|
UpdateSchedulerDefinition
|
(FAMS_SCHEDULE_UPDATE o FAMS_SCHEDULE_CREATE_WITH_SUDO ), FAMS_FLEET_READ e FAMS_RUNBOOK_READ
e gli elementi seguenti:
|
DeleteSchedulerDefinition
|
FAMS_SCHEDULE_DELETE
|
ListSchedulerDefinitions
|
FAMS_SCHEDULE_INSPECT
|
GetSchedulerDefinition
|
FAMS_SCHEDULE_READ
|
DeleteSchedulerJob
|
FAMS_SCHEDULE_DELETE o FAMS_SCHEDULE_JOB_DELETE
|
ListSchedulerJobs
|
FAMS_SCHEDULE_INSPECT o FAMS_SCHEDULE_JOB_INSPECT
|
GetSchedulerJob
|
FAMS_SCHEDULE_READ o FAMS_SCHEDULE_JOB_READ
|
UpdateSchedulerJob
|
FAMS_SCHEDULE_UPDATE , FAMS_SCHEDULE_JOB_UPDATE o FAMS_SCHEDULE_CREATE_WITH_SUDO
|
GetJobActivity
|
FAMS_SCHEDULE_READ o FAMS_SCHEDULE_JOB_READ
|
ManageJobExecution
|
FAMS_SCHEDULE_UPDATE , FAMS_SCHEDULE_JOB_ACTION o FAMS_SCHEDULE_CREATE_WITH_SUDO
|
ListExecutions
|
FAMS_SCHEDULE_READ o FAMS_SCHEDULE_JOB_READ
|
GetExecution
|
FAMS_SCHEDULE_READ o FAMS_SCHEDULE_JOB_READ
|
ListSteps
|
FAMS_SCHEDULE_READ o FAMS_SCHEDULE_JOB_READ
|
ListResources
|
FAMS_SCHEDULE_READ o FAMS_SCHEDULE_JOB_READ
|
SummarizeSchedulerJobCounts
|
FAMS_SCHEDULE_INSPECT o FAMS_SCHEDULE_JOB_INSPECT
|
ListSchedulerExecutions
|
FAMS_SCHEDULE_READ o FAMS_SCHEDULE_JOB_READ
|
SetDefaultRunbook
|
FAMS_RUNBOOK_UPDATE
|
ListScheduledFleets
|
FAMS_SCHEDULE_READ
|
ListProperties
|
FAMS_ADMIN_INSPECT , FAMS_FLEET_INSPECT o FAMS_PROPERTY_INSPECT
|
CreateProperty
|
FAMS_ADMIN_CREATE o FAMS_PROPERTY_CREATE
|
GetProperty
|
FAMS_ADMIN_READ , FAMS_FLEET_READ o FAMS_PROPERTY_READ
|
UpdateProperty
|
FAMS_ADMIN_UPDATE o FAMS_PROPERTY_UPDATE
|
DeleteProperty
|
FAMS_ADMIN_DELETE o FAMS_PROPERTY_DELETE
|
ChangePropertyCompartment
|
FAMS_ADMIN_MOVE o FAMS_PROPERTY_MOVE
|
ListPlatformConfigurations
|
FAMS_PLATFORM_INSPECT
|
CreatePlatformConfiguration
|
FAMS_ADMIN_CREATE o FAMS_PLATFORM_CREATE
e gli elementi seguenti:
|
GetPlatformConfiguration
|
FAMS_PLATFORM_READ
|
UpdatePlatformConfiguration
|
FAMS_ADMIN_UPDATE o FAMS_PLATFORM_UPDATE
e quanto segue:
|
DeletePlatformConfiguration
|
FAMS_ADMIN_DELETE o FAMS_PLATFORM_DELETE
|
ChangePlatformConfigurationCompartment
|
FAMS_ADMIN_MOVE o FAMS_PLATFORM_MOVE
|
ListWorkRequests
|
FAMS_API_WORK_REQUEST_LIST
|
GetWorkRequest
|
FAMS_API_WORK_REQUEST_READ
|
ListWorkRequestErrors
|
FAMS_API_WORK_REQUEST_READ
|
ListWorkRequestLogs
|
FAMS_API_WORK_REQUEST_READ
|
ListOnboardings
|
FAMS_ONBOARDING_INSPECT
|
GetOnboarding
|
FAMS_ONBOARDING_READ
|
CreateOnboarding
|
DYNAMIC_GROUP_CREATE , POLICY_CREATE , TAG_NAMESPACE_CREATE , TAG_DEFINITION_ADD e ( FAMS_ADMIN_CREATE o FAMS_ONBOARDING_CREATE ) |
UpdateOnboarding
|
TAG_NAMESPACE_CREATE , TAG_DEFINITION_ADD e ( FAMS_ADMIN_UPDATE o FAMS_ONBOARDING_UPDATE ) |
DeleteOnboarding
|
DYNAMIC_GROUP_DELETE , POLICY_DELETE , TAG_NAMESPACE_RETIRE , TAG_DEFINITION_RETIRE e ( FAMS_ADMIN_DELETE o FAMS_ONBOARDING_DELETE ) |
EnableLatestPolicy
|
DYNAMIC_GROUP_CREATE , POLICY_CREATE , TAG_NAMESPACE_CREATE , TAG_DEFINITION_ADD e ( FAMS_ADMIN_CREATE o FAMS_ONBOARDING_CREATE ) |
ManageSettings
|
FAMS_ADMIN_UPDATE
|
ListOnboardingPolicies
|
DYNAMIC_GROUP_CREATE , POLICY_CREATE , TAG_NAMESPACE_CREATE , TAG_DEFINITION_ADD e ( FAMS_ADMIN_CREATE o FAMS_ONBOARDING_CREATE ) |
ListCompliancePolicies
|
FAMS_COMPLIANCE_POLICY_INSPECT
|
GetCompliancePolicy
|
FAMS_COMPLIANCE_POLICY_READ
|
ListCompliancePolicyRules
|
FAMS_COMPLIANCE_POLICY_INSPECT
|
GetCompliancePolicyRule
|
FAMS_COMPLIANCE_POLICY_READ
|
CreateCompliancePolicyRule
|
FAMS_COMPLIANCE_POLICY_CREATE
|
UpdateCompliancePolicyRule
|
FAMS_COMPLIANCE_POLICY_UPDATE
|
DeleteCompliancePolicyRule
|
FAMS_COMPLIANCE_POLICY_DELETE
|
ListComplianceRecords
|
FAMS_COMPLIANCE_REPORT_READ , FAMS_FLEET_READ , FAMS_PATCH_READ , FAMS_ADMIN_READ o FAMS_COMPLIANCE_POLICY_READ
|
ExportComplianceReport
|
FAMS_COMPLIANCE_REPORT_READ , FAMS_FLEET_READ , FAMS_PATCH_READ , FAMS_ADMIN_READ o FAMS_COMPLIANCE_POLICY_READ
|
SummarizeComplianceRecordCounts
|
FAMS_COMPLIANCE_REPORT_READ , FAMS_FLEET_READ , FAMS_PATCH_READ , FAMS_ADMIN_READ o FAMS_COMPLIANCE_POLICY_READ
|
SummarizeManagedEntityCounts
|
FAMS_COMPLIANCE_REPORT_READ , FAMS_FLEET_READ , FAMS_PATCH_READ , FAMS_ADMIN_READ o FAMS_COMPLIANCE_POLICY_READ
|
ListPatches
|
FAMS_PATCH_INSPECT
|
GetPatch
|
FAMS_PATCH_READ
|
CreatePatch
|
FAMS_PATCH_CREATE , FAMS_PLATFORM_READ , OBJECT_INSPECT e OBJECT_READ
|
DeletePatch
|
FAMS_PATCH_DELETE
|
UpdatePatch
|
FAMS_PATCH_UPDATE , FAMS_PLATFORM_READ , OBJECT_INSPECT e OBJECT_READ
|
ChangePatchCompartment
|
FAMS_PATCH_MOVE
|
CreateProvision
|
FAMS_PROVISION_CREATE , FAMS_FLEET_READ e FAMS_CATALOG_ITEM_READ
|
DeleteProvision
|
FAMS_PROVISION_DELETE
|
ListProvisions
|
FAMS_PROVISION_INSPECT
|
UpdateProvision
|
FAMS_PROVISION_UPDATE
|
GetProvision
|
FAMS_PROVISION_READ
|
ChangeProvisionCompartment
|
FAMS_PROVISION_MOVE
|
ListCatalogItems
|
FAMS_CATALOG_ITEM_INSPECT
|
CreateCatalogItem
|
FAMS_CATALOG_ITEM_CREATE
e gli elementi seguenti:
|
GetCatalogItem
|
FAMS_CATALOG_ITEM_READ
|
UpdateCatalogItem
|
FAMS_CATALOG_ITEM_UPDATE
e gli elementi seguenti:
|
DeleteCatalogItem
|
FAMS_CATALOG_ITEM_DELETE
|
ChangeCatalogItemCompartment
|
FAMS_CATALOG_ITEM_MOVE
|
CloneCatalogItem
|
FAMS_CATALOG_ITEM_CLONE
|
ListInventoryRecords
|
FAMS_SOFTWARE_INVENTORY_INSPECT
|
Criteri utente
I criteri utente di Fleet Application Management sono necessari per consentire agli utenti di accedere alle risorse di Fleet Application Management.
Di seguito è riportata la sintassi di un criterio.
allow <subject> to <verb>
<resource-type> in <location> where <conditions>
Per dettagli completi, vedere Sintassi dei criteri.
Creare criteri per utenti o gruppi specifici per ottenere l'accesso alle risorse correlate alla gestione delle applicazioni della flotta. Vedere Creazione di un criterio.
Per applicare le autorizzazioni a livello di tenancy, sostituire compartment <compartment name>
con tenancy
.
Esempi di criteri
I criteri di Fleet Application Management sono necessari per l'uso di varie risorse di Fleet Application Management.
Vedere le istruzioni nella creazione di un criterio per la creazione di criteri mediante la console.
Per ulteriori dettagli sulla sintassi, vedere Sintassi dei criteri.
Esempi di criteri di Fleet Application Management:
- Consentire a un gruppo di gestire tutte le risorse nella tenancy:
Allow group acme-fams-developers to manage fams-family in tenancy
- Consente agli utenti di un gruppo di leggere o gestire gli elementi del catalogo per Marketplace o gli elementi del catalogo privato a seconda del ruolo utente:
Allow group <USER_GROUP> to read fams-catalog-items in compartment <USER_COMPARTMENT_NAME>
L'esempio presuppone che gli elementi del catalogo e le istanze di computazione si trovino nello stesso compartimento di Fleet Application Management.
- Consente agli utenti di un gruppo di accedere agli script degli elementi del catalogo dalle ubicazioni pertinenti:
Allow group <USER_GROUP> to {PAR_MANAGE} in compartment <USER_COMPARTMENT_NAME> Allow group <USER_GROUP> to read object-family in compartment <USER_COMPARTMENT_NAME> Allow group <USER_GROUP> to read buckets in compartment <USER_COMPARTMENT_NAME>
L'esempio presuppone che i bucket di storage degli oggetti e le istanze di computazione si trovino nello stesso compartimento di Fleet Application Management.
- Consente agli utenti di un gruppo di gestire le richieste di provisioning:
Allow group <USER_GROUP> to manage fams-provisions in compartment <USER_COMPARTMENT_NAME>
L'esempio presuppone che le richieste di provisioning e le istanze di computazione si trovino nello stesso compartimento di Fleet Application Management.
- Consente agli utenti di un gruppo di gestire il provisioning connettendo Gestione applicazioni flotta a Resource Manager.
Allow group <USER_GROUP> to manage orm-config-source-providers in compartment <USER_COMPARTMENT_NAME> Allow group <USER_GROUP> to manage orm-jobs in compartment <USER_COMPARTMENT_NAME> Allow group <USER_GROUP> to manage orm-stacks in compartment <USER_COMPARTMENT_NAME> Allow group <USER_GROUP> to manage orm-template in compartment <USER_COMPARTMENT_NAME> Allow group <USER_GROUP> to manage orm-work-requests in compartment <USER_COMPARTMENT_NAME>
L'esempio presuppone che le richieste di provisioning e le istanze di computazione si trovino nello stesso compartimento di Fleet Application Management.
- Consenti agli utenti di un gruppo di pianificare e gestire il provisioning:
Allow group <USER_GROUP> to manage fams-schedules in compartment <USER_COMPARTMENT_NAME>
L'esempio presuppone che la pianificazione e le richieste di provisioning si trovino nello stesso compartimento di Fleet Application Management.
- Consente agli utenti di un gruppo di eseguire il provisioning del tipo di risorsa OCI pertinente.
Allow group <USER_GROUP> to manage <resource_type> in compartment <USER_COMPARTMENT_NAME>
L'esempio presuppone che i tipi di risorsa si trovino nello stesso compartimento di Fleet Application Management.
Aggiunta di regole al gruppo dinamico
fams-customer-dg
. Fleet Application Management esegue le operazioni del ciclo di vita su queste istanze.Criteri IAM
Un amministratore della tenancy nell'organizzazione abilita la gestione delle applicazioni della flotta per la tenancy. Questa azione crea i criteri IAM riportati di seguito per l'utilizzo di Fleet Application Management.
I criteri IAM in "fams-service-dg" sono:
define tenancy fams-tenancy as <fams-tenancy-ocid>
define dynamic-group fams-workload-dg as <fams-dynamicgroup-ocid>
allow dynamic-group fams-service-dg to use fams-agent-command-executions in tenancy
allow dynamic-group fams-service-dg to { FAMS_CATALOG_ITEM_INSPECT, FAMS_CATALOG_ITEM_READ } in tenancy
allow dynamic-group fams-service-dg to { INSTANCE_UPDATE } in tenancy
allow dynamic-group fams-service-dg to read instance-family in tenancy
allow dynamic-group fams-service-dg to use instances in tenancy
allow dynamic-group fams-service-dg to inspect limits in tenancy
allow dynamic-group fams-service-dg to use tag-namespaces in tenancy where target.tag-namespace.name='Oracle$FAMS-Tags'
allow dynamic-group fams-service-dg to read instance-agent-plugins in tenancy
allow dynamic-group fams-service-dg to read instance-agent-command-family in tenancy
allow dynamic-group fams-service-dg to use ons-family in tenancy
allow dynamic-group fams-service-dg to manage database-family in tenancy
allow dynamic-group fams-service-dg to manage osmh-family in tenancy
allow dynamic-group fams-service-dg to { INSTANCE_AGENT_COMMAND_CREATE } in tenancy
allow dynamic-group fams-service-dg to { OBJECTSTORAGE_NAMESPACE_READ } in tenancy
allow dynamic-group fams-service-dg to manage work-requests in tenancy
Per utilizzare Fleet Application Management, in "fams-customer-dg" sono necessari i criteri IAM riportati di seguito.
Puoi configurare i criteri per una tenancy o un compartimento in base alle tue preferenze. Se si sceglie di configurare i criteri per un compartimento, l'istruzione dei criteri può essere la seguente:
allow dynamic-group fams-customer-dg to {VAULT_READ} in <compartment_OCID>
Se si consente a Fleet Application Management di configurare i criteri per una tenancy, i criteri IAM riportati di seguito si trovano in "fams-customer-dg":
endorse any-group to { FAMS_CATALOG_ITEM_INSPECT, FAMS_CATALOG_ITEM_READ} in tenancy fams-tenancy
admit dynamic-group fams-workload-dg of tenancy fams-tenancy to read orm-stack in tenancy where all { request.principal.type = 'workload' }
allow dynamic-group fams-customer-dg to use instance-agent-command-execution-family in tenancy where request.instance.id=target.instance.id
allow dynamic-group fams-customer-dg to read instance-family in tenancy
allow dynamic-group fams-customer-dg to use fams-agent-command-executions in tenancy where request.instance.id=target.instance.id
allow dynamic-group fams-customer-dg to {OSMH_MANAGED_INSTANCE_ACCESS} in tenancy
allow dynamic-group fams-customer-dg to { OBJECT_INSPECT, OBJECT_READ } in tenancy
endorse dynamic-group fams-customer-dg to { OBJECT_CREATE, OBJECT_OVERWRITE, OBJECT_READ } in tenancy fams-tenancy where all { target.bucket.name = '<CUSTOMER_TENANCY_OCID>' }
endorse dynamic-group fams-customer-dg to { OBJECT_INSPECT, OBJECT_READ } in tenancy fams-tenancy where any { target.bucket.name = 'automations', target.bucket.name = 'patches'}
-
endorse any-group to { FAMS_CATALOG_ITEM_INSPECT, FAMS_CATALOG_ITEM_READ} in tenancy fams-tenancy
Consente alla tenancy di accedere agli elementi del catalogo Marketplace.
-
admit dynamic-group fams-workload-dg of tenancy fams-tenancy to read orm-stack in tenancy where all { request.principal.type = 'workload' }
Consente alla gestione dei requisiti di provisioning di controllare lo stato dello stack di Resource Manager.
-
allow dynamic-group fams-customer-dg to { KEY_READ, KEY_DECRYPT,SECRET_READ } in tenancy allow dynamic-group fams-customer-dg to {VAULT_READ} in tenancy allow dynamic-group fams-customer-dg to {SECRET_BUNDLE_READ} in tenancy
Consente l'accesso alla tenancy con chiavi e segreti del vault a Fleet Application Management per le operazioni del ciclo di vita.
-
allow dynamic-group fams-customer-dg to use instance-agent-command-execution-family in tenancy where request.instance.id=target.instance.id
Consente di gestire le operazioni del ciclo di vita utilizzando il comando di esecuzione.
-
allow dynamic-group fams-customer-dg to read instance-family in tenancy
Consente a Fleet Application Management di ottenere i dettagli dell'istanza per i controlli dello stato.
-
allow dynamic-group fams-customer-dg to use fams-agent-command-executions in tenancy where request.instance.id=target.instance.id
Consente a Fleet Application Management di gestire le operazioni del ciclo di vita sulle istanze utilizzando il plugin Fleet Application Management.
-
allow dynamic-group fams-customer-dg to {OSMH_MANAGED_INSTANCE_ACCESS} in tenancy
Consente a Fleet Application Management di gestire l'applicazione di patch al sistema operativo con l'hub di gestione del sistema operativo.
-
allow dynamic-group fams-customer-dg to { OBJECT_INSPECT, OBJECT_READ } in tenancy
Consente a Fleet Application Management di accedere agli script operativi del ciclo di vita dallo storage degli oggetti.
-
endorse dynamic-group fams-customer-dg to { OBJECT_CREATE, OBJECT_OVERWRITE, OBJECT_READ } in tenancy fams-tenancy where all { target.bucket.name = '<CUSTOMER_TENANCY_OCID>' }
Consente a Fleet Application Management di gestire i log delle operazioni del ciclo di vita nello storage degli oggetti.
-
endorse dynamic-group fams-customer-dg to { OBJECT_INSPECT, OBJECT_READ } in tenancy fams-tenancy where any { target.bucket.name = 'automations', target.bucket.name = 'patches'}
Consente alla tenancy di accedere agli script e alle patch dell'operazione del ciclo di vita di Fleet Application Management.
Per evitare interruzioni del servizio, un amministratore della tenancy deve assicurarsi che i criteri IAM dei gruppi dinamici "fams-service-dg", "fams-customer-dg" non vengano eliminati. Tuttavia, è possibile creare criteri personalizzati per i casi d'uso, ad esempio se sono necessari amministratori diversi per gruppi e stack di prodotti diversi.