Políticas e Permissões do Fleet Application Management

Crie políticas do serviço IAM (Identity and Access Management) para controlar quem tem acesso aos recursos do Fleet Application Management e o tipo de acesso para cada grupo de usuários.

Crie políticas para que os usuários tenham os direitos necessários aos recursos do Fleet Application Management. Por padrão, os usuários do grupo Administrators têm acesso a todos os recursos do Fleet Application Management.

Se você não estiver familiarizado com políticas de IAM, consulte Conceitos Básicos de Políticas.

Para obter uma lista completa de todas as políticas do Oracle Cloud Infrastructure, consulte Referência de Política e Políticas Comuns.

O Fleet Application Management exige que um administrador da tenancy adicione regras ao grupo dinâmico que o Fleet Application Management cria durante a integração. Essa ação permite que o Fleet Application Management execute operações de gerenciamento de ciclo de vida no OCI Compute.

Esta seção explica os seguintes tópicos:

Tipos de Recursos e Permissões

Lista de tipos de recursos do Fleet Application Management e permissões associadas.

Para designar permissões a todos os recursos do OCI Fleet Application Management, use o tipo de agregação fams-family. Para obter mais informações, consulte Permissões.

A tabela a seguir lista todos os recursos no fams-family:


Nome de Família	Recursos do Membro
`fams-family`	`fams-fleets` `fams-runbooks` `fams-schedules` `fams-schedule-jobs` `fams-maintenance-windows` `fams-admin` `fams-workrequests` `fams-compliance-policies` `fams-patches` `fams-provisions` `fams-catalog-items` `fams-agent-command-executions` `fams-software-inventory` `fams-onboarding` `fams-platform` `fams-properties` `fams-reports`

Uma política que usa <verb> fams-family é equivalente a gravar uma política com uma instrução <verb> <resource-type> separada para cada tipo de recurso individual.


Tipo de Recurso	Permissões
`fams-fleets`	`FAMS_FLEET_INSPECT` `FAMS_FLEET_READ` `FAMS_FLEET_CREATE` `FAMS_FLEET_UPDATE` `FAMS_FLEET_DELETE` `FAMS_FLEET_MOVE` `FAMS_COMPLIANCE_REPORT_READ`
`fams-runbooks`	`FAMS_RUNBOOK_INSPECT` `FAMS_RUNBOOK_READ` `FAMS_RUNBOOK_UPDATE` `FAMS_RUNBOOK_CREATE` `FAMS_RUNBOOK_DELETE` `FAMS_RUNBOOK_MOVE`
`fams-schedules`	`FAMS_SCHEDULE_INSPECT` `FAMS_SCHEDULE_READ` `FAMS_SCHEDULE_CREATE` `FAMS_SCHEDULE_UPDATE` `FAMS_SCHEDULE_DELETE` `FAMS_SCHEDULE_CREATE_WITH_SUDO` `FAMS_SCHEDULE_UPDATE_WITH_SUDO` `FAMS_SCHEDULE_CREATE_WITH_EMERGENCY_OVERRIDE` `FAMS_SCHEDULE_UPDATE_WITH_EMERGENCY_OVERRIDE`
`fams-schedule-jobs`	`FAMS_SCHEDULE_JOB_INSPECT` `FAMS_SCHEDULE_JOB_READ` `FAMS_SCHEDULE_JOB_UPDATE` `FAMS_SCHEDULE_JOB_DELETE` `FAMS_SCHEDULE_JOB_ACTION`
`fams-maintenance-windows`	`FAMS_MAINTENANCE_WINDOW_INSPECT` `FAMS_MAINTENANCE_WINDOW_READ` `FAMS_MAINTENANCE_WINDOW_CREATE` `FAMS_MAINTENANCE_WINDOW_UPDATE` `FAMS_MAINTENANCE_WINDOW_DELETE`
`fams-admin`	`FAMS_ADMIN_INSPECT` `FAMS_ADMIN_READ` `FAMS_ADMIN_CREATE` `FAMS_ADMIN_UPDATE` `FAMS_ADMIN_DELETE` `FAMS_ADMIN_MOVE` `FAMS_COMPLIANCE_REPORT_READ`
`fams-onboarding`	`FAMS_ONBOARDING_INSPECT` `FAMS_ONBOARDING_READ` `FAMS_ONBOARDING_CREATE` `FAMS_ONBOARDING_UPDATE` `FAMS_ONBOARDING_DELETE`
`fams-workrequests`	`FAMS_API_WORK_REQUEST_LIST` `FAMS_API_WORK_REQUEST_READ`
`fams-compliance-policies`	`FAMS_COMPLIANCE_POLICY_INSPECT` `FAMS_COMPLIANCE_POLICY_READ` `FAMS_COMPLIANCE_POLICY_CREATE` `FAMS_COMPLIANCE_POLICY_UPDATE` `FAMS_COMPLIANCE_POLICY_DELETE` `FAMS_COMPLIANCE_REPORT_READ`
`fams-patches`	`FAMS_PATCH_INSPECT` `FAMS_PATCH_READ` `FAMS_PATCH_CREATE` `FAMS_PATCH_UPDATE` `FAMS_PATCH_DELETE` `FAMS_PATCH_MOVE` `FAMS_COMPLIANCE_REPORT_READ`
`fams-provisions`	`FAMS_PROVISION_INSPECT` `FAMS_PROVISION_READ` `FAMS_PROVISION_CREATE` `FAMS_PROVISION_UPDATE` `FAMS_PROVISION_DELETE` `FAMS_PROVISION_MOVE`
`fams-catalog-items`	`FAMS_CATALOG_ITEM_INSPECT` `FAMS_CATALOG_ITEM_READ` `FAMS_CATALOG_ITEM_CREATE` `FAMS_CATALOG_ITEM_UPDATE` `FAMS_CATALOG_ITEM_DELETE` `FAMS_CATALOG_ITEM_MOVE` `FAMS_CATALOG_ITEM_CLONE`
`fams-agent-command-executions`	`FAMS_AGENT_COMMAND_EXECUTION_INSPECT` `FAMS_AGENT_COMMAND_EXECUTION_UPDATE`
`fams-software-inventory`	`FAMS_SOFTWARE_INVENTORY_INSPECT`
`fams-platform`	`FAMS_PLATFORM_INSPECT` `FAMS_PLATFORM_READ` `FAMS_PLATFORM_CREATE` `FAMS_PLATFORM_UPDATE` `FAMS_PLATFORM_DELETE` `FAMS_PLATFORM_MOVE`
`fams-properties`	`FAMS_PROPERTY_INSPECT` `FAMS_PROPERTY_READ` `FAMS_PROPERTY_CREATE` `FAMS_PROPERTY_UPDATE` `FAMS_PROPERTY_DELETE` `FAMS_PROPERTY_MOVE`
`fams-reports`	`FAMS_REPORT_READ` `FAMS_COMPLIANCE_REPORT_READ`

Variáveis Suportadas

O Fleet Application Management suporta todas as variáveis gerais e as listadas aqui. Para obter mais informações sobre variáveis gerais suportadas pelos serviços do Oracle Cloud Infrastructure, consulte Variáveis Gerais para Todas as Solicitações.


Tipo de Recurso	Variável	Tipo de variável	Descrição:
`fams-fleets`	`target.famsfleet.id`	Entidade (OCID)	Use essa variável para todas as operações de frota, exceto criar.
`fams-schedules`	`target.famsschedulerdefinition.id`	Entidade (OCID)	Use esta variável para todas as operações de programação, exceto criar.
`fams-schedule-jobs`	`target.famsschedulerjob.id`	Entidade (OCID)	Use esta variável para todas as operações de ordem de produção de programação, exceto criar.
`fams-maintenance-windows`	`target.famsmaintenacewindow.id`	Entidade (OCID)	Use esta variável para todas as operações da janela de manutenção, exceto criar.
`fams-runbooks`	`target.famsrunbook.id` `target.famstaskrecord.id`	Entidade (OCID)	Use essas variáveis para operações de runbook e de tarefa de runbook, exceto criar.
`fams-admin`	`target.famsproperty.id` `target.famsplatformconfiguration.id`	Entidade (OCID)	Use essas variáveis para operações de administração, exceto criar.
`fams-workrequests`	`target.famsworkrequest.id`	Entidade (OCID)	Use essa variável para operações list e get.
`fams-compliance-policies`	`target.famscompliancepolicy.id`	Entidade (OCID)	Use esta variável para todas as operações de política de conformidade, exceto criar.
`fams-patches`	`target.famspatch.id`	Entidade (OCID)	Use esta variável para todas as operações de aplicação de patch, exceto criar.
`fams-catalog-items`	`target.famscatalogitem.id`	Entidade (OCID)	Use esta variável para todas as operações de item de catálogo, exceto criar.
`fams-provisions`	`target.famsprovision.id`	Entidade (OCID)	Use esta variável para todas as operações de provisionamento, exceto criar.
`fams-agent-command-executions`	`target.famsagentcommandexecution.id`	Entidade (OCID)	Use essa variável para listar e obter as execuções do comando agent.

Detalhes sobre Combinações de Verbo + Tipo de Recurso

Identifique as permissões e operações de API abrangidas por cada verbo para recursos do Fleet Application Management.

O nível de acesso é cumulativo conforme você vai de inspect a read a use a manage. Um sinal de mais (+) em uma célula da tabela indica acesso incremental quando comparado à célula anterior.

Para obter informações sobre como conceder acesso, consulte Permissões.

famílias-frota


Verbos	Permissões	APIs Totalmente Cobertas	APIs Parcialmente Cobertas
inspecionar	`FAMS_FLEET_INSPECT`	`ListFleets` `ListInventoryResources` `ListTargets` `ListFleetTargets` `ListFleetProducts` `ListFleetResources` `ListFleetProperties` `ListFleetCredentials`
`read`	`inspect+` `FAMS_FLEET_READ`	`inspect+` `GetFleet` `GetFleetResource` `GetFleetProperty` `GetComplianceReport` `GetFleetCredential` `GenerateComplianceReport` `CheckFleetAccess`	`CreateFleet` (também precisará de `FAMS_FLEET_CREATE` e `FAMS_PLATFORM_READ` se a frota mãe precisar ser especificada) `UpdateFleet` (também precisará de `FAMS_FLEET_UPDATE` e `FAMS_PLATFORM_READ` se a frota mãe precisar ser especificada) `FixCompliance` (também precisa de `FAMS_SCHEDULE_CREATE` e `FAMS_RUNBOOK_READ`) `CreateSchedulerDefinition` (também precisa de `FAMS_SCHEDULE_CREATE` e `FAMS_RUNBOOK_READ`) e o seguinte, dependendo de seus requisitos: Se o tipo de parâmetro de entrada for FILE e tiver que ser selecionado no serviço Object Storage, será necessário `OBJECT_INSPECT`, `OBJECT_READ` Se o atributo runbook, `need sudo access` for verdadeiro, será necessário `FAMS_SCHEDULE_CREATE_WITH_SUDO` `UpdateSchedulerDefinition` (também precisa de `FAMS_SCHEDULE_UPDATE` e `FAMS_RUNBOOK_READ`) e o seguinte, dependendo de seus requisitos: Se o tipo de parâmetro de entrada for FILE e tiver que ser selecionado no serviço Object Storage, será necessário `OBJECT_INSPECT`, `OBJECT_READ` Se o atributo runbook, `need sudo access` for verdadeiro, será necessário `FAMS_SCHEDULE_CREATE_WITH_SUDO` `CreateProvision` (também precisa de `FAMS_PROVISION_CREATE` e `FAMS_CATALOG_ITEM_READ`)
`read`	`inspect+` `FAMS_COMPLIANCE_REPORT_READ`	`ListComplianceRecords` `ExportComplianceReport` `SummarizeComplianceRecordCounts` `SummarizeManagedEntityCounts`
`use`	`read+` `FAMS_FLEET_UPDATE`	`read+`	`UpdateFleet` (também precisa de `FAMS_PLATFORM_READ`) e o seguinte, dependendo dos seus requisitos: Se a frota pai tiver que ser especificada, será necessário `FAMS_FLEET_READ` Se os tópicos do serviço Notifications tiverem que ser especificados, será necessário `ONS_TOPIC_READ` Se uma instância precisar ser adicionada a uma frota, será necessário `INSTANCE_READ` Se for necessário adicionar um dbSystem a uma frota, ele precisará de `DB_SYSTEM_INSPECT`, `DB_SYSTEM_QUERY` Se for necessário adicionar um vmCluster a uma frota, será necessário `VM_CLUSTER_INSPECT` `UpdateFleetResource` também precisa do seguinte, dependendo de seus requisitos: Se uma instância tiver que ser adicionada a uma frota, será necessário `INSTANCE_READ` Se for necessário adicionar um dbSystem a uma frota, ele precisará de `DB_SYSTEM_INSPECT`, `DB_SYSTEM_QUERY` Se for necessário adicionar um vmCluster a uma frota, será necessário `VM_CLUSTER_INSPECT` `UpdateFleetProperty` (também precisa de `FAMS_PROPERTY_READ` `UpdateFleetCredential` (também precisa de `FAMS_PROPERTY_READ` e `VAULT_INSPECT`) e o seguinte, dependendo de seus requisitos: Se a credencial for criada usando a chave do vault do OCI, será necessário `KEY_READ` Se a credencial for criada usando o segredo do vault do OCI, será necessário `SECRET_READ`
`manage`	`use+` `FAMS_FLEET_CREATE`	`use+` `ConfirmTargets` `RequestTargetDiscovery` `RequestResourceValidation` `CheckResourceTagging`	`CreateFleet` (também precisa de `FAMS_PLATFORM_READ` e do seguinte, dependendo dos seus requisitos: Se a frota pai tiver que ser especificada, será necessário `FAMS_FLEET_READ` Se os tópicos do serviço Notifications tiverem que ser especificados, será necessário `ONS_TOPIC_READ` Se uma instância precisar ser adicionada a uma frota, será necessário `INSTANCE_READ` Se for necessário adicionar um dbSystem a uma frota, ele precisará de `DB_SYSTEM_INSPECT`, `DB_SYSTEM_QUERY` Se for necessário adicionar um vmCluster a uma frota, será necessário `VM_CLUSTER_INSPECT` `CreateFleetResource` também precisa do seguinte, dependendo de seus requisitos: Se uma instância precisar ser adicionada a uma frota, será necessário `INSTANCE_READ` Se for necessário adicionar um dbSystem a uma frota, ele precisará de `DB_SYSTEM_INSPECT`, `DB_SYSTEM_QUERY` Se for necessário adicionar um vmCluster a uma frota, será necessário `VM_CLUSTER_INSPECT` `CreateFleetProperty` (também precisa de `FAMS_PROPERTY_READ` `CreateFleetCredential` (também precisa de `FAMS_PLATFORM_READ`, `VAULT_INSPECT` e do seguinte, dependendo dos seus requisitos: Se a credencial for criada usando a chave do vault do OCI, será necessário `KEY_READ` Se a credencial for criada usando o segredo do vault do OCI, será necessário `SECRET_READ`
`manage`	`use+` `FAMS_FLEET_DELETE`	`use+` `DeleteFleet` `DeleteFleetResource` `DeleteFleetProperty` `DeleteFleetCredential`
`manage`	`use+` `FAMS_FLEET_MOVE`	`use+` `ChangeFleetCompartment`

fams-runbooks


Verbos	Permissões	APIs Totalmente Cobertas	APIs Parcialmente Cobertas
`inspect`	`FAMS_RUNBOOK_INSPECT`	`ListRunbooks` `ListTaskRecords`
`read`	`inspect+` `FAMS_RUNBOOK_READ`	`inspect+` `GetRunbook` `GetTaskRecord` `CheckRunbookAccess` `RunbookExportDependencyFinder` `RunbookExport` `RunbookVersionExport` `RunbookExportStatus` `RunbookImportStatus`	`FixCompliance` (também precisa de `FAMS_SCHEDULE_CREATE` e `FAMS_FLEET_READ`) `CreateRunbook` (também precisa de `FAMS_RUNBOOK_CREATE` e `FAMS_PLATFORM_READ`). Se uma tarefa for executada em uma instância hospedada automaticamente, será necessário `INSTANCE_READ` `UpdateRunbook` (também precisa de `FAMS_RUNBOOK_UPDATE` e `FAMS_PLATFORM_READ`). Se uma tarefa for executada em uma instância hospedada automaticamente, será necessário `INSTANCE_READ` `CreateRunbookVersion` (também precisa de `FAMS_RUNBOOK_CREATE` e `FAMS_PLATFORM_READ`). Se uma tarefa for executada em uma instância hospedada automaticamente, será necessário `INSTANCE_READ` `UpdateRunbookVersion` (também precisa de `FAMS_RUNBOOK_UPDATE` e `FAMS_PLATFORM_READ`). Se uma tarefa for executada em uma instância hospedada automaticamente, será necessário `INSTANCE_READ` `CreateSchedulerDefinition` (também precisa de `FAMS_SCHEDULE_CREATE` e `FAMS_FLEET_READ`) e o seguinte, dependendo de seus requisitos: Se o tipo de parâmetro de entrada for `FILE` e ele tiver que ser selecionado no serviço Object Storage, será necessário `OBJECT_INSPECT`, `OBJECT_READ` Se o atributo runbook, `need sudo access` for verdadeiro, será necessário `FAMS_SCHEDULE_CREATE_WITH_SUDO` `UpdateSchedulerDefinition` (também precisa de `FAMS_SCHEDULE_UPDATE` e `FAMS_FLEET_READ`) e o seguinte, dependendo de seus requisitos: Se o tipo de parâmetro de entrada for `FILE` e ele tiver que ser selecionado no serviço Object Storage, será necessário `OBJECT_INSPECT`, `OBJECT_READ` Se o atributo runbook, `need sudo access` for verdadeiro, será necessário `FAMS_SCHEDULE_CREATE_WITH_SUDO`
`use`	`read+` `FAMS_RUNBOOK_UPDATE`	`read+` `SetDefaultRunbook`	`UpdateRunbook` (também precisa de `FAMS_RUNBOOK_READ` e `FAMS_PLATFORM_READ`). Se a tarefa tiver que ser executada em uma instância hospedada automaticamente, será necessário `INSTANCE_READ` `UpdateTaskRecord` também precisa do seguinte, dependendo de seus requisitos: Se a plataforma (produto), a operação (operação de ciclo de vida), as credenciais deverão ser especificadas, então será necessário `FAMS_PLATFORM_READ` Se o tipo de ação for `TERRAFORM`, será necessário `FAMS_CATALOG_ITEM_READ` Se o tipo de ação for `SCRIPT` e o script precisar fazer referência a um `CATALOG ITEM`, será necessário `FAMS_CATALOG_ITEM_READ` Se o tipo de ação for `SCRIPT` e o script precisar ser selecionado no serviço Object Storage, será necessário `OBJECT_INSPECT`, `OBJECT_READ`
`manage`	`use+` `FAMS_RUNBOOK_CREATE`	`use+` `RunbookImportValidation` `RunbookImport` `RunbookVersionImport`	`CreateRunbook` (também precisa de `FAMS_RUNBOOK_READ` e `FAMS_PLATFORM_READ`). Se a tarefa tiver que ser executada em uma instância hospedada automaticamente, será necessário `INSTANCE_READ` `CreateTaskRecord` precisa do seguinte, dependendo de seus requisitos: Se a plataforma (produto), a operação (operação de ciclo de vida), as credenciais deverão ser especificadas, então será necessário `FAMS_PLATFORM_READ` Se o tipo de ação for `TERRAFORM`, será necessário `FAMS_CATALOG_ITEM_READ` Se o tipo de ação for `SCRIPT` e o script precisar fazer referência a um `CATALOG ITEM`, será necessário `FAMS_CATALOG_ITEM_READ` Se o tipo de ação for `SCRIPT` e o script precisar ser selecionado no serviço Object Storage, será necessário `OBJECT_INSPECT`, `OBJECT_READ`
`manage`	`use+` `FAMS_RUNBOOK_DELETE`	`use+` `DeleteTaskRecord`
`manage`	`use+` `FAMS_RUNBOOK_MOVE`	`use+` `ChangeRunbookCompartment` `ChangeTaskRecordCompartment`
`manage`	`use+` `FAMS_RUNBOOK_PUBLISH`	`PublishRunbook`

Fams-programações


Verbos	Permissões	APIs Totalmente Cobertas	APIs Parcialmente Cobertas
`inspect`	`FAMS_SCHEDULE_INSPECT`	`ListSchedulerDefinitions`
`read`	`inspect+` `FAMS_SCHEDULE_READ`	`inspect+` `GetSchedulerDefinition` `ListScheduledFleets`
`use`	`read+` `FAMS_SCHEDULE_UPDATE`	`read+`	`UpdateSchedulerDefinition` (também pode usar `FAMS_SCHEDULE_CREATE_WITH_SUDO`, `FAMS_FLEET_READ` e `FAMS_RUNBOOK_READ`) e precisa do seguinte, dependendo dos seus requisitos: Se o tipo de parâmetro de entrada for `FILE` e ele tiver que ser selecionado no serviço Object Storage, será necessário `OBJECT_INSPECT`, `OBJECT_READ` Se o atributo runbook `need sudo access` for verdadeiro, será necessário `FAMS_SCHEDULE_CREATE_WITH_SUDO`
`manage`	`use+` `FAMS_SCHEDULE_CREATE`	`use+`	`FixCompliance`(também precisa de `FAMS_RUNBOOK_READ`e `FAMS_FLEET_READ`) `CreateSchedulerDefinition` (também pode usar `FAMS_SCHEDULE_CREATE_WITH_SUDO` e precisa de `FAMS_RUNBOOK_READ` e `FAMS_FLEET_READ`) e o seguinte, dependendo dos seus requisitos: Se o tipo de parâmetro de entrada for `FILE` e ele tiver que ser selecionado no serviço Object Storage, será necessário `OBJECT_INSPECT`, `OBJECT_READ` Se o atributo runbook `need sudo access` for verdadeiro, será necessário `FAMS_SCHEDULE_CREATE_WITH_SUDO`
`manage`	`use+` `FAMS_SCHEDULE_DELETE`	`use+` `DeleteSchedulerDefinition`
`manage`	`use+` `FAMS_SCHEDULE_CREATE_WITH_SUDO`	`use+` `CheckSudoAccess`	`CreateSchedulerDefinition` (também pode usar `FAMS_SCHEDULE_CREATE` e precisa de `FAMS_RUNBOOK_READ` e `FAMS_FLEET_READ`) e o seguinte, dependendo dos seus requisitos: Se o tipo de parâmetro de entrada for `FILE` e ele tiver que ser selecionado no serviço Object Storage, será necessário `OBJECT_INSPECT`, `OBJECT_READ` Se o atributo runbook `need sudo access` for verdadeiro, será necessário `FAMS_SCHEDULE_CREATE_WITH_SUDO` `UpdateSchedulerDefinition` (também pode usar `FAMS_SCHEDULE_UPDATE` e precisa de `FAMS_RUNBOOK_READ` e `FAMS_FLEET_READ`) e o seguinte, dependendo dos seus requisitos: Se o tipo de parâmetro de entrada for `FILE` e ele tiver que ser selecionado no serviço Object Storage, será necessário `OBJECT_INSPECT`, `OBJECT_READ` Se o atributo runbook, `need sudo access` for verdadeiro, será necessário `FAMS_SCHEDULE_CREATE_WITH_SUDO`

fams-schedule-jobs


Verbos	Permissões	APIs Totalmente Cobertas
`inspect`	`FAMS_SCHEDULE_JOB_INSPECT`	`ListSchedulerJobs` `SummarizeSchedulerJobCounts`
`read`	`inspect+` `FAMS_SCHEDULE_JOB_READ`	`inspect+` `GetSchedulerJob` `GetJobActivity` `ListExecutions` `GetExecution` `ListSteps` `ListResources` `ListSchedulerExecutions`
`use`	`read+` `FAMS_SCHEDULE_JOB_UPDATE`	`read+` `UpdateSchedulerJob`
`use`	`read+` `FAMS_SCHEDULE_JOB_ACTION`	`read+` `ManageJobExecution`
`manage`	`use+` `FAMS_SCHEDULE_JOB_DELETE`	`use+` `DeleteSchedulerJob`

fam-maintenance-windows


Verbos	Permissões	APIs Totalmente Cobertas
`inspect`	`FAMS_MAINTENANCE_WINDOW_INSPECT`	`ListMaintenanceWindows`
`read`	`inspect+` `FAMS_MAINTENANCE_WINDOW_READ`	`inspect+` `GetMaintenanceWindow`
`use`	`read+` `FAMS_MAINTENANCE_WINDOW_UPDATE`	`read+` `UpdateMaintenanceWindow`
`manage`	`use+` `FAMS_MAINTENANCE_WINDOW_CREATE`	`use+` `CreateMaintenanceWindow`
`manage`	`use+` `FAMS_MAINTENANCE_WINDOW_DELETE`	`use+` `DeleteMaintenanceWindow`

fams-admin


Verbos	Permissões	APIs Totalmente Cobertas
`read`	`inspect+` `FAMS_ADMIN_READ`	`inspect+` `GetProperty`
`read`	`inspect+` `FAMS_COMPLIANCE_REPORT_READ`	`inspect+` `ListComplianceRecords` `ExportComplianceReport` `SummarizeComplianceRecordCounts` `SummarizeManagedEntityCounts`
`use`	`read+` `FAMS_ADMIN_UPDATE`	`read+` `ManageSettings`

fam-onboarding


Verbos	Permissões	APIs Totalmente Cobertas	APIs Parcialmente Cobertas
`inspect`	`FAMS_ONBOARDING_INSPECT` Um usuário regular (não um administrador) deve ter essa permissão para acessar a tenancy.	`ListOnboardings` `ListAnnouncements`
`read`	`inspect+` `FAMS_ONBOARDING_READ`	`inspect+` `GetOnboarding`
`use`	`read+` `FAMS_ONBOARDING_UPDATE`	`read+`	`UpdateOnboarding` (também precisa de `TAG_NAMESPACE_CREATE` e `TAG_DEFINITION_ADD`)
`manage`	`use+` `FAMS_ONBOARDING_CREATE`	`use+`	`CreateOnboarding` (também precisa de `DYNAMIC_GROUP_CREATE`, `POLICY_CREATE`, `TAG_NAMESPACE_CREATE` e `TAG_DEFINITION_ADD`) `EnableLatestPolicy` (também precisa de `DYNAMIC_GROUP_CREATE`, `POLICY_CREATE`, `TAG_NAMESPACE_CREATE` e `TAG_DEFINITION_ADD`) `ListOnboardingPolicies` (também precisa de `FAMS_ADMIN_CREATE` e precisa de `DYNAMIC_GROUP_CREATE`, `POLICY_CREATE`, `TAG_NAMESPACE_CREATE` e `TAG_DEFINITION_ADD`)
`manage`	`use+` `FAMS_ONBOARDING_DELETE`	`use+`	`DeleteOnboarding` (também precisa de `DYNAMIC_GROUP_DELETE`, `POLICY_DELETE`, `TAG_NAMESPACE_RETIRE` e `TAG_DEFINITION_RETIRE`)

fam-workrequests


Verbos	Permissões	APIs Totalmente Cobertas	APIs Parcialmente Cobertas
`inspect`	`FAMS_API_WORK_REQUEST_LIST`	`ListWorkRequests`
`read`	`inspect+` `FAMS_API_WORK_REQUEST_READ`	`inspect+` `GetWorkRequest` `ListWorkRequestErrors` `ListWorkRequestLogs`

fam-compliance-políticas


Verbos	Permissões	APIs Totalmente Cobertas
`inspect`	`FAMS_COMPLIANCE_POLICY_INSPECT`	`ListCompliancePolicies` `ListCompliancePolicyRules`
`read`	`inspect+` `FAMS_COMPLIANCE_POLICY_READ`	`inspect+` `GetCompliancePolicy` `GetCompliancePolicyRule`
`read`	`inspect+` `FAMS_COMPLIANCE_REPORT_READ`	`inspect+` `ListComplianceRecords` `ExportComplianceReport` `SummarizeComplianceRecordCounts` `SummarizeManagedEntityCounts`
`use`	`read+` `FAMS_COMPLIANCE_POLICY_UPDATE`	`read+` `UpdateCompliancePolicyRule`
`manage`	`use+` `FAMS_COMPLIANCE_POLICY_CREATE`	`use+` `CreateCompliancePolicyRule`
`manage`	`use+` `FAMS_COMPLIANCE_POLICY_DELETE`	`use+` `DeleteCompliancePolicyRule`

fams-patches


Verbos	Permissões	APIs Totalmente Cobertas	APIs Parcialmente Cobertas
`inspect`	`FAMS_PATCH_INSPECT`	`ListPatches`
`read`	`inspect+` `FAMS_PATCH_READ`	`inspect+` `GetPatch`
`read`	`inspect+` `FAMS_COMPLIANCE_REPORT_READ`	`inspect+` `ListComplianceRecords` `ExportComplianceReport` `SummarizeComplianceRecordCounts` `SummarizeManagedEntityCounts`
`use`	`read+` `FAMS_PATCH_UPDATE`	`read+`	`UpdatePatch` (também precisa de `FAMS_PLATFORM_READ`, `OBJECT_INSPECT` e `OBJECT_READ`)
`manage`	`use+` `FAMS_PATCH_CREATE`	`use+`	`CreatePatch` (também precisa de `FAMS_PLATFORM_READ`, `OBJECT_INSPECT` e `OBJECT_READ`)
`manage`	`use+` `FAMS_PATCH_DELETE`	`use+` `DeletePatch`
`manage`	`use+` `FAMS_PATCH_MOVE`	`use+` `ChangePatchCompartment`

Fams-provisões


Verbos	Permissões	APIs Totalmente Cobertas	APIs Parcialmente Cobertas
`inspect`	`FAMS_PROVISION_INSPECT`	`ListProvisions`
`read`	`inspect+` `FAMS_PROVISION_READ`	`inspect+` `GetProvision`
`use`	`read+` `FAMS_PROVISION_UPDATE`	`read+` `UpdateProvision`
`manage`	`use+` `FAMS_PROVISION_CREATE`	`use+`	`CreateProvision` (também precisa de `FAMS_FLEET_READ` e `FAMS_CATALOG_ITEM_READ`)
`manage`	`use+` `FAMS_PROVISION_DELETE`	`use+` `DeleteProvision`
`manage`	`use+` `FAMS_PROVISION_MOVE`	`use+` `ChangeProvisionCompartment`

fams-catálogo-itens


Verbos	Permissões	APIs Totalmente Cobertas	APIs Parcialmente Cobertas
`inspect`	`FAMS_CATALOG_ITEM_INSPECT`	`ListCatalogItems`
`read`	`inspect+` `FAMS_CATALOG_ITEM_READ`	`inspect+` `GetCatalogItem`	`CreateTaskRecord` precisa do seguinte, dependendo de seus requisitos: Se a plataforma (produto), a operação (operação de ciclo de vida), as credenciais deverão ser especificadas, então será necessário `FAMS_PLATFORM_READ` Se o tipo de ação for `TERRAFORM`, será necessário `FAMS_CATALOG_ITEM_READ` Se o tipo de ação for `SCRIPT` e o script precisar fazer referência a um `CATALOG ITEM`, será necessário `FAMS_CATALOG_ITEM_READ` Se o tipo de ação for `SCRIPT` e o script precisar ser selecionado no serviço Object Storage, será necessário `OBJECT_INSPECT`, `OBJECT_READ` `UpdateTaskRecord` também precisa do seguinte, dependendo de seus requisitos: Se a plataforma (produto), a operação (operação de ciclo de vida), as credenciais deverão ser especificadas, então será necessário `FAMS_PLATFORM_READ` Se o tipo de ação for `TERRAFORM`, será necessário `FAMS_CATALOG_ITEM_READ` Se o tipo de ação for `SCRIPT` e o script precisar fazer referência a um `CATALOG ITEM`, será necessário `FAMS_CATALOG_ITEM_READ` Se o tipo de ação for `SCRIPT` e o script precisar ser selecionado no serviço Object Storage, será necessário `OBJECT_INSPECT`, `OBJECT_READ` `CreateProvision` (também precisa de `FAMS_PROVISION_CREATE` e `FAMS_FLEET_READ`)
`use`	`read+` `FAMS_CATALOG_ITEM_UPDATE`	`read+`	`UpdateCatalogItem` (também precisa do seguinte, dependendo da sua necessidade): Se você criar um item de catálogo usando a origem como Object Storage, precisará de `OBJECT_INSPECT` e `OBJECT_READ` Se você criar um item de catálogo usando a configuração do gerenciador de recursos, precisará de `ORM_CONFIG_SOURCE_PROVIDER_INSPECT`
`manage`	`use+` `FAMS_CATALOG_ITEM_CREATE`	`use+`	`CreateCatalogItem` (também precisa do seguinte, dependendo da sua necessidade): Se você criar um item de catálogo usando a origem como Object Storage, precisará de `OBJECT_INSPECT` e `OBJECT_READ` Se você criar um item de catálogo usando a configuração do gerenciador de recursos, precisará de `ORM_CONFIG_SOURCE_PROVIDER_INSPECT`
`manage`	`use+` `FAMS_CATALOG_ITEM_DELETE`	`use+` `DeleteCatalogItem`
`manage`	`use+` `FAMS_CATALOG_ITEM_MOVE`	`use+` `ChangeCatalogItemCompartment`
`manage`	`use+` `FAMS_CATALOG_ITEM_CLONE`	`CloneCatalogItem`

fams-software-inventário


Verbos	Permissões	APIs Totalmente Cobertas	APIs Parcialmente Cobertas
`inspect`	`FAMS_SOFTWARE_INVENTORY_INSPECT`	`ListInventoryRecords`

fams-plataforma


Verbos	Permissões	APIs Totalmente Cobertas	APIs Parcialmente Cobertas
`inspect`	`FAMS_PLATFORM_INSPECT`	`ListPlatformConfigurations`
`read`	`inspect+` `FAMS_PLATFORM_READ`	`inspect+` `GetPlatformConfiguration`	`CreateFleet` (também precisa de `FAMS_FLEET_CREATE` e do seguinte, dependendo dos seus requisitos: Se a frota pai tiver que ser especificada, será necessário `FAMS_FLEET_READ` Se os tópicos do serviço Notifications tiverem que ser especificados, será necessário `ONS_TOPIC_READ` Se uma instância precisar ser adicionada a uma frota, será necessário `INSTANCE_READ` Se for necessário adicionar um dbSystem a uma frota, ele precisará de `DB_SYSTEM_INSPECT`, `DB_SYSTEM_QUERY` Se for necessário adicionar um vmCluster a uma frota, será necessário `VM_CLUSTER_INSPECT` `UpdateFleet` (também precisa de `FAMS_FLEET_UPDATE`) e o seguinte, dependendo dos seus requisitos: Se a frota pai tiver que ser especificada, será necessário `FAMS_FLEET_READ` Se os tópicos do serviço Notifications tiverem que ser especificados, será necessário `ONS_TOPIC_READ` Se uma instância precisar ser adicionada a uma frota, será necessário `INSTANCE_READ` Se for necessário adicionar um dbSystem a uma frota, ele precisará de `DB_SYSTEM_INSPECT`, `DB_SYSTEM_QUERY` Se for necessário adicionar um vmCluster a uma frota, será necessário `VM_CLUSTER_INSPECT` `CreateFleetCredential` (também precisa de `FAMS_FLEET_CREATE` , `VAULT_INSPECT` e do seguinte, dependendo dos seus requisitos: Se a credencial for criada usando a chave do vault do OCI, será necessário `KEY_READ` Se a credencial for criada usando o segredo do vault do OCI, será necessário `SECRET_READ` `CreateRunbook` (também precisa de `FAMS_RUNBOOK_READ` e `FAMS_RUNBOOK_CREATE`). Se a tarefa tiver que ser executada em uma instância hospedada automaticamente, será necessário `INSTANCE_READ` `UpdateRunbook` (também precisa de `FAMS_RUNBOOK_READ` e `FAMS_RUNBOOK_UPDATE`). Se a tarefa tiver que ser executada em uma instância hospedada automaticamente, será necessário `INSTANCE_READ` `CreateRunbookVersion` (também precisa de `FAMS_RUNBOOK_CREATE` e `FAMS_RUNBOOK_READ` ). Se uma tarefa for executada em uma instância hospedada automaticamente, será necessário `INSTANCE_READ` `UpdateRunbookVersion` (também precisa de `FAMS_RUNBOOK_UPDATE` e `FAMS_RUNBOOK_READ`). Se uma tarefa for executada em uma instância hospedada automaticamente, será necessário `INSTANCE_READ` `CreateTaskRecord` precisa do seguinte, dependendo de seus requisitos: Se a plataforma (produto), a operação (operação de ciclo de vida), as credenciais deverão ser especificadas, então será necessário `FAMS_PLATFORM_READ` Se o tipo de ação for `TERRAFORM`, será necessário `FAMS_CATALOG_ITEM_READ` Se o tipo de ação for `SCRIPT` e o script precisar fazer referência a um `CATALOG ITEM`, será necessário `FAMS_CATALOG_ITEM_READ` Se o tipo de ação for `SCRIPT` e o script precisar ser selecionado no serviço Object Storage, será necessário `OBJECT_INSPECT`, `OBJECT_READ` `UpdateTaskRecord` também precisa do seguinte, dependendo de seus requisitos: Se a plataforma (produto), a operação (operação de ciclo de vida), as credenciais deverão ser especificadas, então será necessário `FAMS_PLATFORM_READ` Se o tipo de ação for `TERRAFORM`, será necessário `FAMS_CATALOG_ITEM_READ` Se o tipo de ação for `SCRIPT` e o script precisar fazer referência a um `CATALOG ITEM`, será necessário `FAMS_CATALOG_ITEM_READ` Se o tipo de ação for `SCRIPT` e o script precisar ser selecionado no serviço Object Storage, será necessário `OBJECT_INSPECT`, `OBJECT_READ` `CreatePlatformConfiguration` (também pode usar `FAMS_PLATFORM_CREATE`) e precisa do seguinte, dependendo de seus requisitos: Se `configCategory` for PRODUCT_STACK e os produtos que pertencem a uma pilha, tipo de patch ou credenciais tiverem que ser especificados, será necessário `FAMS_PLATFORM_READ` Se `configCategory` for PRODUCT e produtos compatíveis, o tipo de patch ou as credenciais deverão ser adicionados, será necessário `FAMS_PLATFORM_READ` Se `configCategory` for SELF_HOSTED_INSTANCE, será necessário `INSTANCE_READ` `UpdatePlatformConfiguration` (também pode usar `FAMS_PLATFORM_UPDATE` ) e o seguinte, dependendo de seus requisitos: Se `configCategory` for PRODUCT_STACK e os produtos que pertencem a uma pilha, tipo de patch ou credenciais tiverem que ser especificados, será necessário `FAMS_PLATFORM_READ` Se `configCategory` for PRODUCT e produtos compatíveis, o tipo de patch ou as credenciais deverão ser adicionados, será necessário `FAMS_PLATFORM_READ` Se `configCategory` for SELF_HOSTED_INSTANCE, será necessário `INSTANCE_READ` `CreatePatch` (também precisa de `FAMS_PATCH_CREATE`, `OBJECT_INSPECT` e `OBJECT_READ`) `UpdatePatch` (também precisa de `FAMS_PATCH_UPDATE` , `OBJECT_INSPECT` e `OBJECT_READ`)
`use`	`read+` `FAMS_PLATFORM_UPDATE`	`read+`	`UpdatePlatformConfiguration` (também pode usar `FAMS_ADMIN_UPDATE` ) e o seguinte, dependendo de seus requisitos: Se `configCategory` for PRODUCT_STACK e os produtos que pertencem a uma pilha, tipo de patch ou credenciais tiverem que ser especificados, será necessário `FAMS_PLATFORM_READ` Se `configCategory` for PRODUCT e produtos compatíveis, o tipo de patch ou as credenciais deverão ser adicionados, será necessário `FAMS_PLATFORM_READ` Se `configCategory` for SELF_HOSTED_INSTANCE, será necessário `INSTANCE_READ`
`manage`	`use+` `FAMS_PLATFORM_CREATE`	`use+`	`CreatePlatformConfiguration` (também pode usar `FAMS_ADMIN_CREATE`) e precisa do seguinte, dependendo de seus requisitos: Se `configCategory` for PRODUCT_STACK e os produtos que pertencem a uma pilha, tipo de patch ou credenciais tiverem que ser especificados, será necessário `FAMS_PLATFORM_READ` Se `configCategory` for PRODUCT e produtos compatíveis, o tipo de patch ou as credenciais deverão ser adicionados, será necessário `FAMS_PLATFORM_READ` Se `configCategory` for SELF_HOSTED_INSTANCE, será necessário `INSTANCE_READ`
`manage`	`use+` `FAMS_PLATFORM_DELETE`	`use+` `DeletePlatformConfiguration`
`manage`	`use+` `FAMS_PLATFORM_MOVE`	`use+` `ChangePlatformConfigurationCompartment`

fam-propriedades


Verbos	Permissões	APIs Totalmente Cobertas	APIs Parcialmente Cobertas
`inspect`	`FAMS_PROPERTY_INSPECT`	`ListProperties`
`read`	`inspect+` `FAMS_PROPERTY_READ`	`inspect+` `GetProperty`	`CreateFleetProperty` (também precisa de `FAMS_FLEET_CREATE`) `UpdateFleetProperty` (também precisa de `FAMS_FLEET_UPDATE`) `UpdateFleetCredential` (também precisa de `FAMS_FLEET_UPDATE` e `VAULT_INSPECT`) e o seguinte, dependendo de seus requisitos: Se a credencial for criada usando a chave do vault do OCI, será necessário `KEY_READ` Se a credencial for criada usando o segredo do vault do OCI, será necessário `SECRET_READ`
`use`	`read+` `FAMS_PROPERTY_UPDATE`	`read+` `UpdateProperty`
`manage`	`use+` `FAMS_PROPERTY_CREATE`	`use+` `CreateProperty`
`manage`	`use+` `FAMS_PROPERTY_DELETE`	`use+` `DeleteProperty`
`manage`	`use+` `FAMS_PROPERTY_MOVE`	`use+` `ChangePropertyCompartment`

fams-relatórios


Verbos	Permissões	APIs Totalmente Cobertas	APIs Parcialmente Cobertas
`read`	`inspect+` `FAMS_REPORT_READ`	`inspect+` `ReportMetadata` `ReportData`
`read`	`inspect+` `FAMS_COMPLIANCE_REPORT_READ`	`read+` `ListComplianceRecords` `ExportComplianceReport` `SummarizeComplianceRecordCounts` `SummarizeManagedEntityCounts`

Permissões Exigidas para cada Operação de API

A tabela a seguir lista as operações de API em uma ordem lógica, agrupadas por tipo de recurso.

Para obter informações sobre permissões, consulte Permissões.


Operação de API	Permissões Obrigatórias para Usar a Operação
`ListFleets`	`FAMS_FLEET_INSPECT`
`GetFleet`	`FAMS_FLEET_READ`
`CreateFleet`	`FAMS_FLEET_CREATE` e `FAMS_PLATFORM_READ` e as seguintes opções: `FAMS_FLEET_READ` se a frota pai tiver que ser especificada `ONS_TOPIC_READ` se os tópicos tiverem que ser associados a uma frota para ativar notificações. `INSTANCE_READ` se uma instância tiver que ser adicionada a uma frota `DB_SYSTEM_INSPECT`, `DB_SYSTEM_QUERY` se for necessário adicionar um `dbSystem` a uma frota `VM_CLUSTER_INSPECT` se for necessário adicionar um `vmCluster` a uma frota
`UpdateFleet`	`FAMS_FLEET_UPDATE` e `FAMS_PLATFORM_READ` e as seguintes opções: `FAMS_FLEET_READ` se a frota pai tiver que ser especificada `ONS_TOPIC_READ` se os tópicos tiverem que ser associados a uma frota para ativar notificações. `INSTANCE_READ` se uma instância tiver que ser adicionada a uma frota `DB_SYSTEM_INSPECT`, `DB_SYSTEM_QUERY` se for necessário adicionar um `dbSystem` a uma frota `VM_CLUSTER_INSPECT` se for necessário adicionar um `vmCluster` a uma frota
`DeleteFleet`	`FAMS_FLEET_DELETE`
`ChangeFleetCompartment`	`FAMS_FLEET_MOVE`
`ListInventoryResources`	`FAMS_FLEET_INSPECT`
`ListFleetResources`	`FAMS_FLEET_INSPECT`
`CreateFleetResource`	`FAMS_FLEET_CREATE` e as seguintes opções: `INSTANCE_READ` se uma instância tiver que ser adicionada a uma frota `DB_SYSTEM_INSPECT`, `DB_SYSTEM_QUERY` se for necessário adicionar um `dbSystem` a uma frota `VM_CLUSTER_INSPECT` se for necessário adicionar um `vmCluster` a uma frota
`GetFleetResource`	`FAMS_FLEET_READ`
`UpdateFleetResource`	`FAMS_FLEET_UPDATE` e as seguintes opções: `INSTANCE_READ` se uma instância tiver que ser adicionada a uma frota `DB_SYSTEM_INSPECT`, `DB_SYSTEM_QUERY` se for necessário adicionar um `dbSystem` a uma frota `VM_CLUSTER_INSPECT` se for necessário adicionar um `vmCluster` a uma frota
`DeleteFleetResource`	`FAMS_FLEET_DELETE`
`ListFleetProperties`	`FAMS_FLEET_INSPECT`
`CreateFleetProperty`	`FAMS_FLEET_CREATE` e `FAMS_PROPERTY_READ`
`GetFleetProperty`	`FAMS_FLEET_READ`
`UpdateFleetProperty`	`FAMS_FLEET_UPDATE` e `FAMS_PROPERTY_READ`
`DeleteFleetProperty`	`FAMS_FLEET_DELETE`
`ConfirmTargets`	`FAMS_FLEET_CREATE`
`ListTargets`	`FAMS_FLEET_INSPECT`
`ListFleetTargets`	`FAMS_FLEET_INSPECT`
`ListFleetProducts`	`FAMS_FLEET_INSPECT`
`GetComplianceReport`	`FAMS_FLEET_READ`
`ListAnnouncements`	`FAMS_ONBOARDING_INSPECT`
`ListFleetCredentials`	`FAMS_FLEET_INSPECT`
`CreateFleetCredential`	`FAMS_FLEET_CREATE`, `FAMS_PLATFORM_READ` e `VAULT_INSPECT` e as seguintes opções: `KEY_READ` se a credencial for criada usando a chave do vault. `SECRET_READ` se a credencial for criada usando o segredo do vault.
`GetFleetCredential`	`FAMS_FLEET_READ`
`UpdateFleetCredential`	`FAMS_FLEET_UPDATE`, `FAMS_PROPERTY_READ` e `VAULT_INSPECT` e as seguintes opções: `KEY_READ` se a credencial for criada usando a chave do vault. `SECRET_READ` se a credencial for criada usando o segredo do vault.
`DeleteFleetCredential`	`FAMS_FLEET_DELETE`
`GenerateComplianceReport`	`FAMS_FLEET_READ`
`RequestTargetDiscovery`	`FAMS_FLEET_CREATE`
`RequestResourceValidation`	`FAMS_FLEET_CREATE`
`CheckResourceTagging`	`FAMS_FLEET_CREATE`
`ListRunbooks`	`FAMS_RUNBOOK_INSPECT`
`GetRunbook`	`FAMS_RUNBOOK_READ`
`CreateRunbook`	`FAMS_RUNBOOK_CREATE`, `FAMS_RUNBOOK_READ` e `FAMS_PLATFORM_READ` também `INSTANCE_READ` se a tarefa tiver que ser executada em uma instância hospedada automaticamente
`UpdateRunbook`	`FAMS_RUNBOOK_UPDATE`, `FAMS_RUNBOOK_READ` e `FAMS_PLATFORM_READ` também `INSTANCE_READ` se a tarefa tiver que ser executada em uma instância hospedada automaticamente
`DeleteRunbook`	`FLEET_RUNBOOK_DELETE`
`ChangeRunbookCompartment`	`FAMS_RUNBOOK_MOVE`
`PublishRunbook`	`FAMS_RUNBOOK_PUBLISH`
`ListRunbookVersions`	`FLEET_RUNBOOK_INSPECT`
`CreateRunbookVersion`	`FLEET_RUNBOOK_CREATE`, `FAMS_RUNBOOK_READ` e `FAMS_PLATFORM_READ` também `INSTANCE_READ` se a tarefa tiver que ser executada em uma instância hospedada automaticamente
`GetRunbookVersion`	`FLEET_RUNBOOK_READ`
`UpdateRunbookVersion`	`FLEET_RUNBOOK_UPDATE`, `FAMS_RUNBOOK_READ` e `FAMS_PLATFORM_READ` também `INSTANCE_READ` se a tarefa tiver que ser executada em uma instância hospedada automaticamente
`DeleteRunbookVersion`	`FLEET_RUNBOOK_DELETE`
`ListTaskRecords`	`FAMS_RUNBOOK_INSPECT`
`GetTaskRecord`	`FAMS_RUNBOOK_READ`
`CreateTaskRecord`	`FAMS_RUNBOOK_CREATE` e as seguintes opções: `FAMS_PLATFORM_READ` se plataforma (produto), operação (operação de ciclo de vida), as credenciais deverão ser especificadas `FAMS_CATALOG_ITEM_READ` se o tipo de ação for `TERRAFORM` `FAMS_CATALOG_ITEM_READ` se o tipo de ação for `SCRIPT` e o script precisar fazer referência a um `CATALOG ITEM` `OBJECT_INSPECT`, `OBJECT_READ` se o tipo de ação for `SCRIPT` e o script tiver que ser selecionado no Object Storage
`UpdateTaskRecord`	`FAMS_RUNBOOK_UPDATE` e as seguintes opções: `FAMS_PLATFORM_READ` se plataforma (produto), operação (operação de ciclo de vida), as credenciais deverão ser especificadas `FAMS_CATALOG_ITEM_READ` se o tipo de ação for `TERRAFORM` `FAMS_CATALOG_ITEM_READ` se o tipo de ação for `SCRIPT` e o script precisar fazer referência a um `CATALOG ITEM` `OBJECT_INSPECT`, `OBJECT_READ` se o tipo de ação for `SCRIPT` e o script tiver que ser selecionado no Object Storage
`DeleteTaskRecord`	`FAMS_RUNBOOK_DELETE`
`ChangeTaskRecordCompartment`	`FAMS_RUNBOOK_MOVE`
`ListMaintenanceWindows`	`FAMS_MAINTENANCE_WINDOW_INSPECT`
`CreateMaintenanceWindow`	`FAMS_MAINTENANCE_WINDOW_CREATE`
`GetMaintenanceWindow`	`FAMS_MAINTENANCE_WINDOW_READ`
`UpdateMaintenanceWindow`	`FAMS_MAINTENANCE_WINDOW_UPDATE`
`DeleteMaintenanceWindow`	`FAMS_MAINTENANCE_WINDOW_DELETE`
`CreateSchedulerDefinition`	(`FAMS_SCHEDULE_CREATE`, `FAMS_FLEET_READ` e `FAMS_RUNBOOK_READ`) e a seguinte situação: `OBJECT_INSPECT`, `OBJECT_READ` se o tipo de parâmetro de entrada for `FILE` e tiver que ser selecionado no serviço Object Storage `FAMS_SCHEDULE_CREATE_WITH_SUDO` se o atributo `need sudo access` do manual for verdadeiro
`UpdateSchedulerDefinition`	(`FAMS_SCHEDULE_UPDATE` ou `FAMS_SCHEDULE_CREATE_WITH_SUDO`), `FAMS_FLEET_READ` e `FAMS_RUNBOOK_READ` e a seguinte situação: `OBJECT_INSPECT`, `OBJECT_READ` se o tipo de parâmetro de entrada for `FILE` e tiver que ser selecionado no serviço Object Storage `FAMS_SCHEDULE_CREATE_WITH_SUDO` se o atributo `need sudo access` do manual for verdadeiro
`DeleteSchedulerDefinition`	`FAMS_SCHEDULE_DELETE`
`ListSchedulerDefinitions`	`FAMS_SCHEDULE_INSPECT`
`GetSchedulerDefinition`	`FAMS_SCHEDULE_READ`
`DeleteSchedulerJob`	`FAMS_SCHEDULE_JOB_DELETE`
`ListSchedulerJobs`	`FAMS_SCHEDULE_JOB_INSPECT`
`GetSchedulerJob`	`FAMS_SCHEDULE_JOB_READ`
`UpdateSchedulerJob`	`FAMS_SCHEDULE_JOB_UPDATE`
`GetJobActivity`	`FAMS_SCHEDULE_JOB_READ`
`ManageJobExecution`	`FAMS_SCHEDULE_JOB_ACTION`
`ListExecutions`	`FAMS_SCHEDULE_JOB_READ`
`GetExecution`	`FAMS_SCHEDULE_JOB_READ`
`ListSteps`	`FAMS_SCHEDULE_JOB_READ`
`ListResources`	`FAMS_SCHEDULE_JOB_READ`
`SummarizeSchedulerJobCounts`	`FAMS_SCHEDULE_JOB_INSPECT`
`ListSchedulerExecutions`	`FAMS_SCHEDULE_JOB_READ`
`SetDefaultRunbook`	`FAMS_RUNBOOK_UPDATE`
`ListScheduledFleets`	`FAMS_SCHEDULE_READ`
`ListProperties`	`FAMS_PROPERTY_INSPECT`
`CreateProperty`	`FAMS_PROPERTY_CREATE`
`GetProperty`	`FAMS_ADMIN_READ`, `FAMS_FLEET_READ` e `FAMS_PROPERTY_READ`
`UpdateProperty`	`FAMS_PROPERTY_UPDATE`
`DeleteProperty`	`FAMS_PROPERTY_DELETE`
`ChangePropertyCompartment`	`FAMS_PROPERTY_MOVE`
`ListPlatformConfigurations`	`FAMS_PLATFORM_INSPECT`
`CreatePlatformConfiguration`	`FAMS_PLATFORM_CREATE` e a seguinte situação: `FAMS_PLATFORM_READ` se `configCategory` for PRODUCT_STACK e os produtos pertencentes a uma pilha, tipo de patch ou credenciais tiverem que ser especificados `FAMS_PLATFORM_READ` se `configCategory` for PRODUCT e produtos compatíveis, tipo de patch ou credenciais devem ser especificados `INSTANCE_READ` se `configCategory` for SELF_HOSTED_INSTANCE
`GetPlatformConfiguration`	`FAMS_PLATFORM_READ`
`UpdatePlatformConfiguration`	`FAMS_PLATFORM_UPDATE` e a seguinte situação: `FAMS_PLATFORM_READ` se `configCategory` for PRODUCT_STACK e os produtos pertencentes a uma pilha, tipo de patch ou credenciais tiverem que ser especificados `FAMS_PLATFORM_READ` se `configCategory` for PRODUCT e produtos compatíveis, tipo de patch ou credenciais devem ser especificados `INSTANCE_READ` se `configCategory` for SELF_HOSTED_INSTANCE
`DeletePlatformConfiguration`	`FAMS_PLATFORM_DELETE`
`ChangePlatformConfigurationCompartment`	`FAMS_PLATFORM_MOVE`
`ListWorkRequests`	`FAMS_API_WORK_REQUEST_LIST`
`GetWorkRequest`	`FAMS_API_WORK_REQUEST_READ`
`ListWorkRequestErrors`	`FAMS_API_WORK_REQUEST_READ`
`ListWorkRequestLogs`	`FAMS_API_WORK_REQUEST_READ`
`ListOnboardings`	`FAMS_ONBOARDING_INSPECT`
`GetOnboarding`	`FAMS_ONBOARDING_READ`
`CreateOnboarding`	`DYNAMIC_GROUP_CREATE`, `POLICY_CREATE`, `TAG_NAMESPACE_CREATE`, `TAG_DEFINITION_ADD` e `FAMS_ONBOARDING_CREATE`
`UpdateOnboarding`	`TAG_NAMESPACE_CREATE`, `TAG_DEFINITION_ADD` e `FAMS_ONBOARDING_UPDATE`
`DeleteOnboarding`	`DYNAMIC_GROUP_DELETE`, `POLICY_DELETE`, `TAG_NAMESPACE_RETIRE`, `TAG_DEFINITION_RETIRE` e `FAMS_ONBOARDING_DELETE`
`EnableLatestPolicy`	`DYNAMIC_GROUP_CREATE`, `POLICY_CREATE`, `TAG_NAMESPACE_CREATE`, `TAG_DEFINITION_ADD` e `FAMS_ONBOARDING_CREATE`
`ManageSettings`	`FAMS_ADMIN_UPDATE`
`ListOnboardingPolicies`	`FAMS_ONBOARDING_CREATE`)
`ListCompliancePolicies`	`FAMS_COMPLIANCE_POLICY_INSPECT`
`GetCompliancePolicy`	`FAMS_COMPLIANCE_POLICY_READ`
`ListCompliancePolicyRules`	`FAMS_COMPLIANCE_POLICY_INSPECT`
`GetCompliancePolicyRule`	`FAMS_COMPLIANCE_POLICY_READ`
`CreateCompliancePolicyRule`	`FAMS_COMPLIANCE_POLICY_CREATE`
`UpdateCompliancePolicyRule`	`FAMS_COMPLIANCE_POLICY_UPDATE`
`DeleteCompliancePolicyRule`	`FAMS_COMPLIANCE_POLICY_DELETE`
`ListComplianceRecords`	`FAMS_COMPLIANCE_REPORT_READ`
`ExportComplianceReport`	`FAMS_COMPLIANCE_REPORT_READ`
`SummarizeComplianceRecordCounts`	`FAMS_COMPLIANCE_REPORT_READ`
`SummarizeManagedEntityCounts`	`FAMS_COMPLIANCE_REPORT_READ`
`ListPatches`	`FAMS_PATCH_INSPECT`
`GetPatch`	`FAMS_PATCH_READ`
`CreatePatch`	`FAMS_PATCH_CREATE`, `FAMS_PLATFORM_READ`, `OBJECT_INSPECT` e `OBJECT_READ`
`DeletePatch`	`FAMS_PATCH_DELETE`
`UpdatePatch`	`FAMS_PATCH_UPDATE`, `FAMS_PLATFORM_READ`, `OBJECT_INSPECT` e `OBJECT_READ`
`ChangePatchCompartment`	`FAMS_PATCH_MOVE`
`CreateProvision`	`FAMS_PROVISION_CREATE`, `FAMS_FLEET_READ` e `FAMS_CATALOG_ITEM_READ`
`DeleteProvision`	`FAMS_PROVISION_DELETE`
`ListProvisions`	`FAMS_PROVISION_INSPECT`
`UpdateProvision`	`FAMS_PROVISION_UPDATE`
`GetProvision`	`FAMS_PROVISION_READ`
`ChangeProvisionCompartment`	`FAMS_PROVISION_MOVE`
`ListCatalogItems`	`FAMS_CATALOG_ITEM_INSPECT`
`CreateCatalogItem`	`FAMS_CATALOG_ITEM_CREATE` e as seguintes opções: `OBJECT_INSPECT` e `OBJECT_READ` se o item do catálogo for criado usando a origem como Armazenamento de Objetos `ORM_CONFIG_SOURCE_PROVIDER_INSPECT` se o item do catálogo for criado usando a configuração do gerenciador de recursos
`GetCatalogItem`	`FAMS_CATALOG_ITEM_READ`
`UpdateCatalogItem`	`FAMS_CATALOG_ITEM_UPDATE` e as seguintes opções: `OBJECT_INSPECT` e `OBJECT_READ` se o item do catálogo for criado usando a origem como Armazenamento de Objetos `ORM_CONFIG_SOURCE_PROVIDER_INSPECT` se o item do catálogo for criado usando a configuração do gerenciador de recursos
`DeleteCatalogItem`	`FAMS_CATALOG_ITEM_DELETE`
`ChangeCatalogItemCompartment`	`FAMS_CATALOG_ITEM_MOVE`
`CloneCatalogItem`	`FAMS_CATALOG_ITEM_CLONE`
`ListInventoryRecords`	`FAMS_SOFTWARE_INVENTORY_INSPECT`

Políticas de Usuários

As políticas de usuário do Fleet Application Management são necessárias para que os usuários acessem os recursos do Fleet Application Management.

Uma sintaxe de política é a seguinte:

allow <subject> to <verb>
                        <resource-type> in <location> where <conditions>

Para obter detalhes completos, consulte Sintaxe de Política.

Crie políticas para usuários ou grupos específicos para obter acesso aos recursos relacionados ao Fleet Application Management. Consulte Criação de uma política.

Para aplicar as permissões em um nível de tenancy, substitua compartment <compartment name> pelo tenancy.

Exemplos de Política

As políticas de Gerenciamento de Aplicativos de Frota são necessárias para usar vários recursos de Gerenciamento de Aplicativos de Frota.

Consulte as instruções na criação de uma política para criar políticas usando a Console.

Para obter mais detalhes sobre a sintaxe, consulte Sintaxe de Política.

Exemplos de política do Fleet Application Management:

Permita que um grupo gerencie todos os recursos da sua tenancy:

Allow group acme-fams-developers to manage fams-family in tenancy

Permita que os usuários de um grupo leiam ou gerenciem os itens do catálogo para itens do Marketplace ou do catálogo privado, dependendo da função do usuário:
```
Allow group <USER_GROUP> to read fams-catalog-items in compartment <USER_COMPARTMENT_NAME>
```
O exemplo pressupõe que os itens de catálogo e as instâncias do serviço Compute estejam no mesmo compartimento do Fleet Application Management.
Permita que os usuários de um grupo acessem os scripts de item de catálogo nos locais relevantes:
```
Allow group <USER_GROUP> to {PAR_MANAGE} in compartment <USER_COMPARTMENT_NAME>
Allow group <USER_GROUP>  to read object-family in compartment <USER_COMPARTMENT_NAME>  
Allow group <USER_GROUP> to read buckets in compartment <USER_COMPARTMENT_NAME>
```
O exemplo pressupõe que os buckets do serviço Object Storage e as instâncias do serviço Compute estejam no mesmo compartimento do Fleet Application Management.
Permitir que usuários de um grupo gerenciem solicitações de provisionamento:
```
Allow group <USER_GROUP> to manage fams-provisions in compartment <USER_COMPARTMENT_NAME>
```
O exemplo pressupõe que as solicitações de provisionamento e as instâncias do serviço Compute estejam no mesmo compartimento que o Fleet Application Management.

Permita que os usuários de um grupo gerenciem o provisionamento conectando o Fleet Application Management ao Resource Manager.

Allow group <USER_GROUP> to manage orm-config-source-providers in compartment <USER_COMPARTMENT_NAME>
Allow group <USER_GROUP> to manage orm-jobs in compartment <USER_COMPARTMENT_NAME>
Allow group <USER_GROUP> to manage orm-stacks in compartment <USER_COMPARTMENT_NAME>
Allow group <USER_GROUP> to manage orm-template in compartment <USER_COMPARTMENT_NAME>
Allow group <USER_GROUP> to manage orm-work-requests in compartment <USER_COMPARTMENT_NAME>

O exemplo pressupõe que as solicitações de provisionamento e as instâncias do serviço Compute estejam no mesmo compartimento que o Fleet Application Management.

Permita que os usuários de um grupo programem e gerenciem o provisionamento:
```
Allow group <USER_GROUP> to manage fams-schedules in compartment <USER_COMPARTMENT_NAME>
```
O exemplo pressupõe que a programação e as solicitações de provisionamento estejam no mesmo compartimento do Fleet Application Management.
Permita que os usuários de um grupo provisionem o tipo de recurso relevante do OCI.
```
Allow group <USER_GROUP> to manage <resource_type> in compartment <USER_COMPARTMENT_NAME>
```
O exemplo pressupõe que os tipos de recursos estejam no mesmo compartimento do Fleet Application Management.

Adicionando Regras ao Grupo Dinâmico

Um administrador de tenancy em uma organização ativa o Fleet Application Management para uma tenancy. Esta ação cria dois grupos dinâmicos, "fams-customer-dg" e "fams-service-dg". O administrador define regras de correspondência para criar instâncias e membros do grupo fams-customer-dg. O Fleet Application Management executa operações de ciclo de vida nessas instâncias.

Abra o menu de navegação e selecione Identidade e Segurança. Em Identidade, selecione Domínios.
Selecione o domínio de identidades no qual deseja trabalhar.
Em Domínio de identidades (no lado esquerdo da página), selecione Grupos dinâmicos.
Selecione o grupo dinâmico fams-customer-dg. A página de detalhes do grupo dinâmico é aberta.
Selecione Editar todas as regras de correspondência.
Edite a regra de correspondência na caixa de texto ou você poderá usar o construtor de regras se a alteração for suportada pelo construtor de regras.
Por exemplo, digite a regra diretamente na caixa de texto ou use o criador de regras.
Exemplo de entrada na caixa de texto:
```
All {instance.compartement.id = 'ocid1.instance1.oc1.iad:sampleuniqueid1', instance.compartment.id ='ocid1.compartmentA.oc1:sampleuniqueid2'}
```
Todas as instâncias que existem ou são criadas nos compartimentos (identificadas pelo OCID) são membros deste grupo dinâmico.

Políticas do serviço IAM

Um administrador de tenancy em sua organização ativa o Fleet Application Management para sua tenancy. Esta ação cria as seguintes políticas do IAM para usar o Fleet Application Management.

As políticas do IAM em "fams-service-dg" são:

define tenancy fams-tenancy as <fams-tenancy-ocid>
define dynamic-group fams-workload-dg as <fams-dynamicgroup-ocid>
allow dynamic-group fams-service-dg to use fams-agent-command-executions in tenancy
allow dynamic-group fams-service-dg to { FAMS_CATALOG_ITEM_INSPECT, FAMS_CATALOG_ITEM_READ } in tenancy
allow dynamic-group fams-service-dg to { INSTANCE_UPDATE } in tenancy
allow dynamic-group fams-service-dg to read instance-family in tenancy
allow dynamic-group fams-service-dg to use instances in tenancy
allow dynamic-group fams-service-dg to inspect limits in tenancy
allow dynamic-group fams-service-dg to use tag-namespaces in tenancy where target.tag-namespace.name='Oracle$FAMS-Tags'
allow dynamic-group fams-service-dg to read instance-agent-plugins in tenancy
allow dynamic-group fams-service-dg to read instance-agent-command-family in tenancy
allow dynamic-group fams-service-dg to use ons-family in tenancy
allow dynamic-group fams-service-dg to manage database-family in tenancy
allow dynamic-group fams-service-dg to manage osmh-family in tenancy
allow dynamic-group fams-service-dg to { INSTANCE_AGENT_COMMAND_CREATE } in tenancy
allow dynamic-group fams-service-dg to { OBJECTSTORAGE_NAMESPACE_READ } in tenancy
allow dynamic-group fams-service-dg to manage work-requests in tenancy

Para usar o Fleet Application Management, as seguintes políticas do IAM são necessárias em "fams-customer-dg":

Você pode configurar as políticas para uma tenancy ou compartimento com base em sua preferência. Se você optar por configurar políticas para um compartimento, a instrução de política poderá ser a seguinte:

allow dynamic-group fams-customer-dg to {VAULT_READ} in <compartment_OCID>

Se você permitir que o Fleet Application Management configure as políticas de uma tenancy, as seguintes políticas do IAM estarão em "fams-customer-dg":


endorse any-group to { FAMS_CATALOG_ITEM_INSPECT, FAMS_CATALOG_ITEM_READ} in tenancy fams-tenancy
admit dynamic-group fams-workload-dg of tenancy fams-tenancy to read orm-stack in tenancy where all { request.principal.type = 'workload' }
allow dynamic-group fams-customer-dg to use instance-agent-command-execution-family in tenancy where request.instance.id=target.instance.id
allow dynamic-group fams-customer-dg to read instance-family in tenancy
allow dynamic-group fams-customer-dg to use fams-agent-command-executions in tenancy where request.instance.id=target.instance.id
allow dynamic-group fams-customer-dg to {OSMH_MANAGED_INSTANCE_ACCESS} in tenancy
allow dynamic-group fams-customer-dg to { OBJECT_INSPECT, OBJECT_READ } in tenancy
endorse dynamic-group fams-customer-dg to { OBJECT_CREATE, OBJECT_OVERWRITE, OBJECT_READ } in tenancy fams-tenancy where all { target.bucket.name = '<CUSTOMER_TENANCY_OCID>' }
endorse dynamic-group fams-customer-dg to { OBJECT_INSPECT, OBJECT_READ } in tenancy fams-tenancy where any { target.bucket.name = 'automations', target.bucket.name = 'patches'}

A seguir estão o tipo de acesso de cada uma das políticas em "fams-customer-dg":

endorse any-group to { FAMS_CATALOG_ITEM_INSPECT, FAMS_CATALOG_ITEM_READ}  in  tenancy fams-tenancy

Permite que a tenancy acesse os itens do catálogo do Marketplace.

admit dynamic-group fams-workload-dg of tenancy fams-tenancy to read orm-stack in tenancy where all { request.principal.type = 'workload' }

Permite gerenciar requisitos de provisionamento para verificar o status da pilha do Resource Manager.

allow dynamic-group fams-customer-dg to { KEY_READ, KEY_DECRYPT,SECRET_READ } in tenancy
allow dynamic-group fams-customer-dg to {VAULT_READ} in tenancy
allow dynamic-group fams-customer-dg to {SECRET_BUNDLE_READ} in tenancy

Permite o acesso da tenancy com chaves e segredos do vault ao Fleet Application Management para operações de ciclo de vida.

allow dynamic-group fams-customer-dg to use instance-agent-command-execution-family in tenancy where request.instance.id=target.instance.id

Permite gerenciar operações do ciclo de vida usando o comando de execução.

```
allow dynamic-group fams-customer-dg to read instance-family in tenancy
```
Permite que o Fleet Application Management obtenha detalhes da instância para verificações de estado.
```
allow dynamic-group fams-customer-dg to use fams-agent-command-executions in tenancy where request.instance.id=target.instance.id
```
Permite que o Fleet Application Management gerencie operações do ciclo de vida em instâncias usando o plug-in Fleet Application Management.
```
allow dynamic-group fams-customer-dg to {OSMH_MANAGED_INSTANCE_ACCESS} in tenancy
```
Permite que o Fleet Application Management gerencie a aplicação de patches no SO com o OS Management Hub.
```
allow dynamic-group fams-customer-dg to { OBJECT_INSPECT, OBJECT_READ } in tenancy
```
Permite que os scripts de operação do ciclo de vida de acesso do Fleet Application Management do Object Storage.

endorse dynamic-group fams-customer-dg to { OBJECT_CREATE, OBJECT_OVERWRITE, OBJECT_READ } in tenancy fams-tenancy where all { target.bucket.name = '<CUSTOMER_TENANCY_OCID>' }

Permite que o Fleet Application Management gerencie logs de operação do ciclo de vida no Object Storage.

endorse dynamic-group fams-customer-dg to { OBJECT_INSPECT, OBJECT_READ } in tenancy fams-tenancy where any { target.bucket.name = 'automations', target.bucket.name = 'patches'}

Permite que a tenancy acesse scripts e patches de operação do ciclo de vida do Fleet Application Management.

Importante

Para evitar interrupção do serviço, um administrador da tenancy deve garantir que as políticas do IAM de grupos dinâmicos "fams-service-dg", "fams-customer-dg" não sejam excluídas. No entanto, você pode criar suas próprias políticas para seus casos de uso, por exemplo, se precisar de diferentes administradores para diferentes grupos e pilhas de produtos.

Documentação do Oracle Cloud Infrastructure