Criteri di esempio

Il gruppo dinamico richiede una regola per ogni compartimento (e compartimento figlio) che conterrà le istanze gestite. Questo esempio mostra le regole per il compartimento radice (tenancy), il compartimento dev, il compartimento figlio test e il compartimento prod.

ANY {instance.compartment.id='<tenancy_ocid>',instance.compartment.id='<dev_compartment_ocid>',instance.compartment.id='<test_child compartment_ocid>',instance.compartment.id='<prod_compartment_ocid>'}
ALL {resource.type='managementagent', resource.compartment.id='<tenancy_ocid>'}
ALL {resource.type='managementagent', resource.compartment.id='<dev_compartment_ocid>'}
ALL {resource.type='managementagent', resource.compartment.id='<test_child compartment_ocid>'}
ALL {resource.type='managementagent', resource.compartment.id='<prod_compartment_ocid>'}

• La prima riga indica al gruppo di includere le istanze OCI nel compartimento radice, nel compartimento dev, nel compartimento figlio test e nel compartimento prod. Questa operazione viene eseguita utilizzando una singola istruzione di regola utilizzando ANY e includendo ogni compartimento nell'istruzione.
• Le quattro righe successive indicano al gruppo di includere i Management Agent nel compartimento specificato. Includendo la risorsa Management Agent, l'istruzione includerà l'istanza cloud on-premise o di terze parti corrispondente.

allow dynamic-group osmh-instances to {OSMH_MANAGED_INSTANCE_ACCESS} in tenancy where request.principal.id = target.managed-instance.id
allow group osmh-admins to manage osmh-family in tenancy
allow group osmh-admins to manage management-agents in tenancy
allow group osmh-admins to manage management-agent-install-keys in tenancy

• La prima riga consente all'agente nelle istanze gestite di interagire con l'hub di gestione del sistema operativo. OSMH_MANAGED_INSTANCE_ACCESS fornisce l'accesso per l'hub di gestione del sistema operativo.
• La seconda riga consente al gruppo di utenti di gestire tutte le risorse dell'hub di gestione del sistema operativo nella tenancy.
• La terza riga consente al gruppo di utenti di creare, aggiornare ed eliminare i Management Agent nella tenancy.
• La quarta riga consente al gruppo di utenti di creare, aggiornare ed eliminare le chiavi di installazione nella tenancy.

Il gruppo dinamico richiede una regola per ogni compartimento (e compartimento figlio) che conterrà le istanze gestite. Questo esempio mostra le regole per il compartimento figlio dev e test utilizzando istruzioni di regole separate per ciascuno di essi.

ALL {instance.compartment.id='<dev_compartment_ocid>'}
ALL {instance.compartment.id='<test_compartment_ocid>'}

• La prima riga include tutte le istanze nel compartimento dev.
• La seconda riga include tutte le istanze nel compartimento figlio test.
• In alternativa, invece di due istruzioni di regole è possibile utilizzare una singola istruzione ANY: ANY {instance.compartment.id='<dev_compartment_ocid>',instance.compartment.id='<test_compartment_ocid>'}

allow dynamic-group osmh-instances to {OSMH_MANAGED_INSTANCE_ACCESS} in compartment dev where request.principal.id = target.managed-instance.id
allow group osmh-admins-dev to manage osmh-family in compartment dev
allow group osmh-admins-dev to read osmh-profiles in tenancy where target.profile.compartment.id = '<tenancy_ocid>'
allow group osmh-admins-dev to read osmh-software-sources in tenancy where target.softwareSource.compartment.id = '<tenancy_ocid>'
allow group osmh-admins-dev to manage management-agents in compartment dev
allow group osmh-admins-dev to manage management-agent-install-keys in compartment dev

• La prima riga consente all'agente del servizio nelle istanze gestite di interagire con l'hub di gestione del sistema operativo.
• La seconda riga consente al gruppo di utenti di gestire tutte le risorse dell'hub di gestione del sistema operativo nel compartimento dev. I criteri utilizzano l'ereditarietà del compartimento, pertanto l'utente sarà anche in grado di gestire le risorse in qualsiasi compartimento figlio di dev (in questo esempio, test).
• La terza e la quarta riga consentono al gruppo di utenti di leggere i profili e le origini software nel compartimento radice. Ciò è necessario per replicare le origini software del fornitore e utilizzare i profili forniti dal servizio.
• La quinta e la sesta riga consentono all'utente di gestire le chiavi e gli agenti di Management Agent Cloud Service (MACS).

Il gruppo dinamico richiede una regola per ogni compartimento che conterrà istanze gestite. Questo esempio mostra una regola per il compartimento prod.

ALL {resource.type='managementagent', resource.compartment.id='<prod_compartment_ocid>'}

• La regola indica al gruppo dinamico di includere le risorse del Management Agent nel compartimento prod. L'inclusione dell'agente consentirà all'hub di gestione del sistema operativo di gestire l'istanza cloud in locale o di terze parti corrispondente.

allow dynamic-group osmh-instances to {OSMH_MANAGED_INSTANCE_ACCESS} in compartment prod where request.principal.id = target.managed-instance.id
allow group osmh-operators to read osmh-family in compartment prod

• La prima riga consente all'agente nelle istanze gestite di interagire con l'hub di gestione del sistema operativo.
• La seconda riga consente al gruppo di utenti di visualizzare tutte le risorse dell'hub di gestione del sistema operativo nel compartimento prod.
• I criteri per Management Agent Cloud Service (MACS) non sono necessari per visualizzare istanze cloud in locale o di terze parti nell'hub di gestione del sistema operativo. Pertanto, il gruppo di utenti operatore non ha bisogno di accedere a MACS come mostrato negli esempi precedenti.