フリート・アプリケーション管理ポリシーおよび権限

Identity and Access Management (IAM)ポリシーを作成して、誰がフリート・アプリケーション管理リソースにアクセスできるか、および各ユーザー・グループのアクセスのタイプを制御します。

フリート・アプリケーション管理リソースに対する必要な権限をユーザーに付与するためのポリシーを作成します。デフォルトでは、Administratorsグループのユーザーは、すべてのフリート・アプリケーション管理リソースにアクセスできます。

IAMポリシーを初めて使用する場合は、ポリシーの開始を参照してください。

Oracle Cloud Infrastructureのすべてのポリシーの完全なリストは、ポリシー・リファレンスおよび共通ポリシーを参照してください。

フリート・アプリケーション管理では、テナンシ管理者が、オンボーディング中にフリート・アプリケーション管理によって作成される動的グループにルールを追加する必要があります。このアクションにより、フリート・アプリケーション管理はOCI Computeでライフサイクル管理操作を実行できます。

この項で説明する内容は次のとおりです。

リソース・タイプおよび権限

フリート・アプリケーション管理リソース・タイプおよび関連する権限のリスト。

すべてのOCIフリート・アプリケーション管理リソースに権限を割り当てるには、fams-family集計タイプを使用します。詳細は、権限を参照してください。

次の表に、fams-family内のすべてのリソースを示します。

メンバー・リソース
fams-family
  • fams-fleets
  • fams-runbooks
  • fams-schedules
  • fams-schedule-jobs
  • fams-maintenance-windows
  • fams-admin
  • fams-onboarding
  • fams-workrequests
  • fams-compliance-policies
  • fams-patches
  • fams-provisions
  • fams-catalog-items
  • fams-software-inventory
  • fams-platform
  • fams-properties

<verb> fams-familyを使用するポリシーは、個々のリソース・タイプごとに個別の <verb> <resource-type> ステートメントでポリシーを記述することと同じです。

リソースの種類 権限
家族フリート
  • FAMS_FLEET_INSPECT
  • FAMS_FLEET_READ
  • FAMS_FLEET_CREATE
  • FAMS_FLEET_UPDATE
  • FAMS_FLEET_DELETE
  • FAMS_FLEET_MOVE
  • FAMS_COMPLIANCE_REPORT_READ
ファムランブック
  • FAMS_RUNBOOK_INSPECT
  • FAMS_RUNBOOK_READ
  • FAMS_RUNBOOK_UPDATE
  • FAMS_RUNBOOK_CREATE
  • FAMS_RUNBOOK_DELETE
  • FAMS_RUNBOOK_MOVE
家族スケジュール
  • FAMS_SCHEDULE_INSPECT
  • FAMS_SCHEDULE_READ
  • FAMS_SCHEDULE_CREATE
  • FAMS_SCHEDULE_UPDATE
  • FAMS_SCHEDULE_DELETE
  • FAMS_SCHEDULE_CREATE_WITH_SUDO
家族- スケジュール- ジョブ
  • FAMS_SCHEDULE_JOB_INSPECT
  • FAMS_SCHEDULE_JOB_READ
  • FAMS_SCHEDULE_JOB_UPDATE
  • FAMS_SCHEDULE_JOB_DELETE
  • FAMS_SCHEDULE_JOB_ACTION
ファム・メンテナンス・ウィンドウ
  • FAMS_MAINTENANCE_WINDOW_INSPECT
  • FAMS_MAINTENANCE_WINDOW_READ
  • FAMS_MAINTENANCE_WINDOW_CREATE
  • FAMS_MAINTENANCE_WINDOW_UPDATE
  • FAMS_MAINTENANCE_WINDOW_DELETE
ファム管理者
  • FAMS_ADMIN_INSPECT
  • FAMS_ADMIN_READ
  • FAMS_ADMIN_CREATE
  • FAMS_ADMIN_UPDATE
  • FAMS_ADMIN_DELETE
  • FAMS_ADMIN_MOVE
  • FAMS_COMPLIANCE_REPORT_READ
ファムオンボーディング
  • FAMS_ONBOARDING_INSPECT
  • FAMS_ONBOARDING_READ
  • FAMS_ONBOARDING_CREATE
  • FAMS_ONBOARDING_UPDATE
  • FAMS_ONBOARDING_DELETE
ファム・ワーク要求
  • FAMS_API_WORK_REQUEST_LIST
  • FAMS_API_WORK_REQUEST_READ
ファム・コンプライアンス・ポリシー
  • FAMS_COMPLIANCE_POLICY_INSPECT
  • FAMS_COMPLIANCE_POLICY_READ
  • FAMS_COMPLIANCE_POLICY_CREATE
  • FAMS_COMPLIANCE_POLICY_UPDATE
  • FAMS_COMPLIANCE_POLICY_DELETE
  • FAMS_COMPLIANCE_REPORT_READ
ファムパッチ
  • FAMS_PATCH_INSPECT
  • FAMS_PATCH_READ
  • FAMS_PATCH_CREATE
  • FAMS_PATCH_UPDATE
  • FAMS_PATCH_DELETE
  • FAMS_PATCH_MOVE
  • FAMS_COMPLIANCE_REPORT_READ
ファム・プロビジョニング
  • FAMS_PROVISION_INSPECT
  • FAMS_PROVISION_READ
  • FAMS_PROVISION_CREATE
  • FAMS_PROVISION_UPDATE
  • FAMS_PROVISION_DELETE
  • FAMS_PROVISION_MOVE
fams-catalog-items
  • FAMS_CATALOG_ITEM_INSPECT
  • FAMS_CATALOG_ITEM_READ
  • FAMS_CATALOG_ITEM_CREATE
  • FAMS_CATALOG_ITEM_UPDATE
  • FAMS_CATALOG_ITEM_DELETE
  • FAMS_CATALOG_ITEM_MOVE
  • FAMS_CATALOG_ITEM_CLONE
ファム- ソフトウェア- 在庫
  • FAMS_SOFTWARE_INVENTORY_INSPECT
ファム・プラットフォーム
  • FAMS_PLATFORM_INSPECT
  • FAMS_PLATFORM_READ
  • FAMS_PLATFORM_CREATE
  • FAMS_PLATFORM_UPDATE
  • FAMS_PLATFORM_DELETE
  • FAMS_PLATFORM_MOVE
fams-properties
  • FAMS_PROPERTY_INSPECT
  • FAMS_PROPERTY_READ
  • FAMS_PROPERTY_CREATE
  • FAMS_PROPERTY_UPDATE
  • FAMS_PROPERTY_DELETE
  • FAMS_PROPERTY_MOVE

サポートされている変数

フリート・アプリケーション管理では、すべての一般的な変数およびここにリストされている変数がサポートされています。Oracle Cloud Infrastructureサービスでサポートされる一般的な変数の詳細は、すべてのリクエストの一般的な変数に関する項を参照してください。

リソース・タイプ 変数 変数タイプ 説明
fams-fleets target.famsfleet.id エンティティ(OCID) この変数は、作成を除くすべてのフリート操作に使用します。
fams-schedules target.famsschedulerdefinition.id エンティティ(OCID) この変数は、作成を除くすべてのスケジュール操作に使用します。
fams-schedule-jobs target.famsschedulerjob.id エンティティ(OCID) この変数は、作成を除くすべてのスケジュール・ジョブ操作に使用します。
fams-maintenance-windows target.famsmaintenacewindow.id エンティティ(OCID) この変数は、作成を除くすべてのメンテナンス・ウィンドウ操作に使用します。
fams-runbooks target.famsrunbook.id

target.famstaskrecord.id

エンティティ(OCID) これらの変数は、作成を除くランブックおよびランブック・タスク操作に使用します。
fams-admin target.famsproperty.id

target.famsplatformconfiguration.id

エンティティ(OCID) これらの変数は、作成を除く管理操作に使用します。
fams-workrequests target.famsworkrequest.id エンティティ(OCID) この変数は、listおよびget操作に使用します。
fams-compliance-policies target.famscompliancepolicy.id エンティティ(OCID) この変数は、作成を除くすべてのコンプライアンス・ポリシー操作に使用します。
fams-patches target.famspatch.id エンティティ(OCID) この変数は、作成を除くすべてのパッチ適用操作に使用します。
fams-catalog-items target.famscatalogitem.id エンティティ(OCID) この変数は、作成を除くすべてのカタログ品目操作に使用します。
fams-provisions target.famsprovision.id エンティティ(OCID) この変数は、作成を除くすべてのプロビジョニング操作に使用します。

動詞とリソース・タイプの組合せについての詳細

フリート・アプリケーション管理リソースの各動詞でカバーされる権限およびAPI操作を識別します。

アクセスのレベルは、inspectからreadusemanageの順に累積します。表のセルのプラス記号(+)は、前のセルと比較した場合に増分アクセスを示します。

アクセス権の付与の詳細は、権限を参照してください。

フリート
動詞 権限 完全にカバーされるAPI 一部カバーされたAPI
inspect FAMS_FLEET_INSPECT ListFleets

ListInventoryResources

ListTargets

ListFleetTargets

ListFleetProducts

ListFleetResources

ListFleetProperties

ListFleetCredentials

ListProperties (FAMS_ADMIN_INSPECTまたはFAMS_PROPERTY_INSPECTを使用することもできます)

read

inspect+

FAMS_FLEET_READ

inspect+

GetFleet

GetFleetResource

GetFleetProperty

GetComplianceReport

GetFleetCredential

GenerateComplianceReport

要件に応じて、CreateSchedulerDefinition (FAMS_SCHEDULE_CREATEおよびFAMS_RUNBOOK_READも必要)および次。
  • 入力パラメータ・タイプがFILEで、オブジェクト・ストレージから選択する必要がある場合は、OBJECT_INSPECTOBJECT_READが必要です
  • runbook属性need sudo access がtrueの場合、FAMS_SCHEDULE_CREATE_WITH_SUDOが必要です
要件に応じて、UpdateSchedulerDefinition (FAMS_SCHEDULE_UPDATEおよびFAMS_RUNBOOK_READも必要)および次。
  • 入力パラメータ・タイプがFILEで、オブジェクト・ストレージから選択する必要がある場合は、OBJECT_INSPECTOBJECT_READが必要です
  • runbook属性need sudo access がtrueの場合、FAMS_SCHEDULE_CREATE_WITH_SUDOが必要です

GetProperty (FAMS_ADMIN_READまたはFAMS_PROPERTY_READを使用することもできます)

ListComplianceRecords (FAMS_COMPLIANCE_REPORT_READFAMS_PATCH_READFAMS_ADMIN_READまたはFAMS_COMPLIANCE_POLICY_READを使用することもできます)

ExportComplianceReport (FAMS_COMPLIANCE_REPORT_READFAMS_PATCH_READFAMS_ADMIN_READまたはFAMS_COMPLIANCE_POLICY_READを使用することもできます)

SummarizeComplianceRecordCounts (FAMS_COMPLIANCE_REPORT_READFAMS_PATCH_READFAMS_ADMIN_READまたはFAMS_COMPLIANCE_POLICY_READを使用することもできます)

SummarizeManagedEntityCounts (FAMS_COMPLIANCE_REPORT_READFAMS_PATCH_READFAMS_ADMIN_READまたはFAMS_COMPLIANCE_POLICY_READを使用することもできます)

CreateProvision (FAMS_PROVISION_CREATEおよびFAMS_CATALOG_ITEM_READも必要)

use

read+

FAMS_FLEET_UPDATE

read+

要件に応じて、UpdateFleet (FAMS_PLATFORM_READも必要)および次を実行します。
  • 親フリートを指定する必要がある場合は、FAMS_FLEET_READが必要です
  • 通知サービスのトピックを指定する必要がある場合は、ONS_TOPIC_READが必要です
  • フリートにインスタンスを追加する必要がある場合は、INSTANCE_READが必要です
  • フリートにdbSystemを追加する必要がある場合は、DB_SYSTEM_INSPECTDB_SYSTEM_QUERYが必要です
  • フリートにvmClusterを追加する必要がある場合は、VM_CLUSTER_INSPECTが必要です
UpdateFleetResourceには、要件に応じて次のものも必要です。
  • インスタンスをフリートに追加する必要がある場合は、INSTANCE_READが必要です
  • フリートにdbSystemを追加する必要がある場合は、DB_SYSTEM_INSPECTDB_SYSTEM_QUERYが必要です
  • フリートにvmClusterを追加する必要がある場合は、VM_CLUSTER_INSPECTが必要です

UpdateFleetProperty (FAMS_PROPERTY_READも必要)

要件に応じて、UpdateFleetCredential (FAMS_PROPERTY_READ およびVAULT_INSPECTも必要)および次。
  • OCIボールト・キーを使用して資格証明を作成する場合は、KEY_READが必要です
  • OCIボールト・シークレットを使用して資格証明を作成する場合は、SECRET_READが必要です
manage

use+

FAMS_FLEET_CREATE

use+

ConfirmTargets

RequestTargetDiscovery

RequestResourceValidation

CheckResourceTagging

CreateFleet (要件に応じて、FAMS_PLATFORM_READおよび次も必要です:
  • 親フリートを指定する必要がある場合は、FAMS_FLEET_READが必要です
  • 通知サービスのトピックを指定する必要がある場合は、ONS_TOPIC_READが必要です
  • フリートにインスタンスを追加する必要がある場合は、INSTANCE_READが必要です
  • フリートにdbSystemを追加する必要がある場合は、DB_SYSTEM_INSPECTDB_SYSTEM_QUERYが必要です
  • フリートにvmClusterを追加する必要がある場合は、VM_CLUSTER_INSPECTが必要です
CreateFleetResourceには、要件に応じて次のものも必要です。
  • フリートにインスタンスを追加する必要がある場合は、INSTANCE_READが必要です
  • フリートにdbSystemを追加する必要がある場合は、DB_SYSTEM_INSPECTDB_SYSTEM_QUERYが必要です
  • フリートにvmClusterを追加する必要がある場合は、VM_CLUSTER_INSPECTが必要です

CreateFleetProperty (FAMS_PROPERTY_READも必要)

CreateFleetCredential (要件に応じて、FAMS_PLATFORM_READVAULT_INSPECTおよび次のものも必要です。
  • OCIボールト・キーを使用して資格証明を作成する場合は、KEY_READが必要です
  • OCIボールト・シークレットを使用して資格証明を作成する場合は、SECRET_READが必要です
manage

use+

FAMS_FLEET_DELETE

use+

DeleteFleet

DeleteFleetResource

DeleteFleetProperty

DeleteFleetCredential

manage

use+

FAMS_FLEET_MOVE

use+

ChangeFleetCompartment

ファムランブック
動詞 権限 完全にカバーされるAPI 一部カバーされたAPI
inspect FAMS_RUNBOOK_INSPECT ListRunbooks

ListTaskRecords

read

inspect+

FAMS_RUNBOOK_READ

inspect+

GetRunbook

GetTaskRecord

CreateRunbook (FAMS_RUNBOOK_CREATEおよびFAMS_PLATFORM_READも必要)。タスクが自己ホスト・インスタンスで実行される場合、INSTANCE_READが必要です

UpdateRunbook (FAMS_RUNBOOK_UPDATEおよびFAMS_PLATFORM_READも必要)。タスクが自己ホスト・インスタンスで実行される場合、INSTANCE_READが必要です

CreateRunbookVersion (FAMS_RUNBOOK_CREATEおよびFAMS_PLATFORM_READも必要)。タスクが自己ホスト・インスタンスで実行される場合、INSTANCE_READが必要です

UpdateRunbookVersion (FAMS_RUNBOOK_UPDATEおよびFAMS_PLATFORM_READも必要)。タスクが自己ホスト・インスタンスで実行される場合、INSTANCE_READが必要です

要件に応じて、CreateSchedulerDefinition (FAMS_SCHEDULE_CREATEおよびFAMS_FLEET_READも必要)および次。
  • 入力パラメータ・タイプがFILEで、オブジェクト・ストレージから選択する必要がある場合は、OBJECT_INSPECTOBJECT_READが必要です
  • runbook属性need sudo access がtrueの場合、FAMS_SCHEDULE_CREATE_WITH_SUDOが必要です
要件に応じて、UpdateSchedulerDefinition (FAMS_SCHEDULE_UPDATEおよびFAMS_FLEET_READも必要)および次。
  • 入力パラメータ・タイプがFILEで、オブジェクト・ストレージから選択する必要がある場合は、OBJECT_INSPECTOBJECT_READが必要です
  • runbook属性need sudo access がtrueの場合、FAMS_SCHEDULE_CREATE_WITH_SUDOが必要です
use

read+

FAMS_RUNBOOK_UPDATE

read+

SetDefaultRunbook

UpdateRunbook (FAMS_RUNBOOK_READおよびFAMS_PLATFORM_READも必要)。タスクを自己ホスト・インスタンスで実行する必要がある場合は、INSTANCE_READ が必要です

UpdateTaskRecordには、要件に応じて次のものも必要です。
  • プラットフォーム(製品)、操作(ライフサイクル操作)の場合は、資格証明を指定する必要があり、FAMS_PLATFORM_READが必要です
  • アクション・タイプがTERRAFORMの場合、FAMS_CATALOG_ITEM_READが必要です
  • アクション・タイプがSCRIPTで、スクリプトがCATALOG ITEMを参照する必要がある場合は、FAMS_CATALOG_ITEM_READが必要です
  • アクション・タイプがSCRIPTで、スクリプトをオブジェクト・ストレージから選択する必要がある場合は、OBJECT_INSPECTOBJECT_READが必要です
manage

use+

FAMS_RUNBOOK_CREATE

use+

CreateRunbook (FAMS_RUNBOOK_READおよびFAMS_PLATFORM_READも必要)。タスクを自己ホスト・インスタンスで実行する必要がある場合は、INSTANCE_READが必要です

CreateTaskRecordには、要件に応じて次のものが必要です。
  • プラットフォーム(製品)、操作(ライフサイクル操作)の場合は、資格証明を指定する必要があり、FAMS_PLATFORM_READが必要です
  • アクション・タイプがTERRAFORMの場合、FAMS_CATALOG_ITEM_READが必要です
  • アクション・タイプがSCRIPTで、スクリプトがCATALOG ITEMを参照する必要がある場合は、FAMS_CATALOG_ITEM_READが必要です
  • アクション・タイプがSCRIPTで、スクリプトをオブジェクト・ストレージから選択する必要がある場合は、OBJECT_INSPECTOBJECT_READが必要です
manage

use+

FAMS_RUNBOOK_DELETE

use+

DeleteTaskRecord

manage

use+

FAMS_RUNBOOK_MOVE

use+

ChangeRunbookCompartment

ChangeTaskRecordCompartment

ファムスケジュール
動詞 権限 完全にカバーされるAPI 一部カバーされたAPI
inspect FAMS_SCHEDULE_INSPECT ListSchedulerDefinitions

ListSchedulerJobs (FAMS_SCHEDULE_JOB_INSPECTも使用できます)

SummarizeSchedulerJobCounts (FAMS_SCHEDULE_JOB_INSPECT0を使用することもできます)

read

inspect+

FAMS_SCHEDULE_READ

inspect+

GetSchedulerDefinition

ListScheduledFleets

GetSchedulerJob (FAMS_SCHEDULE_JOB_READも使用できます)

GetJobActivity (FAMS_SCHEDULE_JOB_READも使用できます)

ListExecutions (FAMS_SCHEDULE_JOB_READも使用できます)

GetExecution (FAMS_SCHEDULE_JOB_READも使用できます)

ListSteps (FAMS_SCHEDULE_JOB_READも使用できます)

ListResources (FAMS_SCHEDULE_JOB_READも使用できます)

ListSchedulerExecutions (FAMS_SCHEDULE_JOB_READも使用できます)

use

read+

FAMS_SCHEDULE_UPDATE

read+

UpdateSchedulerDefinition (FAMS_SCHEDULE_CREATE_WITH_SUDOFAMS_FLEET_READおよびFAMS_RUNBOOK_READを使用することもできます)は、要件に応じて次のものが必要です。
  • 入力パラメータ・タイプがFILEで、オブジェクト・ストレージから選択する必要がある場合は、OBJECT_INSPECTOBJECT_READ が必要です
  • ランブック属性need sudo accessがtrueの場合、FAMS_SCHEDULE_CREATE_WITH_SUDOが必要です

UpdateSchedulerJob (FAMS_SCHEDULE_JOB_UPDATEまたはFAMS_SCHEDULE_CREATE_WITH_SUDOを使用することもできます)

ManageJobExecution (FAMS_SCHEDULE_JOB_ACTIONまたはFAMS_SCHEDULE_CREATE_WITH_SUDOを使用することもできます)

manage

use+

FAMS_SCHEDULE_CREATE

use+

要件に応じて、CreateSchedulerDefinition (FAMS_SCHEDULE_CREATE_WITH_SUDOを使用でき、FAMS_RUNBOOK_READおよびFAMS_FLEET_READが必要)および次。
  • 入力パラメータ・タイプがFILEで、オブジェクト・ストレージから選択する必要がある場合は、OBJECT_INSPECTOBJECT_READ が必要です
  • ランブック属性need sudo accessがtrueの場合、FAMS_SCHEDULE_CREATE_WITH_SUDOが必要です
manage

use+

FAMS_SCHEDULE_DELETE

use+

DeleteSchedulerDefinition

DeleteSchedulerJob (FAMS_SCHEDULE_JOB_DELETEも使用できます)

manage

use+

FAMS_SCHEDULE_CREATE_WITH_SUDO

use+

要件に応じて、CreateSchedulerDefinition (FAMS_SCHEDULE_CREATEを使用でき、FAMS_RUNBOOK_READおよびFAMS_FLEET_READが必要)および次。
  • 入力パラメータ・タイプがFILEで、オブジェクト・ストレージから選択する必要がある場合は、OBJECT_INSPECTOBJECT_READ が必要です
  • ランブック属性need sudo accessがtrueの場合、FAMS_SCHEDULE_CREATE_WITH_SUDOが必要です
要件に応じて、UpdateSchedulerDefinition (FAMS_SCHEDULE_UPDATE を使用でき、FAMS_RUNBOOK_READおよびFAMS_FLEET_READが必要)および次を実行します。
  • 入力パラメータ・タイプがFILEで、オブジェクト・ストレージから選択する必要がある場合は、OBJECT_INSPECTOBJECT_READが必要です
  • runbook属性need sudo access がtrueの場合、FAMS_SCHEDULE_CREATE_WITH_SUDOが必要です

UpdateSchedulerJob (FAMS_SCHEDULE_UPDATEまたはFAMS_SCHEDULE_JOB_UPDATE を使用することもできます)

ManageJobExecution (FAMS_SCHEDULE_UPDATE またはFAMS_SCHEDULE_JOB_ACTIONを使用することもできます)

家族- スケジュール- ジョブ
動詞 権限 完全にカバーされるAPI 一部カバーされたAPI
inspect FAMS_SCHEDULE_JOB_INSPECT

ListSchedulerJobs (FAMS_SCHEDULE_INSPECTも使用できます)

SummarizeSchedulerJobCounts (FAMS_SCHEDULE_INSPECT0を使用することもできます)

read

inspect+

FAMS_SCHEDULE_JOB_READ

inspect+

GetSchedulerJob (FAMS_SCHEDULE_READも使用できます)

GetJobActivity (FAMS_SCHEDULE_READ も使用できます)

ListExecutions (FAMS_SCHEDULE_READ も使用できます)

GetExecution (FAMS_SCHEDULE_READ も使用できます)

ListSteps (FAMS_SCHEDULE_READ も使用できます)

ListResources (FAMS_SCHEDULE_READ も使用できます)

ListSchedulerExecutions (FAMS_SCHEDULE_READ も使用できます)

use

read+

FAMS_SCHEDULE_JOB_UPDATE

read+

UpdateSchedulerJob (FAMS_SCHEDULE_UPDATEまたはFAMS_SCHEDULE_CREATE_WITH_SUDOを使用することもできます)

use

read+

FAMS_SCHEDULE_JOB_ACTION

read+

ManageJobExecution (FAMS_SCHEDULE_UPDATEまたはFAMS_SCHEDULE_CREATE_WITH_SUDOを使用することもできます)

manage

use+

FAMS_SCHEDULE_JOB_DELETE

use+

DeleteSchedulerJob (FAMS_SCHEDULE_DELETEも使用できます)

fams-maintenance-windows
動詞 権限 完全にカバーされるAPI 一部カバーされたAPI
inspect FAMS_MAINTENANCE_WINDOW_INSPECT ListMaintenanceWindows
read

inspect+

FAMS_MAINTENANCE_WINDOW_READ

inspect+

GetMaintenanceWindow

use

read+

FAMS_MAINTENANCE_WINDOW_UPDATE

read+

UpdateMaintenanceWindow

manage

use+

FAMS_MAINTENANCE_WINDOW_CREATE

use+

CreateMaintenanceWindow

manage

use+

FAMS_MAINTENANCE_WINDOW_DELETE

use+

DeleteMaintenanceWindow

ファム管理者
動詞 権限 完全にカバーされるAPI 一部カバーされたAPI
inspect FAMS_ADMIN_INSPECT

ListProperties (FAMS_FLEET_INSPECTまたはFAMS_PROPERTY_INSPECTを使用することもできます)

read

inspect+

FAMS_ADMIN_READ

inspect+

GetProperty (FAMS_FLEET_READまたはFAMS_PROPERTY_READを使用することもできます)

CompliaceReportDetails (FAMS_COMPLIANCE_REPORT_READFAMS_FLEET_READFAMS_PATCH_READまたはFAMS_COMPLIANCE_POLICY_READを使用することもできます)

ListComplianceRecords (FAMS_COMPLIANCE_REPORT_READ FAMS_FLEET_READ FAMS_PATCH_READまたはFAMS_COMPLIANCE_POLICY_READを使用することもできます)

ExportComplianceReport (FAMS_COMPLIANCE_REPORT_READFAMS_FLEET_READFAMS_PATCH_READまたはFAMS_COMPLIANCE_POLICY_READを使用することもできます)

SummarizeComplianceRecordCounts (FAMS_COMPLIANCE_REPORT_READFAMS_FLEET_READFAMS_PATCH_READFAMS_COMPLIANCE_POLICY_READも使用できます)

SummarizeManagedEntityCounts (FAMS_COMPLIANCE_REPORT_READFAMS_FLEET_READFAMS_PATCH_READまたはFAMS_COMPLIANCE_POLICY_READを使用することもできます)

use

read+

FAMS_ADMIN_UPDATE

read+

ManageSettings

UpdateProperty (FAMS_PROPERTY_UPDATEも使用できます)

要件に応じて、UpdatePlatformConfiguration (FAMS_PLATFORM_UPDATE を使用することもできます)および次。
  • configCategoryがPRODUCT_STACKで、スタック、パッチ・タイプまたは資格証明に属する製品を指定する必要がある場合は、FAMS_PLATFORM_READが必要です。
  • configCategoryがPRODUCTで、互換性のある製品、パッチ・タイプまたは資格証明を追加する必要がある場合は、FAMS_PLATFORM_READが必要です
  • configCategoryがSELF_HOSTED_INSTANCEの場合、INSTANCE_READが必要です

UpdateOnboarding (FAMS_ONBOARDING_UPDATEを使用でき、TAG_NAMESPACE_CREATEおよびTAG_DEFINITION_ADDが必要)

manage

use+

FAMS_ADMIN_CREATE

use+

CreateProperty (FAMS_PROPERTY_CREATEも使用できます)

CreatePlatformConfiguration (FAMS_PLATFORM_CREATEを使用することもできます)は、要件に応じて次を必要とします。
  • configCategoryがPRODUCT_STACKで、スタック、パッチ・タイプまたは資格証明に属する製品を指定する必要がある場合は、FAMS_PLATFORM_READが必要です。
  • configCategoryがPRODUCTで、互換性のある製品、パッチ・タイプまたは資格証明を追加する必要がある場合は、FAMS_PLATFORM_READが必要です
  • configCategoryがSELF_HOSTED_INSTANCEの場合、INSTANCE_READが必要です

CreateOnboarding (FAMS_ONBOARDING_CREATEを使用でき、DYNAMIC_GROUP_CREATEPOLICY_CREATETAG_NAMESPACE_CREATEおよびTAG_DEFINITION_ADDが必要)

EnableLatestPolicy (FAMS_ONBOARDING_CREATEを使用でき、DYNAMIC_GROUP_CREATEPOLICY_CREATETAG_NAMESPACE_CREATEおよびTAG_DEFINITION_ADDが必要)

ListOnboardingPolicies (FAMS_ONBOARDING_CREATEを使用でき、DYNAMIC_GROUP_CREATEPOLICY_CREATETAG_NAMESPACE_CREATEおよびTAG_DEFINITION_ADDが必要)

manage

use+

FAMS_ADMIN_DELETE

use+

DeleteProperty (FAMS_PROPERTY_DELETEも使用できます)

DeletePlatformConfiguration (FAMS_PLATFORM_DELETEも使用できます)

DeleteOnboarding (FAMS_ONBOARDING_DELETEを使用でき、DYNAMIC_GROUP_DELETEPOLICY_DELETETAG_NAMESPACE_RETIREおよびTAG_DEFINITION_RETIREが必要)

manage

use+

FAMS_ADMIN_MOVE

use+

ChangePropertyCompartment (FAMS_PROPERTY_MOVEも使用できます)

ChangePlatformConfigurationCompartment (FAMS_PLATFORM_MOVEも使用できます)

ファムオンボーディング
動詞 権限 完全にカバーされるAPI 一部カバーされたAPI
inspect FAMS_ONBOARDING_INSPECT

通常のユーザー(管理者ではない)には、テナンシにアクセスするためのこの権限が必要です。

ListOnboardings

ListAnnouncements

read

inspect+

FAMS_ONBOARDING_READ

inspect+

GetOnboarding

use

read+

FAMS_ONBOARDING_UPDATE

read+

UpdateOnboarding (FAMS_ADMIN_UPDATEを使用でき、TAG_NAMESPACE_CREATEおよびTAG_DEFINITION_ADDが必要)

manage

use+

FAMS_ONBOARDING_CREATE

use+

CreateOnboarding (FAMS_ADMIN_CREATEを使用でき、DYNAMIC_GROUP_CREATEPOLICY_CREATETAG_NAMESPACE_CREATEおよびTAG_DEFINITION_ADDが必要)

EnableLatestPolicy (FAMS_ADMIN_CREATEを使用でき、DYNAMIC_GROUP_CREATEPOLICY_CREATETAG_NAMESPACE_CREATEおよびTAG_DEFINITION_ADDが必要)

ListOnboardingPolicies (FAMS_ADMIN_CREATEを使用でき、DYNAMIC_GROUP_CREATEPOLICY_CREATETAG_NAMESPACE_CREATEおよびTAG_DEFINITION_ADDが必要)

manage

use+

FAMS_ONBOARDING_DELETE

use+

DeleteOnboarding (FAMS_ADMIN_DELETEを使用でき、DYNAMIC_GROUP_DELETEPOLICY_DELETETAG_NAMESPACE_RETIREおよびTAG_DEFINITION_RETIREが必要)

ファム・ワーク・リクエスト
動詞 権限 完全にカバーされるAPI 一部カバーされたAPI
inspect FAMS_API_WORK_REQUEST_LIST ListWorkRequests
read

inspect+

FAMS_API_WORK_REQUEST_READ

inspect+

GetWorkRequest

ListWorkRequestErrors

ListWorkRequestLogs

fams-compliance-policies
動詞 権限 完全にカバーされるAPI 一部カバーされたAPI
inspect FAMS_COMPLIANCE_POLICY_INSPECT

ListCompliancePolicies

ListCompliancePolicyRules

read

inspect+

FAMS_COMPLIANCE_POLICY_READ

inspect+

GetCompliancePolicy

GetCompliancePolicyRule

CompliaceReportDetails (FAMS_COMPLIANCE_REPORT_READFAMS_FLEET_READFAMS_PATCH_READまたはFAMS_ADMIN_READを使用することもできます)

ListComplianceRecords (FAMS_COMPLIANCE_REPORT_READFAMS_FLEET_READFAMS_PATCH_READまたはFAMS_ADMIN_READを使用することもできます)

ExportComplianceReport (FAMS_COMPLIANCE_REPORT_READ FAMS_FLEET_READ FAMS_PATCH_READまたはFAMS_ADMIN_READを使用することもできます)

SummarizeComplianceRecordCounts (FAMS_COMPLIANCE_REPORT_READ FAMS_FLEET_READ FAMS_PATCH_READまたはFAMS_ADMIN_READを使用することもできます)

SummarizeManagedEntityCounts (FAMS_COMPLIANCE_REPORT_READ FAMS_FLEET_READ FAMS_PATCH_READまたはFAMS_ADMIN_READを使用することもできます)

read

inspect+

FAMS_COMPLIANCE_REPORT_READ

inspect+

ListComplianceRecords (FAMS_FLEET_READFAMS_PATCH_READFAMS_ADMIN_READまたはFAMS_COMPLIANCE_POLICY_READを使用することもできます)

ExportComplianceReport (FAMS_FLEET_READFAMS_PATCH_READFAMS_ADMIN_READまたはFAMS_COMPLIANCE_POLICY_READを使用することもできます)

SummarizeComplianceRecordCounts (FAMS_FLEET_READFAMS_PATCH_READFAMS_ADMIN_READまたはFAMS_COMPLIANCE_POLICY_READを使用することもできます)

SummarizeManagedEntityCounts (FAMS_FLEET_READFAMS_PATCH_READFAMS_ADMIN_READまたはFAMS_COMPLIANCE_POLICY_READを使用することもできます)

use

read+

FAMS_COMPLIANCE_POLICY_UPDATE

read+

UpdateCompliancePolicyRule

manage

use+

FAMS_COMPLIANCE_POLICY_CREATE

use+

CreateCompliancePolicyRule

manage

use+

FAMS_COMPLIANCE_POLICY_DELETE

use+

DeleteCompliancePolicyRule

ファム・パッチ
動詞 権限 完全にカバーされるAPI 一部カバーされたAPI
inspect FAMS_PATCH_INSPECT ListPatches
read

inspect+

FAMS_PATCH_READ

inspect+

GetPatch

ListComplianceRecords (FAMS_COMPLIANCE_REPORT_READFAMS_FLEET_READFAMS_ADMIN_READまたはFAMS_COMPLIANCE_POLICY_READを使用することもできます)

ExportComplianceReport (FAMS_COMPLIANCE_REPORT_READFAMS_FLEET_READFAMS_ADMIN_READまたはFAMS_COMPLIANCE_POLICY_READを使用することもできます)

SummarizeComplianceRecordCounts (FAMS_COMPLIANCE_REPORT_READFAMS_FLEET_READFAMS_ADMIN_READまたはFAMS_COMPLIANCE_POLICY_READを使用することもできます)

SummarizeManagedEntityCounts (FAMS_COMPLIANCE_REPORT_READFAMS_FLEET_READFAMS_ADMIN_READまたはFAMS_COMPLIANCE_POLICY_READを使用することもできます)

use

read+

FAMS_PATCH_UPDATE

read+

UpdatePatch (FAMS_PLATFORM_READOBJECT_INSPECTおよびOBJECT_READも必要)

manage

use+

FAMS_PATCH_CREATE

use+

CreatePatch (FAMS_PLATFORM_READOBJECT_INSPECTおよびOBJECT_READも必要)

manage

use+

FAMS_PATCH_DELETE

use+

DeletePatch

manage

use+

FAMS_PATCH_MOVE

use+

ChangePatchCompartment

ファム・プロビジョニング
動詞 権限 完全にカバーされるAPI 一部カバーされたAPI
inspect FAMS_PROVISION_INSPECT

ListProvisions

read

inspect+

FAMS_PROVISION_READ

inspect+

GetProvision

use

read+

FAMS_PROVISION_UPDATE

read+

UpdateProvision

manage

use+

FAMS_PROVISION_CREATE

use+

CreateProvision (FAMS_FLEET_READおよびFAMS_CATALOG_ITEM_READも必要)

manage

use+

FAMS_PROVISION_DELETE

use+

DeleteProvision

manage

use+

FAMS_PROVISION_MOVE

use+

ChangeProvisionCompartment

fams-catalog-items
動詞 権限 完全にカバーされるAPI 一部カバーされたAPI
inspect FAMS_CATALOG_ITEM_INSPECT

ListCatalogItems

read

inspect+

FAMS_CATALOG_ITEM_READ

inspect+

GetCatalogItem

CreateTaskRecordには、要件に応じて次のものが必要です。
  • プラットフォーム(製品)、操作(ライフサイクル操作)の場合は、資格証明を指定する必要があり、FAMS_PLATFORM_READが必要です
  • アクション・タイプがTERRAFORMの場合、FAMS_CATALOG_ITEM_READが必要です
  • アクション・タイプがSCRIPTで、スクリプトがCATALOG ITEMを参照する必要がある場合は、FAMS_CATALOG_ITEM_READが必要です
  • アクション・タイプがSCRIPTで、スクリプトをオブジェクト・ストレージから選択する必要がある場合は、OBJECT_INSPECTOBJECT_READが必要です
UpdateTaskRecordには、要件に応じて次のものも必要です。
  • プラットフォーム(製品)、操作(ライフサイクル操作)の場合は、資格証明を指定する必要があり、FAMS_PLATFORM_READが必要です
  • アクション・タイプがTERRAFORMの場合、FAMS_CATALOG_ITEM_READが必要です
  • アクション・タイプがSCRIPTで、スクリプトがCATALOG ITEMを参照する必要がある場合は、FAMS_CATALOG_ITEM_READが必要です
  • アクション・タイプがSCRIPTで、スクリプトをオブジェクト・ストレージから選択する必要がある場合は、OBJECT_INSPECTOBJECT_READが必要です

CreateProvision (FAMS_PROVISION_CREATEおよびFAMS_FLEET_READも必要)

use

read+

FAMS_CATALOG_ITEM_UPDATE

read+

UpdateCatalogItem (要件に応じて次も必要):
  • ソースをオブジェクト・ストレージとして使用してカタログ・アイテムを作成する場合、OBJECT_INSPECTおよびOBJECT_READが必要です
  • リソース・マネージャ構成を使用してカタログ・アイテムを作成する場合、ORM_CONFIG_SOURCE_PROVIDER_INSPECTが必要です
manage

use+

FAMS_CATALOG_ITEM_CREATE

use+

CreateCatalogItem (要件に応じて次も必要):
  • オブジェクト・ストレージとしてソースを使用してカタログ・アイテムを作成する場合、OBJECT_INSPECTおよびOBJECT_READが必要です
  • リソース・マネージャ構成を使用してカタログ・アイテムを作成する場合、ORM_CONFIG_SOURCE_PROVIDER_INSPECTが必要です
manage

use+

FAMS_CATALOG_ITEM_DELETE

use+

DeleteCatalogItem

manage

use+

FAMS_CATALOG_ITEM_MOVE

use+

ChangeCatalogItemCompartment

manage

use+

FAMS_CATALOG_ITEM_CLONE

CloneCatalogItem
ファム- ソフトウェア- 在庫
動詞 権限 完全にカバーされるAPI 一部カバーされたAPI
inspect FAMS_SOFTWARE_INVENTORY_INSPECT

ListInventoryRecords

ファム・プラットフォーム
動詞 権限 完全にカバーされるAPI 一部カバーされたAPI
inspect FAMS_PLATFORM_INSPECT

ListPlatformConfigurations

read

inspect+

FAMS_PLATFORM_READ

inspect+

GetPlatformConfiguration

CreateFleet (要件に応じて、FAMS_FLEET_CREATEおよび次も必要です:
  • 親フリートを指定する必要がある場合は、FAMS_FLEET_READが必要です
  • 通知サービスのトピックを指定する必要がある場合は、ONS_TOPIC_READが必要です
  • フリートにインスタンスを追加する必要がある場合は、INSTANCE_READが必要です
  • フリートにdbSystemを追加する必要がある場合は、DB_SYSTEM_INSPECTDB_SYSTEM_QUERYが必要です
  • フリートにvmClusterを追加する必要がある場合は、VM_CLUSTER_INSPECTが必要です
要件に応じて、UpdateFleet (FAMS_FLEET_UPDATEも必要)および次を実行します。
  • 親フリートを指定する必要がある場合は、FAMS_FLEET_READが必要です
  • 通知サービスのトピックを指定する必要がある場合は、ONS_TOPIC_READが必要です
  • フリートにインスタンスを追加する必要がある場合は、INSTANCE_READが必要です
  • フリートにdbSystemを追加する必要がある場合は、DB_SYSTEM_INSPECTDB_SYSTEM_QUERYが必要です
  • フリートにvmClusterを追加する必要がある場合は、VM_CLUSTER_INSPECTが必要です
CreateFleetCredential (要件に応じて、FAMS_FLEET_CREATE VAULT_INSPECTおよび次のものも必要です。
  • OCIボールト・キーを使用して資格証明を作成する場合は、KEY_READが必要です
  • OCIボールト・シークレットを使用して資格証明を作成する場合は、SECRET_READが必要です

CreateRunbook (FAMS_RUNBOOK_READおよびFAMS_RUNBOOK_CREATEも必要)。タスクを自己ホスト・インスタンスで実行する必要がある場合は、INSTANCE_READが必要です

UpdateRunbook (FAMS_RUNBOOK_READおよびFAMS_RUNBOOK_UPDATEも必要)。タスクを自己ホスト・インスタンスで実行する必要がある場合は、INSTANCE_READ が必要です

CreateRunbookVersion (FAMS_RUNBOOK_CREATEおよびFAMS_RUNBOOK_READ も必要)。タスクが自己ホスト・インスタンスで実行される場合、INSTANCE_READが必要です

UpdateRunbookVersion (FAMS_RUNBOOK_UPDATEおよびFAMS_RUNBOOK_READも必要)。タスクが自己ホスト・インスタンスで実行される場合、INSTANCE_READが必要です

CreateTaskRecordには、要件に応じて次のものが必要です。
  • プラットフォーム(製品)、操作(ライフサイクル操作)の場合は、資格証明を指定する必要があり、FAMS_PLATFORM_READが必要です
  • アクション・タイプがTERRAFORMの場合、FAMS_CATALOG_ITEM_READが必要です
  • アクション・タイプがSCRIPTで、スクリプトがCATALOG ITEMを参照する必要がある場合は、FAMS_CATALOG_ITEM_READが必要です
  • アクション・タイプがSCRIPTで、スクリプトをオブジェクト・ストレージから選択する必要がある場合は、OBJECT_INSPECTOBJECT_READが必要です
UpdateTaskRecordには、要件に応じて次のものも必要です。
  • プラットフォーム(製品)、操作(ライフサイクル操作)の場合は、資格証明を指定する必要があり、FAMS_PLATFORM_READが必要です
  • アクション・タイプがTERRAFORMの場合、FAMS_CATALOG_ITEM_READが必要です
  • アクション・タイプがSCRIPTで、スクリプトがCATALOG ITEMを参照する必要がある場合は、FAMS_CATALOG_ITEM_READが必要です
  • アクション・タイプがSCRIPTで、スクリプトをオブジェクト・ストレージから選択する必要がある場合は、OBJECT_INSPECTOBJECT_READが必要です
CreatePlatformConfiguration (FAMS_PLATFORM_CREATEを使用することもできます)は、要件に応じて次を必要とします。
  • configCategoryがPRODUCT_STACKで、スタック、パッチ・タイプまたは資格証明に属する製品を指定する必要がある場合は、FAMS_PLATFORM_READが必要です。
  • configCategoryがPRODUCTで、互換性のある製品、パッチ・タイプまたは資格証明を追加する必要がある場合は、FAMS_PLATFORM_READが必要です
  • configCategoryがSELF_HOSTED_INSTANCEの場合、INSTANCE_READが必要です
要件に応じて、UpdatePlatformConfiguration (FAMS_PLATFORM_UPDATE を使用することもできます)および次。
  • configCategoryがPRODUCT_STACKで、スタック、パッチ・タイプまたは資格証明に属する製品を指定する必要がある場合は、FAMS_PLATFORM_READが必要です。
  • configCategoryがPRODUCTで、互換性のある製品、パッチ・タイプまたは資格証明を追加する必要がある場合は、FAMS_PLATFORM_READが必要です
  • configCategoryがSELF_HOSTED_INSTANCEの場合、INSTANCE_READが必要です

CreatePatch (FAMS_PATCH_CREATEOBJECT_INSPECTおよびOBJECT_READも必要)

UpdatePatch (FAMS_PATCH_UPDATE OBJECT_INSPECTおよびOBJECT_READも必要)

use

read+

FAMS_PLATFORM_UPDATE

read+

要件に応じて、UpdatePlatformConfiguration (FAMS_ADMIN_UPDATE を使用することもできます)および次。
  • configCategoryがPRODUCT_STACKで、スタック、パッチ・タイプまたは資格証明に属する製品を指定する必要がある場合は、FAMS_PLATFORM_READが必要です。
  • configCategoryがPRODUCTで、互換性のある製品、パッチ・タイプまたは資格証明を追加する必要がある場合は、FAMS_PLATFORM_READが必要です
  • configCategoryがSELF_HOSTED_INSTANCEの場合、INSTANCE_READが必要です
manage

use+

FAMS_PLATFORM_CREATE

use+

CreatePlatformConfiguration (FAMS_ADMIN_CREATEを使用することもできます)は、要件に応じて次を必要とします。
  • configCategoryがPRODUCT_STACKで、スタック、パッチ・タイプまたは資格証明に属する製品を指定する必要がある場合は、FAMS_PLATFORM_READが必要です。
  • configCategoryがPRODUCTで、互換性のある製品、パッチ・タイプまたは資格証明を追加する必要がある場合は、FAMS_PLATFORM_READが必要です
  • configCategoryがSELF_HOSTED_INSTANCEの場合、INSTANCE_READが必要です
manage

use+

FAMS_PLATFORM_DELETE

use+

DeletePlatformConfiguration (FAMS_ADMIN_DELETEも使用できます)

manage

use+

FAMS_PLATFORM_MOVE

use+

ChangePlatformConfigurationCompartment (FAMS_ADMIN_MOVEも使用できます)

fams-properties
動詞 権限 完全にカバーされるAPI 一部カバーされたAPI
inspect FAMS_PROPERTY_INSPECT

ListProperties (FAMS_ADMIN_INSPECTまたはFAMS_FLEET_INSPECTを使用することもできます)

read

inspect+

FAMS_PROPERTY_READ

inspect+

CreateFleetProperty (FAMS_FLEET_CREATEも必要)

UpdateFleetProperty (FAMS_FLEET_UPDATEも必要)

要件に応じて、UpdateFleetCredential (FAMS_FLEET_UPDATE およびVAULT_INSPECTも必要)および次。
  • OCIボールト・キーを使用して資格証明を作成する場合は、KEY_READが必要です
  • OCIボールト・シークレットを使用して資格証明を作成する場合は、SECRET_READが必要です

GetProperty (FAMS_ADMIN_READまたはFAMS_FLEET_READを使用することもできます)

use

read+

FAMS_PROPERTY_UPDATE

read+

UpdateProperty (FAMS_ADMIN_UPDATEも使用できます)

manage

use+

FAMS_PROPERTY_CREATE

use+

CreateProperty (FAMS_ADMIN_CREATEも使用できます)

manage

use+

FAMS_PROPERTY_DELETE

use+

DeleteProperty (FAMS_ADMIN_DELETEも使用できます)

manage

use+

FAMS_PROPERTY_MOVE

use+

ChangePropertyCompartment (FAMS_ADMIN_MOVEも使用できます)

API操作ごとに必要な権限

次の表は、論理的な順序で、リソース・タイプ別にグループ化してAPI操作を示しています。

権限の詳細は、権限を参照してください。

API操作 操作の使用に必要な権限
ListFleets FAMS_FLEET_INSPECT
GetFleet FAMS_FLEET_READ
CreateFleet FAMS_FLEET_CREATEおよびFAMS_PLATFORM_READ
次のものがあります。
  • 親フリートを指定する必要がある場合はFAMS_FLEET_READ
  • 通知を有効にするためにトピックをフリートに関連付ける必要がある場合はONS_TOPIC_READ
  • フリートにインスタンスを追加する必要がある場合はINSTANCE_READ
  • DB_SYSTEM_INSPECTdbSystemをフリートに追加する必要がある場合はDB_SYSTEM_QUERY
  • フリートにvmClusterを追加する必要がある場合はVM_CLUSTER_INSPECT
UpdateFleet FAMS_FLEET_UPDATEおよびFAMS_PLATFORM_READ
次のものがあります。
  • 親フリートを指定する必要がある場合はFAMS_FLEET_READ
  • 通知を有効にするためにトピックをフリートに関連付ける必要がある場合はONS_TOPIC_READ
  • フリートにインスタンスを追加する必要がある場合はINSTANCE_READ
  • DB_SYSTEM_INSPECTdbSystemをフリートに追加する必要がある場合はDB_SYSTEM_QUERY
  • フリートにvmClusterを追加する必要がある場合はVM_CLUSTER_INSPECT
DeleteFleet FAMS_FLEET_DELETE
ChangeFleetCompartment FAMS_FLEET_MOVE
ListInventoryResources FAMS_FLEET_INSPECT
ListFleetResources FAMS_FLEET_INSPECT
CreateFleetResource FAMS_FLEET_CREATE
そして、次のようになります。
  • フリートにインスタンスを追加する必要がある場合はINSTANCE_READ
  • DB_SYSTEM_INSPECTdbSystemをフリートに追加する必要がある場合はDB_SYSTEM_QUERY
  • フリートにvmClusterを追加する必要がある場合はVM_CLUSTER_INSPECT
GetFleetResource FAMS_FLEET_READ
UpdateFleetResource FAMS_FLEET_UPDATE
そして、次のようになります。
  • フリートにインスタンスを追加する必要がある場合はINSTANCE_READ
  • DB_SYSTEM_INSPECTdbSystemをフリートに追加する必要がある場合はDB_SYSTEM_QUERY
  • フリートにvmClusterを追加する必要がある場合はVM_CLUSTER_INSPECT
DeleteFleetResource FAMS_FLEET_DELETE
ListFleetProperties FAMS_FLEET_INSPECT
CreateFleetProperty FAMS_FLEET_CREATEおよびFAMS_PROPERTY_READ
GetFleetProperty FAMS_FLEET_READ
UpdateFleetProperty FAMS_FLEET_UPDATおよびFAMS_PROPERTY_READ
DeleteFleetProperty FAMS_FLEET_DELETE
ConfirmTargets FAMS_FLEET_CREATE
ListTargets FAMS_FLEET_INSPECT
ListFleetTargets FAMS_FLEET_INSPECT
ListFleetProducts FAMS_FLEET_INSPECT
GetComplianceReport FAMS_FLEET_READ
ListAnnouncements FAMS_ONBOARDING_INSPECT
ListFleetCredentials FAMS_FLEET_INSPECT
CreateFleetCredential FAMS_FLEET_CREATEFAMS_PLATFORM_READおよびVAULT_INSPECT
次のものがあります。
  • ボールト・キーを使用して資格証明を作成する場合はKEY_READ
  • ボールト・シークレットを使用して資格証明を作成する場合はSECRET_READ
GetFleetCredential FAMS_FLEET_READ
UpdateFleetCredential FAMS_FLEET_UPDATEFAMS_PROPERTY_READおよびVAULT_INSPECT
次のものがあります。
  • ボールト・キーを使用して資格証明を作成する場合はKEY_READ
  • ボールト・シークレットを使用して資格証明を作成する場合はSECRET_READ
DeleteFleetCredential FAMS_FLEET_DELETE
GenerateComplianceReport FAMS_FLEET_READ
RequestTargetDiscovery FAMS_FLEET_CREATE
RequestResourceValidation FAMS_FLEET_CREATE
CheckResourceTagging FAMS_FLEET_CREATE
ListRunbooks FAMS_RUNBOOK_INSPECT
GetRunbook FAMS_RUNBOOK_READ
CreateRunbook FAMS_RUNBOOK_CREATEFAMS_RUNBOOK_READおよびFAMS_PLATFORM_READ

また、自己ホスト・インスタンスでタスクを実行する必要がある場合はINSTANCE_READ

UpdateRunbook FAMS_RUNBOOK_UPDATEFAMS_RUNBOOK_READおよびFAMS_PLATFORM_READ

また、自己ホスト・インスタンスでタスクを実行する必要がある場合はINSTANCE_READ

DeleteRunbook FLEET_RUNBOOK_DELETE
ChangeRunbookCompartment FAMS_RUNBOOK_MOVE
PublishRunbook FAMS_RUNBOOK_PUBLISH
ListRunbookVersions FLEET_RUNBOOK_INSPECT
CreateRunbookVersion FLEET_RUNBOOK_CREATEFAMS_RUNBOOK_READおよびFAMS_PLATFORM_READ

また、自己ホスト・インスタンスでタスクを実行する必要がある場合はINSTANCE_READ

GetRunbookVersion FLEET_RUNBOOK_READ
UpdateRunbookVersion FLEET_RUNBOOK_UPDATEFAMS_RUNBOOK_READおよびFAMS_PLATFORM_READ

また、自己ホスト・インスタンスでタスクを実行する必要がある場合はINSTANCE_READ

DeleteRunbookVersion FLEET_RUNBOOK_DELETE
ListTaskRecords FAMS_RUNBOOK_INSPECT
GetTaskRecord FAMS_RUNBOOK_READ
CreateTaskRecord FAMS_RUNBOOK_CREATE
次のものがあります。
  • FAMS_PLATFORM_READ: プラットフォーム(製品)、操作(ライフサイクル操作)、資格証明を指定する必要がある場合
  • アクション・タイプがTERRAFORMの場合はFAMS_CATALOG_ITEM_READ
  • アクション・タイプがSCRIPTで、スクリプトがCATALOG ITEMを参照する必要がある場合、FAMS_CATALOG_ITEM_READ
  • OBJECT_INSPECT、アクション・タイプがSCRIPTで、スクリプトをオブジェクト・ストレージから選択する必要がある場合はOBJECT_READ
UpdateTaskRecord FAMS_RUNBOOK_UPDATE
次のものがあります。
  • FAMS_PLATFORM_READ: プラットフォーム(製品)、操作(ライフサイクル操作)、資格証明を指定する必要がある場合
  • アクション・タイプがTERRAFORMの場合はFAMS_CATALOG_ITEM_READ
  • アクション・タイプがSCRIPTで、スクリプトがCATALOG ITEMを参照する必要がある場合、FAMS_CATALOG_ITEM_READ
  • OBJECT_INSPECT、アクション・タイプがSCRIPTで、スクリプトをオブジェクト・ストレージから選択する必要がある場合はOBJECT_READ
DeleteTaskRecord FAMS_RUNBOOK_DELETE
ChangeTaskRecordCompartment FAMS_RUNBOOK_MOVE
ListMaintenanceWindows FAMS_MAINTENANCE_WINDOW_INSPECT
CreateMaintenanceWindow FAMS_MAINTENANCE_WINDOW_CREATE
GetMaintenanceWindow FAMS_MAINTENANCE_WINDOW_READ
UpdateMaintenanceWindow FAMS_MAINTENANCE_WINDOW_UPDATE
DeleteMaintenanceWindow FAMS_MAINTENANCE_WINDOW_DELETE
CreateSchedulerDefinition (FAMS_SCHEDULE_CREATEまたはFAMS_SCHEDULE_CREATE_WITH_SUDO)、FAMS_FLEET_READおよびFAMS_RUNBOOK_READ
次のものがあります。
  • OBJECT_INSPECTOBJECT_READ(入力パラメータ・タイプがFILEで、オブジェクト・ストレージから選択する必要がある場合)
  • ランブック属性need sudo accessがtrueの場合、FAMS_SCHEDULE_CREATE_WITH_SUDO
UpdateSchedulerDefinition (FAMS_SCHEDULE_UPDATEまたはFAMS_SCHEDULE_CREATE_WITH_SUDO)、FAMS_FLEET_READおよびFAMS_RUNBOOK_READ
そして、次のようになります。
  • OBJECT_INSPECTOBJECT_READ(入力パラメータ・タイプがFILEで、オブジェクト・ストレージから選択する必要がある場合)
  • ランブック属性need sudo accessがtrueの場合、FAMS_SCHEDULE_CREATE_WITH_SUDO
DeleteSchedulerDefinition FAMS_SCHEDULE_DELETE
ListSchedulerDefinitions FAMS_SCHEDULE_INSPECT
GetSchedulerDefinition FAMS_SCHEDULE_READ
DeleteSchedulerJob FAMS_SCHEDULE_DELETEまたはFAMS_SCHEDULE_JOB_DELETE
ListSchedulerJobs FAMS_SCHEDULE_INSPECTまたはFAMS_SCHEDULE_JOB_INSPECT
GetSchedulerJob FAMS_SCHEDULE_READまたはFAMS_SCHEDULE_JOB_READ
UpdateSchedulerJob FAMS_SCHEDULE_UPDATEFAMS_SCHEDULE_JOB_UPDATEまたはFAMS_SCHEDULE_CREATE_WITH_SUDO
GetJobActivity FAMS_SCHEDULE_READまたはFAMS_SCHEDULE_JOB_READ
ManageJobExecution FAMS_SCHEDULE_UPDATEFAMS_SCHEDULE_JOB_ACTIONまたはFAMS_SCHEDULE_CREATE_WITH_SUDO
ListExecutions FAMS_SCHEDULE_READまたはFAMS_SCHEDULE_JOB_READ
GetExecution FAMS_SCHEDULE_READまたはFAMS_SCHEDULE_JOB_READ
ListSteps FAMS_SCHEDULE_READまたはFAMS_SCHEDULE_JOB_READ
ListResources FAMS_SCHEDULE_READまたはFAMS_SCHEDULE_JOB_READ
SummarizeSchedulerJobCounts FAMS_SCHEDULE_INSPECTまたはFAMS_SCHEDULE_JOB_INSPECT
ListSchedulerExecutions FAMS_SCHEDULE_READまたはFAMS_SCHEDULE_JOB_READ
SetDefaultRunbook FAMS_RUNBOOK_UPDATE
ListScheduledFleets FAMS_SCHEDULE_READ
ListProperties FAMS_ADMIN_INSPECTFAMS_FLEET_INSPECTまたはFAMS_PROPERTY_INSPECT
CreateProperty FAMS_ADMIN_CREATEまたはFAMS_PROPERTY_CREATE
GetProperty FAMS_ADMIN_READFAMS_FLEET_READまたはFAMS_PROPERTY_READ
UpdateProperty FAMS_ADMIN_UPDATEまたはFAMS_PROPERTY_UPDATE
DeleteProperty FAMS_ADMIN_DELETEまたはFAMS_PROPERTY_DELETE
ChangePropertyCompartment FAMS_ADMIN_MOVEまたはFAMS_PROPERTY_MOVE
ListPlatformConfigurations FAMS_PLATFORM_INSPECT
CreatePlatformConfiguration FAMS_ADMIN_CREATEまたはFAMS_PLATFORM_CREATE
次のものがあります。
  • configCategoryがPRODUCT_STACKで、スタック、パッチ・タイプまたは資格証明に属する製品を指定する必要がある場合、FAMS_PLATFORM_READ
  • configCategoryがPRODUCTで、互換性のある製品、パッチ・タイプまたは資格証明を指定する必要がある場合はFAMS_PLATFORM_READ
  • configCategoryがSELF_HOSTED_INSTANCEの場合はINSTANCE_READ
GetPlatformConfiguration FAMS_PLATFORM_READ
UpdatePlatformConfiguration FAMS_ADMIN_UPDATEまたはFAMS_PLATFORM_UPDATE
次のものがあります。
  • configCategoryがPRODUCT_STACKで、スタック、パッチ・タイプまたは資格証明に属する製品を指定する必要がある場合、FAMS_PLATFORM_READ
  • configCategoryがPRODUCTで、互換性のある製品、パッチ・タイプまたは資格証明を指定する必要がある場合はFAMS_PLATFORM_READ
  • configCategoryがSELF_HOSTED_INSTANCEの場合はINSTANCE_READ
DeletePlatformConfiguration FAMS_ADMIN_DELETEまたはFAMS_PLATFORM_DELETE
ChangePlatformConfigurationCompartment FAMS_ADMIN_MOVEまたはFAMS_PLATFORM_MOVE
ListWorkRequests FAMS_API_WORK_REQUEST_LIST
GetWorkRequest FAMS_API_WORK_REQUEST_READ
ListWorkRequestErrors FAMS_API_WORK_REQUEST_READ
ListWorkRequestLogs FAMS_API_WORK_REQUEST_READ
ListOnboardings FAMS_ONBOARDING_INSPECT
GetOnboarding FAMS_ONBOARDING_READ
CreateOnboarding DYNAMIC_GROUP_CREATEPOLICY_CREATETAG_NAMESPACE_CREATETAG_DEFINITION_ADDおよび(FAMS_ADMIN_CREATEまたはFAMS_ONBOARDING_CREATE)
UpdateOnboarding TAG_NAMESPACE_CREATETAG_DEFINITION_ADDおよび(FAMS_ADMIN_UPDATEまたはFAMS_ONBOARDING_UPDATE)
DeleteOnboarding DYNAMIC_GROUP_DELETEPOLICY_DELETETAG_NAMESPACE_RETIRETAG_DEFINITION_RETIREおよび(FAMS_ADMIN_DELETEまたはFAMS_ONBOARDING_DELETE)
EnableLatestPolicy DYNAMIC_GROUP_CREATEPOLICY_CREATETAG_NAMESPACE_CREATETAG_DEFINITION_ADDおよび(FAMS_ADMIN_CREATEまたはFAMS_ONBOARDING_CREATE)
ManageSettings FAMS_ADMIN_UPDATE
ListOnboardingPolicies DYNAMIC_GROUP_CREATEPOLICY_CREATETAG_NAMESPACE_CREATETAG_DEFINITION_ADDおよび(FAMS_ADMIN_CREATEまたはFAMS_ONBOARDING_CREATE)
ListCompliancePolicies FAMS_COMPLIANCE_POLICY_INSPECT
GetCompliancePolicy FAMS_COMPLIANCE_POLICY_READ
ListCompliancePolicyRules FAMS_COMPLIANCE_POLICY_INSPECT
GetCompliancePolicyRule FAMS_COMPLIANCE_POLICY_READ
CreateCompliancePolicyRule FAMS_COMPLIANCE_POLICY_CREATE
UpdateCompliancePolicyRule FAMS_COMPLIANCE_POLICY_UPDATE
DeleteCompliancePolicyRule FAMS_COMPLIANCE_POLICY_DELETE
ListComplianceRecords FAMS_COMPLIANCE_REPORT_READFAMS_FLEET_READFAMS_PATCH_READFAMS_ADMIN_READまたはFAMS_COMPLIANCE_POLICY_READ
ExportComplianceReport FAMS_COMPLIANCE_REPORT_READFAMS_FLEET_READFAMS_PATCH_READFAMS_ADMIN_READまたはFAMS_COMPLIANCE_POLICY_READ
SummarizeComplianceRecordCounts FAMS_COMPLIANCE_REPORT_READFAMS_FLEET_READFAMS_PATCH_READFAMS_ADMIN_READまたはFAMS_COMPLIANCE_POLICY_READ
SummarizeManagedEntityCounts FAMS_COMPLIANCE_REPORT_READFAMS_FLEET_READFAMS_PATCH_READFAMS_ADMIN_READまたはFAMS_COMPLIANCE_POLICY_READ
ListPatches FAMS_PATCH_INSPECT
GetPatch FAMS_PATCH_READ
CreatePatch FAMS_PATCH_CREATEFAMS_PLATFORM_READOBJECT_INSPECTおよびOBJECT_READ
DeletePatch FAMS_PATCH_DELETE
UpdatePatch FAMS_PATCH_UPDATEFAMS_PLATFORM_READOBJECT_INSPECTおよびOBJECT_READ
ChangePatchCompartment FAMS_PATCH_MOVE
CreateProvision FAMS_PROVISION_CREATEFAMS_FLEET_READおよびFAMS_CATALOG_ITEM_READ
DeleteProvision FAMS_PROVISION_DELETE
ListProvisions FAMS_PROVISION_INSPECT
UpdateProvision FAMS_PROVISION_UPDATE
GetProvision FAMS_PROVISION_READ
ChangeProvisionCompartment FAMS_PROVISION_MOVE
ListCatalogItems FAMS_CATALOG_ITEM_INSPECT
CreateCatalogItem FAMS_CATALOG_ITEM_CREATE
次のものがあります。
  • オブジェクト・ストレージとしてソースを使用してカタログ・アイテムを作成する場合は、OBJECT_INSPECTおよびOBJECT_READ
  • リソース・マネージャ構成を使用してカタログ・アイテムを作成する場合はORM_CONFIG_SOURCE_PROVIDER_INSPECT
GetCatalogItem FAMS_CATALOG_ITEM_READ
UpdateCatalogItem FAMS_CATALOG_ITEM_UPDATE
そして、次のようになります。
  • オブジェクト・ストレージとしてソースを使用してカタログ・アイテムを作成する場合は、OBJECT_INSPECTおよびOBJECT_READ
  • リソース・マネージャ構成を使用してカタログ・アイテムを作成する場合はORM_CONFIG_SOURCE_PROVIDER_INSPECT
DeleteCatalogItem FAMS_CATALOG_ITEM_DELETE
ChangeCatalogItemCompartment FAMS_CATALOG_ITEM_MOVE
CloneCatalogItem FAMS_CATALOG_ITEM_CLONE
ListInventoryRecords FAMS_SOFTWARE_INVENTORY_INSPECT

ユーザー・ポリシー

ユーザーがフリート・アプリケーション管理リソースにアクセスするには、フリート・アプリケーション管理ユーザー・ポリシーが必要です。

ポリシーの構文は次のとおりです:

allow <subject> to <verb>
                        <resource-type> in <location> where <conditions>
                    

詳細は、ポリシー構文を参照してください。

フリート・アプリケーション管理関連リソースにアクセスするための特定のユーザーまたはグループのポリシーを作成します。ポリシーの作成に関する項を参照してください。

テナンシ・レベルで権限を適用するには、compartment <compartment name>tenancyに置き換えます。

ポリシーの例

フリート・アプリケーション管理ポリシーは、様々なフリート・アプリケーション管理リソースを使用するために必要です。

コンソールを使用したポリシーの作成は、ポリシーの作成の手順を参照してください。

構文の詳細は、ポリシー構文を参照してください。

フリート・アプリケーション管理ポリシーの例:

  • グループにテナンシ内のすべてのリソースの管理を許可します:
    Allow group acme-fams-developers to manage fams-family in tenancy
  • グループ内のユーザーは、ユーザー・ロールに応じて、Marketplaceまたはプライベート・カタログ項目のカタログ項目を読み取ったり管理できます。
    
    Allow group <USER_GROUP> to read fams-catalog-items in compartment <USER_COMPARTMENT_NAME>

    この例では、カタログ・アイテムおよびコンピュート・インスタンスがフリート・アプリケーション管理と同じコンパートメントにあることを前提としています。

  • グループ内のユーザーが、関連する場所からカタログ・アイテム・スクリプトにアクセスできるようにします。
    Allow group <USER_GROUP> to {PAR_MANAGE} in compartment <USER_COMPARTMENT_NAME>
    Allow group <USER_GROUP>  to read object-family in compartment <USER_COMPARTMENT_NAME>  
    Allow group <USER_GROUP> to read buckets in compartment <USER_COMPARTMENT_NAME>

    この例では、オブジェクト・ストレージ・バケットおよびコンピュート・インスタンスがフリート・アプリケーション管理と同じコンパートメントにあることを前提としています。

  • グループ内のユーザーにプロビジョニング・リクエストの管理を許可します。
    Allow group <USER_GROUP> to manage fams-provisions in compartment <USER_COMPARTMENT_NAME>

    この例では、プロビジョニング・リクエストおよびコンピュート・インスタンスがフリート・アプリケーション管理と同じコンパートメントにあることを前提としています。

  • フリート・アプリケーション管理をリソース・マネージャに接続して、グループ内のユーザーがプロビジョニングを管理できるようにします。
    Allow group <USER_GROUP> to manage orm-config-source-providers in compartment <USER_COMPARTMENT_NAME>
    Allow group <USER_GROUP> to manage orm-jobs in compartment <USER_COMPARTMENT_NAME>
    Allow group <USER_GROUP> to manage orm-stacks in compartment <USER_COMPARTMENT_NAME>
    Allow group <USER_GROUP> to manage orm-template in compartment <USER_COMPARTMENT_NAME>
    Allow group <USER_GROUP> to manage orm-work-requests in compartment <USER_COMPARTMENT_NAME>

    この例では、プロビジョニング・リクエストおよびコンピュート・インスタンスがフリート・アプリケーション管理と同じコンパートメントにあることを前提としています。

  • グループ内のユーザーがプロビジョニングをスケジュールおよび管理できるようにします。
    Allow group <USER_GROUP> to manage fams-schedules in compartment <USER_COMPARTMENT_NAME>

    この例では、スケジュール、プロビジョニング・リクエストがフリート・アプリケーション管理と同じコンパートメントにあることを前提としています。

  • グループ内のユーザーに、関連するOCIリソース・タイプのプロビジョニングを許可します。
    Allow group <USER_GROUP> to manage <resource_type> in compartment <USER_COMPARTMENT_NAME>

    この例では、リソース・タイプがフリート・アプリケーション管理と同じコンパートメントにあることを前提としています。

動的グループへのルールの追加

組織のテナンシ管理者は、テナンシのフリート・アプリケーション管理を有効にします。このアクションは、"fams-customer-dg"および"fams-service-dg"の2つの動的グループを作成します。管理者は、fams-customer-dgグループのインスタンスおよびメンバーを作成するための一致ルールを定義します。フリート・アプリケーション管理は、これらのインスタンスに対してライフサイクル操作を実行します。
  1. ナビゲーション・メニューを開き、「アイデンティティおよびセキュリティ」を選択します。「アイデンティティ」で、「ドメイン」を選択します。
  2. 作業するアイデンティティ・ドメインを選択します。
  3. (ページの左側にある)「アイデンティティ・ドメイン」で、「動的グループ」を選択します。
  4. fams-customer-dg動的グループを選択します。動的グループの詳細ページが開きます。
  5. すべての一致ルールの編集を選択します。
  6. テキスト・ボックスで一致ルールを編集します。または、ルール・ビルダーによって変更がサポートされている場合は、ルール・ビルダーを使用できます。
    たとえば、テキスト・ボックスにルールを直接入力するか、ルール・ビルダーを使用します。

    テキスト・ボックスのエントリ例:

    All {instance.compartement.id = 'ocid1.instance1.oc1.iad:sampleuniqueid1', instance.compartment.id ='ocid1.compartmentA.oc1:sampleuniqueid2'}

    存在しているか、またはコンパートメント内で作成されている(OCIDで識別される)すべてのインスタンスは、この動的グループのメンバーです。

IAMポリシー

組織のテナンシ管理者は、テナンシのフリート・アプリケーション管理を有効にします。このアクションは、フリート・アプリケーション管理を使用するための次のIAMポリシーを作成します。

「fams-service-dg」のIAMポリシーは次のとおりです。

define tenancy fams-tenancy as <fams-tenancy-ocid>
define dynamic-group fams-workload-dg as <fams-dynamicgroup-ocid>
allow dynamic-group fams-service-dg to use fams-agent-command-executions in tenancy
allow dynamic-group fams-service-dg to { FAMS_CATALOG_ITEM_INSPECT, FAMS_CATALOG_ITEM_READ } in tenancy
allow dynamic-group fams-service-dg to { INSTANCE_UPDATE } in tenancy
allow dynamic-group fams-service-dg to read instance-family in tenancy
allow dynamic-group fams-service-dg to use instances in tenancy
allow dynamic-group fams-service-dg to inspect limits in tenancy
allow dynamic-group fams-service-dg to use tag-namespaces in tenancy where target.tag-namespace.name='Oracle$FAMS-Tags'
allow dynamic-group fams-service-dg to read instance-agent-plugins in tenancy
allow dynamic-group fams-service-dg to read instance-agent-command-family in tenancy
allow dynamic-group fams-service-dg to use ons-family in tenancy
allow dynamic-group fams-service-dg to manage database-family in tenancy
allow dynamic-group fams-service-dg to manage osmh-family in tenancy
allow dynamic-group fams-service-dg to { INSTANCE_AGENT_COMMAND_CREATE } in tenancy
allow dynamic-group fams-service-dg to { OBJECTSTORAGE_NAMESPACE_READ } in tenancy
allow dynamic-group fams-service-dg to manage work-requests in tenancy

フリート・アプリケーション管理を使用するには、fams-customer-dgで次のIAMポリシーが必要です:

プリファレンスに基づいて、テナンシまたはコンパートメントのポリシーを構成できます。コンパートメントのポリシーを構成することを選択した場合、ポリシー・ステートメントは次のようになります。

allow dynamic-group fams-customer-dg to {VAULT_READ} in <compartment_OCID>

フリート・アプリケーション管理でテナンシのポリシーを構成できるようにした場合、次のIAMポリシーは"fams-customer-dg"にあります:


endorse any-group to { FAMS_CATALOG_ITEM_INSPECT, FAMS_CATALOG_ITEM_READ} in tenancy fams-tenancy
admit dynamic-group fams-workload-dg of tenancy fams-tenancy to read orm-stack in tenancy where all { request.principal.type = 'workload' }
allow dynamic-group fams-customer-dg to use instance-agent-command-execution-family in tenancy where request.instance.id=target.instance.id
allow dynamic-group fams-customer-dg to read instance-family in tenancy
allow dynamic-group fams-customer-dg to use fams-agent-command-executions in tenancy where request.instance.id=target.instance.id
allow dynamic-group fams-customer-dg to {OSMH_MANAGED_INSTANCE_ACCESS} in tenancy
allow dynamic-group fams-customer-dg to { OBJECT_INSPECT, OBJECT_READ } in tenancy
endorse dynamic-group fams-customer-dg to { OBJECT_CREATE, OBJECT_OVERWRITE, OBJECT_READ } in tenancy fams-tenancy where all { target.bucket.name = '<CUSTOMER_TENANCY_OCID>' }
endorse dynamic-group fams-customer-dg to { OBJECT_INSPECT, OBJECT_READ } in tenancy fams-tenancy where any { target.bucket.name = 'automations', target.bucket.name = 'patches'}
「fams-customer-dg」の各ポリシーのアクセスのタイプを次に示します。
  • endorse any-group to { FAMS_CATALOG_ITEM_INSPECT, FAMS_CATALOG_ITEM_READ}  in  tenancy fams-tenancy

    マーケットプレイス・カタログ項目へのテナンシ・アクセスを許可します。

  • admit dynamic-group fams-workload-dg of tenancy fams-tenancy to read orm-stack in tenancy where all { request.principal.type = 'workload' }

    リソース・マネージャ・スタック・ステータスを確認するためのプロビジョニング要件の管理を許可します。

  • allow dynamic-group fams-customer-dg to { KEY_READ, KEY_DECRYPT,SECRET_READ } in tenancy
    allow dynamic-group fams-customer-dg to {VAULT_READ} in tenancy
    allow dynamic-group fams-customer-dg to {SECRET_BUNDLE_READ} in tenancy

    ライフサイクル操作のために、フリート・アプリケーション管理へのボールト・キーおよびシークレットを使用したテナンシ・アクセスを許可します。

  • allow dynamic-group fams-customer-dg to use instance-agent-command-execution-family in tenancy where request.instance.id=target.instance.id

    runコマンドを使用したライフサイクル操作の管理を許可します。

  • allow dynamic-group fams-customer-dg to read instance-family in tenancy

    フリート・アプリケーション管理で状態チェックのインスタンス詳細を取得できます。

  • allow dynamic-group fams-customer-dg to use fams-agent-command-executions in tenancy where request.instance.id=target.instance.id

    フリート・アプリケーション管理プラグインを使用して、フリート・アプリケーション管理でインスタンスのライフサイクル操作を管理できるようにします。

  • allow dynamic-group fams-customer-dg to {OSMH_MANAGED_INSTANCE_ACCESS} in tenancy

    フリート・アプリケーション管理でOS管理ハブを使用してOSへのパッチ適用を管理できます。

  • allow dynamic-group fams-customer-dg to { OBJECT_INSPECT, OBJECT_READ } in tenancy

    オブジェクト・ストレージからのフリート・アプリケーション管理アクセス・ライフサイクル操作スクリプトを許可します。

  • endorse dynamic-group fams-customer-dg to { OBJECT_CREATE, OBJECT_OVERWRITE, OBJECT_READ } in tenancy fams-tenancy where all { target.bucket.name = '<CUSTOMER_TENANCY_OCID>' }

    オブジェクト・ストレージのライフサイクル操作ログの管理をフリート・アプリケーション管理に許可します。

  • endorse dynamic-group fams-customer-dg to { OBJECT_INSPECT, OBJECT_READ } in tenancy fams-tenancy where any { target.bucket.name = 'automations', target.bucket.name = 'patches'}

    テナンシにフリート・アプリケーション管理のライフサイクル操作スクリプトおよびパッチへのアクセスを許可します。

重要

サービスの中断を回避するには、テナンシ管理者が「fams-service-dg」、「fams-customer-dg」動的グループIAMポリシーが削除されていないことを確認する必要があります。ただし、様々なグループおよび製品スタックに対して異なる管理者が必要な場合など、ユース・ケースに対して独自のポリシーを作成できます。