Oracle Cloud Infrastructureドキュメント

OS管理ポリシー・リファレンス

このトピックでは、OS管理サービスへのアクセスを制御するポリシーの記述の詳細を説明します。

ノート

たとえば、OS管理ポリシーについては、OS管理のIAMポリシーの設定およびAutonomous Linuxに必要なIAMポリシーの設定を参照してください。

OS管理サービスの詳細

このトピックでは、OS管理へのアクセスを制御するポリシーの記述の詳細を説明します。

管理対象インスタンスの権限について

管理対象インスタンスはOS管理サービスによってアクティブに管理されているコンピュート・インスタンスであるため、管理対象インスタンスに対して実行されるすべての操作には、基礎となるコンピュート・インスタンスに対するread権限が必要です。管理対象インスタンスには、個別のOracle Cloud ID (OCID)はありません。ユーザーが使用できるコンピュート・インスタンスを判別するために、コンピュート・サービスに対してコールを実行して、インスタンス情報を取得します。コンピュート・インスタンス詳細へのreadアクセス権がない場合、OS管理サービスでコンピュート・インスタンスを管理できません。

ソフトウェア・ソースの権限について

ソフトウェア・ソースのデフォルト・セットはルート・コンパートメントに作成されます。これらのソフトウェア・ソースを読み取るには、ユーザーにread権限を付与する必要があります。

ユーザーが誤ってこれらのパッケージを削除しないように、ルート・コンパートメント内のソフトウェア・ソースに対する権限を制限する必要があります。これらのパッケージは、そのまま、またはカスタマイズされたソフトウェア・ソースの作成のベースとして使用することを目的としていますが、直接変更しないようにしてください。

ソフトウェア・ソースを作成する際は、ユーザーがアクセス権限を持つ既存のソフトウェア・ソースからのパッケージのみを移入できます。使用可能なパッケージを制限するには、別のコンパートメントに(または様々な権限を付与するポリシーを使用して)カスタム・ソフトウェア・ソースを作成します。その後、ユーザーが使用できるようにするパッケージのみをカスタム・ソフトウェア・ソースに移入できます。

Autonomous Linuxの権限について

OS管理に必要なIAMポリシーに加えて、Autonomous Linuxインスタンスには次の権限が必要です。

  • ons-topicsリソース・タイプに対するuse権限。この権限により、Oracle Autonomous Linuxプラグインは、自律型更新およびイベントに関する通知を通知サービス・トピックに送信できます。
  • osms-eventsリソース・タイプに対するmanage権限。この権限により、Oracle Autonomous Linuxプラグインはインスタンスのイベントを捕捉し、ユーザーがイベントを表示および管理できるようになります。

Autonomous Linuxに必要なIAMポリシーの例は、Autonomous Linuxに必要なIAMポリシーの設定を参照してください。

コンパートメントに関する考慮事項

ルート・コンパートメント・レベルでポリシーを設定することで、テナンシ内のすべてのインスタンスを管理するようにOS管理サービスを設定できます。ルート・コンパートメント・レベルでのポリシーの設定は、OS管理サービス・ポリシーを作成する最も簡単な方法ですが、ポリシーの作成に必要な権限があるかどうかによって異なります。必要な権限がない場合は、テナンシの管理者と協力する必要があります。

または、コンパートメント・レベルでポリシーを設定することで、インスタンスのサブセットのみを管理するようにOS管理サービスを設定することもできます。コンパートメント・レベルでポリシーを設定すると、サービスはコンパートメントとそのサブコンパートメントのレベルでインスタンスのサブセットのみを管理できます。

すべてのベース・ソフトウェア・ソースはルート・コンパートメントにあります。ポリシーを設定する場合は、ポリシーの権限が限定的すぎないことを確認してください。たとえば、コンパートメントへのアクセス権しか付与されていない場合に、ルート・コンパートメントのソフトウェア・ソースからパッケージまたは更新をインストールしようとすると、認可エラーが発生します。

例: 

Allow group <group_name> to manage osms-family in tenancy

ユーザーが適切にアクセスできるようにするには、ルート・コンパートメントでOSMS_SOFTWARE_SOURCE_READ権限が付与されている必要があります。

集約リソース・タイプ

osms-family

個別リソース・タイプ

osms-errata

osms-events

osms-managed-instances

osms-managed-instance-groups

osms-scheduled-jobs

osms-software-sources

osms-work-requests

動詞とリソース・タイプの組合せの詳細

次の表に、各動詞でカバーされている権限およびAPI操作を示します。アクセス・レベルは、inspect > read > use > manageの順に累積されます。表のセルのプラス記号(+)は、そのすぐ上のセルと比較して増分アクセスを示しますが、「追加なし」は増分アクセスを示しません。

osms-errata
動詞 権限 完全にカバーされるAPI 一部カバーされるAPI
inspect

なし

 なし

なし
read

INSPECT +

OSMS_ERRATA_READ

GetErratum

なし
use

なし

なし

なし
manage

USE +

なし

なし

なし
osms-events

動詞 権限 完全にカバーされるAPI 一部カバーされるAPI
inspect

OSMS_EVENT_INSPECT

ListEvents

ListRelatedEvents

なし
read

INSPECT +

OSMS_EVENT_READ

GetEvent

GetEventContent

GetEventReport

なし
use

READ +

OSMS_EVENT_UPDATE

UpdateEvent

なし
manage

USE +

OSMS_EVENTS_MANAGE

DeleteEventContent

UploadEventContent

なし
osms-managed-instances
動詞 権限 完全にカバーされるAPI 一部カバーされるAPI
inspect

OSMS_MANAGED_INSTANCE_INSPECT

ListManagedInstances

なし
read

INSPECT +

OSMS_MANAGED_INSTANCE_READ

ListAvailablePackagesForManagedInstance

ListPackagesInstalledOnManagedInstance

ListAvailableUpdatesForManagedInstance

ListAvailableSoftwareSourcesForManagedInstance (inspect osms-software-sourceも必要)
use

READ +

OSMS_MANAGED_INSTANCE_ACCESS

なし

(この権限ではAPI操作はカバーされません。この権限は、コンピュート・インスタンス上のOS管理サービス・エージェントがOS管理サービスにアクセスできるかどうかを制御します。)

なし
manage

USE +

OSMS_MANAGED_INSTANCE_UPDATE

OSMS_MANAGED_INSTANCE_INSTALL_UPDATE

OSMS_MANAGED_INSTANCE_INSTALL_PACKAGE

OSMS_MANAGED_INSTANCE_REMOVE_PACKAGE

OSMS_MANAGED_INSTANCE_ADD_SOFTWARE_SOURCE

OSMS_MANAGED_INSTANCE_REMOVE_SOFTWARE_SOURCE

DetachChildSoftwareSourceFromManagedInstance

DetachParentSoftwareSourceFromManagedInstance

AttachChildSoftwareSourceToManagedInstance (read osms-software-sourcesも必要)

AttachManagedInstanceToManagedInstanceGroupおよびDetachManagedInstanceFromManagedInstanceGroup(両方ともmanage osms-managed-instance-groupsが必要)

CreateScheduledJob (use osms-scheduled-jobsuse osms-managed-instance-groupsおよびread osms-software-sourcesも必要)

InstallPackageOnManagedInstanceおよびInstallPackageUpdateOnManagedInstance(両方ともread osms-software-sourcesが必要)
osms-managed-instance-groups
動詞 権限 完全にカバーされるAPI 一部カバーされるAPI
inspect OSMS_MANAGED_INSTANCE_GROUP_INSPECT

ListManagedInstanceGroups

なし
read

INSPECT +

OSMS_MANAGED_INSTANCE_GROUP_READ

GetManagedInstanceGroup

なし
use

READ +

OSMS_MANAGED_INSTANCE_GROUP_INSTALL_UPDATE

OSMS_MANAGED_INSTANCE_GROUP_INSTALL_PACKAGE

OSMS_MANAGED_INSTANCE_GROUP_REMOVE_PACKAGE

OSMS_MANAGED_INSTANCE_GROUP_UPDATE

UpdateManagedInstanceGroup

CreateScheduledJob (use osms-scheduled-jobsmanage osms-managed-instancesおよびread software sourcesも必要)
manage

USE +

OSMS_MANAGED_INSTANCE_GROUP_ADD_INSTANCE

OSMS_MANAGED_INSTANCE_GROUP_REMOVE_INSTANCE

OSMS_MANAGED_INSTANCE_GROUP_CREATE

OSMS_MANAGED_INSTANCE_GROUP_DELETE

OSMS_MANAGED_INSTANCE_GROUP_MOVE

CreateManagedInstanceGroup

DeleteManagedInstanceGroup

ChangeManagedInstanceGroupComparment

AttachManagedInstanceToManagedInstanceGroupおよびDetachManagedInstanceFromManagedInstanceGroup (use osms-managed-instancesも必要)
osms-software-sources
動詞 権限 完全にカバーされるAPI 一部カバーされるAPI
inspect

OSMS_SOFTWARE_SOURCE_INSPECT

ListSoftwareSources

ListAvailableSoftwareSourcesForManagedInstance (read osms-managed-instancesも必要)
read

INSPECT +

OSMS_SOFTWARE_SOURCE_READ

GetSoftwareSource

ListSoftwarePackages

GetSoftwarePackage

SearchSoftwarePackages

AttachChildSoftwareSourceToManagedInstance (manage osms-managed-instancesも必要)

CreateScheduledJob (use osms-scheduled-jobsuse osms-managed-instance-groupsおよびmanage osms-managed-instancesも必要)

InstallPackageOnManagedInstanceおよびInstallPackageUpdateOnManagedInstance(両方ともmanage osms-managed-instancesが必要)
use

READ +

OSMS_MANAGED_INSTANCE_GROUP_INSTALL_UPDATE

UpdateSoftwareSource

なし
manage

USE +

OSMS_SOFTWARE_SOURCE_CREATE

OSMS_SOFTWARE_SOURCE_ADD_PACKAGES

OSMS_SOFTWARE_SOURCE_REMOVE_PACKAGE

OSMS_SOFTWARE_SOURCE_DELETE

OSMS_SOFTWARE_SOURCE_REMOVE_PACKAGE

CreateSoftwareSource

DeleteSoftwareSource

ChangeSoftwareSourceCompartment

AddPackagesToSoftwareSource

RemovePackagesFromSoftwareSource

なし
osms-scheduled-jobs
動詞 権限 完全にカバーされるAPI 一部カバーされるAPI
inspect

OSMS_SCHEDULED_JOB_INSPECT

ListScheduledJobs

なし
read

INSPECT +

OSMS_SCHEDULED_JOB_READ

GetScheduledJob

なし
use

READ +

OSMS_SCHEDULED_JOB_UPDATE

UpdateScheduledJob

なし
manage

USE +

OSMS_SCHEDULED_JOB_CREATE

OSMS_SCHEDULED_JOB_DELETE

OSMS_SCHEDULED_JOB_MOVE

DeleteScheduledJob

ChangeScheduledJobCompartment

ChangeScheduledJobCompartment

CreateScheduledJob (use osms-managed-instance groupsmanage osms-managed-instancesおよびread osms-software-sourcesも必要)
osms-work-requests

動詞 権限 完全にカバーされるAPI 一部カバーされるAPI
inspect

OSMS_WORK_REQUEST_INSPECT

ListWorkRequests

なし
read

INSPECT +

OSMS_WORK_REQUEST_READ

GetWorkRequest

なし
use

READ +

追加なし

追加なし

なし
manage

USE +

OSMS_WORK_REQUEST_CANCEL

CancelWorkRequest

なし

各API操作に必要な権限

次の表は、リソース・タイプ別にグループ化されたAPI操作を示しています。リソース・タイプは、アルファベット順にリストされます。権限の詳細は、権限を参照してください。

API操作 操作の使用に必要な権限
ListEvents OSMS_EVENT_INSPECT
ListRelatedEvents OSMS_EVENT_INSPECT
DeleteEventContent OSMS_EVENT_MANAGE
UploadEventContent OSMS_EVENT_MANAGE
GetEvent OSMS_EVENT_READ
GetEventContent OSMS_EVENT_READ
GetEventReport OSMS_EVENT_READ
UpdateEvent OSMS_EVENT_UPDATE
AttachChildSoftwareSourceToManagedInstance OSMS_MANAGED_INSTANCE_ADD_SOFTWARE_SOURCEおよびOSMS_SOFTWARE_SOURCE_READ
AttachParentSoftwareSourceToManagedInstance OSMS_MANAGED_INSTANCE_ADD_SOFTWARE_SOURCEおよびOSMS_SOFTWARE_SOURCE_READ
AttachManagedInstanceToManagedInstanceGroup OSMS_MANAGED_INSTANCE_GROUP_ADD_INSTANCEおよびOSMS_MANAGED_INSTANCE_UPDATE
CreateManagedInstanceGroup OSMS_MANAGED_INSTANCE_GROUP_CREATE
DeleteManagedInstanceGroup OSMS_MANAGED_INSTANCE_GROUP_DELETE
ListManagedInstanceGroups OSMS_MANAGED_INSTANCE_GROUP_INSPECT
ChangeManagedInstanceGroupComparment OSMS_MANAGED_INSTANCE_GROUP_MOVE
GetManagedInstanceGroup OSMS_MANAGED_INSTANCE_GROUP_READ
DetachManagedInstanceFromManagedInstanceGroup OSMS_MANAGED_INSTANCE_GROUP_REMOVE_INSTANCEおよびOSMS_MANAGED_INSTANCE_UPDATE
UpdateManagedInstanceGroup OSMS_MANAGED_INSTANCE_GROUP_UPDATE
ListManagedInstances OSMS_MANAGED_INSTANCE_INSPECT
InstallPackageOnManagedInstance OSMS_MANAGED_INSTANCE_INSTALL_PACKAGEおよびOSMS_SOFTWARE_SOURCE_READ
InstallPackageUpdateOnManagedInstance OSMS_MANAGED_INSTANCE_INSTALL_UPDATEおよびOSMS_SOFTWARE_SOURCE_READ
GetManagedInstance OSMS_MANAGED_INSTANCE_READ
ListAvailablePackagesForManagedInstance OSMS_MANAGED_INSTANCE_READ
ListAvailableUpdatesForManagedInstance OSMS_MANAGED_INSTANCE_READ
ListAvailableSoftwareSourcesForManagedInstance OSMS_MANAGED_INSTANCE_READおよびOSMS_SOFTWARE_SOURCE_INSPECT
ListPackagesInstalledOnManagedInstance OSMS_MANAGED_INSTANCE_READ
RemovePackageFromManagedInstance OSMS_MANAGED_INSTANCE_REMOVE_PACKAGE
DetachChildSoftwareSourceFromManagedInstance OSMS_MANAGED_INSTANCE_REMOVE_SOFTWARE_SOURCE
DetachParentSoftwareSourceFromManagedInstance OSMS_MANAGED_INSTANCE_REMOVE_SOFTWARE_SOURCE
DisableModuleStreamOnManagedInstance OSMS_MANAGED_INSTANCE_UPDATE
EnableModuleStreamOnManagedInstance OSMS_MANAGED_INSTANCE_UPDATE
InstallModuleStreamProfileOnManagedInstance OSMS_MANAGED_INSTANCE_UPDATE
ManageModuleStreamsOnManagedInstance OSMS_MANAGED_INSTANCE_UPDATE
SwitchModuleStreamOnManagedInstance OSMS_MANAGED_INSTANCE_UPDATE
CreateScheduledJob

OSMS_SCHEDULED_JOB_CREATEおよび次の1つ以上の権限:

  • OSMS_MANAGED_INSTANCE_GROUP_INSTALL_PACKAGEおよびOSMS_SOFTWARE_SOURCE_READ

  • OSMS_MANAGED_INSTANCE_GROUP_INSTALL_UPDATEおよびOSMS_SOFTWARE_SOURCE_READ

  • OSMS_MANAGED_INSTANCE_GROUP_REMOVE_PACKAGE

  • OSMS_MANAGED_INSTANCE_INSTALL_PACKAGEおよびOSMS_SOFTWARE_SOURCE_READ

  • OSMS_MANAGED_INSTANCE_INSTALL_UPDATEおよびOSMS_SOFTWARE_SOURCE_READ

  • OSMS_MANAGED_INSTANCE_REMOVE_PACKAGE

DeleteScheduledJob OSMS_SCHEDULED_JOB_DELETE
ListScheduledJobs OSMS_SCHEDULED_JOB_INSPECT
ChangeScheduledJobCompartment OSMS_SCHEDULED_JOB_MOVE
GetScheduledJob OSMS_SCHEDULED_JOB_READ
UpdateScheduledJob OSMS_SCHEDULED_JOB_UPDATE
AddPackagesToSoftwareSource OSMS_SOFTWARE_SOURCE_ADD_PACKAGES
CreateSoftwareSource OSMS_SOFTWARE_SOURCE_CREATE
DeleteSoftwareSource OSMS_SOFTWARE_SOURCE_DELETE
ChangeSoftwareSourceCompartment OSMS_SOFTWARE_SOURCE_MOVE
GetSoftwarePackage OSMS_SOFTWARE_SOURCE_READ
ListSoftwarePackages OSMS_SOFTWARE_SOURCE_READ
SearchSoftwarePackages OSMS_SOFTWARE_SOURCE_READ
RemovePackagesFromSoftwareSource OSMS_SOFTWARE_SOURCE_REMOVE_PACKAGES
UpdateSoftwareSource OSMS_SOFTWARE_SOURCE_UPDATE
CancelWorkRequest OSMS_WORK_REQUEST_CANCEL
ListWorkRequests OSMS_WORK_REQUEST_INSPECT
GetWorkRequest OSMS_WORK_REQUEST_READ