Documentação do Oracle Cloud Infrastructure

Exemplos de Política

Ao gravar políticas, você pode usar o grupo Administradores para gerenciamento de tenancy, por exemplo:

allow group Administrators to manage wlms-managed-instances in tenancy
allow group Administrators to manage wlms-wlsdomains in tenancy
allow group Administrators to manage wlms-family in tenancy

Você também pode simplificar permissões combinando instruções de política em que vários grupos exigem as mesmas permissões. Por exemplo, estas instruções de política:

allow group <user-grp-01> to inspect wlms-wlsdomains in tenancy
allow group <user-grp-01> to inspect wlms-work-requests in tenancy
allow group <user-grp-02> to inspect wlms-wlsdomains in tenancy
allow group <user-grp-02> to inspect wlms-work-requests in tenancy

Pode se tornar:

allow group <user-grp-01>,<user-grp-01> { WLMS_WLSDOMAIN_INSPECT, WLMS_WORK_REQUEST_INSPECT } in tenancy

Exemplo de políticas que restringem o grupo de usuários

Os exemplos fornecidos são exemplos de políticas usadas para restringir o acesso a recursos ou compartimentos para um grupo de usuários específico. A tenancy nestes exemplos tem a seguinte estrutura de compartimento:

  • root compartimento (tenancy)
    • Compartimento <dev>
      • Subcompartimento <test> de <dev>
    • Compartimento <prod>
Usuário administrador com permissões de tenancy

Para este exemplo:

  • O grupo dinâmico é <wlms-dyn-grp>. As instruções de regra incluem instâncias do OCI no compartimento raiz (tenancy), compartimento <dev>, subcompartimento <test> e compartimento <prod>.
  • O usuário pertence ao grupo de usuários <wlms-admin-grp>, que tem permissão para gerenciar todos os recursos na tenancy.

Instruções da política

  • Permite que o grupo dinâmico exiba e verifique instâncias gerenciadas em um compartimento específico.
    allow dynamic-group <wlms-dyn-grp> to {WLMS_MANAGED_INSTANCE_USE} in tenancy where target.compartment.id='<dev_compartment_ocid>'
  • Permite que o grupo de usuários exiba, verifique e atualize todas as instâncias gerenciadas na tenancy.
    allow group <wlms-admin-grp> to use wlms-managed-instances in tenancy
  • Permite que o grupo de usuários use, atualize, reinicie, aplique patch e mova todos os domínios na tenancy.
    allow group <wlms-admin-grp> to use wlms-wlsdomains in tenancy
  • Permite que o grupo de usuários gerencie todos os recursos na tenancy.
    allow group <wlms-admin-grp> to manage wlms-family in tenancy
Usuário administrador restrito a um compartimento

Para este exemplo:

  • O usuário pertence ao grupo de usuários wlms-admin-grp-dev, que pode gerenciar todos os recursos no compartimento <dev> e no subcompartimento <test>.

Instruções da política

  • Permite que o grupo de usuários gerencie todos os recursos do Serviço de Gerenciamento WebLogic no compartimento <dev>. As políticas usam herança de compartimento; portanto, o usuário também poderá gerenciar recursos em quaisquer subcompartimentos de <dev> (neste exemplo, <test>).
    allow group <wlms-admin-grp-dev> to manage wlms-family in compartment <dev>
  • Permite que o grupo de usuários leia instâncias gerenciadas no compartimento raiz. 
    allow group <wlms-admin-grp-dev> to read wlms-managed-instances in tenancy where target.compartment.id = '<tenancy_ocid>'
  • Permite que o usuário use instâncias gerenciadas no compartimento dev.
    allow group <wlms-admin-grp-dev> to use wlms-managed-instances in compartment <dev>
  • Permite que o usuário use, atualize, reinicie, aplique patch, mova e exclua domínios no compartimento dev.
    allow group <wlms-admin-grp-dev> to manage wlms-wlsdomains in compartment <dev>
Usuário restrito a um compartimento

Para este exemplo:

  • O grupo dinâmico é <wlms-instances>. A instrução de regra inclui o recurso do agente de plug-in no compartimento <prod>.
  • O usuário pertence ao grupo de usuários <wlms-users>, que pode ler todos os recursos de Gerenciamento WebLogic no compartimento <prod>.

Instruções da política

  • Permite que o agente nas instâncias gerenciadas interaja com o Gerenciamento WebLogic.
    allow dynamic-group <wlms-instances> to {WLMS_MANAGED_INSTANCE_PLUGIN_ACCESS} in compartment prod where request.principal.id = target.managed-instance.i
  • Permite que o grupo de usuários exiba todos os recursos de Gerenciamento WebLogic no compartimento <prod>.
    allow group <wlms-users> to read wlms-family in compartment <prod>

Políticas de Exemplo Avançado

Os exemplos avançados de Gerenciamento WebLogic fornecidos são exemplos de políticas usadas para restringir o acesso a recursos ou compartimentos para um grupo de usuários específico.

Permitir que um grupo de usuários exiba apenas os recursos de Gerenciamento WebLogic

Tipo de acesso: Capacidade de exibir todas as instâncias gerenciadas em um compartimento no qual o plug-in de Gerenciamento WebLogic está ativado, os domínios e servidores do Servidor WebLogic descobertos pelo plug-in de Gerenciamento WebLogic e todas as definições de configuração. Com essa política, um usuário do grupo não pode executar nenhuma ação de serviço que possa alterar o estado dos domínios do Servidor WebLogic.

Quando usar: Esta política é útil quando você deseja controlar o acesso a um compartimento no qual você tem seus domínios do Servidor WebLogic de produção.

Onde criar a política: Coloque essa política no compartimento para o qual você concederá acesso ao grupo de usuários.

Allow group Default/<WlmsDevUsers> to read wlms-family in compartment <WlmsProduction>
Permitir que um grupo de usuários execute todas as ações no Gerenciamento WebLogic, exceto domínios de exclusão

Tipo de acesso: Capacidade de executar todas as ações de serviço, exceto a ação excluir domínio.

Quando usar: Esta política é útil quando você deseja impedir a exclusão acidental do domínio.

Onde criar a política: Coloque essa política no compartimento para o qual você concederá acesso ao grupo de usuários.

Allow group Default/<WlmsUsers> to use wlms-family in compartment <WlmsTest>
Permitir que um grupo de usuários só possa executar ações de verificação em domínios WebLogic e instâncias gerenciadas pelo serviço WebLogic Management

Tipo de acesso: Capacidade de exibir todas as instâncias gerenciadas em um compartimento no qual o plug-in de Gerenciamento WebLogic está ativado, os domínios e servidores do Servidor WebLogic descobertos pelo plug-in de Gerenciamento WebLogic e todas as definições de configuração. Com essa política, um usuário do grupo também pode obter as informações de domínio WebLogic mais recentes sob demanda executando a ação de verificação.

Quando usar: Esta política é útil quando você deseja controlar o acesso a um compartimento no qual você tem seus domínios do Servidor WebLogic de produção.

Onde criar a política: Coloque essa política no compartimento para o qual você concederá acesso ao grupo de usuários.

Allow group Default/<WlmsDevUsers> to read wlms-family in compartment <WlmsProduction>
Allow group Default/<WlmsDevUsers> to use wlms-wlsdomains in compartment <WlmsProduction> where all {request.permission='WLMS_WLSDOMAIN_USE',request.operation='ScanWlsDomain'}
Allow group Default/<WlmsDevUsers> to {WLMS_MANAGED_INSTANCE_USE} in compartment <WlmsProduction>
Permita que um grupo de usuários possa verificar e aplicar patches aos domínios WebLogic sem a capacidade de atualizar as definições de configuração

Tipo de acesso: Capacidade de exibir todas as instâncias gerenciadas em um compartimento no qual o plug-in de Gerenciamento WebLogic está ativado, os domínios e servidores do Servidor WebLogic descobertos pelo plug-in de Gerenciamento WebLogic e todas as definições de configuração. Com essa política, um usuário do grupo também pode obter as informações de domínio WebLogic mais recentes sob demanda executando a ação de verificação e os domínios de patch.

Quando usar: Esta política é útil quando você deseja especificar um conjunto específico de usuários, como usuários de operações, para executar operações específicas somente durante uma janela de aplicação de patch para um compartimento no qual você tenha seus domínios do Servidor WebLogic de produção.

Onde criar a política: Coloque essa política no compartimento para o qual você concederá acesso ao grupo de usuários.

Allow group Default/<WlmsOperationsUsers> to read wlms-family in compartment <WlmsProduction>
Allow group Default/<WlmsOperationsUsers> to {WLMS_WLSDOMAIN_USE} in compartment <WlmsProduction>
Allow group Default/<WlmsOperationsUsers> to {WLMS_MANAGED_INSTANCE_USE} in compartment <WlmsProduction>
Allow group Default/<WlmsOperationsUsers> to {WLMS_WLSDOMAIN_PATCH} in compartment <WlmsProduction>
Permitir a um grupo de usuários a capacidade de executar ações de reinicialização e atualizar a ordem de reinicialização

Tipo de acesso: Capacidade de exibir todas as instâncias gerenciadas em um compartimento no qual o plug-in de Gerenciamento WebLogic está ativado, os domínios e servidores do Servidor WebLogic descobertos pelo plug-in de Gerenciamento WebLogic e todas as definições de configuração. Com essa política, um usuário do grupo também pode obter as informações de domínio WebLogic mais recentes sob demanda executando a ação de verificação, alterar as definições de configuração e reiniciar domínios.

Quando usar: Esta política é útil quando você deseja especificar um conjunto específico de usuários, como usuários de Operações, para executar operações específicas somente durante uma janela de aplicação de patch para um compartimento no qual você tenha seus domínios de Servidor WebLogic de produção. Com essas configurações, você fez isso para que a aplicação de patches não seja permitida. O WLMS_WLSDOMAIN_RESTART pode ser substituído pela permissão WLMS_WLSDOMAIN_PATCH posteriormente quando a janela de aplicação de patches estiver aberta.

Onde criar a política: Coloque essa política no compartimento para o qual você concederá acesso ao grupo de usuários.

Allow group Default/<WlmsOperationsUsers> to read wlms-family in compartment <WlmsProduction>
Allow group Default/<WlmsOperationsUsers> to {WLMS_WLSDOMAIN_USE} in compartment <WlmsProduction>
Allow group Default/<WlmsOperationsUsers> to {WLMS_MANAGED_INSTANCE_USE} in compartment <WlmsProduction>
Allow group Default/<WlmsOperationsUsers> to {WLMS_WLSDOMAIN_RESTART} in compartment <WlmsProduction>
Allow group Default/<WlmsOperationsUsers> to {WLMS_WLSDOMAIN_UPDATE} in compartment <WlmsProduction>
Permitir a um grupo de usuários a capacidade de executar todas as ações permitidas pelo verbo de uso para domínios WebLogic, exceto mover um compartimento

Tipo de acesso: Capacidade de exibir todas as instâncias gerenciadas em um compartimento no qual o plug-in de Gerenciamento WebLogic está ativado, os domínios e servidores do Servidor WebLogic descobertos pelo plug-in de Gerenciamento WebLogic e todas as definições de configuração. Com essa política, um usuário do grupo também pode obter as informações de domínio WebLogic mais recentes sob demanda executando a ação de verificação, alterar as definições de configuração, reiniciar domínios e aplicar patch a domínios. A capacidade de mover o compartimento não foi adicionada.

Quando usar: Esta política é útil quando você tem uma estrutura organizacional para compartimentos que deseja manter e não quer que outros usuários possivelmente interrompam esta organização movendo um domínio.

Onde criar a política: Coloque essa política no compartimento para o qual você concederá acesso ao grupo de usuários.

Allow group Default/<WlmsDevUsers> to read wlms-family in compartment <WlmsDev>
Allow group Default/<WlmsDevUsers> to {WLMS_WLSDOMAIN_USE} in compartment <WlmsDev>
Allow group Default/<WlmsDevUsers> to {WLMS_MANAGED_INSTANCE_USE} in compartment <WlmsDev>
Allow group Default/<WlmsDevUsers> to {WLMS_WLSDOMAIN_PATCH} in compartment <WlmsDev>
Allow group Default/<WlmsDevUsers> to {WLMS_WLSDOMAIN_UPDATE} in compartment <WlmsDev>
Permitir a um grupo de usuários a capacidade de verificar em instâncias gerenciadas do serviço WebLogic Management sem a capacidade de atualizar a configuração

Tipo de acesso: Capacidade de exibir todas as instâncias gerenciadas em um compartimento no qual o plug-in de Gerenciamento WebLogic está ativado, os domínios e servidores do Servidor WebLogic descobertos pelo plug-in de Gerenciamento WebLogic e todas as definições de configuração. Com essa política, um usuário do grupo também pode obter as informações de domínio WebLogic mais recentes sob demanda executando a ação de verificação. A capacidade de atualizar definições de configuração da instância gerenciada no compartimento não é adicionada.

Quando usar: Esta política é útil quando você deseja impedir que um usuário interrompa os caminhos verificados, mas deseja que o usuário possa obter as informações de domínio WebLogic mais recentes de uma instância gerenciada.

Onde criar a política: Coloque essa política no compartimento para o qual você concederá acesso ao grupo de usuários.

Allow group Default/<WlmsDevUsers> to read wlms-family in compartment <WlmsTest>
Allow group Default/<WlmsDevUsers> to {WLMS_MANAGED_INSTANCE_USE} in compartment <WlmsTest>