Criteri e autorizzazioni per la gestione delle applicazioni della flotta

Crea criteri IAM (Identity and Access Management) per controllare chi ha accesso alle risorse di Fleet Application Management e il tipo di accesso per ogni gruppo di utenti.

Creare criteri per consentire agli utenti di disporre dei diritti necessari per le risorse di Fleet Application Management. Per impostazione predefinita, gli utenti del gruppo Administrators hanno accesso a tutte le risorse di Fleet Application Management.

Se non conosci i criteri IAM, consulta la Guida introduttiva ai criteri.

Per un elenco completo di tutti i criteri in Oracle Cloud Infrastructure, consulta il riferimento ai criteri e i criteri comuni.

Fleet Application Management richiede che un amministratore della tenancy aggiunga regole al gruppo dinamico creato da Fleet Application Management durante l'inserimento. Questa azione consente a Fleet Application Management di eseguire operazioni di gestione del ciclo di vita su OCI Compute.

Questa sezione illustra gli argomenti riportati di seguito.

Tipi e autorizzazioni risorsa

Lista dei tipi di risorsa Fleet Application Management e delle autorizzazioni associate.

Per assegnare le autorizzazioni a tutte le risorse OCI Fleet Application Management, utilizzare il tipo di aggregazione fams-family. Per ulteriori informazioni, vedere Autorizzazioni.

Nella tabella seguente sono elencate tutte le risorse in fams-family:

Nome famiglia Risorse membro
fams-family
  • fams-fleets
  • fams-runbooks
  • fams-schedules
  • fams-schedule-jobs
  • fams-maintenance-windows
  • fams-admin
  • fams-onboarding
  • fams-workrequests
  • fams-compliance-policies
  • fams-patches
  • fams-provisions
  • fams-catalog-items
  • fams-software-inventory
  • fams-platform
  • fams-properties

Un criterio che utilizza <verb> fams-family equivale a scrivere un criterio con un'istruzione <verb> <resource-type> separata per ciascuno dei singoli tipi di risorsa.

Tipo di risorsa Autorizzazioni
Famiglie
  • FAMS_FLEET_INSPECT
  • FAMS_FLEET_READ
  • FAMS_FLEET_CREATE
  • FAMS_FLEET_UPDATE
  • FAMS_FLEET_DELETE
  • FAMS_FLEET_MOVE
  • FAMS_COMPLIANCE_REPORT_READ
libri genealogici
  • FAMS_RUNBOOK_INSPECT
  • FAMS_RUNBOOK_READ
  • FAMS_RUNBOOK_UPDATE
  • FAMS_RUNBOOK_CREATE
  • FAMS_RUNBOOK_DELETE
  • FAMS_RUNBOOK_MOVE
fams-schedules
  • FAMS_SCHEDULE_INSPECT
  • FAMS_SCHEDULE_READ
  • FAMS_SCHEDULE_CREATE
  • FAMS_SCHEDULE_UPDATE
  • FAMS_SCHEDULE_DELETE
  • FAMS_SCHEDULE_CREATE_WITH_SUDO
fams-schedule-jobs
  • FAMS_SCHEDULE_JOB_INSPECT
  • FAMS_SCHEDULE_JOB_READ
  • FAMS_SCHEDULE_JOB_UPDATE
  • FAMS_SCHEDULE_JOB_DELETE
  • FAMS_SCHEDULE_JOB_ACTION
fam-maintenance-windows
  • FAMS_MAINTENANCE_WINDOW_INSPECT
  • FAMS_MAINTENANCE_WINDOW_READ
  • FAMS_MAINTENANCE_WINDOW_CREATE
  • FAMS_MAINTENANCE_WINDOW_UPDATE
  • FAMS_MAINTENANCE_WINDOW_DELETE
fams-admin
  • FAMS_ADMIN_INSPECT
  • FAMS_ADMIN_READ
  • FAMS_ADMIN_CREATE
  • FAMS_ADMIN_UPDATE
  • FAMS_ADMIN_DELETE
  • FAMS_ADMIN_MOVE
  • FAMS_COMPLIANCE_REPORT_READ
formazione iniziale
  • FAMS_ONBOARDING_INSPECT
  • FAMS_ONBOARDING_READ
  • FAMS_ONBOARDING_CREATE
  • FAMS_ONBOARDING_UPDATE
  • FAMS_ONBOARDING_DELETE
fam-richieste di lavoro
  • FAMS_API_WORK_REQUEST_LIST
  • FAMS_API_WORK_REQUEST_READ
fam-compliance-policies
  • FAMS_COMPLIANCE_POLICY_INSPECT
  • FAMS_COMPLIANCE_POLICY_READ
  • FAMS_COMPLIANCE_POLICY_CREATE
  • FAMS_COMPLIANCE_POLICY_UPDATE
  • FAMS_COMPLIANCE_POLICY_DELETE
  • FAMS_COMPLIANCE_REPORT_READ
fams-patches
  • FAMS_PATCH_INSPECT
  • FAMS_PATCH_READ
  • FAMS_PATCH_CREATE
  • FAMS_PATCH_UPDATE
  • FAMS_PATCH_DELETE
  • FAMS_PATCH_MOVE
  • FAMS_COMPLIANCE_REPORT_READ
fams-provision
  • FAMS_PROVISION_INSPECT
  • FAMS_PROVISION_READ
  • FAMS_PROVISION_CREATE
  • FAMS_PROVISION_UPDATE
  • FAMS_PROVISION_DELETE
  • FAMS_PROVISION_MOVE
fams-catalog-articoli
  • FAMS_CATALOG_ITEM_INSPECT
  • FAMS_CATALOG_ITEM_READ
  • FAMS_CATALOG_ITEM_CREATE
  • FAMS_CATALOG_ITEM_UPDATE
  • FAMS_CATALOG_ITEM_DELETE
  • FAMS_CATALOG_ITEM_MOVE
  • FAMS_CATALOG_ITEM_CLONE
fams-software-inventario
  • FAMS_SOFTWARE_INVENTORY_INSPECT
fams-platform
  • FAMS_PLATFORM_INSPECT
  • FAMS_PLATFORM_READ
  • FAMS_PLATFORM_CREATE
  • FAMS_PLATFORM_UPDATE
  • FAMS_PLATFORM_DELETE
  • FAMS_PLATFORM_MOVE
fams-properties
  • FAMS_PROPERTY_INSPECT
  • FAMS_PROPERTY_READ
  • FAMS_PROPERTY_CREATE
  • FAMS_PROPERTY_UPDATE
  • FAMS_PROPERTY_DELETE
  • FAMS_PROPERTY_MOVE

Variabili supportate

Fleet Application Management supporta tutte le variabili generali e quelle elencate qui. Per ulteriori informazioni sulle variabili generali supportate dai servizi Oracle Cloud Infrastructure, vedere Variabili generali per tutte le richieste.

Tipo di risorsa Variabile Tipo di variabile descrizione;
fams-fleets target.famsfleet.id Entità (OCID) Utilizzare questa variabile per tutte le operazioni della flotta ad eccezione della creazione.
fams-schedules target.famsschedulerdefinition.id Entità (OCID) Utilizzare questa variabile per tutte le operazioni di schedulazione tranne la creazione.
fams-schedule-jobs target.famsschedulerjob.id Entità (OCID) Utilizzare questa variabile per tutte le operazioni dell'OdL schedulazione ad eccezione di Crea.
fams-maintenance-windows target.famsmaintenacewindow.id Entità (OCID) Utilizzare questa variabile per tutte le operazioni della finestra di manutenzione ad eccezione della creazione.
fams-runbooks target.famsrunbook.id

target.famstaskrecord.id

Entità (OCID) Utilizzare queste variabili per le operazioni dei task runbook e runbook ad eccezione della creazione.
fams-admin target.famsproperty.id

target.famsplatformconfiguration.id

Entità (OCID) Utilizzare queste variabili per le operazioni di amministrazione ad eccezione della creazione.
fams-workrequests target.famsworkrequest.id Entità (OCID) Utilizzare questa variabile per le operazioni list e get.
fams-compliance-policies target.famscompliancepolicy.id Entità (OCID) Utilizzare questa variabile per tutte le operazioni dei criteri di conformità ad eccezione della creazione.
fams-patches target.famspatch.id Entità (OCID) Utilizzare questa variabile per tutte le operazioni di applicazione delle patch tranne create.
fams-catalog-items target.famscatalogitem.id Entità (OCID) Utilizzare questa variabile per tutte le operazioni articolo catalogo ad eccezione della creazione.
fams-provisions target.famsprovision.id Entità (OCID) Utilizzare questa variabile per tutte le operazioni di provisioning ad eccezione della creazione.

Dettagli sulle combinazioni verbo-tipo di risorsa

Identifica le autorizzazioni e le operazioni API coperte da ciascun verbo per le risorse di Fleet Application Management.

Il livello di accesso è cumulativo quando si passa da inspect a read a use a manage. Un segno più (+) in una cella di tabella indica l'accesso incrementale rispetto alla cella precedente.

Per informazioni sulla concessione dell'accesso, vedere Autorizzazioni.

Famiglie
Verbi Autorizzazioni API completamente coperte API parzialmente coperte
ispezionare FAMS_FLEET_INSPECT ListFleets

ListInventoryResources

ListTargets

ListFleetTargets

ListFleetProducts

ListFleetResources

ListFleetProperties

ListFleetCredentials

ListProperties (può utilizzare anche FAMS_ADMIN_INSPECT o FAMS_PROPERTY_INSPECT)

read

inspect+

FAMS_FLEET_READ

inspect+

GetFleet

GetFleetResource

GetFleetProperty

GetComplianceReport

GetFleetCredential

GenerateComplianceReport

CreateSchedulerDefinition (ha bisogno anche di FAMS_SCHEDULE_CREATE e FAMS_RUNBOOK_READ) e i seguenti a seconda delle vostre esigenze:
  • Se il tipo di parametro di input è FILE e deve essere selezionato dallo storage degli oggetti, è necessario disporre di OBJECT_INSPECT, OBJECT_READ
  • Se l'attributo runbook need sudo access è true, è necessario FAMS_SCHEDULE_CREATE_WITH_SUDO
UpdateSchedulerDefinition (ha bisogno anche di FAMS_SCHEDULE_UPDATE e FAMS_RUNBOOK_READ) e i seguenti a seconda delle vostre esigenze:
  • Se il tipo di parametro di input è FILE e deve essere selezionato dallo storage degli oggetti, è necessario disporre di OBJECT_INSPECT, OBJECT_READ
  • Se l'attributo runbook need sudo access è true, è necessario FAMS_SCHEDULE_CREATE_WITH_SUDO

GetProperty (può utilizzare anche FAMS_ADMIN_READ o FAMS_PROPERTY_READ)

ListComplianceRecords (può utilizzare anche FAMS_COMPLIANCE_REPORT_READ, FAMS_PATCH_READ, FAMS_ADMIN_READ o FAMS_COMPLIANCE_POLICY_READ)

ExportComplianceReport (può utilizzare anche FAMS_COMPLIANCE_REPORT_READ, FAMS_PATCH_READ, FAMS_ADMIN_READ o FAMS_COMPLIANCE_POLICY_READ)

SummarizeComplianceRecordCounts (può utilizzare anche FAMS_COMPLIANCE_REPORT_READ, FAMS_PATCH_READ, FAMS_ADMIN_READ o FAMS_COMPLIANCE_POLICY_READ)

SummarizeManagedEntityCounts (può utilizzare anche FAMS_COMPLIANCE_REPORT_READ, FAMS_PATCH_READ, FAMS_ADMIN_READ o FAMS_COMPLIANCE_POLICY_READ)

CreateProvision (ha bisogno anche di FAMS_PROVISION_CREATE e FAMS_CATALOG_ITEM_READ)

use

read+

FAMS_FLEET_UPDATE

read+

UpdateFleet (ha bisogno anche di FAMS_PLATFORM_READ) e i seguenti a seconda delle vostre esigenze:
  • Se è necessario specificare la flotta padre, è necessario FAMS_FLEET_READ
  • Se è necessario specificare gli argomenti del servizio Notifiche, è necessario ONS_TOPIC_READ
  • Se è necessario aggiungere un'istanza a una flotta, è necessario INSTANCE_READ
  • Se è necessario aggiungere un valore dbSystem a una flotta, è necessario DB_SYSTEM_INSPECT, DB_SYSTEM_QUERY
  • Se è necessario aggiungere un valore vmCluster a una flotta, è necessario VM_CLUSTER_INSPECT
UpdateFleetResource ha anche bisogno di quanto segue a seconda delle vostre esigenze:
  • Se è necessario aggiungere un'istanza a una flotta, è necessario INSTANCE_READ
  • Se è necessario aggiungere un valore dbSystem a una flotta, è necessario DB_SYSTEM_INSPECT, DB_SYSTEM_QUERY
  • Se è necessario aggiungere un valore vmCluster a una flotta, è necessario VM_CLUSTER_INSPECT

UpdateFleetProperty (ha bisogno anche di FAMS_PROPERTY_READ

UpdateFleetCredential (ha bisogno anche di FAMS_PROPERTY_READ e VAULT_INSPECT) e i seguenti a seconda delle vostre esigenze:
  • Se la credenziale viene creata utilizzando la chiave del vault OCI, è necessario KEY_READ
  • Se la credenziale viene creata utilizzando il segreto del vault OCI, è necessario SECRET_READ
manage

use+

FAMS_FLEET_CREATE

use+

ConfirmTargets

RequestTargetDiscovery

RequestResourceValidation

CheckResourceTagging

CreateFleet (ha bisogno anche di FAMS_PLATFORM_READ e i seguenti a seconda delle vostre esigenze:
  • Se è necessario specificare la flotta padre, è necessario FAMS_FLEET_READ
  • Se è necessario specificare gli argomenti del servizio Notifiche, è necessario ONS_TOPIC_READ
  • Se è necessario aggiungere un'istanza a una flotta, è necessario INSTANCE_READ
  • Se è necessario aggiungere un valore dbSystem a una flotta, è necessario DB_SYSTEM_INSPECT, DB_SYSTEM_QUERY
  • Se è necessario aggiungere un valore vmCluster a una flotta, è necessario VM_CLUSTER_INSPECT
CreateFleetResource ha anche bisogno di quanto segue a seconda delle vostre esigenze:
  • Se è necessario aggiungere un'istanza a una flotta, è necessario INSTANCE_READ
  • Se è necessario aggiungere un valore dbSystem a una flotta, è necessario DB_SYSTEM_INSPECT, DB_SYSTEM_QUERY
  • Se è necessario aggiungere un valore vmCluster a una flotta, è necessario VM_CLUSTER_INSPECT

CreateFleetProperty (ha bisogno anche di FAMS_PROPERTY_READ

CreateFleetCredential (ha bisogno anche di FAMS_PLATFORM_READ, VAULT_INSPECT e i seguenti a seconda delle tue esigenze:
  • Se la credenziale viene creata utilizzando la chiave del vault OCI, è necessario KEY_READ
  • Se la credenziale viene creata utilizzando il segreto del vault OCI, è necessario SECRET_READ
manage

use+

FAMS_FLEET_DELETE

use+

DeleteFleet

DeleteFleetResource

DeleteFleetProperty

DeleteFleetCredential

manage

use+

FAMS_FLEET_MOVE

use+

ChangeFleetCompartment

fams-runbook
Verbi Autorizzazioni API completamente coperte API parzialmente coperte
inspect FAMS_RUNBOOK_INSPECT ListRunbooks

ListTaskRecords

read

inspect+

FAMS_RUNBOOK_READ

inspect+

GetRunbook

GetTaskRecord

CreateRunbook (ha bisogno anche di FAMS_RUNBOOK_CREATE e FAMS_PLATFORM_READ). Se un task viene eseguito su un'istanza self-hosted, è necessario INSTANCE_READ

UpdateRunbook (ha bisogno anche di FAMS_RUNBOOK_UPDATE e FAMS_PLATFORM_READ). Se un task viene eseguito su un'istanza self-hosted, è necessario INSTANCE_READ

CreateRunbookVersion (ha bisogno anche di FAMS_RUNBOOK_CREATE e FAMS_PLATFORM_READ). Se un task viene eseguito su un'istanza self-hosted, è necessario INSTANCE_READ

UpdateRunbookVersion (ha bisogno anche di FAMS_RUNBOOK_UPDATE e FAMS_PLATFORM_READ). Se un task viene eseguito su un'istanza self-hosted, è necessario INSTANCE_READ

CreateSchedulerDefinition (ha bisogno anche di FAMS_SCHEDULE_CREATE e FAMS_FLEET_READ) e i seguenti a seconda delle vostre esigenze:
  • Se il tipo di parametro di input è FILE e deve essere selezionato dallo storage degli oggetti, è necessario disporre di OBJECT_INSPECT, OBJECT_READ
  • Se l'attributo runbook need sudo access è true, è necessario FAMS_SCHEDULE_CREATE_WITH_SUDO
UpdateSchedulerDefinition (ha bisogno anche di FAMS_SCHEDULE_UPDATE e FAMS_FLEET_READ) e i seguenti a seconda delle vostre esigenze:
  • Se il tipo di parametro di input è FILE e deve essere selezionato dallo storage degli oggetti, è necessario disporre di OBJECT_INSPECT, OBJECT_READ
  • Se l'attributo runbook need sudo access è true, è necessario FAMS_SCHEDULE_CREATE_WITH_SUDO
use

read+

FAMS_RUNBOOK_UPDATE

read+

SetDefaultRunbook

UpdateRunbook (ha bisogno anche di FAMS_RUNBOOK_READ e FAMS_PLATFORM_READ). Se il task deve essere eseguito su un'istanza self-hosted, è necessario INSTANCE_READ

UpdateTaskRecord ha anche bisogno di quanto segue a seconda delle vostre esigenze:
  • Se piattaforma (prodotto), operazione (operazione del ciclo di vita), è necessario specificare le credenziali, è necessario disporre di FAMS_PLATFORM_READ
  • Se il tipo di azione è TERRAFORM, è necessario FAMS_CATALOG_ITEM_READ
  • Se il tipo di azione è SCRIPT e lo script deve fare riferimento a CATALOG ITEM, è necessario FAMS_CATALOG_ITEM_READ
  • Se il tipo di azione è SCRIPT e lo script deve essere selezionato dallo storage degli oggetti, è necessario disporre di OBJECT_INSPECT, OBJECT_READ
manage

use+

FAMS_RUNBOOK_CREATE

use+

CreateRunbook (ha bisogno anche di FAMS_RUNBOOK_READ e FAMS_PLATFORM_READ). Se il task deve essere eseguito su un'istanza self-hosted, è necessario INSTANCE_READ

CreateTaskRecord ha bisogno di quanto segue a seconda delle vostre esigenze:
  • Se piattaforma (prodotto), operazione (operazione del ciclo di vita), è necessario specificare le credenziali, è necessario disporre di FAMS_PLATFORM_READ
  • Se il tipo di azione è TERRAFORM, è necessario FAMS_CATALOG_ITEM_READ
  • Se il tipo di azione è SCRIPT e lo script deve fare riferimento a CATALOG ITEM, è necessario FAMS_CATALOG_ITEM_READ
  • Se il tipo di azione è SCRIPT e lo script deve essere selezionato dallo storage degli oggetti, è necessario disporre di OBJECT_INSPECT, OBJECT_READ
manage

use+

FAMS_RUNBOOK_DELETE

use+

DeleteTaskRecord

manage

use+

FAMS_RUNBOOK_MOVE

use+

ChangeRunbookCompartment

ChangeTaskRecordCompartment

famschedules
Verbi Autorizzazioni API completamente coperte API parzialmente coperte
inspect FAMS_SCHEDULE_INSPECT ListSchedulerDefinitions

ListSchedulerJobs (può utilizzare anche FAMS_SCHEDULE_JOB_INSPECT)

SummarizeSchedulerJobCounts (può utilizzare anche FAMS_SCHEDULE_JOB_INSPECT0

read

inspect+

FAMS_SCHEDULE_READ

inspect+

GetSchedulerDefinition

ListScheduledFleets

GetSchedulerJob (può utilizzare anche FAMS_SCHEDULE_JOB_READ)

GetJobActivity (può utilizzare anche FAMS_SCHEDULE_JOB_READ)

ListExecutions (può utilizzare anche FAMS_SCHEDULE_JOB_READ)

GetExecution (può utilizzare anche FAMS_SCHEDULE_JOB_READ)

ListSteps (può utilizzare anche FAMS_SCHEDULE_JOB_READ

ListResources (può utilizzare anche FAMS_SCHEDULE_JOB_READ

ListSchedulerExecutions (può utilizzare anche FAMS_SCHEDULE_JOB_READ)

use

read+

FAMS_SCHEDULE_UPDATE

read+

UpdateSchedulerDefinition (può utilizzare anche FAMS_SCHEDULE_CREATE_WITH_SUDO, FAMS_FLEET_READ e FAMS_RUNBOOK_READ) e richiede quanto segue a seconda delle esigenze:
  • Se il tipo di parametro di input è FILE e deve essere selezionato dallo storage degli oggetti, è necessario disporre di OBJECT_INSPECT, OBJECT_READ
  • Se l'attributo runbook need sudo access è true, è necessario FAMS_SCHEDULE_CREATE_WITH_SUDO

UpdateSchedulerJob (può utilizzare anche FAMS_SCHEDULE_JOB_UPDATE o FAMS_SCHEDULE_CREATE_WITH_SUDO)

ManageJobExecution (può utilizzare anche FAMS_SCHEDULE_JOB_ACTION o FAMS_SCHEDULE_CREATE_WITH_SUDO

manage

use+

FAMS_SCHEDULE_CREATE

use+

CreateSchedulerDefinition (può utilizzare anche FAMS_SCHEDULE_CREATE_WITH_SUDO e ha bisogno di FAMS_RUNBOOK_READ e FAMS_FLEET_READ) e i seguenti a seconda delle esigenze:
  • Se il tipo di parametro di input è FILE e deve essere selezionato dallo storage degli oggetti, è necessario disporre di OBJECT_INSPECT, OBJECT_READ
  • Se l'attributo runbook need sudo access è true, è necessario FAMS_SCHEDULE_CREATE_WITH_SUDO
manage

use+

FAMS_SCHEDULE_DELETE

use+

DeleteSchedulerDefinition

DeleteSchedulerJob (può utilizzare anche FAMS_SCHEDULE_JOB_DELETE)

manage

use+

FAMS_SCHEDULE_CREATE_WITH_SUDO

use+

CreateSchedulerDefinition (può utilizzare anche FAMS_SCHEDULE_CREATE e ha bisogno di FAMS_RUNBOOK_READ e FAMS_FLEET_READ) e i seguenti a seconda delle esigenze:
  • Se il tipo di parametro di input è FILE e deve essere selezionato dallo storage degli oggetti, è necessario disporre di OBJECT_INSPECT, OBJECT_READ
  • Se l'attributo runbook need sudo access è true, è necessario FAMS_SCHEDULE_CREATE_WITH_SUDO
UpdateSchedulerDefinition (può utilizzare anche FAMS_SCHEDULE_UPDATE e ha bisogno di FAMS_RUNBOOK_READ e FAMS_FLEET_READ) e i seguenti a seconda delle vostre esigenze:
  • Se il tipo di parametro di input è FILE e deve essere selezionato dallo storage degli oggetti, è necessario disporre di OBJECT_INSPECT, OBJECT_READ
  • Se l'attributo runbook need sudo access è true, è necessario FAMS_SCHEDULE_CREATE_WITH_SUDO

UpdateSchedulerJob (può utilizzare anche FAMS_SCHEDULE_UPDATE o FAMS_SCHEDULE_JOB_UPDATE

ManageJobExecution (può utilizzare anche FAMS_SCHEDULE_UPDATE o FAMS_SCHEDULE_JOB_ACTION

fams-schedule-jobs
Verbi Autorizzazioni API completamente coperte API parzialmente coperte
inspect FAMS_SCHEDULE_JOB_INSPECT

ListSchedulerJobs (può utilizzare anche FAMS_SCHEDULE_INSPECT)

SummarizeSchedulerJobCounts (può utilizzare anche FAMS_SCHEDULE_INSPECT0

read

inspect+

FAMS_SCHEDULE_JOB_READ

inspect+

GetSchedulerJob (può utilizzare anche FAMS_SCHEDULE_READ)

GetJobActivity (può utilizzare anche FAMS_SCHEDULE_READ )

ListExecutions (può utilizzare anche FAMS_SCHEDULE_READ )

GetExecution (può utilizzare anche FAMS_SCHEDULE_READ )

ListSteps (può utilizzare anche FAMS_SCHEDULE_READ )

ListResources (può utilizzare anche FAMS_SCHEDULE_READ )

ListSchedulerExecutions (può utilizzare anche FAMS_SCHEDULE_READ )

use

read+

FAMS_SCHEDULE_JOB_UPDATE

read+

UpdateSchedulerJob (può utilizzare anche FAMS_SCHEDULE_UPDATE o FAMS_SCHEDULE_CREATE_WITH_SUDO)

use

read+

FAMS_SCHEDULE_JOB_ACTION

read+

ManageJobExecution (può utilizzare anche FAMS_SCHEDULE_UPDATE o FAMS_SCHEDULE_CREATE_WITH_SUDO)

manage

use+

FAMS_SCHEDULE_JOB_DELETE

use+

DeleteSchedulerJob (può utilizzare anche FAMS_SCHEDULE_DELETE)

fams-manutenzione-finestre
Verbi Autorizzazioni API completamente coperte API parzialmente coperte
inspect FAMS_MAINTENANCE_WINDOW_INSPECT ListMaintenanceWindows
read

inspect+

FAMS_MAINTENANCE_WINDOW_READ

inspect+

GetMaintenanceWindow

use

read+

FAMS_MAINTENANCE_WINDOW_UPDATE

read+

UpdateMaintenanceWindow

manage

use+

FAMS_MAINTENANCE_WINDOW_CREATE

use+

CreateMaintenanceWindow

manage

use+

FAMS_MAINTENANCE_WINDOW_DELETE

use+

DeleteMaintenanceWindow

fams-admin
Verbs Autorizzazioni API completamente coperte API parzialmente coperte
inspect FAMS_ADMIN_INSPECT

ListProperties (può utilizzare anche FAMS_FLEET_INSPECT o FAMS_PROPERTY_INSPECT)

read

inspect+

FAMS_ADMIN_READ

inspect+

GetProperty (può utilizzare anche FAMS_FLEET_READ o FAMS_PROPERTY_READ)

CompliaceReportDetails (può utilizzare anche FAMS_COMPLIANCE_REPORT_READ, FAMS_FLEET_READ, FAMS_PATCH_READ o FAMS_COMPLIANCE_POLICY_READ)

ListComplianceRecords (può utilizzare anche FAMS_COMPLIANCE_REPORT_READ , FAMS_FLEET_READ , FAMS_PATCH_READ o FAMS_COMPLIANCE_POLICY_READ)

ExportComplianceReport (può utilizzare anche FAMS_COMPLIANCE_REPORT_READ, FAMS_FLEET_READ, FAMS_PATCH_READ o FAMS_COMPLIANCE_POLICY_READ)

SummarizeComplianceRecordCounts (può utilizzare anche FAMS_COMPLIANCE_REPORT_READ, FAMS_FLEET_READ, FAMS_PATCH_READ, FAMS_COMPLIANCE_POLICY_READ)

SummarizeManagedEntityCounts (può utilizzare anche FAMS_COMPLIANCE_REPORT_READ, FAMS_FLEET_READ, FAMS_PATCH_READ o FAMS_COMPLIANCE_POLICY_READ)

use

read+

FAMS_ADMIN_UPDATE

read+

ManageSettings

UpdateProperty (può utilizzare anche FAMS_PROPERTY_UPDATE)

UpdatePlatformConfiguration (può utilizzare anche FAMS_PLATFORM_UPDATE ) e i seguenti a seconda delle esigenze:
  • Se configCategory è PRODUCT_STACK e i prodotti che appartengono a uno stack, al tipo di patch o alle credenziali devono essere specificati, è necessario disporre di FAMS_PLATFORM_READ
  • Se configCategory è PRODOTTO e devono essere aggiunti prodotti compatibili, tipo di patch o credenziali, è necessario FAMS_PLATFORM_READ
  • Se configCategory è SELF_HOSTED_INSTANCE, è necessario INSTANCE_READ

UpdateOnboarding (può utilizzare anche FAMS_ONBOARDING_UPDATE e ha bisogno di TAG_NAMESPACE_CREATE e TAG_DEFINITION_ADD)

manage

use+

FAMS_ADMIN_CREATE

use+

CreateProperty (può utilizzare anche FAMS_PROPERTY_CREATE)

CreatePlatformConfiguration (può utilizzare anche FAMS_PLATFORM_CREATE) e richiede quanto segue a seconda delle esigenze:
  • Se configCategory è PRODUCT_STACK e i prodotti che appartengono a uno stack, al tipo di patch o alle credenziali devono essere specificati, è necessario disporre di FAMS_PLATFORM_READ
  • Se configCategory è PRODOTTO e devono essere aggiunti prodotti compatibili, tipo di patch o credenziali, è necessario FAMS_PLATFORM_READ
  • Se configCategory è SELF_HOSTED_INSTANCE, è necessario INSTANCE_READ

CreateOnboarding (può utilizzare anche FAMS_ONBOARDING_CREATE e ha bisogno di DYNAMIC_GROUP_CREATE, POLICY_CREATE, TAG_NAMESPACE_CREATE e TAG_DEFINITION_ADD)

EnableLatestPolicy (può utilizzare anche FAMS_ONBOARDING_CREATE e ha bisogno di DYNAMIC_GROUP_CREATE, POLICY_CREATE, TAG_NAMESPACE_CREATE e TAG_DEFINITION_ADD)

ListOnboardingPolicies (può utilizzare anche FAMS_ONBOARDING_CREATE e ha bisogno di DYNAMIC_GROUP_CREATE, POLICY_CREATE, TAG_NAMESPACE_CREATE e TAG_DEFINITION_ADD)

manage

use+

FAMS_ADMIN_DELETE

use+

DeleteProperty (può utilizzare anche FAMS_PROPERTY_DELETE)

DeletePlatformConfiguration (può utilizzare anche FAMS_PLATFORM_DELETE)

DeleteOnboarding (può utilizzare anche FAMS_ONBOARDING_DELETE e ha bisogno di DYNAMIC_GROUP_DELETE, POLICY_DELETE, TAG_NAMESPACE_RETIRE e TAG_DEFINITION_RETIRE)

manage

use+

FAMS_ADMIN_MOVE

use+

ChangePropertyCompartment (può utilizzare anche FAMS_PROPERTY_MOVE)

ChangePlatformConfigurationCompartment (può utilizzare anche FAMS_PLATFORM_MOVE)

formazione iniziale
Verbs Autorizzazioni API completamente coperte API parzialmente coperte
inspect FAMS_ONBOARDING_INSPECT

Un utente regolare (non un amministratore) deve disporre di questa autorizzazione per accedere alla tenancy.

ListOnboardings

ListAnnouncements

read

inspect+

FAMS_ONBOARDING_READ

inspect+

GetOnboarding

use

read+

FAMS_ONBOARDING_UPDATE

read+

UpdateOnboarding (può utilizzare anche FAMS_ADMIN_UPDATE e ha bisogno di TAG_NAMESPACE_CREATE e TAG_DEFINITION_ADD)

manage

use+

FAMS_ONBOARDING_CREATE

use+

CreateOnboarding (può utilizzare anche FAMS_ADMIN_CREATE e ha bisogno di DYNAMIC_GROUP_CREATE, POLICY_CREATE, TAG_NAMESPACE_CREATE e TAG_DEFINITION_ADD)

EnableLatestPolicy (può utilizzare anche FAMS_ADMIN_CREATE e ha bisogno di DYNAMIC_GROUP_CREATE, POLICY_CREATE, TAG_NAMESPACE_CREATE e TAG_DEFINITION_ADD)

ListOnboardingPolicies (può utilizzare anche FAMS_ADMIN_CREATE e ha bisogno di DYNAMIC_GROUP_CREATE, POLICY_CREATE, TAG_NAMESPACE_CREATE e TAG_DEFINITION_ADD)

manage

use+

FAMS_ONBOARDING_DELETE

use+

DeleteOnboarding (può utilizzare anche FAMS_ADMIN_DELETE e ha bisogno di DYNAMIC_GROUP_DELETE, POLICY_DELETE, TAG_NAMESPACE_RETIRE e TAG_DEFINITION_RETIRE)

richieste di lavoro
Verbs Autorizzazioni API completamente coperte API parzialmente coperte
inspect FAMS_API_WORK_REQUEST_LIST ListWorkRequests
read

inspect+

FAMS_API_WORK_REQUEST_READ

inspect+

GetWorkRequest

ListWorkRequestErrors

ListWorkRequestLogs

fams-compliance-policy
Verbs Autorizzazioni API completamente coperte API parzialmente coperte
inspect FAMS_COMPLIANCE_POLICY_INSPECT

ListCompliancePolicies

ListCompliancePolicyRules

read

inspect+

FAMS_COMPLIANCE_POLICY_READ

inspect+

GetCompliancePolicy

GetCompliancePolicyRule

CompliaceReportDetails (può utilizzare anche FAMS_COMPLIANCE_REPORT_READ, FAMS_FLEET_READ, FAMS_PATCH_READ o FAMS_ADMIN_READ)

ListComplianceRecords (può utilizzare anche FAMS_COMPLIANCE_REPORT_READ, FAMS_FLEET_READ, FAMS_PATCH_READ o FAMS_ADMIN_READ)

ExportComplianceReport (può utilizzare anche FAMS_COMPLIANCE_REPORT_READ FAMS_FLEET_READ FAMS_PATCH_READ, o FAMS_ADMIN_READ)

SummarizeComplianceRecordCounts (può utilizzare anche FAMS_COMPLIANCE_REPORT_READ FAMS_FLEET_READ FAMS_PATCH_READ, o FAMS_ADMIN_READ)

SummarizeManagedEntityCounts (può utilizzare anche FAMS_COMPLIANCE_REPORT_READ FAMS_FLEET_READ FAMS_PATCH_READ, o FAMS_ADMIN_READ)

read

inspect+

FAMS_COMPLIANCE_REPORT_READ

inspect+

ListComplianceRecords (può utilizzare anche FAMS_FLEET_READ, FAMS_PATCH_READ, FAMS_ADMIN_READ o FAMS_COMPLIANCE_POLICY_READ)

ExportComplianceReport (può utilizzare anche FAMS_FLEET_READ, FAMS_PATCH_READ, FAMS_ADMIN_READ o FAMS_COMPLIANCE_POLICY_READ)

SummarizeComplianceRecordCounts (può utilizzare anche FAMS_FLEET_READ, FAMS_PATCH_READ, FAMS_ADMIN_READ o FAMS_COMPLIANCE_POLICY_READ)

SummarizeManagedEntityCounts (può utilizzare anche FAMS_FLEET_READ, FAMS_PATCH_READ, FAMS_ADMIN_READ o FAMS_COMPLIANCE_POLICY_READ)

use

read+

FAMS_COMPLIANCE_POLICY_UPDATE

read+

UpdateCompliancePolicyRule

manage

use+

FAMS_COMPLIANCE_POLICY_CREATE

use+

CreateCompliancePolicyRule

manage

use+

FAMS_COMPLIANCE_POLICY_DELETE

use+

DeleteCompliancePolicyRule

fams-patch
Verbs Autorizzazioni API completamente coperte API parzialmente coperte
inspect FAMS_PATCH_INSPECT ListPatches
read

inspect+

FAMS_PATCH_READ

inspect+

GetPatch

ListComplianceRecords (può utilizzare anche FAMS_COMPLIANCE_REPORT_READ, FAMS_FLEET_READ, FAMS_ADMIN_READ o FAMS_COMPLIANCE_POLICY_READ)

ExportComplianceReport (può utilizzare anche FAMS_COMPLIANCE_REPORT_READ, FAMS_FLEET_READ, FAMS_ADMIN_READ o FAMS_COMPLIANCE_POLICY_READ)

SummarizeComplianceRecordCounts (può utilizzare anche FAMS_COMPLIANCE_REPORT_READ, FAMS_FLEET_READ, FAMS_ADMIN_READ o FAMS_COMPLIANCE_POLICY_READ)

SummarizeManagedEntityCounts (può utilizzare anche FAMS_COMPLIANCE_REPORT_READ, FAMS_FLEET_READ, FAMS_ADMIN_READ o FAMS_COMPLIANCE_POLICY_READ)

use

read+

FAMS_PATCH_UPDATE

read+

UpdatePatch (ha bisogno anche di FAMS_PLATFORM_READ, OBJECT_INSPECT e OBJECT_READ)

manage

use+

FAMS_PATCH_CREATE

use+

CreatePatch (ha bisogno anche di FAMS_PLATFORM_READ, OBJECT_INSPECT e OBJECT_READ)

manage

use+

FAMS_PATCH_DELETE

use+

DeletePatch

manage

use+

FAMS_PATCH_MOVE

use+

ChangePatchCompartment

fams-provision
Verbs Autorizzazioni API completamente coperte API parzialmente coperte
inspect FAMS_PROVISION_INSPECT

ListProvisions

read

inspect+

FAMS_PROVISION_READ

inspect+

GetProvision

use

read+

FAMS_PROVISION_UPDATE

read+

UpdateProvision

manage

use+

FAMS_PROVISION_CREATE

use+

CreateProvision (ha bisogno anche di FAMS_FLEET_READ e FAMS_CATALOG_ITEM_READ

manage

use+

FAMS_PROVISION_DELETE

use+

DeleteProvision

manage

use+

FAMS_PROVISION_MOVE

use+

ChangeProvisionCompartment

fams-catalog-articoli
Verbs Autorizzazioni API completamente coperte API parzialmente coperte
inspect FAMS_CATALOG_ITEM_INSPECT

ListCatalogItems

read

inspect+

FAMS_CATALOG_ITEM_READ

inspect+

GetCatalogItem

CreateTaskRecord ha bisogno di quanto segue a seconda delle vostre esigenze:
  • Se piattaforma (prodotto), operazione (operazione del ciclo di vita), è necessario specificare le credenziali, è necessario disporre di FAMS_PLATFORM_READ
  • Se il tipo di azione è TERRAFORM, è necessario FAMS_CATALOG_ITEM_READ
  • Se il tipo di azione è SCRIPT e lo script deve fare riferimento a CATALOG ITEM, è necessario FAMS_CATALOG_ITEM_READ
  • Se il tipo di azione è SCRIPT e lo script deve essere selezionato dallo storage degli oggetti, è necessario disporre di OBJECT_INSPECT, OBJECT_READ
UpdateTaskRecord ha anche bisogno di quanto segue a seconda delle vostre esigenze:
  • Se piattaforma (prodotto), operazione (operazione del ciclo di vita), è necessario specificare le credenziali, è necessario disporre di FAMS_PLATFORM_READ
  • Se il tipo di azione è TERRAFORM, è necessario FAMS_CATALOG_ITEM_READ
  • Se il tipo di azione è SCRIPT e lo script deve fare riferimento a CATALOG ITEM, è necessario FAMS_CATALOG_ITEM_READ
  • Se il tipo di azione è SCRIPT e lo script deve essere selezionato dallo storage degli oggetti, è necessario disporre di OBJECT_INSPECT, OBJECT_READ

CreateProvision (ha bisogno anche di FAMS_PROVISION_CREATE e FAMS_FLEET_READ)

use

read+

FAMS_CATALOG_ITEM_UPDATE

read+

UpdateCatalogItem (ha anche bisogno dei seguenti a seconda delle vostre esigenze):
  • Se si crea un elemento del catalogo utilizzando l'origine come storage degli oggetti, è necessario OBJECT_INSPECT e OBJECT_READ
  • Se si crea un elemento catalogo utilizzando la configurazione di Resource Manager, è necessario disporre di ORM_CONFIG_SOURCE_PROVIDER_INSPECT
manage

use+

FAMS_CATALOG_ITEM_CREATE

use+

CreateCatalogItem (ha anche bisogno dei seguenti a seconda delle vostre esigenze):
  • Se si crea un elemento del catalogo utilizzando l'origine come storage degli oggetti, sono necessari OBJECT_INSPECT e OBJECT_READ
  • Se si crea un elemento catalogo utilizzando la configurazione di Resource Manager, è necessario disporre di ORM_CONFIG_SOURCE_PROVIDER_INSPECT
manage

use+

FAMS_CATALOG_ITEM_DELETE

use+

DeleteCatalogItem

manage

use+

FAMS_CATALOG_ITEM_MOVE

use+

ChangeCatalogItemCompartment

manage

use+

FAMS_CATALOG_ITEM_CLONE

CloneCatalogItem
fams-software-inventario
Verbs Autorizzazioni API completamente coperte API parzialmente coperte
inspect FAMS_SOFTWARE_INVENTORY_INSPECT

ListInventoryRecords

fams-platform
Verbs Autorizzazioni API completamente coperte API parzialmente coperte
inspect FAMS_PLATFORM_INSPECT

ListPlatformConfigurations

read

inspect+

FAMS_PLATFORM_READ

inspect+

GetPlatformConfiguration

CreateFleet (ha bisogno anche di FAMS_FLEET_CREATE e i seguenti a seconda delle vostre esigenze:
  • Se è necessario specificare la flotta padre, è necessario FAMS_FLEET_READ
  • Se è necessario specificare gli argomenti del servizio Notifiche, è necessario ONS_TOPIC_READ
  • Se è necessario aggiungere un'istanza a una flotta, è necessario INSTANCE_READ
  • Se è necessario aggiungere un valore dbSystem a una flotta, è necessario DB_SYSTEM_INSPECT, DB_SYSTEM_QUERY
  • Se è necessario aggiungere un valore vmCluster a una flotta, è necessario VM_CLUSTER_INSPECT
UpdateFleet (ha bisogno anche di FAMS_FLEET_UPDATE) e i seguenti a seconda delle vostre esigenze:
  • Se è necessario specificare la flotta padre, è necessario FAMS_FLEET_READ
  • Se è necessario specificare gli argomenti del servizio Notifiche, è necessario ONS_TOPIC_READ
  • Se è necessario aggiungere un'istanza a una flotta, è necessario INSTANCE_READ
  • Se è necessario aggiungere un valore dbSystem a una flotta, è necessario DB_SYSTEM_INSPECT, DB_SYSTEM_QUERY
  • Se è necessario aggiungere un valore vmCluster a una flotta, è necessario VM_CLUSTER_INSPECT
CreateFleetCredential (ha bisogno anche di FAMS_FLEET_CREATE , VAULT_INSPECT e i seguenti a seconda delle tue esigenze:
  • Se la credenziale viene creata utilizzando la chiave del vault OCI, è necessario KEY_READ
  • Se la credenziale viene creata utilizzando il segreto del vault OCI, è necessario SECRET_READ

CreateRunbook (ha bisogno anche di FAMS_RUNBOOK_READ e FAMS_RUNBOOK_CREATE). Se il task deve essere eseguito su un'istanza self-hosted, è necessario INSTANCE_READ

UpdateRunbook (ha bisogno anche di FAMS_RUNBOOK_READ e FAMS_RUNBOOK_UPDATE). Se il task deve essere eseguito su un'istanza self-hosted, è necessario INSTANCE_READ

CreateRunbookVersion (ha bisogno anche di FAMS_RUNBOOK_CREATE e FAMS_RUNBOOK_READ ). Se un task viene eseguito su un'istanza self-hosted, è necessario INSTANCE_READ

UpdateRunbookVersion (ha bisogno anche di FAMS_RUNBOOK_UPDATE e FAMS_RUNBOOK_READ). Se un task viene eseguito su un'istanza self-hosted, è necessario INSTANCE_READ

CreateTaskRecord ha bisogno di quanto segue a seconda delle vostre esigenze:
  • Se piattaforma (prodotto), operazione (operazione del ciclo di vita), è necessario specificare le credenziali, è necessario disporre di FAMS_PLATFORM_READ
  • Se il tipo di azione è TERRAFORM, è necessario FAMS_CATALOG_ITEM_READ
  • Se il tipo di azione è SCRIPT e lo script deve fare riferimento a CATALOG ITEM, è necessario FAMS_CATALOG_ITEM_READ
  • Se il tipo di azione è SCRIPT e lo script deve essere selezionato dallo storage degli oggetti, è necessario disporre di OBJECT_INSPECT, OBJECT_READ
UpdateTaskRecord ha anche bisogno di quanto segue a seconda delle vostre esigenze:
  • Se piattaforma (prodotto), operazione (operazione del ciclo di vita), è necessario specificare le credenziali, è necessario disporre di FAMS_PLATFORM_READ
  • Se il tipo di azione è TERRAFORM, è necessario FAMS_CATALOG_ITEM_READ
  • Se il tipo di azione è SCRIPT e lo script deve fare riferimento a CATALOG ITEM, è necessario FAMS_CATALOG_ITEM_READ
  • Se il tipo di azione è SCRIPT e lo script deve essere selezionato dallo storage degli oggetti, è necessario disporre di OBJECT_INSPECT, OBJECT_READ
CreatePlatformConfiguration (può utilizzare anche FAMS_PLATFORM_CREATE) e richiede quanto segue a seconda delle esigenze:
  • Se configCategory è PRODUCT_STACK e i prodotti che appartengono a uno stack, al tipo di patch o alle credenziali devono essere specificati, è necessario disporre di FAMS_PLATFORM_READ
  • Se configCategory è PRODOTTO e devono essere aggiunti prodotti compatibili, tipo di patch o credenziali, è necessario FAMS_PLATFORM_READ
  • Se configCategory è SELF_HOSTED_INSTANCE, è necessario INSTANCE_READ
UpdatePlatformConfiguration (può utilizzare anche FAMS_PLATFORM_UPDATE ) e i seguenti a seconda delle esigenze:
  • Se configCategory è PRODUCT_STACK e i prodotti che appartengono a uno stack, al tipo di patch o alle credenziali devono essere specificati, è necessario disporre di FAMS_PLATFORM_READ
  • Se configCategory è PRODOTTO e devono essere aggiunti prodotti compatibili, tipo di patch o credenziali, è necessario FAMS_PLATFORM_READ
  • Se configCategory è SELF_HOSTED_INSTANCE, è necessario INSTANCE_READ

CreatePatch (ha bisogno anche di FAMS_PATCH_CREATE, OBJECT_INSPECT e OBJECT_READ)

UpdatePatch (ha bisogno anche di FAMS_PATCH_UPDATE , OBJECT_INSPECT e OBJECT_READ)

use

read+

FAMS_PLATFORM_UPDATE

read+

UpdatePlatformConfiguration (può utilizzare anche FAMS_ADMIN_UPDATE ) e i seguenti a seconda delle esigenze:
  • Se configCategory è PRODUCT_STACK e i prodotti che appartengono a uno stack, al tipo di patch o alle credenziali devono essere specificati, è necessario disporre di FAMS_PLATFORM_READ
  • Se configCategory è PRODOTTO e devono essere aggiunti prodotti compatibili, tipo di patch o credenziali, è necessario FAMS_PLATFORM_READ
  • Se configCategory è SELF_HOSTED_INSTANCE, è necessario INSTANCE_READ
manage

use+

FAMS_PLATFORM_CREATE

use+

CreatePlatformConfiguration (può utilizzare anche FAMS_ADMIN_CREATE) e richiede quanto segue a seconda delle esigenze:
  • Se configCategory è PRODUCT_STACK e i prodotti che appartengono a uno stack, al tipo di patch o alle credenziali devono essere specificati, è necessario disporre di FAMS_PLATFORM_READ
  • Se configCategory è PRODOTTO e devono essere aggiunti prodotti compatibili, tipo di patch o credenziali, è necessario FAMS_PLATFORM_READ
  • Se configCategory è SELF_HOSTED_INSTANCE, è necessario INSTANCE_READ
manage

use+

FAMS_PLATFORM_DELETE

use+

DeletePlatformConfiguration (può utilizzare anche FAMS_ADMIN_DELETE)

manage

use+

FAMS_PLATFORM_MOVE

use+

ChangePlatformConfigurationCompartment (può utilizzare anche FAMS_ADMIN_MOVE)

fams-properties
Verbs Autorizzazioni API completamente coperte API parzialmente coperte
inspect FAMS_PROPERTY_INSPECT

ListProperties (può utilizzare anche FAMS_ADMIN_INSPECT o FAMS_FLEET_INSPECT)

read

inspect+

FAMS_PROPERTY_READ

inspect+

CreateFleetProperty (richiede anche FAMS_FLEET_CREATE)

UpdateFleetProperty (richiede anche FAMS_FLEET_UPDATE)

UpdateFleetCredential (ha bisogno anche di FAMS_FLEET_UPDATE e VAULT_INSPECT) e i seguenti a seconda delle vostre esigenze:
  • Se la credenziale viene creata utilizzando la chiave del vault OCI, è necessario KEY_READ
  • Se la credenziale viene creata utilizzando il segreto del vault OCI, è necessario SECRET_READ

GetProperty (può utilizzare anche FAMS_ADMIN_READ o FAMS_FLEET_READ)

use

read+

FAMS_PROPERTY_UPDATE

read+

UpdateProperty (può utilizzare anche FAMS_ADMIN_UPDATE)

manage

use+

FAMS_PROPERTY_CREATE

use+

CreateProperty (può utilizzare anche FAMS_ADMIN_CREATE)

manage

use+

FAMS_PROPERTY_DELETE

use+

DeleteProperty (può utilizzare anche FAMS_ADMIN_DELETE)

manage

use+

FAMS_PROPERTY_MOVE

use+

ChangePropertyCompartment (può utilizzare anche FAMS_ADMIN_MOVE)

Autorizzazioni necessarie per ogni operazione API

Nella tabella seguente sono elencate le operazioni API in ordine logico, raggruppate per tipo di risorsa.

Per informazioni sulle autorizzazioni, vedere Autorizzazioni.

Operazione API Autorizzazioni necessarie per utilizzare l'operazione
ListFleets FAMS_FLEET_INSPECT
GetFleet FAMS_FLEET_READ
CreateFleet FAMS_FLEET_CREATE e FAMS_PLATFORM_READ
e gli elementi seguenti:
  • FAMS_FLEET_READ se è necessario specificare la flotta padre
  • ONS_TOPIC_READ se è necessario associare argomenti a una flotta per abilitare le notifiche.
  • INSTANCE_READ se è necessario aggiungere un'istanza a una flotta
  • DB_SYSTEM_INSPECT, DB_SYSTEM_QUERY se è necessario aggiungere un valore dbSystem a una flotta
  • VM_CLUSTER_INSPECT se è necessario aggiungere un valore vmCluster a una flotta
UpdateFleet FAMS_FLEET_UPDATE e FAMS_PLATFORM_READ
e gli elementi seguenti:
  • FAMS_FLEET_READ se è necessario specificare la flotta padre
  • ONS_TOPIC_READ se è necessario associare argomenti a una flotta per abilitare le notifiche.
  • INSTANCE_READ se è necessario aggiungere un'istanza a una flotta
  • DB_SYSTEM_INSPECT, DB_SYSTEM_QUERY se è necessario aggiungere un valore dbSystem a una flotta
  • VM_CLUSTER_INSPECT se è necessario aggiungere un valore vmCluster a una flotta
DeleteFleet FAMS_FLEET_DELETE
ChangeFleetCompartment FAMS_FLEET_MOVE
ListInventoryResources FAMS_FLEET_INSPECT
ListFleetResources FAMS_FLEET_INSPECT
CreateFleetResource FAMS_FLEET_CREATE
e gli elementi seguenti:
  • INSTANCE_READ se è necessario aggiungere un'istanza a una flotta
  • DB_SYSTEM_INSPECT, DB_SYSTEM_QUERY se è necessario aggiungere un valore dbSystem a una flotta
  • VM_CLUSTER_INSPECT se è necessario aggiungere un valore vmCluster a una flotta
GetFleetResource FAMS_FLEET_READ
UpdateFleetResource FAMS_FLEET_UPDATE
e gli elementi seguenti:
  • INSTANCE_READ se è necessario aggiungere un'istanza a una flotta
  • DB_SYSTEM_INSPECT, DB_SYSTEM_QUERY se è necessario aggiungere un valore dbSystem a una flotta
  • VM_CLUSTER_INSPECT se è necessario aggiungere un valore vmCluster a una flotta
DeleteFleetResource FAMS_FLEET_DELETE
ListFleetProperties FAMS_FLEET_INSPECT
CreateFleetProperty FAMS_FLEET_CREATE e FAMS_PROPERTY_READ
GetFleetProperty FAMS_FLEET_READ
UpdateFleetProperty FAMS_FLEET_UPDAT e FAMS_PROPERTY_READ
DeleteFleetProperty FAMS_FLEET_DELETE
ConfirmTargets FAMS_FLEET_CREATE
ListTargets FAMS_FLEET_INSPECT
ListFleetTargets FAMS_FLEET_INSPECT
ListFleetProducts FAMS_FLEET_INSPECT
GetComplianceReport FAMS_FLEET_READ
ListAnnouncements FAMS_ONBOARDING_INSPECT
ListFleetCredentials FAMS_FLEET_INSPECT
CreateFleetCredential FAMS_FLEET_CREATE, FAMS_PLATFORM_READ e VAULT_INSPECT
e gli elementi seguenti:
  • KEY_READ se la credenziale viene creata utilizzando la chiave del vault.
  • SECRET_READ se la credenziale viene creata utilizzando il segreto del vault.
GetFleetCredential FAMS_FLEET_READ
UpdateFleetCredential FAMS_FLEET_UPDATE, FAMS_PROPERTY_READ e VAULT_INSPECT
e gli elementi seguenti:
  • KEY_READ se la credenziale viene creata utilizzando la chiave del vault.
  • SECRET_READ se la credenziale viene creata utilizzando il segreto del vault.
DeleteFleetCredential FAMS_FLEET_DELETE
GenerateComplianceReport FAMS_FLEET_READ
RequestTargetDiscovery FAMS_FLEET_CREATE
RequestResourceValidation FAMS_FLEET_CREATE
CheckResourceTagging FAMS_FLEET_CREATE
ListRunbooks FAMS_RUNBOOK_INSPECT
GetRunbook FAMS_RUNBOOK_READ
CreateRunbook FAMS_RUNBOOK_CREATE, FAMS_RUNBOOK_READ e FAMS_PLATFORM_READ

anche INSTANCE_READ se il task deve essere eseguito su un'istanza self-hosted

UpdateRunbook FAMS_RUNBOOK_UPDATE, FAMS_RUNBOOK_READ e FAMS_PLATFORM_READ

anche INSTANCE_READ se il task deve essere eseguito su un'istanza self-hosted

DeleteRunbook FLEET_RUNBOOK_DELETE
ChangeRunbookCompartment FAMS_RUNBOOK_MOVE
PublishRunbook FAMS_RUNBOOK_PUBLISH
ListRunbookVersions FLEET_RUNBOOK_INSPECT
CreateRunbookVersion FLEET_RUNBOOK_CREATE, FAMS_RUNBOOK_READ e FAMS_PLATFORM_READ

anche INSTANCE_READ se il task deve essere eseguito su un'istanza self-hosted

GetRunbookVersion FLEET_RUNBOOK_READ
UpdateRunbookVersion FLEET_RUNBOOK_UPDATE, FAMS_RUNBOOK_READ e FAMS_PLATFORM_READ

anche INSTANCE_READ se il task deve essere eseguito su un'istanza self-hosted

DeleteRunbookVersion FLEET_RUNBOOK_DELETE
ListTaskRecords FAMS_RUNBOOK_INSPECT
GetTaskRecord FAMS_RUNBOOK_READ
CreateTaskRecord FAMS_RUNBOOK_CREATE
e gli elementi seguenti:
  • FAMS_PLATFORM_READ se la piattaforma (prodotto), l'operazione (operazione del ciclo di vita), è necessario specificare le credenziali
  • FAMS_CATALOG_ITEM_READ se il tipo di azione è TERRAFORM
  • FAMS_CATALOG_ITEM_READ se il tipo di azione è SCRIPT e lo script deve fare riferimento a un valore CATALOG ITEM
  • OBJECT_INSPECT, OBJECT_READ se il tipo di azione è SCRIPT e lo script deve essere selezionato dallo storage degli oggetti
UpdateTaskRecord FAMS_RUNBOOK_UPDATE
e gli elementi seguenti:
  • FAMS_PLATFORM_READ se la piattaforma (prodotto), l'operazione (operazione del ciclo di vita), è necessario specificare le credenziali
  • FAMS_CATALOG_ITEM_READ se il tipo di azione è TERRAFORM
  • FAMS_CATALOG_ITEM_READ se il tipo di azione è SCRIPT e lo script deve fare riferimento a un valore CATALOG ITEM
  • OBJECT_INSPECT, OBJECT_READ se il tipo di azione è SCRIPT e lo script deve essere selezionato dallo storage degli oggetti
DeleteTaskRecord FAMS_RUNBOOK_DELETE
ChangeTaskRecordCompartment FAMS_RUNBOOK_MOVE
ListMaintenanceWindows FAMS_MAINTENANCE_WINDOW_INSPECT
CreateMaintenanceWindow FAMS_MAINTENANCE_WINDOW_CREATE
GetMaintenanceWindow FAMS_MAINTENANCE_WINDOW_READ
UpdateMaintenanceWindow FAMS_MAINTENANCE_WINDOW_UPDATE
DeleteMaintenanceWindow FAMS_MAINTENANCE_WINDOW_DELETE
CreateSchedulerDefinition (FAMS_SCHEDULE_CREATE o FAMS_SCHEDULE_CREATE_WITH_SUDO), FAMS_FLEET_READ e FAMS_RUNBOOK_READ
e gli elementi seguenti:
  • OBJECT_INSPECT, OBJECT_READ se il tipo di parametro di input è FILE e deve essere selezionato dallo storage degli oggetti
  • FAMS_SCHEDULE_CREATE_WITH_SUDO se l'attributo runbook need sudo access è true
UpdateSchedulerDefinition (FAMS_SCHEDULE_UPDATE o FAMS_SCHEDULE_CREATE_WITH_SUDO), FAMS_FLEET_READ e FAMS_RUNBOOK_READ
e gli elementi seguenti:
  • OBJECT_INSPECT, OBJECT_READ se il tipo di parametro di input è FILE e deve essere selezionato dallo storage degli oggetti
  • FAMS_SCHEDULE_CREATE_WITH_SUDO se l'attributo runbook need sudo access è true
DeleteSchedulerDefinition FAMS_SCHEDULE_DELETE
ListSchedulerDefinitions FAMS_SCHEDULE_INSPECT
GetSchedulerDefinition FAMS_SCHEDULE_READ
DeleteSchedulerJob FAMS_SCHEDULE_DELETE o FAMS_SCHEDULE_JOB_DELETE
ListSchedulerJobs FAMS_SCHEDULE_INSPECT o FAMS_SCHEDULE_JOB_INSPECT
GetSchedulerJob FAMS_SCHEDULE_READ o FAMS_SCHEDULE_JOB_READ
UpdateSchedulerJob FAMS_SCHEDULE_UPDATE, FAMS_SCHEDULE_JOB_UPDATE o FAMS_SCHEDULE_CREATE_WITH_SUDO
GetJobActivity FAMS_SCHEDULE_READ o FAMS_SCHEDULE_JOB_READ
ManageJobExecution FAMS_SCHEDULE_UPDATE, FAMS_SCHEDULE_JOB_ACTION o FAMS_SCHEDULE_CREATE_WITH_SUDO
ListExecutions FAMS_SCHEDULE_READo FAMS_SCHEDULE_JOB_READ
GetExecution FAMS_SCHEDULE_READ o FAMS_SCHEDULE_JOB_READ
ListSteps FAMS_SCHEDULE_READ o FAMS_SCHEDULE_JOB_READ
ListResources FAMS_SCHEDULE_READ o FAMS_SCHEDULE_JOB_READ
SummarizeSchedulerJobCounts FAMS_SCHEDULE_INSPECT o FAMS_SCHEDULE_JOB_INSPECT
ListSchedulerExecutions FAMS_SCHEDULE_READ o FAMS_SCHEDULE_JOB_READ
SetDefaultRunbook FAMS_RUNBOOK_UPDATE
ListScheduledFleets FAMS_SCHEDULE_READ
ListProperties FAMS_ADMIN_INSPECT, FAMS_FLEET_INSPECT o FAMS_PROPERTY_INSPECT
CreateProperty FAMS_ADMIN_CREATE o FAMS_PROPERTY_CREATE
GetProperty FAMS_ADMIN_READ, FAMS_FLEET_READ o FAMS_PROPERTY_READ
UpdateProperty FAMS_ADMIN_UPDATE o FAMS_PROPERTY_UPDATE
DeleteProperty FAMS_ADMIN_DELETE o FAMS_PROPERTY_DELETE
ChangePropertyCompartment FAMS_ADMIN_MOVE o FAMS_PROPERTY_MOVE
ListPlatformConfigurations FAMS_PLATFORM_INSPECT
CreatePlatformConfiguration FAMS_ADMIN_CREATE o FAMS_PLATFORM_CREATE
e gli elementi seguenti:
  • FAMS_PLATFORM_READ se configCategory è PRODUCT_STACK e devono essere specificati i prodotti appartenenti a uno stack, un tipo di patch o le credenziali
  • FAMS_PLATFORM_READ se configCategory è PRODUCT e devono essere specificati prodotti compatibili, tipo di patch o credenziali
  • INSTANCE_READ se configCategory è SELF_HOSTED_INSTANCE
GetPlatformConfiguration FAMS_PLATFORM_READ
UpdatePlatformConfiguration FAMS_ADMIN_UPDATE o FAMS_PLATFORM_UPDATE
e quanto segue:
  • FAMS_PLATFORM_READ se configCategory è PRODUCT_STACK e devono essere specificati i prodotti appartenenti a uno stack, un tipo di patch o le credenziali
  • FAMS_PLATFORM_READ se configCategory è PRODUCT e devono essere specificati prodotti compatibili, tipo di patch o credenziali
  • INSTANCE_READ se configCategory è SELF_HOSTED_INSTANCE
DeletePlatformConfiguration FAMS_ADMIN_DELETE o FAMS_PLATFORM_DELETE
ChangePlatformConfigurationCompartment FAMS_ADMIN_MOVE o FAMS_PLATFORM_MOVE
ListWorkRequests FAMS_API_WORK_REQUEST_LIST
GetWorkRequest FAMS_API_WORK_REQUEST_READ
ListWorkRequestErrors FAMS_API_WORK_REQUEST_READ
ListWorkRequestLogs FAMS_API_WORK_REQUEST_READ
ListOnboardings FAMS_ONBOARDING_INSPECT
GetOnboarding FAMS_ONBOARDING_READ
CreateOnboarding DYNAMIC_GROUP_CREATE, POLICY_CREATE, TAG_NAMESPACE_CREATE, TAG_DEFINITION_ADD e ( FAMS_ADMIN_CREATE o FAMS_ONBOARDING_CREATE)
UpdateOnboarding TAG_NAMESPACE_CREATE, TAG_DEFINITION_ADD e ( FAMS_ADMIN_UPDATE o FAMS_ONBOARDING_UPDATE)
DeleteOnboarding DYNAMIC_GROUP_DELETE, POLICY_DELETE, TAG_NAMESPACE_RETIRE, TAG_DEFINITION_RETIRE e ( FAMS_ADMIN_DELETE o FAMS_ONBOARDING_DELETE)
EnableLatestPolicy DYNAMIC_GROUP_CREATE, POLICY_CREATE, TAG_NAMESPACE_CREATE, TAG_DEFINITION_ADD e ( FAMS_ADMIN_CREATE o FAMS_ONBOARDING_CREATE)
ManageSettings FAMS_ADMIN_UPDATE
ListOnboardingPolicies DYNAMIC_GROUP_CREATE, POLICY_CREATE, TAG_NAMESPACE_CREATE, TAG_DEFINITION_ADD e ( FAMS_ADMIN_CREATE o FAMS_ONBOARDING_CREATE)
ListCompliancePolicies FAMS_COMPLIANCE_POLICY_INSPECT
GetCompliancePolicy FAMS_COMPLIANCE_POLICY_READ
ListCompliancePolicyRules FAMS_COMPLIANCE_POLICY_INSPECT
GetCompliancePolicyRule FAMS_COMPLIANCE_POLICY_READ
CreateCompliancePolicyRule FAMS_COMPLIANCE_POLICY_CREATE
UpdateCompliancePolicyRule FAMS_COMPLIANCE_POLICY_UPDATE
DeleteCompliancePolicyRule FAMS_COMPLIANCE_POLICY_DELETE
ListComplianceRecords FAMS_COMPLIANCE_REPORT_READ, FAMS_FLEET_READ, FAMS_PATCH_READ, FAMS_ADMIN_READ o FAMS_COMPLIANCE_POLICY_READ
ExportComplianceReport FAMS_COMPLIANCE_REPORT_READ, FAMS_FLEET_READ, FAMS_PATCH_READ, FAMS_ADMIN_READ o FAMS_COMPLIANCE_POLICY_READ
SummarizeComplianceRecordCounts FAMS_COMPLIANCE_REPORT_READ, FAMS_FLEET_READ, FAMS_PATCH_READ, FAMS_ADMIN_READ o FAMS_COMPLIANCE_POLICY_READ
SummarizeManagedEntityCounts FAMS_COMPLIANCE_REPORT_READ, FAMS_FLEET_READ, FAMS_PATCH_READ, FAMS_ADMIN_READ o FAMS_COMPLIANCE_POLICY_READ
ListPatches FAMS_PATCH_INSPECT
GetPatch FAMS_PATCH_READ
CreatePatch FAMS_PATCH_CREATE, FAMS_PLATFORM_READ, OBJECT_INSPECT e OBJECT_READ
DeletePatch FAMS_PATCH_DELETE
UpdatePatch FAMS_PATCH_UPDATE, FAMS_PLATFORM_READ, OBJECT_INSPECT e OBJECT_READ
ChangePatchCompartment FAMS_PATCH_MOVE
CreateProvision FAMS_PROVISION_CREATE, FAMS_FLEET_READ e FAMS_CATALOG_ITEM_READ
DeleteProvision FAMS_PROVISION_DELETE
ListProvisions FAMS_PROVISION_INSPECT
UpdateProvision FAMS_PROVISION_UPDATE
GetProvision FAMS_PROVISION_READ
ChangeProvisionCompartment FAMS_PROVISION_MOVE
ListCatalogItems FAMS_CATALOG_ITEM_INSPECT
CreateCatalogItem FAMS_CATALOG_ITEM_CREATE
e gli elementi seguenti:
  • OBJECT_INSPECT e OBJECT_READ se l'elemento catalogo viene creato utilizzando l'origine come storage degli oggetti
  • ORM_CONFIG_SOURCE_PROVIDER_INSPECT se l'elemento catalogo viene creato utilizzando la configurazione di Resource Manager
GetCatalogItem FAMS_CATALOG_ITEM_READ
UpdateCatalogItem FAMS_CATALOG_ITEM_UPDATE
e gli elementi seguenti:
  • OBJECT_INSPECT e OBJECT_READ se l'elemento catalogo viene creato utilizzando l'origine come storage degli oggetti
  • ORM_CONFIG_SOURCE_PROVIDER_INSPECT se l'elemento catalogo viene creato utilizzando la configurazione di Resource Manager
DeleteCatalogItem FAMS_CATALOG_ITEM_DELETE
ChangeCatalogItemCompartment FAMS_CATALOG_ITEM_MOVE
CloneCatalogItem FAMS_CATALOG_ITEM_CLONE
ListInventoryRecords FAMS_SOFTWARE_INVENTORY_INSPECT

Criteri utente

I criteri utente di Fleet Application Management sono necessari per consentire agli utenti di accedere alle risorse di Fleet Application Management.

Di seguito è riportata la sintassi di un criterio.

allow <subject> to <verb>
                        <resource-type> in <location> where <conditions>
                    

Per dettagli completi, vedere Sintassi dei criteri.

Creare criteri per utenti o gruppi specifici per ottenere l'accesso alle risorse correlate alla gestione delle applicazioni della flotta. Vedere Creazione di un criterio.

Per applicare le autorizzazioni a livello di tenancy, sostituire compartment <compartment name> con tenancy.

Esempi di criteri

I criteri di Fleet Application Management sono necessari per l'uso di varie risorse di Fleet Application Management.

Vedere le istruzioni nella creazione di un criterio per la creazione di criteri mediante la console.

Per ulteriori dettagli sulla sintassi, vedere Sintassi dei criteri.

Esempi di criteri di Fleet Application Management:

  • Consentire a un gruppo di gestire tutte le risorse nella tenancy:
    Allow group acme-fams-developers to manage fams-family in tenancy
  • Consente agli utenti di un gruppo di leggere o gestire gli elementi del catalogo per Marketplace o gli elementi del catalogo privato a seconda del ruolo utente:
    
    Allow group <USER_GROUP> to read fams-catalog-items in compartment <USER_COMPARTMENT_NAME>

    L'esempio presuppone che gli elementi del catalogo e le istanze di computazione si trovino nello stesso compartimento di Fleet Application Management.

  • Consente agli utenti di un gruppo di accedere agli script degli elementi del catalogo dalle ubicazioni pertinenti:
    Allow group <USER_GROUP> to {PAR_MANAGE} in compartment <USER_COMPARTMENT_NAME>
    Allow group <USER_GROUP>  to read object-family in compartment <USER_COMPARTMENT_NAME>  
    Allow group <USER_GROUP> to read buckets in compartment <USER_COMPARTMENT_NAME>

    L'esempio presuppone che i bucket di storage degli oggetti e le istanze di computazione si trovino nello stesso compartimento di Fleet Application Management.

  • Consente agli utenti di un gruppo di gestire le richieste di provisioning:
    Allow group <USER_GROUP> to manage fams-provisions in compartment <USER_COMPARTMENT_NAME>

    L'esempio presuppone che le richieste di provisioning e le istanze di computazione si trovino nello stesso compartimento di Fleet Application Management.

  • Consente agli utenti di un gruppo di gestire il provisioning connettendo Gestione applicazioni flotta a Resource Manager.
    Allow group <USER_GROUP> to manage orm-config-source-providers in compartment <USER_COMPARTMENT_NAME>
    Allow group <USER_GROUP> to manage orm-jobs in compartment <USER_COMPARTMENT_NAME>
    Allow group <USER_GROUP> to manage orm-stacks in compartment <USER_COMPARTMENT_NAME>
    Allow group <USER_GROUP> to manage orm-template in compartment <USER_COMPARTMENT_NAME>
    Allow group <USER_GROUP> to manage orm-work-requests in compartment <USER_COMPARTMENT_NAME>

    L'esempio presuppone che le richieste di provisioning e le istanze di computazione si trovino nello stesso compartimento di Fleet Application Management.

  • Consenti agli utenti di un gruppo di pianificare e gestire il provisioning:
    Allow group <USER_GROUP> to manage fams-schedules in compartment <USER_COMPARTMENT_NAME>

    L'esempio presuppone che la pianificazione e le richieste di provisioning si trovino nello stesso compartimento di Fleet Application Management.

  • Consente agli utenti di un gruppo di eseguire il provisioning del tipo di risorsa OCI pertinente.
    Allow group <USER_GROUP> to manage <resource_type> in compartment <USER_COMPARTMENT_NAME>

    L'esempio presuppone che i tipi di risorsa si trovino nello stesso compartimento di Fleet Application Management.

Aggiunta di regole al gruppo dinamico

Un amministratore della tenancy in un'organizzazione abilita la gestione delle applicazioni della flotta per una tenancy. Questa azione crea due gruppi dinamici, "fams-customer-dg" e "fams-service-dg". L'amministratore definisce le regole di corrispondenza per creare istanze e membri del gruppo fams-customer-dg. Fleet Application Management esegue le operazioni del ciclo di vita su queste istanze.
  1. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità selezionare Domini.
  2. Selezionare il dominio di Identity in cui si desidera lavorare.
  3. In Dominio di identità (sul lato sinistro della pagina), selezionare Gruppi dinamici.
  4. Selezionare il gruppo dinamico fams-customer-dg. Viene visualizzata la pagina dei dettagli del gruppo dinamico.
  5. Selezionare Modifica tutte le regole di corrispondenza.
  6. Modificare la regola di corrispondenza nella casella di testo oppure utilizzare la Costruzione guidata regola se la modifica è supportata dalla Costruzione guidata regola.
    Ad esempio, digitare la regola direttamente nella casella di testo oppure utilizzare la generazione regole.

    Voce di esempio nella casella di testo:

    All {instance.compartement.id = 'ocid1.instance1.oc1.iad:sampleuniqueid1', instance.compartment.id ='ocid1.compartmentA.oc1:sampleuniqueid2'}

    Tutte le istanze esistenti o create nei compartimenti (identificate dall'OCID) sono membri di questo gruppo dinamico.

Criteri IAM

Un amministratore della tenancy nell'organizzazione abilita la gestione delle applicazioni della flotta per la tenancy. Questa azione crea i criteri IAM riportati di seguito per l'utilizzo di Fleet Application Management.

I criteri IAM in "fams-service-dg" sono:

define tenancy fams-tenancy as <fams-tenancy-ocid>
define dynamic-group fams-workload-dg as <fams-dynamicgroup-ocid>
allow dynamic-group fams-service-dg to use fams-agent-command-executions in tenancy
allow dynamic-group fams-service-dg to { FAMS_CATALOG_ITEM_INSPECT, FAMS_CATALOG_ITEM_READ } in tenancy
allow dynamic-group fams-service-dg to { INSTANCE_UPDATE } in tenancy
allow dynamic-group fams-service-dg to read instance-family in tenancy
allow dynamic-group fams-service-dg to use instances in tenancy
allow dynamic-group fams-service-dg to inspect limits in tenancy
allow dynamic-group fams-service-dg to use tag-namespaces in tenancy where target.tag-namespace.name='Oracle$FAMS-Tags'
allow dynamic-group fams-service-dg to read instance-agent-plugins in tenancy
allow dynamic-group fams-service-dg to read instance-agent-command-family in tenancy
allow dynamic-group fams-service-dg to use ons-family in tenancy
allow dynamic-group fams-service-dg to manage database-family in tenancy
allow dynamic-group fams-service-dg to manage osmh-family in tenancy
allow dynamic-group fams-service-dg to { INSTANCE_AGENT_COMMAND_CREATE } in tenancy
allow dynamic-group fams-service-dg to { OBJECTSTORAGE_NAMESPACE_READ } in tenancy
allow dynamic-group fams-service-dg to manage work-requests in tenancy

Per utilizzare Fleet Application Management, in "fams-customer-dg" sono necessari i criteri IAM riportati di seguito.

Puoi configurare i criteri per una tenancy o un compartimento in base alle tue preferenze. Se si sceglie di configurare i criteri per un compartimento, l'istruzione dei criteri può essere la seguente:

allow dynamic-group fams-customer-dg to {VAULT_READ} in <compartment_OCID>

Se si consente a Fleet Application Management di configurare i criteri per una tenancy, i criteri IAM riportati di seguito si trovano in "fams-customer-dg":


endorse any-group to { FAMS_CATALOG_ITEM_INSPECT, FAMS_CATALOG_ITEM_READ} in tenancy fams-tenancy
admit dynamic-group fams-workload-dg of tenancy fams-tenancy to read orm-stack in tenancy where all { request.principal.type = 'workload' }
allow dynamic-group fams-customer-dg to use instance-agent-command-execution-family in tenancy where request.instance.id=target.instance.id
allow dynamic-group fams-customer-dg to read instance-family in tenancy
allow dynamic-group fams-customer-dg to use fams-agent-command-executions in tenancy where request.instance.id=target.instance.id
allow dynamic-group fams-customer-dg to {OSMH_MANAGED_INSTANCE_ACCESS} in tenancy
allow dynamic-group fams-customer-dg to { OBJECT_INSPECT, OBJECT_READ } in tenancy
endorse dynamic-group fams-customer-dg to { OBJECT_CREATE, OBJECT_OVERWRITE, OBJECT_READ } in tenancy fams-tenancy where all { target.bucket.name = '<CUSTOMER_TENANCY_OCID>' }
endorse dynamic-group fams-customer-dg to { OBJECT_INSPECT, OBJECT_READ } in tenancy fams-tenancy where any { target.bucket.name = 'automations', target.bucket.name = 'patches'}
Di seguito è riportato il tipo di accesso a ciascuna delle politiche in "fams-customer-dg":
  • endorse any-group to { FAMS_CATALOG_ITEM_INSPECT, FAMS_CATALOG_ITEM_READ}  in  tenancy fams-tenancy

    Consente alla tenancy di accedere agli elementi del catalogo Marketplace.

  • admit dynamic-group fams-workload-dg of tenancy fams-tenancy to read orm-stack in tenancy where all { request.principal.type = 'workload' }

    Consente alla gestione dei requisiti di provisioning di controllare lo stato dello stack di Resource Manager.

  • allow dynamic-group fams-customer-dg to { KEY_READ, KEY_DECRYPT,SECRET_READ } in tenancy
    allow dynamic-group fams-customer-dg to {VAULT_READ} in tenancy
    allow dynamic-group fams-customer-dg to {SECRET_BUNDLE_READ} in tenancy

    Consente l'accesso alla tenancy con chiavi e segreti del vault a Fleet Application Management per le operazioni del ciclo di vita.

  • allow dynamic-group fams-customer-dg to use instance-agent-command-execution-family in tenancy where request.instance.id=target.instance.id

    Consente di gestire le operazioni del ciclo di vita utilizzando il comando di esecuzione.

  • allow dynamic-group fams-customer-dg to read instance-family in tenancy

    Consente a Fleet Application Management di ottenere i dettagli dell'istanza per i controlli dello stato.

  • allow dynamic-group fams-customer-dg to use fams-agent-command-executions in tenancy where request.instance.id=target.instance.id

    Consente a Fleet Application Management di gestire le operazioni del ciclo di vita sulle istanze utilizzando il plugin Fleet Application Management.

  • allow dynamic-group fams-customer-dg to {OSMH_MANAGED_INSTANCE_ACCESS} in tenancy

    Consente a Fleet Application Management di gestire l'applicazione di patch al sistema operativo con l'hub di gestione del sistema operativo.

  • allow dynamic-group fams-customer-dg to { OBJECT_INSPECT, OBJECT_READ } in tenancy

    Consente a Fleet Application Management di accedere agli script operativi del ciclo di vita dallo storage degli oggetti.

  • endorse dynamic-group fams-customer-dg to { OBJECT_CREATE, OBJECT_OVERWRITE, OBJECT_READ } in tenancy fams-tenancy where all { target.bucket.name = '<CUSTOMER_TENANCY_OCID>' }

    Consente a Fleet Application Management di gestire i log delle operazioni del ciclo di vita nello storage degli oggetti.

  • endorse dynamic-group fams-customer-dg to { OBJECT_INSPECT, OBJECT_READ } in tenancy fams-tenancy where any { target.bucket.name = 'automations', target.bucket.name = 'patches'}

    Consente alla tenancy di accedere agli script e alle patch dell'operazione del ciclo di vita di Fleet Application Management.

Importante

Per evitare interruzioni del servizio, un amministratore della tenancy deve assicurarsi che i criteri IAM dei gruppi dinamici "fams-service-dg", "fams-customer-dg" non vengano eliminati. Tuttavia, è possibile creare criteri personalizzati per i casi d'uso, ad esempio se sono necessari amministratori diversi per gruppi e stack di prodotti diversi.