Documentação do Oracle Cloud Infrastructure

Referência de Políticas do Serviço OS Management

Este tópico abrange detalhes de gravação de políticas para controlar o acesso ao serviço OS Management.

Observação

Por exemplo, políticas do serviço OS Management, consulte Configurando Políticas de IAM para o Serviço OS Management e Configurando Políticas de IAM Obrigatórias para o Autonomous Linux.

Detalhes do Serviço OS Management

Este tópico abrange detalhes de gravação de políticas para controlar o acesso ao serviço OS Management.

Sobre Permissões para Instâncias Gerenciadas

Como uma instância gerenciada é uma instância do serviço Compute que está sendo gerenciada ativamente pelo serviço OS Management, todas as operações realizadas em instâncias gerenciadas exigem que os usuários tenham a permissão read na instância subjacente do serviço Compute. Uma instância gerenciada, além disso, não tem um OCID (Oracle Cloud ID) separado. Para determinar quais instâncias do serviço Compute estão disponíveis para os usuários, são feitas chamadas para o serviço Compute para recuperar as informações da instância. Se você não tiver acesso read aos detalhes da instância do serviço Compute, é porque você não pode gerenciar essa instância do Compute com o serviço OS Management.

Sobre Permissões de Origens de Software

O conjunto padrão de origens de software é criado no compartimento raiz. Para ler essas origens de software, os usuários devem receber permissões read.

As permissões nas origens de software no compartimento raiz devem ser restritas para impedir que os usuários excluam ou removam acidentalmente esses pacotes. Esses pacotes devem ser usados como estão ou como base para a criação de origens de software personalizadas, mas não devem ser modificados diretamente.

Ao criar uma origem de software, ela só pode ser preenchida com pacotes de origens de software existentes que o usuário tem permissões para acessar. Para restringir os pacotes que podem ser usados, você pode criar uma origem de software personalizada em outro compartimento (ou com uma política concedendo permissões distintas). Em seguida, você pode preencher a origem de software personalizada com apenas os pacotes que deseja que os usuários possam utilizar.

Sobre Permissões do Autonomous Linux

Além das políticas de IAM obrigatórias para o serviço OS Management, as instâncias do Autonomous Linux exigem as permissões a seguir.

  • Permissões use no tipo de recurso ons-topics. Essa permissão permite que o plug-in do Oracle Autonomous Linux envie notificações sobre atualizações e eventos autônomos para um tópico do serviço Notifications.
  • Permissões manage no resource-type osms-events. Essa permissão permite que o plug-in do Oracle Autonomous Linux capture eventos para instâncias e permita que os usuários exibam e gerenciem eventos.

Para obter um exemplo das políticas de IAM obrigatórias para o Autonomous Linux, consulte Configurando Políticas de IAM Obrigatórias para o Autonomous Linux.

Considerações sobre Compartimentos

Você pode configurar o serviço SO Management para gerenciar todas as instâncias em sua tenancy definindo as políticas no nível do compartimento-raiz. A definição de políticas no nível do compartimento raiz é a maneira mais simples de criar políticas de serviço do OS Management, mas depende de se você tem os privilégios necessários para criar a política. Se você não tiver os privilégios necessários, deverá trabalhar com o administrador da sua tenancy.

Como alternativa, você pode configurar o serviço OS Management para gerenciar apenas um subconjunto de suas instâncias, definindo as políticas no nível do compartimento. A definição das políticas no nível do compartimento permite que o serviço gerencie somente um subconjunto de suas instâncias no nível do compartimento e de seus subcompartimentos.

Todas as origens de software base estão no compartimento-raiz. Ao definir políticas, certifique-se de que as permissões para a política não sejam muito restritas. Por exemplo, você incorreria em erros de autorização se tivesse apenas acesso a um compartimento e tentasse instalar pacotes ou atualizações de origens de software no compartimento raiz.

Por exemplo: 

Allow group <group_name> to manage osms-family in tenancy

Para garantir que o usuário tenha acesso adequado, ele deverá ter permissões OSMS_SOFTWARE_SOURCE_READ no compartimento raiz.

Resource-Type Agregado

osms-family

Resource-Types Individuais

osms-errata

osms-events

osms-managed-instances

osms-managed-instance-groups

osms-scheduled-jobs

osms-software-sources

osms-work-requests

Detalhes para Combinações de Verbo e Resource-Type

As tabelas a seguir mostram as permissões e operações de API abrangidas por cada verbo. O nível de acesso é cumulativo à medida que você vai de inspect > read > use > manage. Um sinal de mais (+) em uma célula da tabela indica acesso incremental em comparação com a célula diretamente acima, enquanto "nenhum extra" indica nenhum acesso incremental.

osms-errata
Verbos Permissões APIs Totalmente Incluídas APIs Parcialmente Incluídas
inspect

nenhuma

 nenhuma

nenhuma
read

INSPECT +

OSMS_ERRATA_READ

GetErratum

nenhuma
use

nenhuma

nenhuma

nenhuma
manage

USE +

nenhuma

nenhuma

nenhuma
osms-events

Verbos Permissões APIs Totalmente Incluídas APIs Parcialmente Incluídas
inspect

OSMS_EVENT_INSPECT

ListEvents

ListRelatedEvents

nenhuma
read

INSPECT +

OSMS_EVENT_READ

GetEvent

GetEventContent

GetEventReport

nenhuma
use

READ +

OSMS_EVENT_UPDATE

UpdateEvent

nenhuma
manage

USE +

OSMS_EVENTS_MANAGE

DeleteEventContent

UploadEventContent

nenhuma
osms-managed-instances
Verbos Permissões APIs Totalmente Incluídas APIs Parcialmente Incluídas
inspect

OSMS_MANAGED_INSTANCE_INSPECT

ListManagedInstances

nenhuma
read

INSPECT +

OSMS_MANAGED_INSTANCE_READ

ListAvailablePackagesForManagedInstance

ListPackagesInstalledOnManagedInstance

ListAvailableUpdatesForManagedInstance

ListAvailableSoftwareSourcesForManagedInstance (também precisa de inspect osms-software-source)
use

READ +

OSMS_MANAGED_INSTANCE_ACCESS

nenhuma

(Nenhuma operação de API é incluída para essa permissão. Essa permissão controla se o OS Management Service Agent na Instância de Computação pode acessar o serviço OS Management.)

nenhuma
manage

USE +

OSMS_MANAGED_INSTANCE_UPDATE

OSMS_MANAGED_INSTANCE_INSTALL_UPDATE

OSMS_MANAGED_INSTANCE_INSTALL_PACKAGE

OSMS_MANAGED_INSTANCE_REMOVE_PACKAGE

OSMS_MANAGED_INSTANCE_ADD_SOFTWARE_SOURCE

OSMS_MANAGED_INSTANCE_REMOVE_SOFTWARE_SOURCE

DetachChildSoftwareSourceFromManagedInstance

DetachParentSoftwareSourceFromManagedInstance

AttachChildSoftwareSourceToManagedInstance(também precisa de read osms-software-sources)

AttachManagedInstanceToManagedInstanceGroup e DetachManagedInstanceFromManagedInstanceGroup (ambos também precisam de manage osms-managed-instance-groups)

CreateScheduledJob (também precisa de use osms-scheduled-jobs, use osms-managed-instance-groups e read osms-software-sources)

InstallPackageOnManagedInstance e InstallPackageUpdateOnManagedInstance (ambos também precisam de read osms-software-sources)
osms-managed-instance-groups
Verbos Permissões APIs Totalmente Incluídas APIs Parcialmente Incluídas
inspect OSMS_MANAGED_INSTANCE_GROUP_INSPECT

ListManagedInstanceGroups

nenhuma
read

INSPECT +

OSMS_MANAGED_INSTANCE_GROUP_READ

GetManagedInstanceGroup

nenhuma
use

READ +

OSMS_MANAGED_INSTANCE_GROUP_INSTALL_UPDATE

OSMS_MANAGED_INSTANCE_GROUP_INSTALL_PACKAGE

OSMS_MANAGED_INSTANCE_GROUP_REMOVE_PACKAGE

OSMS_MANAGED_INSTANCE_GROUP_UPDATE

UpdateManagedInstanceGroup

CreateScheduledJob (também precisa de use osms-scheduled-jobs, manage osms-managed-instances e read software sources)
manage

USE +

OSMS_MANAGED_INSTANCE_GROUP_ADD_INSTANCE

OSMS_MANAGED_INSTANCE_GROUP_REMOVE_INSTANCE

OSMS_MANAGED_INSTANCE_GROUP_CREATE

OSMS_MANAGED_INSTANCE_GROUP_DELETE

OSMS_MANAGED_INSTANCE_GROUP_MOVE

CreateManagedInstanceGroup

DeleteManagedInstanceGroup

ChangeManagedInstanceGroupComparment

AttachManagedInstanceToManagedInstanceGroup e DetachManagedInstanceFromManagedInstanceGroup (também precisa de use osms-managed-instances)
osms-software-sources
Verbos Permissões APIs Totalmente Incluídas APIs Parcialmente Incluídas
inspect

OSMS_SOFTWARE_SOURCE_INSPECT

ListSoftwareSources

ListAvailableSoftwareSourcesForManagedInstance (também requer read osms-managed-instances)
read

INSPECT +

OSMS_SOFTWARE_SOURCE_READ

GetSoftwareSource

ListSoftwarePackages

GetSoftwarePackage

SearchSoftwarePackages

AttachChildSoftwareSourceToManagedInstance (também requer manage osms-managed-instances)

CreateScheduledJob (também precisa de use osms-scheduled-jobs, use osms-managed-instance-groups e manage osms-managed-instances)

InstallPackageOnManagedInstance e InstallPackageUpdateOnManagedInstance (ambos também exigem manage osms-managed-instances)
use

READ +

OSMS_MANAGED_INSTANCE_GROUP_INSTALL_UPDATE

UpdateSoftwareSource

nenhuma
manage

USE +

OSMS_SOFTWARE_SOURCE_CREATE

OSMS_SOFTWARE_SOURCE_ADD_PACKAGES

OSMS_SOFTWARE_SOURCE_REMOVE_PACKAGE

OSMS_SOFTWARE_SOURCE_DELETE

OSMS_SOFTWARE_SOURCE_REMOVE_PACKAGE

CreateSoftwareSource

DeleteSoftwareSource

ChangeSoftwareSourceCompartment

AddPackagesToSoftwareSource

RemovePackagesFromSoftwareSource

nenhuma
osms-scheduled-jobs
Verbos Permissões APIs Totalmente Incluídas APIs Parcialmente Incluídas
inspect

OSMS_SCHEDULED_JOB_INSPECT

ListScheduledJobs

nenhuma
read

INSPECT +

OSMS_SCHEDULED_JOB_READ

GetScheduledJob

nenhuma
use

READ +

OSMS_SCHEDULED_JOB_UPDATE

UpdateScheduledJob

nenhuma
manage

USE +

OSMS_SCHEDULED_JOB_CREATE

OSMS_SCHEDULED_JOB_DELETE

OSMS_SCHEDULED_JOB_MOVE

DeleteScheduledJob

ChangeScheduledJobCompartment

ChangeScheduledJobCompartment

CreateScheduledJob (também precisa de use osms-managed-instance groups, manage osms-managed-instances e read osms-software-sources)
osms-work-requests

Verbos Permissões APIs Totalmente Incluídas APIs Parcialmente Incluídas
inspect

OSMS_WORK_REQUEST_INSPECT

ListWorkRequests

nenhuma
read

INSPECT +

OSMS_WORK_REQUEST_READ

GetWorkRequest

nenhuma
use

READ +

nenhuma extra

nenhuma extra

nenhuma
manage

USE +

OSMS_WORK_REQUEST_CANCEL

CancelWorkRequest

nenhuma

Permissões Exigidas para Cada Operação de API

As tabelas a seguir listam as operações de API agrupadas por tipo de recurso. Os tipos de recursos são listados em ordem alfabética. Para obter informações sobre permissões, consulte Permissões.

Operação da API Permissões Necessárias para Usar a Operação
ListEvents OSMS_EVENT_INSPECT
ListRelatedEvents OSMS_EVENT_INSPECT
DeleteEventContent OSMS_EVENT_MANAGE
UploadEventContent OSMS_EVENT_MANAGE
GetEvent OSMS_EVENT_READ
GetEventContent OSMS_EVENT_READ
GetEventReport OSMS_EVENT_READ
UpdateEvent OSMS_EVENT_UPDATE
AttachChildSoftwareSourceToManagedInstance OSMS_MANAGED_INSTANCE_ADD_SOFTWARE_SOURCE e OSMS_SOFTWARE_SOURCE_READ
AttachParentSoftwareSourceToManagedInstance OSMS_MANAGED_INSTANCE_ADD_SOFTWARE_SOURCE e OSMS_SOFTWARE_SOURCE_READ
AttachManagedInstanceToManagedInstanceGroup OSMS_MANAGED_INSTANCE_GROUP_ADD_INSTANCE e OSMS_MANAGED_INSTANCE_UPDATE
CreateManagedInstanceGroup OSMS_MANAGED_INSTANCE_GROUP_CREATE
DeleteManagedInstanceGroup OSMS_MANAGED_INSTANCE_GROUP_DELETE
ListManagedInstanceGroups OSMS_MANAGED_INSTANCE_GROUP_INSPECT
ChangeManagedInstanceGroupComparment OSMS_MANAGED_INSTANCE_GROUP_MOVE
GetManagedInstanceGroup OSMS_MANAGED_INSTANCE_GROUP_READ
DetachManagedInstanceFromManagedInstanceGroup OSMS_MANAGED_INSTANCE_GROUP_REMOVE_INSTANCE e OSMS_MANAGED_INSTANCE_UPDATE
UpdateManagedInstanceGroup OSMS_MANAGED_INSTANCE_GROUP_UPDATE
ListManagedInstances OSMS_MANAGED_INSTANCE_INSPECT
InstallPackageOnManagedInstance OSMS_MANAGED_INSTANCE_INSTALL_PACKAGE e OSMS_SOFTWARE_SOURCE_READ
InstallPackageUpdateOnManagedInstance OSMS_MANAGED_INSTANCE_INSTALL_UPDATE e OSMS_SOFTWARE_SOURCE_READ
GetManagedInstance OSMS_MANAGED_INSTANCE_READ
ListAvailablePackagesForManagedInstance OSMS_MANAGED_INSTANCE_READ
ListAvailableUpdatesForManagedInstance OSMS_MANAGED_INSTANCE_READ
ListAvailableSoftwareSourcesForManagedInstance OSMS_MANAGED_INSTANCE_READ e OSMS_SOFTWARE_SOURCE_INSPECT
ListPackagesInstalledOnManagedInstance OSMS_MANAGED_INSTANCE_READ
RemovePackageFromManagedInstance OSMS_MANAGED_INSTANCE_REMOVE_PACKAGE
DetachChildSoftwareSourceFromManagedInstance OSMS_MANAGED_INSTANCE_REMOVE_SOFTWARE_SOURCE
DetachParentSoftwareSourceFromManagedInstance OSMS_MANAGED_INSTANCE_REMOVE_SOFTWARE_SOURCE
DisableModuleStreamOnManagedInstance OSMS_MANAGED_INSTANCE_UPDATE
EnableModuleStreamOnManagedInstance OSMS_MANAGED_INSTANCE_UPDATE
InstallModuleStreamProfileOnManagedInstance OSMS_MANAGED_INSTANCE_UPDATE
ManageModuleStreamsOnManagedInstance OSMS_MANAGED_INSTANCE_UPDATE
SwitchModuleStreamOnManagedInstance OSMS_MANAGED_INSTANCE_UPDATE
CreateScheduledJob

OSMS_SCHEDULED_JOB_CREATE e uma ou mais das seguintes permissões:

  • OSMS_MANAGED_INSTANCE_GROUP_INSTALL_PACKAGE e OSMS_SOFTWARE_SOURCE_READ

  • OSMS_MANAGED_INSTANCE_GROUP_INSTALL_UPDATE e OSMS_SOFTWARE_SOURCE_READ

  • OSMS_MANAGED_INSTANCE_GROUP_REMOVE_PACKAGE

  • OSMS_MANAGED_INSTANCE_INSTALL_PACKAGE e OSMS_SOFTWARE_SOURCE_READ

  • OSMS_MANAGED_INSTANCE_INSTALL_UPDATE e OSMS_SOFTWARE_SOURCE_READ

  • OSMS_MANAGED_INSTANCE_REMOVE_PACKAGE

DeleteScheduledJob OSMS_SCHEDULED_JOB_DELETE
ListScheduledJobs OSMS_SCHEDULED_JOB_INSPECT
ChangeScheduledJobCompartment OSMS_SCHEDULED_JOB_MOVE
GetScheduledJob OSMS_SCHEDULED_JOB_READ
UpdateScheduledJob OSMS_SCHEDULED_JOB_UPDATE
AddPackagesToSoftwareSource OSMS_SOFTWARE_SOURCE_ADD_PACKAGES
CreateSoftwareSource OSMS_SOFTWARE_SOURCE_CREATE
DeleteSoftwareSource OSMS_SOFTWARE_SOURCE_DELETE
ChangeSoftwareSourceCompartment OSMS_SOFTWARE_SOURCE_MOVE
GetSoftwarePackage OSMS_SOFTWARE_SOURCE_READ
ListSoftwarePackages OSMS_SOFTWARE_SOURCE_READ
SearchSoftwarePackages OSMS_SOFTWARE_SOURCE_READ
RemovePackagesFromSoftwareSource OSMS_SOFTWARE_SOURCE_REMOVE_PACKAGES
UpdateSoftwareSource OSMS_SOFTWARE_SOURCE_UPDATE
CancelWorkRequest OSMS_WORK_REQUEST_CANCEL
ListWorkRequests OSMS_WORK_REQUEST_INSPECT
GetWorkRequest OSMS_WORK_REQUEST_READ