Documentazione dell'infrastruttura Oracle Cloud

Esempi di criteri

Quando si scrivono i criteri, è possibile utilizzare il gruppo Administrators per la gestione della tenancy, ad esempio:

allow group Administrators to manage wlms-managed-instances in tenancy
allow group Administrators to manage wlms-wlsdomains in tenancy
allow group Administrators to manage wlms-family in tenancy

È inoltre possibile semplificare le autorizzazioni combinando le istruzioni dei criteri in cui più gruppi richiedono le stesse autorizzazioni. Ad esempio, le istruzioni dei criteri riportate di seguito.

allow group <user-grp-01> to inspect wlms-wlsdomains in tenancy
allow group <user-grp-01> to inspect wlms-work-requests in tenancy
allow group <user-grp-02> to inspect wlms-wlsdomains in tenancy
allow group <user-grp-02> to inspect wlms-work-requests in tenancy

Può diventare:

allow group <user-grp-01>,<user-grp-01> { WLMS_WLSDOMAIN_INSPECT, WLMS_WORK_REQUEST_INSPECT } in tenancy

Criteri di esempio che limitano il gruppo di utenti

Gli esempi forniti sono i criteri di esempio utilizzati per limitare l'accesso alle risorse o ai compartimenti per un determinato gruppo di utenti. La tenancy in questi esempi ha la seguente struttura di compartimento:

  • Compartimento root (tenancy)
    • Compartimento <dev>
      • Sottocompartimento <test> di <dev>
    • Compartimento <prod>
Utente amministratore con autorizzazioni tenancy

Per questo esempio:

  • Il gruppo dinamico è <wlms-dyn-grp>. Le istruzioni delle regole includono le istanze OCI nel compartimento radice (tenancy), nel compartimento <dev>, nel compartimento secondario <test> e nel compartimento <prod>.
  • L'utente appartiene al gruppo di utenti <wlms-admin-grp> che è autorizzato a gestire tutte le risorse all'interno della tenancy.

Istruzioni criteri

  • Consente al gruppo dinamico di visualizzare ed eseguire la scansione delle istanze gestite in un compartimento specifico.
    allow dynamic-group <wlms-dyn-grp> to {WLMS_MANAGED_INSTANCE_USE} in tenancy where target.compartment.id='<dev_compartment_ocid>'
  • Consente al gruppo di utenti di visualizzare, analizzare e aggiornare tutte le istanze gestite nella tenancy.
    allow group <wlms-admin-grp> to use wlms-managed-instances in tenancy
  • Consente al gruppo di utenti di utilizzare, aggiornare, riavviare, applicare patch e spostare tutti i domini nella tenancy.
    allow group <wlms-admin-grp> to use wlms-wlsdomains in tenancy
  • Consente al gruppo di utenti di gestire tutte le risorse nella tenancy.
    allow group <wlms-admin-grp> to manage wlms-family in tenancy
Utente amministratore limitato a un compartimento

Per questo esempio:

  • L'utente appartiene al gruppo di utenti wlms-admin-grp-dev che può gestire tutte le risorse all'interno del compartimento <dev> e del compartimento secondario <test>.

Istruzioni criteri

  • Consente al gruppo di utenti di gestire tutte le risorse del servizio di gestione WebLogic nel compartimento <dev>. I criteri utilizzano l'ereditarietà del compartimento, pertanto l'utente potrà anche gestire le risorse in qualsiasi compartimento secondario di <dev> (in questo esempio, <test>).
    allow group <wlms-admin-grp-dev> to manage wlms-family in compartment <dev>
  • Consente al gruppo di utenti di leggere le istanze gestite nel compartimento radice. 
    allow group <wlms-admin-grp-dev> to read wlms-managed-instances in tenancy where target.compartment.id = '<tenancy_ocid>'
  • Consente all'utente di utilizzare le istanze gestite nel compartimento dev.
    allow group <wlms-admin-grp-dev> to use wlms-managed-instances in compartment <dev>
  • Consente all'utente di utilizzare, aggiornare, riavviare, applicare patch, spostare ed eliminare i domini nel compartimento dev.
    allow group <wlms-admin-grp-dev> to manage wlms-wlsdomains in compartment <dev>
Utente limitato a un compartimento

Per questo esempio:

  • Il gruppo dinamico è <wlms-instances>. L'istruzione della regola include la risorsa agente plugin nel compartimento <prod>.
  • L'utente appartiene al gruppo di utenti <wlms-users> che può leggere tutte le risorse di gestione WebLogic all'interno del compartimento <prod>.

Istruzioni criteri

  • Consente all'agente nelle istanze gestite di interagire con WebLogic Management.
    allow dynamic-group <wlms-instances> to {WLMS_MANAGED_INSTANCE_PLUGIN_ACCESS} in compartment prod where request.principal.id = target.managed-instance.i
  • Consente al gruppo di utenti di visualizzare tutte le risorse di gestione WebLogic nel compartimento <prod>.
    allow group <wlms-users> to read wlms-family in compartment <prod>

Criteri di esempio avanzati

Gli esempi avanzati di gestione WebLogic forniti sono criteri di esempio utilizzati per limitare l'accesso alle risorse o ai compartimenti per un determinato gruppo di utenti.

Consentire a un gruppo di utenti di visualizzare solo le risorse di gestione WebLogic

Tipo di accesso: consente di visualizzare tutte le istanze gestite in un compartimento in cui è abilitato il plugin Gestione WebLogic, i domini e i server del server WebLogic trovati dal plugin Gestione WebLogic e tutte le impostazioni di configurazione. Con questo criterio un utente del gruppo non può eseguire azioni di servizio che potrebbero modificare lo stato dei domini del server WebLogic.

Quando utilizzare: questo criterio è utile quando si desidera controllare l'accesso a un compartimento in cui si dispone dei domini server WebLogic di produzione.

Dove creare il criterio: inserire questo criterio nel compartimento per il quale si concederà l'accesso al gruppo di utenti.

Allow group Default/<WlmsDevUsers> to read wlms-family in compartment <WlmsProduction>
Consentire a un gruppo di utenti di eseguire tutte le azioni nella gestione WebLogic ad eccezione dei domini di eliminazione

Tipo di accesso: consente di eseguire tutte le azioni del servizio ad eccezione dell'azione Elimina dominio.

Quando utilizzare: questo criterio è utile quando si desidera impedire l'eliminazione accidentale del dominio.

Dove creare il criterio: inserire questo criterio nel compartimento per il quale si concederà l'accesso al gruppo di utenti.

Allow group Default/<WlmsUsers> to use wlms-family in compartment <WlmsTest>
Consentire a un gruppo di utenti di eseguire solo azioni di scansione sui domini WebLogic e sulle istanze gestite da WebLogic Management

Tipo di accesso: consente di visualizzare tutte le istanze gestite in un compartimento in cui è abilitato il plugin Gestione WebLogic, i domini e i server del server WebLogic trovati dal plugin Gestione WebLogic e tutte le impostazioni di configurazione. Con questo criterio un utente del gruppo può anche ottenere le informazioni più recenti sul dominio WebLogic su richiesta eseguendo l'azione di scansione.

Quando utilizzare: questo criterio è utile quando si desidera controllare l'accesso a un compartimento in cui si dispone dei domini server WebLogic di produzione.

Dove creare il criterio: inserire questo criterio nel compartimento per il quale si concederà l'accesso al gruppo di utenti.

Allow group Default/<WlmsDevUsers> to read wlms-family in compartment <WlmsProduction>
Allow group Default/<WlmsDevUsers> to use wlms-wlsdomains in compartment <WlmsProduction> where all {request.permission='WLMS_WLSDOMAIN_USE',request.operation='ScanWlsDomain'}
Allow group Default/<WlmsDevUsers> to {WLMS_MANAGED_INSTANCE_USE} in compartment <WlmsProduction>
Consente a un gruppo di utenti di eseguire la scansione e l'applicazione di patch ai domini WebLogic senza la possibilità di aggiornare le impostazioni di configurazione

Tipo di accesso: consente di visualizzare tutte le istanze gestite in un compartimento in cui è abilitato il plugin Gestione WebLogic, i domini e i server del server WebLogic trovati dal plugin Gestione WebLogic e tutte le impostazioni di configurazione. Con questo criterio, un utente del gruppo può anche ottenere le informazioni più recenti sul dominio WebLogic su richiesta eseguendo l'azione di scansione e i domini di patch.

Quando utilizzare: questo criterio è utile quando si desidera specificare un determinato set di utenti, ad esempio gli utenti delle operazioni, per eseguire operazioni specifiche solo durante una finestra di applicazione delle patch a un compartimento in cui si dispone dei domini server WebLogic di produzione.

Dove creare il criterio: inserire questo criterio nel compartimento per il quale si concederà l'accesso al gruppo di utenti.

Allow group Default/<WlmsOperationsUsers> to read wlms-family in compartment <WlmsProduction>
Allow group Default/<WlmsOperationsUsers> to {WLMS_WLSDOMAIN_USE} in compartment <WlmsProduction>
Allow group Default/<WlmsOperationsUsers> to {WLMS_MANAGED_INSTANCE_USE} in compartment <WlmsProduction>
Allow group Default/<WlmsOperationsUsers> to {WLMS_WLSDOMAIN_PATCH} in compartment <WlmsProduction>
Consente a un gruppo di utenti di eseguire azioni di riavvio e aggiornare l'ordine di riavvio

Tipo di accesso: consente di visualizzare tutte le istanze gestite in un compartimento in cui è abilitato il plugin Gestione WebLogic, i domini e i server del server WebLogic trovati dal plugin Gestione WebLogic e tutte le impostazioni di configurazione. Con questo criterio, un utente del gruppo può anche ottenere le informazioni più recenti sul dominio WebLogic su richiesta eseguendo l'azione di scansione, modificando le impostazioni di configurazione e riavviando i domini.

Quando utilizzare: questo criterio è utile quando si desidera specificare un determinato set di utenti, ad esempio gli utenti Operations, per eseguire operazioni specifiche solo durante una finestra di applicazione delle patch a un compartimento in cui sono presenti i domini server WebLogic di produzione. Queste impostazioni sono state impostate in modo da non consentire l'applicazione delle patch. Quando la finestra di applicazione delle patch è aperta, è possibile sostituire WLMS_WLSDOMAIN_RESTART con l'autorizzazione WLMS_WLSDOMAIN_PATCH.

Dove creare il criterio: inserire questo criterio nel compartimento per il quale si concederà l'accesso al gruppo di utenti.

Allow group Default/<WlmsOperationsUsers> to read wlms-family in compartment <WlmsProduction>
Allow group Default/<WlmsOperationsUsers> to {WLMS_WLSDOMAIN_USE} in compartment <WlmsProduction>
Allow group Default/<WlmsOperationsUsers> to {WLMS_MANAGED_INSTANCE_USE} in compartment <WlmsProduction>
Allow group Default/<WlmsOperationsUsers> to {WLMS_WLSDOMAIN_RESTART} in compartment <WlmsProduction>
Allow group Default/<WlmsOperationsUsers> to {WLMS_WLSDOMAIN_UPDATE} in compartment <WlmsProduction>
Consente a un gruppo di utenti di eseguire tutte le azioni consentite dal verbo use per i domini WebLogic tranne lo spostamento di un compartimento

Tipo di accesso: consente di visualizzare tutte le istanze gestite in un compartimento in cui è abilitato il plugin Gestione WebLogic, i domini e i server del server WebLogic trovati dal plugin Gestione WebLogic e tutte le impostazioni di configurazione. Con questo criterio un utente del gruppo può anche ottenere le informazioni più recenti sul dominio WebLogic su richiesta eseguendo l'azione di scansione, modificando le impostazioni di configurazione, riavviando i domini e i domini di patch. La possibilità di spostare il compartimento non viene aggiunta.

Quando utilizzare: questo criterio è utile quando si dispone di una struttura organizzativa per i compartimenti che si desidera gestire e non si desidera che altri utenti possano interrompere questa organizzazione spostando un dominio.

Dove creare il criterio: inserire questo criterio nel compartimento per il quale si concederà l'accesso al gruppo di utenti.

Allow group Default/<WlmsDevUsers> to read wlms-family in compartment <WlmsDev>
Allow group Default/<WlmsDevUsers> to {WLMS_WLSDOMAIN_USE} in compartment <WlmsDev>
Allow group Default/<WlmsDevUsers> to {WLMS_MANAGED_INSTANCE_USE} in compartment <WlmsDev>
Allow group Default/<WlmsDevUsers> to {WLMS_WLSDOMAIN_PATCH} in compartment <WlmsDev>
Allow group Default/<WlmsDevUsers> to {WLMS_WLSDOMAIN_UPDATE} in compartment <WlmsDev>
Consente a un gruppo di utenti di eseguire la scansione in istanze gestite dalla gestione WebLogic senza la possibilità di aggiornare la configurazione

Tipo di accesso: consente di visualizzare tutte le istanze gestite in un compartimento in cui è abilitato il plugin Gestione WebLogic, i domini e i server del server WebLogic trovati dal plugin Gestione WebLogic e tutte le impostazioni di configurazione. Con questo criterio un utente del gruppo può anche ottenere le informazioni più recenti sul dominio WebLogic su richiesta eseguendo l'azione di scansione. La possibilità di aggiornare le impostazioni di configurazione dell'istanza gestita nel compartimento non viene aggiunta.

Quando utilizzare: questo criterio è utile quando si desidera impedire a un utente di interrompere i percorsi sottoposti a scansione, ma si desidera che l'utente sia in grado di ottenere le informazioni più recenti sul dominio WebLogic da un'istanza gestita.

Dove creare il criterio: inserire questo criterio nel compartimento per il quale si concederà l'accesso al gruppo di utenti.

Allow group Default/<WlmsDevUsers> to read wlms-family in compartment <WlmsTest>
Allow group Default/<WlmsDevUsers> to {WLMS_MANAGED_INSTANCE_USE} in compartment <WlmsTest>