OS管理ポリシー・リファレンス
このトピックでは、OS管理サービスへのアクセスを制御するポリシーの記述の詳細を説明します。
OS管理サービスの詳細
このトピックでは、OS管理へのアクセスを制御するポリシーの記述の詳細を説明します。
管理対象インスタンスの権限について
管理対象インスタンスはOS管理サービスによってアクティブに管理されているコンピュート・インスタンスであるため、管理対象インスタンスに対して実行されるすべての操作には、基礎となるコンピュート・インスタンスに対するread
権限が必要です。管理対象インスタンスには、個別のOracle Cloud ID (OCID)はありません。ユーザーが使用できるコンピュート・インスタンスを判別するために、コンピュート・サービスに対してコールを実行して、インスタンス情報を取得します。コンピュート・インスタンス詳細へのread
アクセス権がない場合、OS管理サービスでコンピュート・インスタンスを管理できません。
ソフトウェア・ソースの権限について
ソフトウェア・ソースのデフォルト・セットはルート・コンパートメントに作成されます。これらのソフトウェア・ソースを読み取るには、ユーザーにread
権限を付与する必要があります。
ユーザーが誤ってこれらのパッケージを削除しないように、ルート・コンパートメント内のソフトウェア・ソースに対する権限を制限する必要があります。これらのパッケージは、そのまま、またはカスタマイズされたソフトウェア・ソースの作成のベースとして使用することを目的としていますが、直接変更しないようにしてください。
ソフトウェア・ソースを作成する際は、ユーザーがアクセス権限を持つ既存のソフトウェア・ソースからのパッケージのみを移入できます。使用可能なパッケージを制限するには、別のコンパートメントに(または様々な権限を付与するポリシーを使用して)カスタム・ソフトウェア・ソースを作成します。その後、ユーザーが使用できるようにするパッケージのみをカスタム・ソフトウェア・ソースに移入できます。
Autonomous Linuxの権限について
OS管理に必要なIAMポリシーに加えて、Autonomous Linuxインスタンスには次の権限が必要です。
-
ons-topics
リソース・タイプに対するuse
権限。この権限により、Oracle Autonomous Linuxプラグインは、自律型更新およびイベントに関する通知を通知サービス・トピックに送信できます。 osms-events
リソース・タイプに対するmanage
権限。この権限により、Oracle Autonomous Linuxプラグインはインスタンスのイベントを捕捉し、ユーザーがイベントを表示および管理できるようになります。
Autonomous Linuxに必要なIAMポリシーの例は、Autonomous Linuxに必要なIAMポリシーの設定を参照してください。
コンパートメントに関する考慮事項
ルート・コンパートメント・レベルでポリシーを設定することで、テナンシ内のすべてのインスタンスを管理するようにOS管理サービスを設定できます。ルート・コンパートメント・レベルでのポリシーの設定は、OS管理サービス・ポリシーを作成する最も簡単な方法ですが、ポリシーの作成に必要な権限があるかどうかによって異なります。必要な権限がない場合は、テナンシの管理者と協力する必要があります。
または、コンパートメント・レベルでポリシーを設定することで、インスタンスのサブセットのみを管理するようにOS管理サービスを設定することもできます。コンパートメント・レベルでポリシーを設定すると、サービスはコンパートメントとそのサブコンパートメントのレベルでインスタンスのサブセットのみを管理できます。
すべてのベース・ソフトウェア・ソースはルート・コンパートメントにあります。ポリシーを設定する場合は、ポリシーの権限が限定的すぎないことを確認してください。たとえば、コンパートメントへのアクセス権しか付与されていない場合に、ルート・コンパートメントのソフトウェア・ソースからパッケージまたは更新をインストールしようとすると、認可エラーが発生します。
例:
Allow group <group_name> to manage osms-family in tenancy
ユーザーが適切にアクセスできるようにするには、ルート・コンパートメントでOSMS_SOFTWARE_SOURCE_READ権限が付与されている必要があります。
集約リソース・タイプ
osms-family
個別リソース・タイプ
osms-errata
osms-events
osms-managed-instances
osms-managed-instance-groups
osms-scheduled-jobs
osms-software-sources
osms-work-requests
サポートされている変数
サポートされているのは一般的な変数のみです(すべてのリクエストの一般的な変数を参照)。
動詞とリソース・タイプの組合せの詳細
次の表に、各動詞でカバーされている権限およびAPI操作を示します。アクセス・レベルは、inspect
> read
> use
> manage
の順に累積されます。表のセルのプラス記号(+)は、そのすぐ上のセルと比較して増分アクセスを示しますが、「追加なし」は増分アクセスを示しません。
動詞 | 権限 | 完全にカバーされるAPI | 一部カバーされるAPI |
---|---|---|---|
inspect | なし |
なし | なし |
read |
INSPECT + OSMS_ERRATA_READ |
|
なし |
use |
なし |
なし |
なし |
manage | USE + なし |
なし |
なし |
動詞 | 権限 | 完全にカバーされるAPI | 一部カバーされるAPI |
---|---|---|---|
inspect |
OSMS_EVENT_INSPECT |
|
なし |
read |
INSPECT + OSMS_EVENT_READ |
|
なし |
use |
READ + OSMS_EVENT_UPDATE |
|
なし |
manage |
USE + OSMS_EVENTS_MANAGE |
|
なし |
動詞 | 権限 | 完全にカバーされるAPI | 一部カバーされるAPI |
---|---|---|---|
inspect |
OSMS_MANAGED_INSTANCE_INSPECT |
|
なし |
read | INSPECT + OSMS_MANAGED_INSTANCE_READ |
|
|
use |
READ + OSMS_MANAGED_INSTANCE_ACCESS |
なし (この権限ではAPI操作はカバーされません。この権限は、コンピュート・インスタンス上のOS管理サービス・エージェントがOS管理サービスにアクセスできるかどうかを制御します。) |
なし |
manage |
USE + OSMS_MANAGED_INSTANCE_UPDATE OSMS_MANAGED_INSTANCE_INSTALL_UPDATE OSMS_MANAGED_INSTANCE_INSTALL_PACKAGE OSMS_MANAGED_INSTANCE_REMOVE_PACKAGE OSMS_MANAGED_INSTANCE_ADD_SOFTWARE_SOURCE OSMS_MANAGED_INSTANCE_REMOVE_SOFTWARE_SOURCE |
|
|
動詞 | 権限 | 完全にカバーされるAPI | 一部カバーされるAPI |
---|---|---|---|
inspect | OSMS_MANAGED_INSTANCE_GROUP_INSPECT |
|
なし |
read | INSPECT + OSMS_MANAGED_INSTANCE_GROUP_READ |
|
なし |
use |
READ + OSMS_MANAGED_INSTANCE_GROUP_INSTALL_UPDATE OSMS_MANAGED_INSTANCE_GROUP_INSTALL_PACKAGE OSMS_MANAGED_INSTANCE_GROUP_REMOVE_PACKAGE OSMS_MANAGED_INSTANCE_GROUP_UPDATE |
|
|
manage |
USE + OSMS_MANAGED_INSTANCE_GROUP_ADD_INSTANCE OSMS_MANAGED_INSTANCE_GROUP_REMOVE_INSTANCE OSMS_MANAGED_INSTANCE_GROUP_CREATE OSMS_MANAGED_INSTANCE_GROUP_DELETE OSMS_MANAGED_INSTANCE_GROUP_MOVE |
|
|
動詞 | 権限 | 完全にカバーされるAPI | 一部カバーされるAPI |
---|---|---|---|
inspect | OSMS_SOFTWARE_SOURCE_INSPECT |
|
|
read | INSPECT + OSMS_SOFTWARE_SOURCE_READ |
|
|
use |
READ + OSMS_MANAGED_INSTANCE_GROUP_INSTALL_UPDATE |
|
なし |
manage |
USE + OSMS_SOFTWARE_SOURCE_CREATE OSMS_SOFTWARE_SOURCE_ADD_PACKAGES OSMS_SOFTWARE_SOURCE_REMOVE_PACKAGE OSMS_SOFTWARE_SOURCE_DELETE OSMS_SOFTWARE_SOURCE_REMOVE_PACKAGE |
|
なし |
動詞 | 権限 | 完全にカバーされるAPI | 一部カバーされるAPI |
---|---|---|---|
inspect |
OSMS_SCHEDULED_JOB_INSPECT |
|
なし |
read |
INSPECT + OSMS_SCHEDULED_JOB_READ |
|
なし |
use |
READ + OSMS_SCHEDULED_JOB_UPDATE |
|
なし |
manage |
USE + OSMS_SCHEDULED_JOB_CREATE OSMS_SCHEDULED_JOB_DELETE OSMS_SCHEDULED_JOB_MOVE |
|
|
動詞 | 権限 | 完全にカバーされるAPI | 一部カバーされるAPI |
---|---|---|---|
inspect |
OSMS_WORK_REQUEST_INSPECT |
|
なし |
read |
INSPECT + OSMS_WORK_REQUEST_READ |
|
なし |
use | READ + 追加なし |
追加なし |
なし |
manage |
USE + OSMS_WORK_REQUEST_CANCEL |
|
なし |
各API操作に必要な権限
次の表は、リソース・タイプ別にグループ化されたAPI操作を示しています。リソース・タイプは、アルファベット順にリストされます。権限の詳細は、権限を参照してください。
API操作 | 操作の使用に必要な権限 |
---|---|
ListEvents |
OSMS_EVENT_INSPECT |
ListRelatedEvents
|
OSMS_EVENT_INSPECT |
DeleteEventContent |
OSMS_EVENT_MANAGE |
UploadEventContent
|
OSMS_EVENT_MANAGE |
GetEvent
|
OSMS_EVENT_READ |
GetEventContent
|
OSMS_EVENT_READ |
GetEventReport |
OSMS_EVENT_READ |
UpdateEvent |
OSMS_EVENT_UPDATE |
AttachChildSoftwareSourceToManagedInstance
|
OSMS_MANAGED_INSTANCE_ADD_SOFTWARE_SOURCEおよびOSMS_SOFTWARE_SOURCE_READ |
AttachParentSoftwareSourceToManagedInstance
|
OSMS_MANAGED_INSTANCE_ADD_SOFTWARE_SOURCEおよびOSMS_SOFTWARE_SOURCE_READ |
AttachManagedInstanceToManagedInstanceGroup
|
OSMS_MANAGED_INSTANCE_GROUP_ADD_INSTANCEおよびOSMS_MANAGED_INSTANCE_UPDATE |
CreateManagedInstanceGroup
|
OSMS_MANAGED_INSTANCE_GROUP_CREATE |
DeleteManagedInstanceGroup
|
OSMS_MANAGED_INSTANCE_GROUP_DELETE |
ListManagedInstanceGroups
|
OSMS_MANAGED_INSTANCE_GROUP_INSPECT |
ChangeManagedInstanceGroupComparment
|
OSMS_MANAGED_INSTANCE_GROUP_MOVE |
GetManagedInstanceGroup |
OSMS_MANAGED_INSTANCE_GROUP_READ |
DetachManagedInstanceFromManagedInstanceGroup
|
OSMS_MANAGED_INSTANCE_GROUP_REMOVE_INSTANCEおよびOSMS_MANAGED_INSTANCE_UPDATE |
UpdateManagedInstanceGroup
|
OSMS_MANAGED_INSTANCE_GROUP_UPDATE |
ListManagedInstances
|
OSMS_MANAGED_INSTANCE_INSPECT |
InstallPackageOnManagedInstance
|
OSMS_MANAGED_INSTANCE_INSTALL_PACKAGEおよびOSMS_SOFTWARE_SOURCE_READ |
InstallPackageUpdateOnManagedInstance
|
OSMS_MANAGED_INSTANCE_INSTALL_UPDATEおよびOSMS_SOFTWARE_SOURCE_READ |
GetManagedInstance
|
OSMS_MANAGED_INSTANCE_READ |
ListAvailablePackagesForManagedInstance
|
OSMS_MANAGED_INSTANCE_READ |
ListAvailableUpdatesForManagedInstance
|
OSMS_MANAGED_INSTANCE_READ |
ListAvailableSoftwareSourcesForManagedInstance
|
OSMS_MANAGED_INSTANCE_READおよびOSMS_SOFTWARE_SOURCE_INSPECT |
ListPackagesInstalledOnManagedInstance
|
OSMS_MANAGED_INSTANCE_READ |
RemovePackageFromManagedInstance
|
OSMS_MANAGED_INSTANCE_REMOVE_PACKAGE |
DetachChildSoftwareSourceFromManagedInstance
|
OSMS_MANAGED_INSTANCE_REMOVE_SOFTWARE_SOURCE |
DetachParentSoftwareSourceFromManagedInstance
|
OSMS_MANAGED_INSTANCE_REMOVE_SOFTWARE_SOURCE |
DisableModuleStreamOnManagedInstance |
OSMS_MANAGED_INSTANCE_UPDATE |
EnableModuleStreamOnManagedInstance |
OSMS_MANAGED_INSTANCE_UPDATE |
InstallModuleStreamProfileOnManagedInstance |
OSMS_MANAGED_INSTANCE_UPDATE |
ManageModuleStreamsOnManagedInstance |
OSMS_MANAGED_INSTANCE_UPDATE |
SwitchModuleStreamOnManagedInstance |
OSMS_MANAGED_INSTANCE_UPDATE |
CreateScheduledJob
|
OSMS_SCHEDULED_JOB_CREATEおよび次の1つ以上の権限:
|
DeleteScheduledJob
|
OSMS_SCHEDULED_JOB_DELETE |
ListScheduledJobs
|
OSMS_SCHEDULED_JOB_INSPECT |
ChangeScheduledJobCompartment
|
OSMS_SCHEDULED_JOB_MOVE |
GetScheduledJob
|
OSMS_SCHEDULED_JOB_READ |
UpdateScheduledJob
|
OSMS_SCHEDULED_JOB_UPDATE |
AddPackagesToSoftwareSource
|
OSMS_SOFTWARE_SOURCE_ADD_PACKAGES |
CreateSoftwareSource
|
OSMS_SOFTWARE_SOURCE_CREATE |
DeleteSoftwareSource
|
OSMS_SOFTWARE_SOURCE_DELETE |
ChangeSoftwareSourceCompartment
|
OSMS_SOFTWARE_SOURCE_MOVE |
GetSoftwarePackage
|
OSMS_SOFTWARE_SOURCE_READ |
ListSoftwarePackages
|
OSMS_SOFTWARE_SOURCE_READ |
SearchSoftwarePackages
|
OSMS_SOFTWARE_SOURCE_READ |
RemovePackagesFromSoftwareSource
|
OSMS_SOFTWARE_SOURCE_REMOVE_PACKAGES |
UpdateSoftwareSource
|
OSMS_SOFTWARE_SOURCE_UPDATE |
CancelWorkRequest
|
OSMS_WORK_REQUEST_CANCEL |
ListWorkRequests
|
OSMS_WORK_REQUEST_INSPECT |
GetWorkRequest
|
OSMS_WORK_REQUEST_READ |