Documentazione di Oracle Cloud Infrastructure

Riferimento ai criteri di gestione del sistema operativo

In questo argomento vengono descritti i dettagli per la scrittura dei criteri per controllare l'accesso al servizio Gestione del sistema operativo.

Nota

Ad esempio, i criteri di Gestione del sistema operativo, vedere Impostazione dei criteri IAM per la gestione del sistema operativo e Impostazione dei criteri IAM necessari per Autonomous Linux.

Dettagli per il servizio OS Management

In questo argomento vengono descritti i dettagli per la scrittura dei criteri per controllare l'accesso a Gestione del sistema operativo.

Informazioni sulle autorizzazioni per le istanze gestite

Poiché un'istanza gestita è un'istanza di computazione gestita attivamente dal servizio Gestione sistema operativo, tutte le operazioni eseguite sulle istanze gestite richiedono che gli utenti dispongano dell'autorizzazione read sull'istanza di computazione di base. Un'istanza gestita, inoltre, non dispone di un ID Oracle Cloud (OCID) separato. Per determinare quali istanze di computazione sono disponibili per gli utenti, vengono effettuate chiamate al servizio di computazione per recuperare le informazioni sull'istanza. Se non si dispone dell'accesso read ai dettagli dell'istanza di computazione, non sarà possibile gestire tale istanza di computazione con il servizio Gestione sistema operativo.

Informazioni sulle autorizzazioni per le origini software

Il set predefinito di origini software viene creato nel compartimento radice. Per leggere tali origini software, agli utenti devono essere concesse le autorizzazioni read.

È necessario limitare le autorizzazioni per le origini software nel compartimento radice per impedire agli utenti di eliminare o rimuovere accidentalmente questi pacchetti. Questi pacchetti sono destinati ad essere utilizzati così com'è o come base per la creazione di origini software personalizzate, ma non devono essere modificati direttamente.

Quando si crea un'origine software, può essere popolata solo con pacchetti provenienti da origini software esistenti a cui l'utente dispone delle autorizzazioni di accesso. Per limitare i pacchetti utilizzabili, è possibile creare un'origine software personalizzata in un compartimento diverso (o con un criterio che concede autorizzazioni diverse). È quindi possibile inserire nell'origine software personalizzata solo i pacchetti che si desidera consentire agli utenti di utilizzare.

Informazioni sulle autorizzazioni per Autonomous Linux

Oltre ai criteri IAM necessari per la gestione del sistema operativo, le istanze Autonomous Linux richiedono le autorizzazioni riportate di seguito.

  • Autorizzazioni use per il tipo di risorsa ons-topics. Questa autorizzazione consente al plugin Oracle Autonomous Linux di inviare notifiche su aggiornamenti ed eventi autonomi a un argomento del servizio di notifiche.
  • Autorizzazioni manage per il tipo di risorsa osms-events. Questa autorizzazione consente al plugin Oracle Autonomous Linux di acquisire gli eventi per le istanze e di consentire agli utenti di visualizzare e gestire gli eventi.

Per un esempio dei criteri IAM necessari per Autonomous Linux, vedere Impostazione dei criteri IAM necessari per Autonomous Linux.

Considerazioni sul compartimento

È possibile impostare il servizio Gestione sistema operativo per gestire tutte le istanze nella tenancy impostando i criteri a livello di compartimento radice. L'impostazione dei criteri a livello di compartimento radice rappresenta il modo più semplice per creare i criteri del servizio Gestione del sistema operativo, ma dipende dalla disponibilità o meno dei privilegi necessari per creare il criterio. Se non si dispone dei privilegi necessari, utilizzare l'amministratore per la tenancy.

In alternativa, è possibile impostare il servizio Gestione sistema operativo in modo da gestire solo un subset delle istanze impostando i criteri a livello di compartimento. L'impostazione dei criteri a livello di compartimento consente al servizio di gestire solo un subset delle istanze a livello di compartimento e dei relativi compartimenti secondari.

Tutte le origini software di base si trovano nel compartimento radice. Quando si impostano i criteri, assicurarsi che le autorizzazioni per il criterio non siano troppo limitate. Ad esempio, si potrebbero verificare errori di autorizzazione se si dispone solo dell'accesso a un compartimento e si è tentato di installare pacchetti o aggiornamenti da origini software nel compartimento radice.

Ad esempio: 

Allow group <group_name> to manage osms-family in tenancy

Per garantire che l'utente disponga dell'accesso appropriato, è necessario che all'utente siano concesse le autorizzazioni OSMS_SOFTWARE_SOURCE_READ nel compartimento radice.

Tipo di risorsa aggregata

osms-family

Singola risorsa-tipi

osms-errata

osms-events

osms-managed-instances

osms-managed-instance-groups

osms-scheduled-jobs

osms-software-sources

osms-work-requests

Dettagli per le combinazioni verbo-tipo di risorsa

Le tabelle seguenti mostrano le autorizzazioni e le operazioni API coperte da ciascun verbo. Il livello di accesso è cumulativo quando si sceglie inspect > read > use > manage. Un segno più (+) in una cella di tabella indica l'accesso incrementale rispetto alla cella direttamente sopra di essa, mentre "nessun extra" indica nessun accesso incrementale.

osms-errata
Verbi Autorizzazioni API completamente coperte API parzialmente coperte
ispezionare

nessuno

 nessuno

nessuno
letto

ISPEZIONA +

OSMS_ERRATA_READ

GetErratum

nessuno
utilizzare

nessuno

nessuno

nessuno
gestisci

USE +

nessuno

nessuno

nessuno
osms-eventi

Verbi Autorizzazioni API completamente coperte API parzialmente coperte
ispezionare

OSMS_EVENT_INSPECT

ListEvents

ListRelatedEvents

nessuno
letto

ISPEZIONA +

OSMS_EVENT_READ

GetEvent

GetEventContent

GetEventReport

nessuno
utilizzare

LETTO +

OSMS_EVENT_UPDATE

UpdateEvent

nessuno
gestisci

USE +

OSMS_EVENTS_MANAGE

DeleteEventContent

UploadEventContent

nessuno
istanze gestite da osms
Verbi Autorizzazioni API completamente coperte API parzialmente coperte
ispezionare

OSMS_MANAGED_INSTANCE_INSPECT

ListManagedInstances

nessuno
letto

ISPEZIONA +

OSMS_MANAGED_INSTANCE_READ

ListAvailablePackagesForManagedInstance

ListPackagesInstalledOnManagedInstance

ListAvailableUpdatesForManagedInstance

ListAvailableSoftwareSourcesForManagedInstance (ha bisogno anche di inspect osms-software-source)
utilizzare

LETTO +

OSMS_MANAGED_INSTANCE_ACCESS

nessuno

Nessuna operazione API coperta per questa autorizzazione. Questa autorizzazione controlla se l'agente del servizio di gestione del sistema operativo nell'istanza di computazione può accedere al servizio di gestione del sistema operativo.

nessuno
gestisci

USE +

OSMS_MANAGED_INSTANCE_UPDATE

OSMS_MANAGED_INSTANCE_INSTALL_UPDATE

OSMS_MANAGED_INSTANCE_INSTALL_PACKAGE

OSMS_MANAGED_INSTANCE_REMOVE_PACKAGE

OSMS_MANAGED_INSTANCE_ADD_SOFTWARE_SOURCE

OSMS_MANAGED_INSTANCE_REMOVE_SOFTWARE_SOURCE

DetachChildSoftwareSourceFromManagedInstance

DetachParentSoftwareSourceFromManagedInstance

AttachChildSoftwareSourceToManagedInstance(ha bisogno anche di read osms-software-sources)

AttachManagedInstanceToManagedInstanceGroup e DetachManagedInstanceFromManagedInstanceGroup (entrambi richiedono manage osms-managed-instance-groups)

CreateScheduledJob (ha bisogno anche di use osms-scheduled-jobs, use osms-managed-instance-groups e read osms-software-sources)

InstallPackageOnManagedInstance e InstallPackageUpdateOnManagedInstance (entrambi richiedono read osms-software-sources)
osms-managed-instance-groups
Verbi Autorizzazioni API completamente coperte API parzialmente coperte
ispezionare OSMS_MANAGED_INSTANCE_GROUP_INSPECT

ListManagedInstanceGroups

nessuno
letto

ISPEZIONA +

OSMS_MANAGED_INSTANCE_GROUP_READ

GetManagedInstanceGroup

nessuno
utilizzare

LETTO +

OSMS_MANAGED_INSTANCE_GROUP_INSTALL_UPDATE

OSMS_MANAGED_INSTANCE_GROUP_INSTALL_PACKAGE

OSMS_MANAGED_INSTANCE_GROUP_REMOVE_PACKAGE

OSMS_MANAGED_INSTANCE_GROUP_UPDATE

UpdateManagedInstanceGroup

CreateScheduledJob (ha bisogno anche di use osms-scheduled-jobs, manage osms-managed-instances e read software sources)
gestisci

USE +

OSMS_MANAGED_INSTANCE_GROUP_ADD_INSTANCE

OSMS_MANAGED_INSTANCE_GROUP_REMOVE_INSTANCE

OSMS_MANAGED_INSTANCE_GROUP_CREATE

OSMS_MANAGED_INSTANCE_GROUP_DELETE

OSMS_MANAGED_INSTANCE_GROUP_MOVE

CreateManagedInstanceGroup

DeleteManagedInstanceGroup

ChangeManagedInstanceGroupComparment

AttachManagedInstanceToManagedInstanceGroup e DetachManagedInstanceFromManagedInstanceGroup (ha bisogno anche di use osms-managed-instances)
osms-software-sources
Verbi Autorizzazioni API completamente coperte API parzialmente coperte
ispezionare

OSMS_SOFTWARE_SOURCE_INSPECT

ListSoftwareSources

ListAvailableSoftwareSourcesForManagedInstance (richiede anche read osms-managed-instances)
letto

ISPEZIONA +

OSMS_SOFTWARE_SOURCE_READ

GetSoftwareSource

ListSoftwarePackages

GetSoftwarePackage

SearchSoftwarePackages

AttachChildSoftwareSourceToManagedInstance (richiede anche manage osms-managed-instances)

CreateScheduledJob (ha bisogno anche di use osms-scheduled-jobs, use osms-managed-instance-groups e manage osms-managed-instances)

InstallPackageOnManagedInstance e InstallPackageUpdateOnManagedInstance (entrambi richiedono anche manage osms-managed-instances)
utilizzare

LETTO +

OSMS_MANAGED_INSTANCE_GROUP_INSTALL_UPDATE

UpdateSoftwareSource

nessuno
gestisci

USE +

OSMS_SOFTWARE_SOURCE_CREATE

OSMS_SOFTWARE_SOURCE_ADD_PACKAGES

OSMS_SOFTWARE_SOURCE_REMOVE_PACKAGE

OSMS_SOFTWARE_SOURCE_DELETE

OSMS_SOFTWARE_SOURCE_REMOVE_PACKAGE

CreateSoftwareSource

DeleteSoftwareSource

ChangeSoftwareSourceCompartment

AddPackagesToSoftwareSource

RemovePackagesFromSoftwareSource

nessuno
osms-scheduled-jobs
Verbi Autorizzazioni API completamente coperte API parzialmente coperte
ispezionare

OSMS_SCHEDULED_JOB_INSPECT

ListScheduledJobs

nessuno
letto

ISPEZIONA +

OSMS_SCHEDULED_JOB_READ

GetScheduledJob

nessuno
utilizzare

LETTO +

OSMS_SCHEDULED_JOB_UPDATE

UpdateScheduledJob

nessuno
gestisci

USE +

OSMS_SCHEDULED_JOB_CREATE

OSMS_SCHEDULED_JOB_DELETE

OSMS_SCHEDULED_JOB_MOVE

DeleteScheduledJob

ChangeScheduledJobCompartment

ChangeScheduledJobCompartment

CreateScheduledJob (ha bisogno anche di use osms-managed-instance groups, manage osms-managed-instances e read osms-software-sources)
osms-work-requests

Verbi Autorizzazioni API completamente coperte API parzialmente coperte
ispezionare

OSMS_WORK_REQUEST_INSPECT

ListWorkRequests

nessuno
letto

ISPEZIONA +

OSMS_WORK_REQUEST_READ

GetWorkRequest

nessuno
utilizzare

LETTO +

nessun altro

nessun altro

nessuno
gestisci

USE +

OSMS_WORK_REQUEST_CANCEL

CancelWorkRequest

nessuno

Autorizzazioni necessarie per ogni operazione API

Nelle tabelle seguenti sono elencate le operazioni API raggruppate per tipo di risorsa. I tipi di risorsa sono elencati in ordine alfabetico. Per informazioni sulle autorizzazioni, vedere Autorizzazioni.

Operazione API Autorizzazioni necessarie per utilizzare l'operazione
ListEvents OSMS_EVENT_INSPECT
ListRelatedEvents OSMS_EVENT_INSPECT
DeleteEventContent OSMS_EVENT_MANAGE
UploadEventContent OSMS_EVENT_MANAGE
GetEvent OSMS_EVENT_READ
GetEventContent OSMS_EVENT_READ
GetEventReport OSMS_EVENT_READ
UpdateEvent OSMS_EVENT_UPDATE
AttachChildSoftwareSourceToManagedInstance OSMS_MANAGED_INSTANCE_ADD_SOFTWARE_SOURCE e OSMS_SOFTWARE_SOURCE_READ
AttachParentSoftwareSourceToManagedInstance OSMS_MANAGED_INSTANCE_ADD_SOFTWARE_SOURCE e OSMS_SOFTWARE_SOURCE_READ
AttachManagedInstanceToManagedInstanceGroup OSMS_MANAGED_INSTANCE_GROUP_ADD_INSTANCE e OSMS_MANAGED_INSTANCE_UPDATE
CreateManagedInstanceGroup OSMS_MANAGED_INSTANCE_GROUP_CREATE
DeleteManagedInstanceGroup OSMS_MANAGED_INSTANCE_GROUP_DELETE
ListManagedInstanceGroups OSMS_MANAGED_INSTANCE_GROUP_INSPECT
ChangeManagedInstanceGroupComparment OSMS_MANAGED_INSTANCE_GROUP_MOVE
GetManagedInstanceGroup OSMS_MANAGED_INSTANCE_GROUP_READ
DetachManagedInstanceFromManagedInstanceGroup OSMS_MANAGED_INSTANCE_GROUP_REMOVE_INSTANCE e OSMS_MANAGED_INSTANCE_UPDATE
UpdateManagedInstanceGroup OSMS_MANAGED_INSTANCE_GROUP_UPDATE
ListManagedInstances OSMS_MANAGED_INSTANCE_INSPECT
InstallPackageOnManagedInstance OSMS_MANAGED_INSTANCE_INSTALL_PACKAGE e OSMS_SOFTWARE_SOURCE_READ
InstallPackageUpdateOnManagedInstance OSMS_MANAGED_INSTANCE_INSTALL_UPDATE e OSMS_SOFTWARE_SOURCE_READ
GetManagedInstance OSMS_MANAGED_INSTANCE_READ
ListAvailablePackagesForManagedInstance OSMS_MANAGED_INSTANCE_READ
ListAvailableUpdatesForManagedInstance OSMS_MANAGED_INSTANCE_READ
ListAvailableSoftwareSourcesForManagedInstance OSMS_MANAGED_INSTANCE_READ e OSMS_SOFTWARE_SOURCE_INSPECT
ListPackagesInstalledOnManagedInstance OSMS_MANAGED_INSTANCE_READ
RemovePackageFromManagedInstance OSMS_MANAGED_INSTANCE_REMOVE_PACKAGE
DetachChildSoftwareSourceFromManagedInstance OSMS_MANAGED_INSTANCE_REMOVE_SOFTWARE_SOURCE
DetachParentSoftwareSourceFromManagedInstance OSMS_MANAGED_INSTANCE_REMOVE_SOFTWARE_SOURCE
DisableModuleStreamOnManagedInstance OSMS_MANAGED_INSTANCE_UPDATE
EnableModuleStreamOnManagedInstance OSMS_MANAGED_INSTANCE_UPDATE
InstallModuleStreamProfileOnManagedInstance OSMS_MANAGED_INSTANCE_UPDATE
ManageModuleStreamsOnManagedInstance OSMS_MANAGED_INSTANCE_UPDATE
SwitchModuleStreamOnManagedInstance OSMS_MANAGED_INSTANCE_UPDATE
CreateScheduledJob

OSMS_SCHEDULED_JOB_CREATE e una o più delle seguenti autorizzazioni:

  • OSMS_MANAGED_INSTANCE_GROUP_INSTALL_PACKAGE e OSMS_SOFTWARE_SOURCE_READ

  • OSMS_MANAGED_INSTANCE_GROUP_INSTALL_UPDATE e OSMS_SOFTWARE_SOURCE_READ

  • OSMS_MANAGED_INSTANCE_GROUP_REMOVE_PACKAGE

  • OSMS_MANAGED_INSTANCE_INSTALL_PACKAGE e OSMS_SOFTWARE_SOURCE_READ

  • OSMS_MANAGED_INSTANCE_INSTALL_UPDATE e OSMS_SOFTWARE_SOURCE_READ

  • OSMS_MANAGED_INSTANCE_REMOVE_PACKAGE

DeleteScheduledJob OSMS_SCHEDULED_JOB_DELETE
ListScheduledJobs OSMS_SCHEDULED_JOB_INSPECT
ChangeScheduledJobCompartment OSMS_SCHEDULED_JOB_MOVE
GetScheduledJob OSMS_SCHEDULED_JOB_READ
UpdateScheduledJob OSMS_SCHEDULED_JOB_UPDATE
AddPackagesToSoftwareSource OSMS_SOFTWARE_SOURCE_ADD_PACKAGES
CreateSoftwareSource OSMS_SOFTWARE_SOURCE_CREATE
DeleteSoftwareSource OSMS_SOFTWARE_SOURCE_DELETE
ChangeSoftwareSourceCompartment OSMS_SOFTWARE_SOURCE_MOVE
GetSoftwarePackage OSMS_SOFTWARE_SOURCE_READ
ListSoftwarePackages OSMS_SOFTWARE_SOURCE_READ
SearchSoftwarePackages OSMS_SOFTWARE_SOURCE_READ
RemovePackagesFromSoftwareSource OSMS_SOFTWARE_SOURCE_REMOVE_PACKAGES
UpdateSoftwareSource OSMS_SOFTWARE_SOURCE_UPDATE
CancelWorkRequest OSMS_WORK_REQUEST_CANCEL
ListWorkRequests OSMS_WORK_REQUEST_INSPECT
GetWorkRequest OSMS_WORK_REQUEST_READ