Oracle Cloud Infrastructureドキュメント

フリート・アプリケーション管理ポリシーおよび権限

Identity and Access Management (IAM)ポリシーを作成して、誰がフリート・アプリケーション管理リソースにアクセスできるか、および各ユーザー・グループのアクセスのタイプを制御します。

フリート・アプリケーション管理リソースに対する必要な権限をユーザーに付与するためのポリシーを作成します。デフォルトでは、Administratorsグループのユーザーは、すべてのフリート・アプリケーション管理リソースにアクセスできます。

IAMポリシーを初めて使用する場合は、ポリシーの開始を参照してください。

Oracle Cloud Infrastructureのすべてのポリシーの完全なリストは、ポリシー・リファレンスおよび共通ポリシーを参照してください。

フリート・アプリケーション管理では、テナンシ管理者が、オンボーディング中にフリート・アプリケーション管理によって作成される動的グループにルールを追加する必要があります。このアクションにより、フリート・アプリケーション管理はOCI Computeでライフサイクル管理操作を実行できます。

この項で説明する内容は次のとおりです。

リソース・タイプおよび権限

フリート・アプリケーション管理リソース・タイプおよび関連する権限のリスト。

すべてのOCIフリート・アプリケーション管理リソースに権限を割り当てるには、fams-family集計タイプを使用します。詳細は、権限を参照してください。

次の表に、fams-family内のすべてのリソースを示します。

メンバー・リソース
家族家族
  • 家族フリート
  • ファムランブック
  • 家族スケジュール
  • ファム・メンテナンス・ウィンドウ
  • ファム管理者
  • ファム・ワーク要求
  • ファム・コンプライアンス・ポリシー
  • ファムパッチ

<verb> fams-familyを使用するポリシーは、個々のリソース・タイプごとに個別の<verb> <resource-type>ステートメントを使用してポリシーを記述することと同じです。

リソースの種類 権限
家族フリート
  • FAMS_FLEET_INSPECT
  • FAMS_FLEET_READ
  • FAMS_FLEET_CREATE
  • FAMS_FLEET_UPDATE
  • FAMS_FLEET_DELETE
ファムランブック
  • FAMS_RUNBOOK_INSPECT
  • FAMS_RUNBOOK_READ
  • FAMS_RUNBOOK_UPDATE
  • FAMS_RUNBOOK_CREATE
  • FAMS_RUNBOOK_DELETE
  • FAMS_RUNBOOK_PUBLISH
家族スケジュール
  • FAMS_SCHEDULE_INSPECT
  • FAMS_SCHEDULE_READ
  • FAMS_SCHEDULE_CREATE
  • FAMS_SCHEDULE_UPDATE
  • FAMS_SCHEDULE_DELETE
ファム・メンテナンス・ウィンドウ
  • FAMS_MAINTENANCE_WINDOW_INSPECT
  • FAMS_MAINTENANCE_WINDOW_READ
  • FAMS_MAINTENANCE_WINDOW_CREATE
  • FAMS_MAINTENANCE_WINDOW_UPDATE
  • FAMS_MAINTENANCE_WINDOW_DELETE
ファム管理者
  • FAMS_ADMIN_INSPECT
  • FAMS_ADMIN_READ
  • FAMS_ADMIN_UPDATE
  • FAMS_ADMIN_CREATE
  • FAMS_ADMIN_DELETE
ファム・ワーク要求
  • FAMS_API_WORK_REQUEST_LIST
  • FAMS_API_WORK_REQUEST_READ
ファム・コンプライアンス・ポリシー
  • FAMS_COMPLIANCE_POLICY_INSPECT
  • FAMS_COMPLIANCE_POLICY_READ
  • FAMS_COMPLIANCE_POLICY_UPDATE
  • FAMS_COMPLIANCE_POLICY_CREATE
  • FAMS_COMPLIANCE_POLICY_DELETE
  • FAMS_COMPLIANCE_REPORT_READ
ファムパッチ
  • FAMS_PATCH_INSPECT
  • FAMS_PATCH_READ
  • FAMS_PATCH_UPDATE
  • FAMS_PATCH_CREATE
  • FAMS_PATCH_DELETE

サポートされている変数

変数は、フリート・アプリケーション管理のポリシーに条件を追加するときに使用されます。

フリート・アプリケーション管理では、次の変数がサポートされています:

  • エンティティ: Oracle Cloud Identifier (OCID)
  • 文字列: フリーフォーム・テキスト
  • リスト: エンティティまたは文字列のリスト

すべてのリクエストの一般的な変数を参照してください。

変数は小文字で、ハイフン区切りです。たとえば、target.tag-namespace.nametarget.display-nameです。ここで、nameは一意である必要があり、display-nameは説明です。

必須変数は、すべてのリクエストに対してフリート・アプリケーション管理によって提供されます。自動変数は、認可エンジンによって提供されます(シック・クライアントではSDKを使用したサービス・ローカルで、シン・クライアントではアイデンティティ・データ・プレーンで提供されます)。

必要な変数 タイプ 説明
target.compartment.id エンティティ(OCID) リクエストのプライマリ・リソースのOCID
request.operation 文字列 リクエストの操作ID (例: GetUser)
target.resource.kind 文字列 リクエストのプライマリ・リソースのリソース種類名
自動変数 タイプ 説明
request.user.id エンティティ(OCID) リクエスト・ユーザーのOCID。
request.groups.id エンティティ(OCID)のリスト リクエスト・ユーザーが属しているグループのOCID。
target.compartment.name 文字列 target.compartment.idで指定されたコンパートメントの名前
target.tenant.id エンティティ(OCID) ターゲット・テナントIDのOCID
動的変数 タイプ 説明
request.principal.group.tag.<tagNS>.<tagKey> 文字列 プリンシパルがメンバーであるグループの各タグの値。
request.principal.compartment.tag.<tagNS>.<tagKey> 文字列 プリンシパルを含むコンパートメントの各タグの値。
target.resource.tag.<tagNS>.<tagKey> 文字列 ターゲット・リソースの各タグの値。(各リクエストでサービスによって提供されるtagSlugに基づいて計算されます。)
target.resource.compartment.tag.<tagNS>.<tagKey> 文字列 ターゲット・リソースを含むコンパートメントの各タグの値。(各リクエストでサービスによって提供されるtagSlugに基づいて計算されます。)

次に、変数に使用可能なソースのリストを示します。

  • リクエスト: リクエスト入力から取得されます。
  • 導出: リクエストから取得されます。
  • 格納: サービスから取得され、入力が保持されます。
  • 計算: サービス・データから計算されます。

動詞とリソース・タイプの組合せについての詳細

フリート・アプリケーション管理リソースの各動詞でカバーされる権限およびAPI操作を識別します。

アクセスのレベルは、inspectからreadusemanageの順に累積します。表のセルのプラス記号(+)は、前のセルと比較した場合に増分アクセスを示します。

アクセス権の付与の詳細は、権限を参照してください。

家族フリート

この表は、fams-fleetsリソースの権限と、権限によって完全にカバーされるAPIを示しています。

動詞 権限 カバーされるAPI 内容
inspect FAMS_FLEET_INSPECT ListFleets

ListTargets

ListFleetTargets

ListFleetProducts

ListFleetResources

ListFleetProperties

ListFleetCredentials

ListAnnouncements

ListProperties

ListPlatformConfigurations

ListWorkRequests

ListOnboardings

 すべてのフリート、フリート内のリソースのすべてのターゲット、フリート内のリソースのすべての確認済ターゲット、フリートによって管理されるターゲットに関連付けられた製品、すべてのリソースをリストしますフリート、フリート内のすべてのプロパティ、コンパートメント内のフリートの資格証明、フリート・アプリケーション管理のお知らせ、すべてのプロパティ、すべてのプラットフォーム構成、すべての作業リクエストおよびテナンシのオンボーディング情報。
read

inspect+

FAMS_FLEET_READ

inspect+

GetFleet

GenerateComplianceReport

GetComplianceReport

ListInventoryResources

GetFleetResource

GetFleetProperty

GetFleetCredential

GetProperty

GetPlatformConfiguration

GetWorkRequest

ListWorkRequestErrors

ListWorkRequestLogs

ListComplianceRecords

ExportComplianceReport

SummarizeComplianceRecordCounts

SummarizeManagedEntityCounts

特定のフリートの詳細をID別に取得し、フリートのコンプライアンス・レポートの生成を要求し、フリートのコンプライアンス・レポートを取得し、特定の条件に一致するRQSからすべてのリソースをリストします。フリート内のリソースの詳細の取得、フリート内のプロパティの詳細の取得、特定のIDのフリート資格証明の取得、プロパティの取得、プラットフォーム構成の詳細の取得、取得IDによる特定の作業リクエスト、特定のIDに対する作業リクエストの(ページ区切り)エラーのリスト、特定のIDに対する作業リクエストの(ページ区切り)ログのリスト、コンプライアンス・レポートの詳細を返し、コンプライアンス・レポートの詳細をエクスポートし、テナンシ内のフリートまたはターゲット別のコンプライアンス・レポートの集計されたサマリー情報を取得し、テナンシ内の管理対象エンティティの集計されたサマリー情報を取得します。
use

read+

FAMS_FLEET_UPDATE

read+

UpdateFleet

UpdateFleetResource

UpdateFleetProperty

UpdateFleetCredential

ID別の特定のフリート、ID別の特定のフリート・リソース、ID別の特定のフリート・プロパティおよびIDで識別されるフリート資格証明を更新します。
manage

use+

FAMS_FLEET_CREATE

use+

CreateFleet

ConfirmTargets

RequestTargetDiscovery

RequestResourceValidation

CheckResourceTagging

CreateFleetResource

CreateFleetProperty

CreateFleetCredential

フリートの作成、管理対象のフリート内のターゲットの確認、フリート内のリソースのターゲット検出のリクエスト、フリート内のリソースの検証のリクエスト、確認フリート・アプリケーション管理タグは、フリート内のリソースに追加したり、フリートにリソースを追加したり、フリートにプロパティを追加したり、フリートの資格証明を作成できます。
manage

use+

FAMS_FLEET_DELETE

use+

DeleteFleet

DeleteFleetResource

DeleteFleetProperty

DeleteFleetCredential

ID別の特定のフリート、フリートからのリソース、ID別のフリート・プロパティおよびプロビジョニングされたフリート資格証明を削除します。
ファムランブック

この表は、fams-runbooksリソースの権限と、権限によって完全にカバーされるAPIを示しています。

動詞 権限 カバーされるAPI 内容
inspect FAMS_RUNBOOK_INSPECT ListRunbooks

ListTaskRecords

ListPlatformConfigurations

ListWorkRequests

ListOnboardings

GetOnboarding

 すべてのランブック、テナンシ内のタスク、すべてのプラットフォーム構成、すべての作業リクエストをリストし、テナンシのオンボーディング情報のリストを返し、IDでオンボーディングを取得します。
read

inspect+

FAMS_RUNBOOK_READ

inspect+

GetRunbook

GetTaskRecord

GetPlatformConfiguration

GetWorkRequest

ListWorkRequestErrors

ListWorkRequestLogs

 特定のランブックをIDで取得し、特定のIDでタスクを取得し、プラットフォーム構成の詳細を取得し、IDで特定の作業リクエストを取得し、特定のIDで作業リクエストのエラーの(ページ区切り)リストを返し、特定のIDで作業リクエストのログの(ページ区切り)リストを返します。
use

read+

FAMS_RUNBOOK_UPDATE

read+

UpdateRunbook

UpdateTaskRecord

 IDで識別されるランブックおよびIDで識別されるタスクを更新します。
manage

use+

FAMS_RUNBOOK_CREATE

use+

CreateRunbook

CreateTaskRecord

 runbookとタスクを作成します。
manage

use+

FAMS_RUNBOOK_DELETE

use+

DeleteRunbook

DeleteTaskRecord

 IDで識別されるランブックおよびIDで識別されるタスクを削除します。
manage

use+

FAMS_RUNBOOK_PUBLISH

use+

PublishRunbook

 ランブックを公開します。
家族スケジュール

この表は、fams-schedulesリソースの権限と、権限によって完全にカバーされるAPIを示しています。

動詞 権限 カバーされるAPI 説明
inspect FAMS_SCHEDULE_INSPECT ListScheduleDefinitions

ListSchedulerJobs

SummarizeSchedulerJobCounts

ListPlatformConfigurations

ListWorkRequests

ListOnboardings

GetOnboarding

 すべてのスケジュール定義、スケジュール済ジョブのリスト表示、テナンシ内のスケジューラ・ジョブの集計済サマリー情報の取得、すべてのプラットフォーム構成のリスト表示、すべての作業リクエストのリスト表示、テナンシのオンボーディング情報のリストの表示およびIDによるオンボーディングの取得を行います。
read

inspect+

FAMS_SCHEDULE_READ

inspect+

GetScheduleDefinition

ListScheduledFleets

GetSchedulerJob

GetJobActivity

ListExecution

GetExecution

ListSteps

ListResources

GetPlatformConfiguration

GetWorkRequest

ListWorkRequestErrors

ListWorkRequestLogs

IDによるスケジュール定義の詳細の取得、スケジュール定義のすべてのフリートのリストの取得、IDによるスケジュール済ジョブの詳細の取得、識別子によるジョブ・アクティビティの取得、実行のリスト、IDによる実行の取得、実行ステップのリスト、リソースのリストジョブ・アクティビティ、プラットフォーム構成の詳細の取得、IDによる特定の作業リクエストの取得、特定のIDを持つ作業リクエストのエラーの(ページ区切り)リストの取得、特定のIDを持つ作業リクエストのログの(ページ区切り)リストの取得。
use

read+

FAMS_SCHEDULE_UPDATE

read+

UpdateScheduleDefinition

UpdateSchedulerJob

ManageJobExecution

特定のスケジュール定義およびIDで識別されるスケジューラ・ジョブを更新し、ジョブの実行アクションを管理します。
manage

use+

FAMS_SCHEDULE_CREATE

use+

FixCompliance

CreateScheduleDefinition

パッチ・コンプライアンスおよびスケジュール定義を修正するためのスケジュールを作成します。
manage

use+

FAMS_SCHEDULE_DELETE

use+

DeleteScheduleDefinition

DeleteSchedulerJob

特定のスケジュール定義を削除し、特定のスケジュール済ジョブを取り消します。
ファム・メンテナンス・ウィンドウ

この表は、fams-maintenance-windowsリソースの権限と、権限によって完全にカバーされるAPIを示しています。

動詞 権限 カバーされるAPI 説明
inspect FAMS_MAINTENANCE_WINDOW_INSPECT ListMaintenanceWindows

ListPlatformConfigurations

ListWorkRequests

ListOnboardings

GetOnboarding

 すべてのメンテナンス・ウィンドウ、すべてのプラットフォーム構成、すべての作業リクエスト、テナンシのオンボーディング情報、IDによるオンボーディングの取得、
read

inspect+

FAMS_MAINTENANCE_WINDOW_READ

inspect+

GetMaintenanceWindow

GetPlatformConfiguration

GetWorkRequest

ListWorkRequestErrors

ListWorkRequestLogs

メンテナンス・ウィンドウの詳細の取得、プラットフォーム構成の詳細の取得、IDによる特定の作業リクエストの取得、特定のIDによる作業リクエストのエラーの(ページ区切り)リストの返却、特定のIDによる作業リクエストのログの(ページ区切り)リストの返却
use

read+

FAMS_MAINTENANCE_WINDOW_UPDATE

read+

UpdateMaintenanceWindow

メンテナンス・ウィンドウを更新します。
manage

use+

FAMS_MAINTENANCE_WINDOW_CREATE

use+

CreateMaintenanceWindow

メンテナンス・ウィンドウを作成します。
manage

use+

FAMS_MAINTENANCE_WINDOW_DELETE

use+

DeleteMaintenanceWindow

特定のメンテナンス・ウィンドウを削除します。
ファム管理者

この表は、fams-adminリソースの権限と、権限によって完全にカバーされるAPIを示しています。

動詞 権限 カバーされるAPI 内容
inspect FAMS_ADMIN_INSPECT ListProperties

ListPlatformConfigurations

ListOnboardings

 すべてのプロパティ、すべてのプラットフォーム構成、テナンシのオンボーディング情報をリストします。
read

inspect+

FAMS_ADMIN_READ

inspect+

GetProperty

GetPlatformConfiguration

ListComplianceRecords

ExportComplianceReport

SummarizeComplianceRecordCounts

SummarizeManagedEntityCounts

 プロパティのすべての詳細の取得、プラットフォーム構成のすべての詳細の取得、コンプライアンス・レポートの詳細の取得、コンプライアンス・レポートの詳細のエクスポート、テナンシ内のフリートまたはターゲット別のコンプライアンス・レポートの集計済サマリー情報の取得、テナンシ内の管理対象エンティティの集計済サマリー情報の取得、
use

read+

FAMS_ADMIN_UPDATE

read+

UpdateProperty

UpdateAutoDiscoveryFrequency

UpdatePlatformConfiguration

ManageSettings

プロパティの更新、自動検出頻度、プラットフォーム構成、IDで識別されるオンボーディング設定の管理、
manage

use+

FAMS_ADMIN_CREATE

use+

CreateProperty

CreatePlatformConfiguration

プロパティおよびプラットフォーム構成を作成します。
manage

use+

FAMS_ADMIN_DELETE

use+

DeleteProperty

DisableFAMS

DeletePlatformConfiguration

プロパティを削除し、テナンシからすべてのデータを削除し、IDによるプラットフォーム構成を削除します。
ファム・コンプライアンス・ポリシー

この表は、fams-compliance-policiesリソースの権限と、権限によって完全にカバーされるAPIを示しています。

動詞 権限 カバーされるAPI 内容
inspect FAMS_COMPLIANCE_POLICY_INSPECT ListPlatformConfigurations

ListWorkRequests

ListOnboardings

GetOnboarding

ListCompliancePolicies

ListCompliancePolicyRules

 すべてのプラットフォーム構成のリスト、すべての作業リクエストのリスト、テナンシのオンボーディング情報のリスト、IDによるオンボーディングの取得、すべてのコンプライアンス・ポリシーのリスト、すべてのコンプライアンス・ポリシー・ルールのリスト。
read

inspect+

FAMS_COMPLIANCE_POLICY_READ

inspect+

GetPlatformConfiguration

GetWorkRequest

ListWorkRequestErrors

ListWorkRequestLogs

GetCompliancePolicy

GetCompliancePolicyRule

ListComplianceRecords

ExportComplianceReport

SummarizeComplianceRecordCounts

SummarizeManagedEntityCounts

 プラットフォーム構成の詳細を取得し、IDで特定の作業リクエストを取得し、特定のIDで作業リクエストのエラーの(ページ区切り)リストを返し、特定のIDで作業リクエストのログの(ページ区切り)リストを返します。特定のコンプライアンス・ポリシーを取得する、特定のコンプライアンス・ポリシー・ルールを取得する、コンプライアンス・レポートの詳細を返す、コンプライアンス・レポートの詳細をエクスポートする、テナンシ内のフリートまたはターゲット別のコンプライアンス・レポートの集計サマリー情報を取得する、テナンシ内の管理対象エンティティの集計サマリー情報を取得します。
read

inspect+

FAMS_COMPLIANCE_REPORT_READ

inspect+

GetPlatformConfiguration

GetWorkRequest

ListWorkRequestErrors

ListWorkRequestLogs

ListOnboardings

GetOnboarding

ListComplianceRecords

ExportComplianceReport

SummarizeComplianceRecordCounts

SummarizeManagedEntityCounts

 プラットフォーム構成の詳細を取得し、IDで特定の作業リクエストを取得し、特定のIDで作業リクエストのエラーの(ページ区切り)リストを返し、特定のIDで作業リクエストのログの(ページ区切り)リストを返しますテナンシのオンボーディング情報のリスト、IDによるオンボーディングの取得、コンプライアンス・レポートの詳細の返却、コンプライアンス・レポートの詳細のエクスポート、テナンシ内のフリートまたはターゲット別のコンプライアンス・レポートの集計サマリー情報の取得、テナンシ内の管理対象エンティティの集計サマリー情報の取得。
use

read+

FAMS_COMPLIANCE_POLICY_UPDATE

read+

UpdateCompliancePolicyRule

特定のコンプライアンス・ポリシー・ルールをIDで更新します。
manage

use+

FAMS_COMPLIANCE_POLICY_CREATE

use+

CreateCompliancePolicyRule

コンプライアンス・ポリシー・ルールを作成します。
manage

use+

FAMS_COMPLIANCE_POLICY_DELETE

use+

DeleteCompliancePolicyRule

特定のコンプライアンス・ポリシー・ルールをIDで削除します。
ファムパッチ

この表は、fams-patchesリソースの権限と、権限によって完全にカバーされるAPIを示しています。

動詞 権限 カバーされるAPI 内容
inspect FAMS_PATCH_INSPECT ListPlatformConfigurations

ListWorkRequests

ListOnboardings

GetOnboarding

ListPatches

 すべてのプラットフォーム構成のリスト、すべての作業リクエストのリスト、テナンシのオンボーディング情報のリスト、IDによるオンボーディングの取得、すべてのパッチのリスト。
read

inspect+

FAMS_PATCH_READ

inspect+

GetPlatformConfiguration

GetWorkRequest

ListWorkRequestErrors

ListWorkRequestLogs

ListComplianceRecords

ExportComplianceReport

SummarizeComplianceRecordCounts

SummarizeManagedEntityCounts

GetPatch

SummarizeManagedEntityCounts

 プラットフォーム構成の詳細を取得し、IDで特定の作業リクエストを取得し、特定のIDで作業リクエストのエラーの(ページ区切り)リストを返し、次を使用して作業リクエストのログの(ページ区切り)リストを返します特定のID、コンプライアンス・レポートの詳細の返却、コンプライアンス・レポートの詳細のエクスポート、テナンシ内のフリートまたはターゲット別のコンプライアンス・レポートの集計済サマリー情報の取得、テナンシ内の管理対象エンティティの集計済サマリー情報の取得、特定のパッチの取得。
use

read+

FAMS_PATCH_UPDATE

read+

UpdatePatch

特定のパッチをIDで更新します。
manage

use+

FAMS_PATCH_CREATE

use+

CreatePatch

パッチを作成します。
manage

use+

FAMS_PATCH_DELETE

use+

DeletePatch

特定のパッチをIDで削除します。

ユーザー・ポリシー

ユーザーがフリート・アプリケーション管理リソースにアクセスするには、フリート・アプリケーション管理ユーザー・ポリシーが必要です。

ポリシーの構文は次のとおりです: 

allow <subject> to <verb> <resource-type> in <location> where <conditions>

詳細は、ポリシー構文を参照してください。

特定のユーザーまたはグループのポリシーを作成して、フリート・アプリケーション管理関連リソースへのアクセス権を取得します。ポリシーの作成に関する項を参照してください。

テナンシ・レベルで権限を適用するには、compartment <compartment name>tenancyに置き換えます。

ポリシーの作成

ポリシーを書き込むグループおよびコンパートメントはすでに存在している必要があります。コンパートメントはAPIゲートウェイ関連のリソースを所有している必要があります。このリソースにアクセスするには、ポリシーを作成します。

コンソールでポリシーを作成します。
  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ポリシー」をクリックします。
  2. ポリシー・ページで、ポリシーの作成をクリックします。
  3. 「ポリシーの作成」ワークフロー・ウィンドウで、ポリシーの名前、説明を入力し、ポリシーを作成するコンパートメントを指定します。
  4. 「ポリシー・ビルダー」で、「手動エディタの表示」スイッチをクリックしてエディタを有効にします。

    ユーザーまたは動的グループがフリート・アプリケーション管理のすべてのリソースを管理できるようにするには、次の形式でポリシー・ルールを入力します: 

    Allow group <group-name> to manage fams-family in tenancy
  5. このポリシーにタグを追加するには、「拡張オプションの表示」をクリックします。リソースの作成権限がある場合は、リソースにフリーフォーム・タグを適用する権限もあります。定義済タグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用するかどうかがわからない場合は、このオプションをスキップするか(後でタグを適用できます)、テナンシ管理者に連絡してください。
  6. 作成」をクリックします。

コンソールまたはAPIを使用してポリシーを作成および管理する手順については、ポリシーの管理を参照してください。

Oracle Cloud Infrastructureのすべてのポリシーの完全なリストは、ポリシー・リファレンスを参照してください。

ポリシーの例

フリート・アプリケーション管理ポリシーは、様々なフリート・アプリケーション管理リソースを使用するために必要です。

コンソールを使用したポリシーの作成については、ポリシーの作成の手順を参照してください。

構文の詳細は、ポリシー構文を参照してください。

次のポリシーの例が提供されます:

フリート・アプリケーション管理ファミリ・ポリシー
グループがフリート・アプリケーション管理のすべてのリソースを管理できるようにするには、テナンシに次のポリシーを作成します:
Allow group acme-fams-developers to manage fams-family in tenancy

動的グループへのルールの追加

組織のテナンシ管理者は、テナンシのフリート・アプリケーション管理を有効にします。このアクションは、"fams-customer-dg"および"fams-service-dg"の2つの動的グループを作成します。管理者は、fams-customer-dgグループのインスタンスおよびメンバーを作成するための一致ルールを定義します。フリート・アプリケーション管理は、これらのインスタンスに対してライフサイクル操作を実行します。
  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。
  2. 作業するアイデンティティ・ドメインをクリックします。
  3. 「アイデンティティ・ドメイン」(ページの左側)で、「動的グループ」をクリックします。
  4. fams-customer-dg動的グループをクリックします。動的グループの詳細ページが開きます。
  5. 「すべての一致ルールの編集」をクリックします。
  6. テキスト・ボックスで一致ルールを編集します。または、ルール・ビルダーによって変更がサポートされている場合は、ルール・ビルダーを使用できます。
    たとえば、テキスト・ボックスにルールを直接入力するか、ルール・ビルダーを使用します。

    テキスト・ボックスのエントリ例:

    All {instance.compartement.id = 'ocid1.instance1.oc1.iad:sampleuniqueid1', instance.compartment.id ='ocid1.compartmentA.oc1:sampleuniqueid2'}

    存在しているか、またはコンパートメント内で作成されている(OCIDで識別される)すべてのインスタンスは、この動的グループのメンバーです。

IAMポリシー

組織のテナンシ管理者は、テナンシのフリート・アプリケーション管理を有効にします。このアクションは、フリート・アプリケーション管理を使用するための次のIAMポリシーを含む"fams-policy"を作成します。

「fams-service-dg」のIAMポリシーは次のとおりです。

define tenancy fams-tenancy as <fams-tenancy-ocid>
allow dynamic-group fams-service-dg to use instances in tenancy
allow dynamic-group fams-service-dg to inspect limits in tenancy
allow dynamic-group fams-service-dg to use tag-namespaces in tenancy where target.tag-namespace.name='Oracle$FAMS-Tags'
allow dynamic-group fams-service-dg to read instance-agent-plugins in tenancy
allow dynamic-group fams-service-dg to read instance-agent-command-family in tenancy
allow dynamic-group fams-service-dg to use ons-family in tenancy
allow dynamic-group fams-service-dg to manage database-family in tenancy
allow dynamic-group fams-service-dg to manage osms-family in tenancy
allow dynamic-group fams-service-dg to manage osmh-family in tenancy
allow dynamic-group fams-service-dg to { INSTANCE_AGENT_COMMAND_CREATE } in tenancy
allow dynamic-group fams-service-dg to { OBJECTSTORAGE_NAMESPACE_READ } in tenancy

「fams-customer-dg」のIAMポリシーは次のとおりです。

allow dynamic-group fams-customer-dg to { KEY_READ, KEY_DECRYPT,SECRET_READ } in tenancy
allow dynamic-group fams-customer-dg to use instance-agent-command-execution-family in tenancy where request.instance.id=target.instance.id
allow dynamic-group fams-customer-dg to read instance-family in tenancy
allow dynamic-group fams-customer-dg to use osms-managed-instances in tenancy
allow dynamic-group fams-customer-dg to {OSMH_MANAGED_INSTANCE_ACCESS} in tenancy
allow dynamic-group fams-customer-dg to {VAULT_READ} in tenancy
allow dynamic-group fams-customer-dg to {SECRET_BUNDLE_READ} in tenancy
allow dynamic-group fams-customer-dg to { OBJECT_INSPECT, OBJECT_READ } in tenancy
endorse dynamic-group fams-customer-dg to { OBJECT_CREATE, OBJECT_OVERWRITE, OBJECT_READ } in tenancy fams-tenancy where all { target.bucket.name = '<CUSTOMER_TENANCY_OCID>' }
endorse dynamic-group fams-customer-dg to { OBJECT_INSPECT, OBJECT_READ } in tenancy fams-tenancy where any { target.bucket.name = 'automations', target.bucket.name = 'patches'}
重要

テナンシ管理者は、サービスの中断を回避するために、"fams-service-dg"、"fams-customer-dg"動的グループおよび"fams-policy" IAMポリシーが削除されていないことを確認する必要があります。