フリート・アプリケーション管理ポリシーおよび権限
Identity and Access Management (IAM)ポリシーを作成して、誰がフリート・アプリケーション管理リソースにアクセスできるか、および各ユーザー・グループのアクセスのタイプを制御します。
フリート・アプリケーション管理リソースに対する必要な権限をユーザーに付与するためのポリシーを作成します。デフォルトでは、Administrators
グループのユーザーは、すべてのフリート・アプリケーション管理リソースにアクセスできます。
IAMポリシーを初めて使用する場合は、ポリシーの開始を参照してください。
Oracle Cloud Infrastructureのすべてのポリシーの完全なリストは、ポリシー・リファレンスおよび共通ポリシーを参照してください。
フリート・アプリケーション管理では、テナンシ管理者が、オンボーディング中にフリート・アプリケーション管理によって作成される動的グループにルールを追加する必要があります。このアクションにより、フリート・アプリケーション管理はOCI Computeでライフサイクル管理操作を実行できます。
この項で説明する内容は次のとおりです。
リソース・タイプおよび権限
フリート・アプリケーション管理リソース・タイプおよび関連する権限のリスト。
すべてのOCIフリート・アプリケーション管理リソースに権限を割り当てるには、fams-family
集計タイプを使用します。詳細は、権限を参照してください。
次の表に、fams-family
内のすべてのリソースを示します。
姓 | メンバー・リソース |
---|---|
fams-family
|
|
<verb> fams-family
を使用するポリシーは、個々のリソース・タイプごとに個別の <verb> <resource-type>
ステートメントでポリシーを記述することと同じです。
リソースの種類 | 権限 |
---|---|
家族フリート |
|
ファムランブック |
|
家族スケジュール |
|
家族- スケジュール- ジョブ |
|
ファム・メンテナンス・ウィンドウ |
|
ファム管理者 |
|
ファムオンボーディング |
|
ファム・ワーク要求 |
|
ファム・コンプライアンス・ポリシー |
|
ファムパッチ |
|
ファム・プロビジョニング |
|
fams-catalog-items |
|
ファム- ソフトウェア- 在庫 |
|
ファム・プラットフォーム |
|
fams-properties |
|
サポートされている変数
フリート・アプリケーション管理では、すべての一般的な変数およびここにリストされている変数がサポートされています。Oracle Cloud Infrastructureサービスでサポートされる一般的な変数の詳細は、すべてのリクエストの一般的な変数に関する項を参照してください。
リソース・タイプ | 変数 | 変数タイプ | 説明 |
---|---|---|---|
fams-fleets
|
target.famsfleet.id
|
エンティティ(OCID) | この変数は、作成を除くすべてのフリート操作に使用します。 |
fams-schedules
|
target.famsschedulerdefinition.id
|
エンティティ(OCID) | この変数は、作成を除くすべてのスケジュール操作に使用します。 |
fams-schedule-jobs
|
target.famsschedulerjob.id
|
エンティティ(OCID) | この変数は、作成を除くすべてのスケジュール・ジョブ操作に使用します。 |
fams-maintenance-windows
|
target.famsmaintenacewindow.id
|
エンティティ(OCID) | この変数は、作成を除くすべてのメンテナンス・ウィンドウ操作に使用します。 |
fams-runbooks
|
target.famsrunbook.id
|
エンティティ(OCID) | これらの変数は、作成を除くランブックおよびランブック・タスク操作に使用します。 |
fams-admin
|
target.famsproperty.id
|
エンティティ(OCID) | これらの変数は、作成を除く管理操作に使用します。 |
fams-workrequests
|
target.famsworkrequest.id
|
エンティティ(OCID) | この変数は、listおよびget操作に使用します。 |
fams-compliance-policies
|
target.famscompliancepolicy.id
|
エンティティ(OCID) | この変数は、作成を除くすべてのコンプライアンス・ポリシー操作に使用します。 |
fams-patches
|
target.famspatch.id
|
エンティティ(OCID) | この変数は、作成を除くすべてのパッチ適用操作に使用します。 |
fams-catalog-items
|
target.famscatalogitem.id
|
エンティティ(OCID) | この変数は、作成を除くすべてのカタログ品目操作に使用します。 |
fams-provisions
|
target.famsprovision.id
|
エンティティ(OCID) | この変数は、作成を除くすべてのプロビジョニング操作に使用します。 |
動詞とリソース・タイプの組合せについての詳細
フリート・アプリケーション管理リソースの各動詞でカバーされる権限およびAPI操作を識別します。
アクセスのレベルは、inspect
からread
、use
、manage
の順に累積します。表のセルのプラス記号(+)
は、前のセルと比較した場合に増分アクセスを示します。
アクセス権の付与の詳細は、権限を参照してください。
動詞 | 権限 | 完全にカバーされるAPI | 一部カバーされたAPI |
---|---|---|---|
inspect |
FAMS_FLEET_INSPECT
|
ListFleets
|
|
read
|
|
|
要件に応じて、
CreateSchedulerDefinition (FAMS_SCHEDULE_CREATE およびFAMS_RUNBOOK_READ も必要)および次。
要件に応じて、
UpdateSchedulerDefinition (FAMS_SCHEDULE_UPDATE およびFAMS_RUNBOOK_READ も必要)および次。
|
use
|
|
|
要件に応じて、
UpdateFleet (FAMS_PLATFORM_READ も必要)および次を実行します。
UpdateFleetResource には、要件に応じて次のものも必要です。
要件に応じて、
UpdateFleetCredential (FAMS_PROPERTY_READ およびVAULT_INSPECT も必要)および次。
|
manage
|
|
|
CreateFleet (要件に応じて、FAMS_PLATFORM_READ および次も必要です:
CreateFleetResource には、要件に応じて次のものも必要です。
CreateFleetCredential (要件に応じて、FAMS_PLATFORM_READ 、VAULT_INSPECT および次のものも必要です。
|
manage
|
|
|
|
manage
|
|
|
動詞 | 権限 | 完全にカバーされるAPI | 一部カバーされたAPI |
---|---|---|---|
inspect
|
FAMS_RUNBOOK_INSPECT
|
ListRunbooks
|
|
read
|
|
|
要件に応じて、
CreateSchedulerDefinition (FAMS_SCHEDULE_CREATE およびFAMS_FLEET_READ も必要)および次。
要件に応じて、
UpdateSchedulerDefinition (FAMS_SCHEDULE_UPDATE およびFAMS_FLEET_READ も必要)および次。
|
use
|
|
|
UpdateTaskRecord には、要件に応じて次のものも必要です。
|
manage
|
|
|
CreateTaskRecord には、要件に応じて次のものが必要です。
|
manage
|
|
|
|
manage
|
|
|
動詞 | 権限 | 完全にカバーされるAPI | 一部カバーされたAPI |
---|---|---|---|
inspect
|
FAMS_SCHEDULE_INSPECT
|
ListSchedulerDefinitions
|
|
read
|
|
|
|
use
|
|
|
UpdateSchedulerDefinition (FAMS_SCHEDULE_CREATE_WITH_SUDO 、FAMS_FLEET_READ およびFAMS_RUNBOOK_READ を使用することもできます)は、要件に応じて次のものが必要です。
|
manage
|
|
|
要件に応じて、
CreateSchedulerDefinition (FAMS_SCHEDULE_CREATE_WITH_SUDO を使用でき、FAMS_RUNBOOK_READ およびFAMS_FLEET_READ が必要)および次。
|
manage
|
|
|
|
manage
|
|
|
要件に応じて、
CreateSchedulerDefinition (FAMS_SCHEDULE_CREATE を使用でき、FAMS_RUNBOOK_READ およびFAMS_FLEET_READ が必要)および次。
要件に応じて、
UpdateSchedulerDefinition (FAMS_SCHEDULE_UPDATE を使用でき、FAMS_RUNBOOK_READ およびFAMS_FLEET_READ が必要)および次を実行します。
|
動詞 | 権限 | 完全にカバーされるAPI | 一部カバーされたAPI |
---|---|---|---|
inspect
|
FAMS_SCHEDULE_JOB_INSPECT
|
|
|
read
|
|
|
|
use
|
|
|
|
use
|
|
|
|
manage
|
|
|
|
動詞 | 権限 | 完全にカバーされるAPI | 一部カバーされたAPI |
---|---|---|---|
inspect
|
FAMS_MAINTENANCE_WINDOW_INSPECT
|
ListMaintenanceWindows
|
|
read
|
|
|
|
use
|
|
|
|
manage
|
|
|
|
manage
|
|
|
動詞 | 権限 | 完全にカバーされるAPI | 一部カバーされたAPI |
---|---|---|---|
inspect
|
FAMS_ADMIN_INSPECT
|
|
|
read
|
|
|
|
use
|
|
|
要件に応じて、
UpdatePlatformConfiguration (FAMS_PLATFORM_UPDATE を使用することもできます)および次。
|
manage
|
|
|
CreatePlatformConfiguration (FAMS_PLATFORM_CREATE を使用することもできます)は、要件に応じて次を必要とします。
|
manage
|
|
|
|
manage
|
|
|
|
動詞 | 権限 | 完全にカバーされるAPI | 一部カバーされたAPI |
---|---|---|---|
inspect
|
FAMS_ONBOARDING_INSPECT
通常のユーザー(管理者ではない)には、テナンシにアクセスするためのこの権限が必要です。 |
ListOnboardings
|
|
read
|
|
|
|
use
|
|
|
|
manage
|
|
|
|
manage
|
|
|
|
動詞 | 権限 | 完全にカバーされるAPI | 一部カバーされたAPI |
---|---|---|---|
inspect
|
FAMS_API_WORK_REQUEST_LIST
|
ListWorkRequests
|
|
read
|
|
|
動詞 | 権限 | 完全にカバーされるAPI | 一部カバーされたAPI |
---|---|---|---|
inspect
|
FAMS_COMPLIANCE_POLICY_INSPECT
|
|
|
read
|
|
|
|
read
|
|
|
|
use
|
|
|
|
manage
|
|
|
|
manage
|
|
|
動詞 | 権限 | 完全にカバーされるAPI | 一部カバーされたAPI |
---|---|---|---|
inspect
|
FAMS_PATCH_INSPECT
|
ListPatches
|
|
read
|
|
|
|
use
|
|
|
|
manage
|
|
|
|
manage
|
|
|
|
manage
|
|
|
動詞 | 権限 | 完全にカバーされるAPI | 一部カバーされたAPI |
---|---|---|---|
inspect
|
FAMS_PROVISION_INSPECT
|
|
|
read
|
|
|
|
use
|
|
|
|
manage
|
|
|
|
manage
|
|
|
|
manage
|
|
|
動詞 | 権限 | 完全にカバーされるAPI | 一部カバーされたAPI |
---|---|---|---|
inspect
|
FAMS_CATALOG_ITEM_INSPECT
|
|
|
read
|
|
|
CreateTaskRecord には、要件に応じて次のものが必要です。
UpdateTaskRecord には、要件に応じて次のものも必要です。
|
use
|
|
|
UpdateCatalogItem (要件に応じて次も必要):
|
manage
|
|
|
CreateCatalogItem (要件に応じて次も必要):
|
manage
|
|
|
|
manage
|
|
|
|
manage
|
|
CloneCatalogItem
|
動詞 | 権限 | 完全にカバーされるAPI | 一部カバーされたAPI |
---|---|---|---|
inspect
|
FAMS_SOFTWARE_INVENTORY_INSPECT
|
|
動詞 | 権限 | 完全にカバーされるAPI | 一部カバーされたAPI |
---|---|---|---|
inspect
|
FAMS_PLATFORM_INSPECT
|
|
|
read
|
|
|
CreateFleet (要件に応じて、FAMS_FLEET_CREATE および次も必要です:
要件に応じて、
UpdateFleet (FAMS_FLEET_UPDATE も必要)および次を実行します。
CreateFleetCredential (要件に応じて、FAMS_FLEET_CREATE 、VAULT_INSPECT および次のものも必要です。
CreateTaskRecord には、要件に応じて次のものが必要です。
UpdateTaskRecord には、要件に応じて次のものも必要です。
CreatePlatformConfiguration (FAMS_PLATFORM_CREATE を使用することもできます)は、要件に応じて次を必要とします。
要件に応じて、
UpdatePlatformConfiguration (FAMS_PLATFORM_UPDATE を使用することもできます)および次。
|
use
|
|
|
要件に応じて、
UpdatePlatformConfiguration (FAMS_ADMIN_UPDATE を使用することもできます)および次。
|
manage
|
|
|
CreatePlatformConfiguration (FAMS_ADMIN_CREATE を使用することもできます)は、要件に応じて次を必要とします。
|
manage
|
|
|
|
manage
|
|
|
|
動詞 | 権限 | 完全にカバーされるAPI | 一部カバーされたAPI |
---|---|---|---|
inspect
|
FAMS_PROPERTY_INSPECT
|
|
|
read
|
|
|
要件に応じて、
UpdateFleetCredential (FAMS_FLEET_UPDATE およびVAULT_INSPECT も必要)および次。
|
use
|
|
|
|
manage
|
|
|
|
manage
|
|
|
|
manage
|
|
|
|
API操作ごとに必要な権限
次の表は、論理的な順序で、リソース・タイプ別にグループ化してAPI操作を示しています。
権限の詳細は、権限を参照してください。
API操作 | 操作の使用に必要な権限 |
---|---|
ListFleets
|
FAMS_FLEET_INSPECT
|
GetFleet
|
FAMS_FLEET_READ
|
CreateFleet
|
FAMS_FLEET_CREATE およびFAMS_PLATFORM_READ
次のものがあります。
|
UpdateFleet
|
FAMS_FLEET_UPDATE およびFAMS_PLATFORM_READ
次のものがあります。
|
DeleteFleet
|
FAMS_FLEET_DELETE
|
ChangeFleetCompartment
|
FAMS_FLEET_MOVE
|
ListInventoryResources
|
FAMS_FLEET_INSPECT
|
ListFleetResources
|
FAMS_FLEET_INSPECT
|
CreateFleetResource
|
FAMS_FLEET_CREATE
そして、次のようになります。
|
GetFleetResource
|
FAMS_FLEET_READ
|
UpdateFleetResource
|
FAMS_FLEET_UPDATE
そして、次のようになります。
|
DeleteFleetResource
|
FAMS_FLEET_DELETE
|
ListFleetProperties
|
FAMS_FLEET_INSPECT
|
CreateFleetProperty
|
FAMS_FLEET_CREATE およびFAMS_PROPERTY_READ
|
GetFleetProperty
|
FAMS_FLEET_READ
|
UpdateFleetProperty
|
FAMS_FLEET_UPDAT およびFAMS_PROPERTY_READ
|
DeleteFleetProperty
|
FAMS_FLEET_DELETE
|
ConfirmTargets
|
FAMS_FLEET_CREATE
|
ListTargets
|
FAMS_FLEET_INSPECT
|
ListFleetTargets
|
FAMS_FLEET_INSPECT
|
ListFleetProducts
|
FAMS_FLEET_INSPECT
|
GetComplianceReport
|
FAMS_FLEET_READ
|
ListAnnouncements
|
FAMS_ONBOARDING_INSPECT
|
ListFleetCredentials
|
FAMS_FLEET_INSPECT
|
CreateFleetCredential
|
FAMS_FLEET_CREATE 、FAMS_PLATFORM_READ およびVAULT_INSPECT
次のものがあります。
|
GetFleetCredential
|
FAMS_FLEET_READ
|
UpdateFleetCredential
|
FAMS_FLEET_UPDATE 、FAMS_PROPERTY_READ およびVAULT_INSPECT
次のものがあります。
|
DeleteFleetCredential
|
FAMS_FLEET_DELETE
|
GenerateComplianceReport
|
FAMS_FLEET_READ
|
RequestTargetDiscovery
|
FAMS_FLEET_CREATE
|
RequestResourceValidation
|
FAMS_FLEET_CREATE
|
CheckResourceTagging
|
FAMS_FLEET_CREATE
|
ListRunbooks
|
FAMS_RUNBOOK_INSPECT
|
GetRunbook
|
FAMS_RUNBOOK_READ
|
CreateRunbook
|
FAMS_RUNBOOK_CREATE 、FAMS_RUNBOOK_READ およびFAMS_PLATFORM_READ
また、自己ホスト・インスタンスでタスクを実行する必要がある場合は |
UpdateRunbook
|
FAMS_RUNBOOK_UPDATE 、FAMS_RUNBOOK_READ およびFAMS_PLATFORM_READ
また、自己ホスト・インスタンスでタスクを実行する必要がある場合は |
DeleteRunbook
|
FLEET_RUNBOOK_DELETE
|
ChangeRunbookCompartment
|
FAMS_RUNBOOK_MOVE
|
PublishRunbook
|
FAMS_RUNBOOK_PUBLISH
|
ListRunbookVersions
|
FLEET_RUNBOOK_INSPECT
|
CreateRunbookVersion
|
FLEET_RUNBOOK_CREATE 、FAMS_RUNBOOK_READ およびFAMS_PLATFORM_READ
また、自己ホスト・インスタンスでタスクを実行する必要がある場合は |
GetRunbookVersion
|
FLEET_RUNBOOK_READ
|
UpdateRunbookVersion
|
FLEET_RUNBOOK_UPDATE 、FAMS_RUNBOOK_READ およびFAMS_PLATFORM_READ
また、自己ホスト・インスタンスでタスクを実行する必要がある場合は |
DeleteRunbookVersion
|
FLEET_RUNBOOK_DELETE
|
ListTaskRecords
|
FAMS_RUNBOOK_INSPECT
|
GetTaskRecord
|
FAMS_RUNBOOK_READ
|
CreateTaskRecord
|
FAMS_RUNBOOK_CREATE
次のものがあります。
|
UpdateTaskRecord
|
FAMS_RUNBOOK_UPDATE
次のものがあります。
|
DeleteTaskRecord
|
FAMS_RUNBOOK_DELETE
|
ChangeTaskRecordCompartment
|
FAMS_RUNBOOK_MOVE
|
ListMaintenanceWindows
|
FAMS_MAINTENANCE_WINDOW_INSPECT
|
CreateMaintenanceWindow
|
FAMS_MAINTENANCE_WINDOW_CREATE
|
GetMaintenanceWindow
|
FAMS_MAINTENANCE_WINDOW_READ
|
UpdateMaintenanceWindow
|
FAMS_MAINTENANCE_WINDOW_UPDATE
|
DeleteMaintenanceWindow
|
FAMS_MAINTENANCE_WINDOW_DELETE
|
CreateSchedulerDefinition
|
(FAMS_SCHEDULE_CREATE またはFAMS_SCHEDULE_CREATE_WITH_SUDO )、FAMS_FLEET_READ およびFAMS_RUNBOOK_READ
次のものがあります。
|
UpdateSchedulerDefinition
|
(FAMS_SCHEDULE_UPDATE またはFAMS_SCHEDULE_CREATE_WITH_SUDO )、FAMS_FLEET_READ およびFAMS_RUNBOOK_READ
そして、次のようになります。
|
DeleteSchedulerDefinition
|
FAMS_SCHEDULE_DELETE
|
ListSchedulerDefinitions
|
FAMS_SCHEDULE_INSPECT
|
GetSchedulerDefinition
|
FAMS_SCHEDULE_READ
|
DeleteSchedulerJob
|
FAMS_SCHEDULE_DELETE またはFAMS_SCHEDULE_JOB_DELETE
|
ListSchedulerJobs
|
FAMS_SCHEDULE_INSPECT またはFAMS_SCHEDULE_JOB_INSPECT
|
GetSchedulerJob
|
FAMS_SCHEDULE_READ またはFAMS_SCHEDULE_JOB_READ
|
UpdateSchedulerJob
|
FAMS_SCHEDULE_UPDATE 、FAMS_SCHEDULE_JOB_UPDATE またはFAMS_SCHEDULE_CREATE_WITH_SUDO
|
GetJobActivity
|
FAMS_SCHEDULE_READ またはFAMS_SCHEDULE_JOB_READ
|
ManageJobExecution
|
FAMS_SCHEDULE_UPDATE 、FAMS_SCHEDULE_JOB_ACTION またはFAMS_SCHEDULE_CREATE_WITH_SUDO
|
ListExecutions
|
FAMS_SCHEDULE_READ またはFAMS_SCHEDULE_JOB_READ
|
GetExecution
|
FAMS_SCHEDULE_READ またはFAMS_SCHEDULE_JOB_READ
|
ListSteps
|
FAMS_SCHEDULE_READ またはFAMS_SCHEDULE_JOB_READ
|
ListResources
|
FAMS_SCHEDULE_READ またはFAMS_SCHEDULE_JOB_READ
|
SummarizeSchedulerJobCounts
|
FAMS_SCHEDULE_INSPECT またはFAMS_SCHEDULE_JOB_INSPECT
|
ListSchedulerExecutions
|
FAMS_SCHEDULE_READ またはFAMS_SCHEDULE_JOB_READ
|
SetDefaultRunbook
|
FAMS_RUNBOOK_UPDATE
|
ListScheduledFleets
|
FAMS_SCHEDULE_READ
|
ListProperties
|
FAMS_ADMIN_INSPECT 、FAMS_FLEET_INSPECT またはFAMS_PROPERTY_INSPECT
|
CreateProperty
|
FAMS_ADMIN_CREATE またはFAMS_PROPERTY_CREATE
|
GetProperty
|
FAMS_ADMIN_READ 、FAMS_FLEET_READ またはFAMS_PROPERTY_READ
|
UpdateProperty
|
FAMS_ADMIN_UPDATE またはFAMS_PROPERTY_UPDATE
|
DeleteProperty
|
FAMS_ADMIN_DELETE またはFAMS_PROPERTY_DELETE
|
ChangePropertyCompartment
|
FAMS_ADMIN_MOVE またはFAMS_PROPERTY_MOVE
|
ListPlatformConfigurations
|
FAMS_PLATFORM_INSPECT
|
CreatePlatformConfiguration
|
FAMS_ADMIN_CREATE またはFAMS_PLATFORM_CREATE
次のものがあります。
|
GetPlatformConfiguration
|
FAMS_PLATFORM_READ
|
UpdatePlatformConfiguration
|
FAMS_ADMIN_UPDATE またはFAMS_PLATFORM_UPDATE
次のものがあります。
|
DeletePlatformConfiguration
|
FAMS_ADMIN_DELETE またはFAMS_PLATFORM_DELETE
|
ChangePlatformConfigurationCompartment
|
FAMS_ADMIN_MOVE またはFAMS_PLATFORM_MOVE
|
ListWorkRequests
|
FAMS_API_WORK_REQUEST_LIST
|
GetWorkRequest
|
FAMS_API_WORK_REQUEST_READ
|
ListWorkRequestErrors
|
FAMS_API_WORK_REQUEST_READ
|
ListWorkRequestLogs
|
FAMS_API_WORK_REQUEST_READ
|
ListOnboardings
|
FAMS_ONBOARDING_INSPECT
|
GetOnboarding
|
FAMS_ONBOARDING_READ
|
CreateOnboarding
|
DYNAMIC_GROUP_CREATE 、POLICY_CREATE 、TAG_NAMESPACE_CREATE 、TAG_DEFINITION_ADD および(FAMS_ADMIN_CREATE またはFAMS_ONBOARDING_CREATE ) |
UpdateOnboarding
|
TAG_NAMESPACE_CREATE 、TAG_DEFINITION_ADD および(FAMS_ADMIN_UPDATE またはFAMS_ONBOARDING_UPDATE ) |
DeleteOnboarding
|
DYNAMIC_GROUP_DELETE 、POLICY_DELETE 、TAG_NAMESPACE_RETIRE 、TAG_DEFINITION_RETIRE および(FAMS_ADMIN_DELETE またはFAMS_ONBOARDING_DELETE ) |
EnableLatestPolicy
|
DYNAMIC_GROUP_CREATE 、POLICY_CREATE 、TAG_NAMESPACE_CREATE 、TAG_DEFINITION_ADD および(FAMS_ADMIN_CREATE またはFAMS_ONBOARDING_CREATE ) |
ManageSettings
|
FAMS_ADMIN_UPDATE
|
ListOnboardingPolicies
|
DYNAMIC_GROUP_CREATE 、POLICY_CREATE 、TAG_NAMESPACE_CREATE 、TAG_DEFINITION_ADD および(FAMS_ADMIN_CREATE またはFAMS_ONBOARDING_CREATE ) |
ListCompliancePolicies
|
FAMS_COMPLIANCE_POLICY_INSPECT
|
GetCompliancePolicy
|
FAMS_COMPLIANCE_POLICY_READ
|
ListCompliancePolicyRules
|
FAMS_COMPLIANCE_POLICY_INSPECT
|
GetCompliancePolicyRule
|
FAMS_COMPLIANCE_POLICY_READ
|
CreateCompliancePolicyRule
|
FAMS_COMPLIANCE_POLICY_CREATE
|
UpdateCompliancePolicyRule
|
FAMS_COMPLIANCE_POLICY_UPDATE
|
DeleteCompliancePolicyRule
|
FAMS_COMPLIANCE_POLICY_DELETE
|
ListComplianceRecords
|
FAMS_COMPLIANCE_REPORT_READ 、FAMS_FLEET_READ 、FAMS_PATCH_READ 、FAMS_ADMIN_READ またはFAMS_COMPLIANCE_POLICY_READ
|
ExportComplianceReport
|
FAMS_COMPLIANCE_REPORT_READ 、FAMS_FLEET_READ 、FAMS_PATCH_READ 、FAMS_ADMIN_READ またはFAMS_COMPLIANCE_POLICY_READ
|
SummarizeComplianceRecordCounts
|
FAMS_COMPLIANCE_REPORT_READ 、FAMS_FLEET_READ 、FAMS_PATCH_READ 、FAMS_ADMIN_READ またはFAMS_COMPLIANCE_POLICY_READ
|
SummarizeManagedEntityCounts
|
FAMS_COMPLIANCE_REPORT_READ 、FAMS_FLEET_READ 、FAMS_PATCH_READ 、FAMS_ADMIN_READ またはFAMS_COMPLIANCE_POLICY_READ
|
ListPatches
|
FAMS_PATCH_INSPECT
|
GetPatch
|
FAMS_PATCH_READ
|
CreatePatch
|
FAMS_PATCH_CREATE 、FAMS_PLATFORM_READ 、OBJECT_INSPECT およびOBJECT_READ
|
DeletePatch
|
FAMS_PATCH_DELETE
|
UpdatePatch
|
FAMS_PATCH_UPDATE 、FAMS_PLATFORM_READ 、OBJECT_INSPECT およびOBJECT_READ
|
ChangePatchCompartment
|
FAMS_PATCH_MOVE
|
CreateProvision
|
FAMS_PROVISION_CREATE 、FAMS_FLEET_READ およびFAMS_CATALOG_ITEM_READ
|
DeleteProvision
|
FAMS_PROVISION_DELETE
|
ListProvisions
|
FAMS_PROVISION_INSPECT
|
UpdateProvision
|
FAMS_PROVISION_UPDATE
|
GetProvision
|
FAMS_PROVISION_READ
|
ChangeProvisionCompartment
|
FAMS_PROVISION_MOVE
|
ListCatalogItems
|
FAMS_CATALOG_ITEM_INSPECT
|
CreateCatalogItem
|
FAMS_CATALOG_ITEM_CREATE
次のものがあります。
|
GetCatalogItem
|
FAMS_CATALOG_ITEM_READ
|
UpdateCatalogItem
|
FAMS_CATALOG_ITEM_UPDATE
そして、次のようになります。
|
DeleteCatalogItem
|
FAMS_CATALOG_ITEM_DELETE
|
ChangeCatalogItemCompartment
|
FAMS_CATALOG_ITEM_MOVE
|
CloneCatalogItem
|
FAMS_CATALOG_ITEM_CLONE
|
ListInventoryRecords
|
FAMS_SOFTWARE_INVENTORY_INSPECT
|
ユーザー・ポリシー
ユーザーがフリート・アプリケーション管理リソースにアクセスするには、フリート・アプリケーション管理ユーザー・ポリシーが必要です。
ポリシーの構文は次のとおりです:
allow <subject> to <verb>
<resource-type> in <location> where <conditions>
詳細は、ポリシー構文を参照してください。
フリート・アプリケーション管理関連リソースにアクセスするための特定のユーザーまたはグループのポリシーを作成します。ポリシーの作成に関する項を参照してください。
テナンシ・レベルで権限を適用するには、compartment <compartment name>
をtenancy
に置き換えます。
ポリシーの例
フリート・アプリケーション管理ポリシーは、様々なフリート・アプリケーション管理リソースを使用するために必要です。
コンソールを使用したポリシーの作成は、ポリシーの作成の手順を参照してください。
構文の詳細は、ポリシー構文を参照してください。
フリート・アプリケーション管理ポリシーの例:
- グループにテナンシ内のすべてのリソースの管理を許可します:
Allow group acme-fams-developers to manage fams-family in tenancy
- グループ内のユーザーは、ユーザー・ロールに応じて、Marketplaceまたはプライベート・カタログ項目のカタログ項目を読み取ったり管理できます。
Allow group <USER_GROUP> to read fams-catalog-items in compartment <USER_COMPARTMENT_NAME>
この例では、カタログ・アイテムおよびコンピュート・インスタンスがフリート・アプリケーション管理と同じコンパートメントにあることを前提としています。
- グループ内のユーザーが、関連する場所からカタログ・アイテム・スクリプトにアクセスできるようにします。
Allow group <USER_GROUP> to {PAR_MANAGE} in compartment <USER_COMPARTMENT_NAME> Allow group <USER_GROUP> to read object-family in compartment <USER_COMPARTMENT_NAME> Allow group <USER_GROUP> to read buckets in compartment <USER_COMPARTMENT_NAME>
この例では、オブジェクト・ストレージ・バケットおよびコンピュート・インスタンスがフリート・アプリケーション管理と同じコンパートメントにあることを前提としています。
- グループ内のユーザーにプロビジョニング・リクエストの管理を許可します。
Allow group <USER_GROUP> to manage fams-provisions in compartment <USER_COMPARTMENT_NAME>
この例では、プロビジョニング・リクエストおよびコンピュート・インスタンスがフリート・アプリケーション管理と同じコンパートメントにあることを前提としています。
- フリート・アプリケーション管理をリソース・マネージャに接続して、グループ内のユーザーがプロビジョニングを管理できるようにします。
Allow group <USER_GROUP> to manage orm-config-source-providers in compartment <USER_COMPARTMENT_NAME> Allow group <USER_GROUP> to manage orm-jobs in compartment <USER_COMPARTMENT_NAME> Allow group <USER_GROUP> to manage orm-stacks in compartment <USER_COMPARTMENT_NAME> Allow group <USER_GROUP> to manage orm-template in compartment <USER_COMPARTMENT_NAME> Allow group <USER_GROUP> to manage orm-work-requests in compartment <USER_COMPARTMENT_NAME>
この例では、プロビジョニング・リクエストおよびコンピュート・インスタンスがフリート・アプリケーション管理と同じコンパートメントにあることを前提としています。
- グループ内のユーザーがプロビジョニングをスケジュールおよび管理できるようにします。
Allow group <USER_GROUP> to manage fams-schedules in compartment <USER_COMPARTMENT_NAME>
この例では、スケジュール、プロビジョニング・リクエストがフリート・アプリケーション管理と同じコンパートメントにあることを前提としています。
- グループ内のユーザーに、関連するOCIリソース・タイプのプロビジョニングを許可します。
Allow group <USER_GROUP> to manage <resource_type> in compartment <USER_COMPARTMENT_NAME>
この例では、リソース・タイプがフリート・アプリケーション管理と同じコンパートメントにあることを前提としています。
動的グループへのルールの追加
fams-customer-dg
グループのインスタンスおよびメンバーを作成するための一致ルールを定義します。フリート・アプリケーション管理は、これらのインスタンスに対してライフサイクル操作を実行します。IAMポリシー
組織のテナンシ管理者は、テナンシのフリート・アプリケーション管理を有効にします。このアクションは、フリート・アプリケーション管理を使用するための次のIAMポリシーを作成します。
「fams-service-dg」のIAMポリシーは次のとおりです。
define tenancy fams-tenancy as <fams-tenancy-ocid>
define dynamic-group fams-workload-dg as <fams-dynamicgroup-ocid>
allow dynamic-group fams-service-dg to use fams-agent-command-executions in tenancy
allow dynamic-group fams-service-dg to { FAMS_CATALOG_ITEM_INSPECT, FAMS_CATALOG_ITEM_READ } in tenancy
allow dynamic-group fams-service-dg to { INSTANCE_UPDATE } in tenancy
allow dynamic-group fams-service-dg to read instance-family in tenancy
allow dynamic-group fams-service-dg to use instances in tenancy
allow dynamic-group fams-service-dg to inspect limits in tenancy
allow dynamic-group fams-service-dg to use tag-namespaces in tenancy where target.tag-namespace.name='Oracle$FAMS-Tags'
allow dynamic-group fams-service-dg to read instance-agent-plugins in tenancy
allow dynamic-group fams-service-dg to read instance-agent-command-family in tenancy
allow dynamic-group fams-service-dg to use ons-family in tenancy
allow dynamic-group fams-service-dg to manage database-family in tenancy
allow dynamic-group fams-service-dg to manage osmh-family in tenancy
allow dynamic-group fams-service-dg to { INSTANCE_AGENT_COMMAND_CREATE } in tenancy
allow dynamic-group fams-service-dg to { OBJECTSTORAGE_NAMESPACE_READ } in tenancy
allow dynamic-group fams-service-dg to manage work-requests in tenancy
フリート・アプリケーション管理を使用するには、fams-customer-dgで次のIAMポリシーが必要です:
プリファレンスに基づいて、テナンシまたはコンパートメントのポリシーを構成できます。コンパートメントのポリシーを構成することを選択した場合、ポリシー・ステートメントは次のようになります。
allow dynamic-group fams-customer-dg to {VAULT_READ} in <compartment_OCID>
フリート・アプリケーション管理でテナンシのポリシーを構成できるようにした場合、次のIAMポリシーは"fams-customer-dg"にあります:
endorse any-group to { FAMS_CATALOG_ITEM_INSPECT, FAMS_CATALOG_ITEM_READ} in tenancy fams-tenancy
admit dynamic-group fams-workload-dg of tenancy fams-tenancy to read orm-stack in tenancy where all { request.principal.type = 'workload' }
allow dynamic-group fams-customer-dg to use instance-agent-command-execution-family in tenancy where request.instance.id=target.instance.id
allow dynamic-group fams-customer-dg to read instance-family in tenancy
allow dynamic-group fams-customer-dg to use fams-agent-command-executions in tenancy where request.instance.id=target.instance.id
allow dynamic-group fams-customer-dg to {OSMH_MANAGED_INSTANCE_ACCESS} in tenancy
allow dynamic-group fams-customer-dg to { OBJECT_INSPECT, OBJECT_READ } in tenancy
endorse dynamic-group fams-customer-dg to { OBJECT_CREATE, OBJECT_OVERWRITE, OBJECT_READ } in tenancy fams-tenancy where all { target.bucket.name = '<CUSTOMER_TENANCY_OCID>' }
endorse dynamic-group fams-customer-dg to { OBJECT_INSPECT, OBJECT_READ } in tenancy fams-tenancy where any { target.bucket.name = 'automations', target.bucket.name = 'patches'}
-
endorse any-group to { FAMS_CATALOG_ITEM_INSPECT, FAMS_CATALOG_ITEM_READ} in tenancy fams-tenancy
マーケットプレイス・カタログ項目へのテナンシ・アクセスを許可します。
-
admit dynamic-group fams-workload-dg of tenancy fams-tenancy to read orm-stack in tenancy where all { request.principal.type = 'workload' }
リソース・マネージャ・スタック・ステータスを確認するためのプロビジョニング要件の管理を許可します。
-
allow dynamic-group fams-customer-dg to { KEY_READ, KEY_DECRYPT,SECRET_READ } in tenancy allow dynamic-group fams-customer-dg to {VAULT_READ} in tenancy allow dynamic-group fams-customer-dg to {SECRET_BUNDLE_READ} in tenancy
ライフサイクル操作のために、フリート・アプリケーション管理へのボールト・キーおよびシークレットを使用したテナンシ・アクセスを許可します。
-
allow dynamic-group fams-customer-dg to use instance-agent-command-execution-family in tenancy where request.instance.id=target.instance.id
runコマンドを使用したライフサイクル操作の管理を許可します。
-
allow dynamic-group fams-customer-dg to read instance-family in tenancy
フリート・アプリケーション管理で状態チェックのインスタンス詳細を取得できます。
-
allow dynamic-group fams-customer-dg to use fams-agent-command-executions in tenancy where request.instance.id=target.instance.id
フリート・アプリケーション管理プラグインを使用して、フリート・アプリケーション管理でインスタンスのライフサイクル操作を管理できるようにします。
-
allow dynamic-group fams-customer-dg to {OSMH_MANAGED_INSTANCE_ACCESS} in tenancy
フリート・アプリケーション管理でOS管理ハブを使用してOSへのパッチ適用を管理できます。
-
allow dynamic-group fams-customer-dg to { OBJECT_INSPECT, OBJECT_READ } in tenancy
オブジェクト・ストレージからのフリート・アプリケーション管理アクセス・ライフサイクル操作スクリプトを許可します。
-
endorse dynamic-group fams-customer-dg to { OBJECT_CREATE, OBJECT_OVERWRITE, OBJECT_READ } in tenancy fams-tenancy where all { target.bucket.name = '<CUSTOMER_TENANCY_OCID>' }
オブジェクト・ストレージのライフサイクル操作ログの管理をフリート・アプリケーション管理に許可します。
-
endorse dynamic-group fams-customer-dg to { OBJECT_INSPECT, OBJECT_READ } in tenancy fams-tenancy where any { target.bucket.name = 'automations', target.bucket.name = 'patches'}
テナンシにフリート・アプリケーション管理のライフサイクル操作スクリプトおよびパッチへのアクセスを許可します。
サービスの中断を回避するには、テナンシ管理者が「fams-service-dg」、「fams-customer-dg」動的グループIAMポリシーが削除されていないことを確認する必要があります。ただし、様々なグループおよび製品スタックに対して異なる管理者が必要な場合など、ユース・ケースに対して独自のポリシーを作成できます。