OS管理ハブのポリシー
ポリシーを使用して、OS管理ハブへのアクセスを制御します。
OS管理ハブの場合、サービスが管理できるリソースと、それらのリソースを管理できるユーザーを識別する必要があります。これを行うには、次を定義します。
IAMポリシーは、特定のOCIリソースにアクセスできるユーザーとサービスを指定します。ポリシーを初めて使用する場合は、ポリシーの開始に関する項を参照してください。IAMポリシーは様々な方法で構成できます。次の項では、リソースの動的グループを使用して、OS管理ハブ管理者のグループに対してIAMポリシー・ステートメントを設定する方法の例を1つ示します。管理者以外のその他のユースケースについては、ポリシーの例を参照してください。
ユーザー・グループ
ユーザー・グループを作成するか、テナンシ内のOS管理ハブ・サービスを管理するための既存のユーザー・グループを識別します。次に、必要なポリシー・ステートメントによって、この管理者ユーザー・グループにOS管理ハブ・リソースを管理する権限が付与されます。
アクセスをさらに制限する必要がある場合は、追加のユーザー・グループを作成し、より制限的なポリシー・ステートメントを設定して、特定のリソースへのアクセスを制限できます。管理者以外のユースケースについては、ポリシーの例を参照してください。ユーザー・グループの詳細は、グループの管理を参照してください。
動的グループ
動的グループを作成して、OCIおよびオンプレミスまたはサードパーティ・クラウド・インスタンス(OCI以外)のルール・ステートメントを定義することでOS管理ハブが管理するリソースを指定します。
- 次のことを理解してください:
-
ステップに従って、動的グループを作成するか、既存の動的グループを更新し、次のように一致ルールを構成します。
ヒント
1つのリソースは最大5つの動的グループにのみ属することができるため、新しい動的グループを作成するのではなく、サービス全体で可能なかぎり同じ動的グループを再利用します。
-
照合ルール設定全体について、「次で定義されているルールに一致」を選択します。
-
OS管理ハブが管理するインスタンスのルール・ステートメントを作成します。
重要
動的グループ・ルールはコンパートメント継承を使用しません。サービスで管理するコンパートメントおよびサブコンパートメントごとにルール・ステートメントを指定する必要があります。
- OCIインスタンスのルール
-
インスタンスを含む各コンパートメント(およびサブコンパートメント)を含むルール・ステートメントを追加します。
ANY {instance.compartment.id='<compartment_ocid>',instance.compartment.id='<subcompartment_ocid>'}
このルールには、指定されたコンパートメント内のすべてのOCIインスタンスが含まれます。
- 非OCIインスタンスのルール
-
インスタンスで使用される管理エージェントを含むコンパートメント(およびサブコンパートメント)ごとに、個別のルール・ステートメントを追加します。
ALL {resource.type='managementagent', resource.compartment.id='<compartment_ocid>'} ALL {resource.type='managementagent', resource.compartment.id='<subcompartment_ocid>'}
各ルール文には、指定したコンパートメント内のすべての管理エージェント・リソースが含まれます。各非OCIインスタンスには対応するエージェント・リソースがあるため、文にはコンパートメント内の非OCIインスタンスが含まれます。
- 「作成」(作成する場合)または「保存」(更新する場合)をクリックします。
- 動的グループは何を行いますか。
- 動的グループは、OS管理ハブが管理するインスタンスを識別します。サービスで管理するインスタンスを含むコンパートメントおよびサブコンパートメントのルール・ステートメントを追加します。動的グループは、これらのルール文に基づいて動的に増減します。インスタンスがプロビジョニングまたはリタイアされると、それに応じて動的グループが変更されます。次に、必要なポリシー・ステートメントによって、動的グループ内のインスタンスにアクセスする権限がOS管理ハブに付与されます。
動的グループの詳細は、動的グループの管理を参照してください。
- OCIとOCI以外の文が異なるのはなぜですか。
-
各インスタンス・タイプでは、異なるリソース・オブジェクトに対応する異なるエージェントが使用されます。
-
OCIインスタンスはOracle Cloud Agent (OCA)を使用するため、OCI文はコンパートメント内の
instance
リソースを指定します。 -
オンプレミスおよびサードパーティ・クラウド・インスタンスは、管理エージェントCloud Service (MACS)を使用するため、OCI以外の文はコンパートメント内の
managementagent
リソースを指定します。各管理エージェント・リソースは、OCI以外のインスタンスに対応します。したがって、グループ内に管理エージェントを含めることで、関連付けられたインスタンスを含めます。
エージェントの理解も参照してください。
-
- 動的グループに対してANYおよびALLを使用する場合
-
動的グループ・ルール文を記述する前に、ANYとALLの違いを理解することが重要です。
動的グループを定義する場合、グループ内で定義されたルールとグループがどのように一致するかを設定します。
- 「下で定義したいずれかのルールに一致」には、動的グループ内のいずれかのルールに一致するリソースが含まれます。複数のコンパートメントまたは複数のインスタンス・タイプ(OCIインスタンスやOCI以外のインスタンスなど)のルールを含むグループを定義する場合は、これを選択します。この設定は、ルール1またはルール2またはルール3に一致するリソースを含めるようにグループに指示します。
- 「下で定義したすべてのルールに一致」には、動的グループ内のすべてのルールに一致するリソースが含まれます。1つのコンパートメントのみを含む可変幅の狭い動的グループを定義する場合は、これを選択します。この設定は、ルール1およびルール2およびルール3に一致するリソースを含めるようにグループに指示します。
動的グループ内で個々のルール文を定義する場合は、各文の条件を設定します。
-
次のすべて(
ALL
)には、ルールのすべての条件に一致するリソースのみが含まれます。ALL
文では、各条件がtrueである必要があります。それ以外の場合、リソースはルールに含まれません。 -
次のいずれか(
ANY
)には、ルールのいずれかの条件に一致するリソースが含まれます。
- 個々のルール文のANYおよびALLの例
-
OCI以外のインスタンスに使用されるルールについて考えてみます。
Correct usage: ALL {resource.type='managementagent', resource.compartment.id='<compartment_ocid>'}
ALL
を使用する場合、ルールには、指定したコンパートメント内の管理エージェント・リソースのみが含まれます。この文は、管理エージェント・タイプと一致し、指定したコンパートメント内にあるリソースを含めるように動的グループに指示します。Incorrect usage. Do not use: ANY {resource.type='managementagent', resource.compartment.id='<compartment_ocid>'}
ANY
を使用する場合、ルールには、テナンシ全体のすべての管理エージェント・リソースと、指定したコンパートメントに存在するすべてのOCIリソースが含まれます。この文にはOS管理ハブに必要なリソースが含まれますが、非常に広範で、通常は好ましくありません。複数のコンパートメントを指定するときにOCIインスタンスに使用されるルールについて考えてみます。
Correct usage: ANY {instance.compartment.id='<compartment_ocid>',instance.compartment.id='<subcompartment_ocid>'}
ANY
を使用する場合、ルールには、指定した各コンパートメントのすべてのインスタンスが含まれます。この文は、<compartment_ocid>または<subcompartment_ocid>にインスタンスを含めるように動的グループに指示します。Incorrect usage. Do not use: ALL {instance.compartment.id='<compartment_ocid>',instance.compartment.id='<subcompartment_ocid>'}
ALL
を使用する場合、ルールは、<compartment_ocid>および<subcompartment_ocid>にあるインスタンスを含めるように動的グループに指示します。インスタンスを複数のコンパートメントに同時に配置することはできないため、このルールにはインスタンスが含まれません。複数のコンパートメントを指定するルール文では、ALL
を使用しないでください。
ポリシー・ステートメント
インスタンスがOS管理ハブに登録し、ユーザーがサービスを管理および操作できるようにする文を含むポリシーを作成します。次のポリシー・ステートメントは、サービスを使用する管理者に対してポリシーを設定する方法の例を示しています。その他のユースケースについては、ポリシーの例を参照してください。
グループまたは動的グループ名の前にアイデンティティ・ドメインを定義しないかぎり、ポリシー・ステートメントはデフォルトのアイデンティティ・ドメインを使用します(たとえば、
<identity_domain_name>/<dynamic_group_name>
)。詳細は、ポリシー構文を参照してください。 OS管理ハブのIAMポリシーは、テナンシ・レベルまたはコンパートメント・レベルで設定できます。
- 前提条件
-
ポリシーを作成する前に、次があることを確認してください:
- テナンシ・レベルのポリシー・ステートメント
-
テナンシ・レベルで必要なIAMポリシーを適用するには、次のポリシー・ステートメントを使用します:
allow dynamic-group <osmh_dynamic_group> to {OSMH_MANAGED_INSTANCE_ACCESS} in tenancy where request.principal.id = target.managed-instance.id allow group <admin_user_group> to manage osmh-family in tenancy
オンプレミスまたはサードパーティ・クラウド・インスタンスを管理する場合は、次の追加の文を含めます。これらは、OCIインスタンスのみを管理する場合には必要ありません。
allow group <admin_user_group> to manage management-agents in tenancy allow group <admin_user_group> to manage management-agent-install-keys in tenancy
- コンパートメント・レベルのポリシー・ステートメント(テナンシ・レベルを使用していない場合)
-
テナンシ管理者がテナンシ・レベルでのIAMポリシーの設定を許可しない場合は、OS管理ハブ・リソースの使用をコンパートメントとそのサブコンパートメントに制限できます(ポリシーはコンパートメント継承を使用します)。
IAMポリシーをテナンシ内のコンパートメントに適用するには、次のポリシー・ステートメントを使用します:
allow dynamic-group <osmh_dynamic_group> to {OSMH_MANAGED_INSTANCE_ACCESS} in compartment <compartment_name> where request.principal.id = target.managed-instance.id allow group <admin_user_group> to manage osmh-family in compartment <compartment_name>
オンプレミスまたはサードパーティ・クラウド・インスタンスを管理する場合は、次の追加の文を含めます。これらは、OCIインスタンスのみを管理する場合には必要ありません。
allow group <admin_user_group> to manage management-agents in compartment <compartment_name> allow group <admin_user_group> to manage management-agent-install-keys in compartment <compartment_name>
サンプル・ポリシー
次の例は、特定のタイプのユーザーのアクセスを制限するために使用されるサンプルOS管理ハブ・ポリシーを示しています。
これらの例の場合、テナンシには次のコンパートメント構造があります:
- rootコンパートメント(テナント)
- devコンパートメント
- devのtestサブコンパートメント
- prodコンパートメント
- devコンパートメント
テナンシ権限を持つ管理ユーザー
この例では、次のようになります。
- 動的グループはosmh-dyn-grpです。ルール・ステートメントには、ルート・コンパートメント(テナンシ)、devコンパートメント、testサブコンパートメントおよびprodコンパートメントに、OCIインスタンスと管理エージェント(オンプレミスまたはサードパーティ・クラウド・インスタンス用)、両方が含まれます。
- ユーザーは、テナンシ内のすべてのOS管理ハブ・リソースを管理できるユーザー・グループosmh-admin-grpに属しています。
- 環境には、OCIインスタンスとオンプレミス・インスタンス、またはサードパーティ・クラウド・インスタンスの両方が含まれます。
- 動的グループ ルール
-
動的グループには、管理対象インスタンスを含む各コンパートメント(およびサブコンパートメント)のルールが必要です。この例では、ルート・コンパートメント(テナンシ)、devコンパートメント、testサブコンパートメントおよびprodコンパートメントのルールを示します。
ANY {instance.compartment.id='<tenancy_ocid>',instance.compartment.id='<dev_compartment_ocid>',instance.compartment.id='<test_subcompartment_ocid>',instance.compartment.id='<prod_compartment_ocid>'} ALL {resource.type='managementagent', resource.compartment.id='<tenancy_ocid>'} ALL {resource.type='managementagent', resource.compartment.id='<dev_compartment_ocid>'} ALL {resource.type='managementagent', resource.compartment.id='<test_subcompartment_ocid>'} ALL {resource.type='managementagent', resource.compartment.id='<prod_compartment_ocid>'}
- 最初の行は、ルート・コンパートメント、devコンパートメント、testサブコンパートメントおよびprodコンパートメントにOCIインスタンスを含めるようにグループに指示します。これは、ANYを使用して単一のルール文を使用し、文に各コンパートメントを含めます。
- 次の4行は、指定したコンパートメントに管理エージェントを含めるようにグループに指示します。管理エージェント・リソースを含めることで、文には対応するオンプレミスまたはサードパーティ・クラウド・インスタンスが含まれます。
- ポリシー・ステートメント
-
allow dynamic-group osmh-dyn-grp to {OSMH_MANAGED_INSTANCE_ACCESS} in tenancy where request.principal.id = target.managed-instance.id allow group osmh-admin-grp to manage osmh-family in tenancy allow group osmh-admin-grp to manage management-agents in tenancy allow group osmh-admin-grp to manage management-agent-install-keys in tenancy
- 最初の行では、管理対象インスタンスのエージェントがOS管理ハブと対話できます。
OSMH_MANAGED_INSTANCE_ACCESS
は、OS管理ハブへのアクセスを提供します。 - 2行目では、ユーザー・グループがテナンシ内のすべてのOS管理ハブ・リソースを管理できます。
- 3行目では、ユーザー・グループがテナンシの管理エージェントを作成、更新および削除できます。
- 4行目では、ユーザー・グループがテナンシのインストール・キーを作成、更新および削除できます。
- 最初の行では、管理対象インスタンスのエージェントがOS管理ハブと対話できます。
コンパートメントに制限されている管理ユーザー
この例では、次のようになります。
- 動的グループはosmh-dyn-grpです。ルール・ステートメントには、devコンパートメントおよびtestサブコンパートメントのOCIインスタンスが含まれます。
- ユーザーは、devコンパートメントおよびtestサブコンパートメント内のすべてのOS管理ハブ・リソースを管理できるユーザー・グループosmh-admin-dev-grpに属しています。ユーザーは、ベンダー・ソフトウェア・ソースおよびサービス提供のプロファイルにアクセスするために必要な、テナンシ内のプロファイルおよびソフトウェア・ソースを読み取ることができます。
- 環境にはOCIインスタンスのみが含まれます。
- 動的グループ ルール
-
動的グループには、管理対象インスタンスを含む各コンパートメント(およびサブコンパートメント)のルールが必要です。この例では、それぞれに個別のルール文を使用したdevおよびtestサブコンパートメントのルールを示します。
ALL {instance.compartment.id='<dev_compartment_ocid>'} ALL {instance.compartment.id='<test_compartment_ocid>'}
- 最初の行には、
dev
コンパートメント内のすべてのインスタンスが含まれます。 - 2行目には、
test
サブコンパートメント内のすべてのインスタンスが含まれます。 - または、2つのルール文のかわりに、1つのANY文を使用することもできます:
ANY {instance.compartment.id='<dev_compartment_ocid>',instance.compartment.id='<test_compartment_ocid>'}
- 最初の行には、
- ポリシー・ステートメント
-
allow dynamic-group osmh-dyn-grp to {OSMH_MANAGED_INSTANCE_ACCESS} in compartment dev where request.principal.id = target.managed-instance.id allow group osmh-admin-dev-grp to manage osmh-family in compartment dev allow group osmh-admin-dev-grp to read osmh-profiles in tenancy where target.profile.compartment.id = '<tenancy_ocid>' allow group osmh-admin-dev-grp to read osmh-software-sources in tenancy where target.softwareSource.compartment.id = '<tenancy_ocid>' allow group osmh-admin-dev-grp to manage management-agents in compartment dev allow group osmh-admin-dev-grp to manage management-agent-install-keys in compartment dev
- 最初の行では、管理対象インスタンスのサービス・エージェントがOS管理ハブと対話できます。
- 2行目では、ユーザー・グループがdevコンパートメント内のすべてのOS管理ハブ・リソースを管理できます。ポリシーではコンパートメント継承が使用されるため、ユーザーはdevのサブコンパートメント(この例ではtest)内のリソースも管理できます。
- 3行目と4行目では、ユーザー・グループがルート・コンパートメント内のプロファイルおよびソフトウェア・ソースを読み取ることができます。これは、ベンダー・ソフトウェア・ソースをレプリケートし、サービス提供のプロファイルを使用するために必要です。
- 5行目と6行目で、ユーザーはManagement Agent Cloud Service (MACS)のキーとエージェントを管理できます。
コンパートメントに制限された演算子
この例では、次のようになります。
- 動的グループはosmh-dyn-grpです。ルール文には、prodコンパートメントの管理エージェント・リソースが含まれます。
- ユーザーは、prodコンパートメント内のすべてのOS管理ハブ・リソースを読み取ることができるユーザー・グループosmh-op-prod-grpに属します。
- 環境には、オンプレミス・インスタンスまたはサードパーティ・クラウド・インスタンスのみが含まれます。
- 動的グループ ルール
-
動的グループには、管理対象インスタンスを含む各コンパートメントのルールが必要です。この例では、prodコンパートメントのルールを示します。
ALL {resource.type='managementagent', resource.compartment.id='<prod_compartment_ocid>'}
- ルールは、
prod
コンパートメント内に管理エージェント・リソースを含めるように動的グループに指示します。エージェントを含めると、OS管理ハブで対応するオンプレミスまたはサードパーティ・クラウド・インスタンスを管理できます。
- ルールは、
- ポリシー・ステートメント
-
allow dynamic-group osmh-dyn-grp to {OSMH_MANAGED_INSTANCE_ACCESS} in compartment prod where request.principal.id = target.managed-instance.id allow group osmh-op-prod-grp to read osmh-family in compartment prod
- 最初の行では、管理対象インスタンスのエージェントがOS管理ハブと対話できます。
- 2行目では、ユーザー・グループはprodコンパートメント内のすべてのOS管理ハブ・リソースを表示できます。
- OS管理ハブでオンプレミスまたはサードパーティ・クラウド・インスタンスを表示するために、Management Agent Cloud Service (MACS)のポリシーは不要です。したがって、オペレータユーザーグループは、前の例に示すようにMACSにアクセスする必要はありません。
リソース・タイプ
OS管理ハブには、ポリシーを記述するための集約リソース・タイプと個別リソース・タイプの両方が用意されています。
集約リソース・タイプ |
個別リソース・タイプ |
---|---|
|
|
サポートされている変数
操作対象のリソース・タイプ... |
使用できる変数 |
変数タイプ |
コメント |
---|---|---|---|
osmh-managed-instances |
target.managed-instance.id |
エンティティ(OCID) | |
osmh-profiles |
target.profile.compartment.id |
エンティティ(OCID) | ListProfiles でのみ使用されます。 |
osmh-software-sources |
target.softwareSource.compartment.id |
エンティティ(OCID) | ListSoftwareSources でのみ使用されます。 |
動詞とリソース・タイプの組合せの詳細
次の表は、各動詞でカバーされる権限およびAPI操作を示しています。アクセス・レベルは、inspect
> read
> use
> manage
の順に累積します。表のセルのプラス記号(+)は、そのすぐ上のセルと比較して増分アクセスを示しますが、「追加なし」は増分アクセスを示しません。
動詞 | 権限 | 完全にカバーされるAPI | 部分的にカバーされるAPI |
---|---|---|---|
検査する |
|
|
指定しない |
読取り |
調査+
|
|
指定しない |
使用 |
読取り+
|
|
指定しない |
管理 |
USE +
|
|
指定しない |
動詞 | 権限 | 完全にカバーされるAPI | 部分的にカバーされるAPI |
---|---|---|---|
検査する |
|
|
指定しない |
読取り |
調査+
|
|
|
使用 |
読取り+
|
指定しない |
|
動詞 | 権限 | 完全にカバーされるAPI | 部分的にカバーされるAPI |
---|---|---|---|
検査する |
|
|
指定しない |
読取り |
調査+
|
|
|
使用 |
読取り+
|
|
|
管理 |
USE +
|
DeleteManagedInstance |
指定しない |
動詞 | 権限 | 完全にカバーされるAPI | 部分的にカバーされるAPI |
---|---|---|---|
検査する |
|
|
指定しない |
読取り |
調査+
|
|
|
使用 |
読取り+
|
|
|
管理 |
USE +
|
|
指定しない |
動詞 | 権限 | 完全にカバーされるAPI | 部分的にカバーされるAPI |
---|---|---|---|
検査する |
|
|
指定しない |
読取り |
調査+
|
|
|
使用 |
読取り+
|
|
指定しない |
管理 |
USE +
|
|
|
動詞 | 権限 | 完全にカバーされるAPI | 部分的にカバーされるAPI |
---|---|---|---|
検査する |
|
|
指定しない |
読取り |
調査+
|
|
|
使用 |
読取り+
|
|
|
管理 |
USE +
|
|
指定しない |
動詞 | 権限 | 完全にカバーされるAPI | 部分的にカバーされるAPI |
---|---|---|---|
検査する |
|
|
指定しない |
読取り |
調査+
|
|
指定しない |
使用 |
読取り+
|
|
指定しない |
管理 |
USE +
|
|
|
動詞 | 権限 | 完全にカバーされるAPI | 部分的にカバーされるAPI |
---|---|---|---|
検査する |
|
|
指定しない |
読取り |
調査+
|
|
指定しない |
動詞 | 権限 | 完全にカバーされるAPI | 部分的にカバーされるAPI |
---|---|---|---|
検査する |
|
|
|
読取り |
調査+
|
|
|
使用 |
読取り+
|
|
指定しない |
管理 |
USE +
|
|
指定しない |
動詞 | 権限 | 完全にカバーされるAPI | 部分的にカバーされるAPI |
---|---|---|---|
検査する |
|
|
指定しない |
管理 |
調査+
|
|
指定しない |
動詞 | 権限 | 完全にカバーされるAPI | 部分的にカバーされるAPI |
---|---|---|---|
検査する |
|
|
指定しない |
管理 |
調査+
|
|
指定しない |
管理 |
読取り+
|
|
指定しない |
管理 |
USE +
|
|
指定しない |
API操作ごとに必要な権限
API操作 | 操作の使用に必要な権限 |
---|---|
CreateLifecycleEnvironment |
OSMH_LIFECYCLE_ENVIRONMENT_CREATE |
ListLifecycleEnvironments |
OSMH_LIFECYCLE_ENVIRONMENT_INSPECT |
GetLifecycleEnvironment |
OSMH_LIFECYCLE_ENVIRONMENT_READ |
UpdateLifecycleEnvironment |
OSMH_LIFECYCLE_ENVIRONMENT_UPDATE |
DeleteLifecycleEnvironment |
OSMH_LIFECYCLE_ENVIRONMENT_DELETE |
ChangeLifecycleEnvironmentCompartment |
OSMH_LIFECYCLE_ENVIRONMENT_MOVE |
ListLifecycleStages |
OSMH_LIFECYCLE_STAGE_INSPECT |
GetLifecycleStage |
OSMH_LIFECYCLE_STAGE_READ |
AttachManagedInstanceToLifecycleStage |
|
DetachManagedInstanceFromLifecycleStage |
|
PromoteSoftwareSourceToLifecycleStage |
|
ListLifecycleStageInstalledPackages |
|
ListManagedInstances |
|
GetManagedInstance |
|
UpdateManagedInstance |
notificationTopicIdが指定されている場合は |
DeleteManagedInstance |
|
ListManagedInstanceInstalledPackages |
OSMH_MANAGED_INSTANCE_READ |
ListManagedInstanceAvailablePackages |
OSMH_MANAGED_INSTANCE_READ |
ListManagedInstanceUpdatablePackages |
OSMH_MANAGED_INSTANCE_READ |
ListManagedInstanceAvailableWindowsUpdates |
OSMH_MANAGED_INSTANCE_READ |
ListManagedInstanceInstalledWindowsUpdates |
OSMH_MANAGED_INSTANCE_READ |
ListManagedInstanceErrata |
OSMH_MANAGED_INSTANCE_READ |
ListManagedInstanceAvailableSoftwareSource |
|
InstallPackagesOnManagedInstance |
|
RemovePackagesFromManagedInstance |
|
UpdatePackagesOnManagedInstance |
|
InstallWindowsUpdatesOnManagedInstance |
|
RefreshSoftwareOnManagedInstance |
|
AttachSoftwareSourcesToManagedInstance |
|
DetachSoftwareSourcesFromManagedInstance |
OSMH_MANAGED_INSTANCE_REMOVE_SOFTWARE_SOURCE |
AttachProfileToManagedInstance |
|
DetachProfileFromManagedInstance |
OSMH_MANAGED_INSTANCE_REMOVE_PROFILE |
ManageModuleStreamsOnManagedInstance |
OSMH_MANAGED_INSTANCE_MANAGE_MODULE_STREAM |
EnableModuleStreamOnManagedInstance |
OSMH_MANAGED_INSTANCE_ENABLE_MODULE_STREAM |
DisableModuleStreamOnManagedInstance |
OSMH_MANAGED_INSTANCE_DISABLE_MODULE_STREAM |
SwitchModuleStreamOnManagedInstance |
OSMH_MANAGED_INSTANCE_SWITCH_MODULE_STREAM |
InstallModuleStreamProfileOnManagedInstance |
OSMH_MANAGED_INSTANCE_INSTALL_MODULE_STREAM_PROFILE |
RemoveModuleStreamProfileFromManagedInstance |
OSMH_MANAGED_INSTANCE_REMOVE_MODULE_STREAM_PROFILE |
ListManagedInstanceModules |
OSMH_MANAGED_INSTANCE_READ |
UpdateAllPackagesOnManagedInstancesInCompartment |
OSMH_MANAGED_INSTANCE_INSTALL_UPDATE |
InstallAllWindowsUpdatesOnManagedInstancesInCompartment |
OSMH_MANAGED_INSTANCE_INSTALL_UPDATE |
SummarizeManagedInstanceAnalytics |
OSMH_MANAGED_INSTANCE_READ |
GetManagedInstanceAnalyticContent |
OSMH_MANAGED_INSTANCE_READ |
GetManagedInstanceContent |
OSMH_MANAGED_INSTANCE_READ |
CreateManagedInstanceGroup |
notificationTopicIdが指定されている場合は |
ListManagedInstanceGroups |
OSMH_MANAGED_INSTANCE_GROUP_INSPECT |
GetManagedInstanceGroup |
|
UpdateManagedInstanceGroup |
notificationTopicIdが指定されている場合は |
DeleteManagedInstanceGroup |
|
AttachManagedInstancesToManagedInstanceGroup |
および次の1つ以上です。
|
DetachManagedInstancesFromManagedInstanceGroup |
OSMH_MANAGED_INSTANCE_GROUP_DETACH_INSTANCE |
AttachSoftwareSourcesToManagedInstanceGroup |
|
DetachSoftwareSourcesFromManagedInstanceGroup |
|
InstallPackagesOnManagedInstanceGroup |
|
RemovePackagesFromManagedInstanceGroup |
|
ManageModuleStreamsOnManagedInstanceGroup |
|
EnableModuleStreamOnManagedInstanceGroup |
|
DisableModuleStreamOnManagedInstanceGroup |
|
InstallModuleStreamProfileOnManagedInstanceGroup |
|
RemoveModuleStreamProfileFromManagedInstanceGroup |
|
ChangeManagedInstanceGroupCompartment |
OSMH_MANAGED_INSTANCE_GROUP_MOV |
SwitchModuleStreamOnManagedInstanceGroup |
OSMH_MANAGED_INSTANCE_GROUP_SWITCH_MODULE_STREAM |
InstallWindowsUpdatesOnManagedInstanceGroup |
OSMH_MANAGED_INSTANCE_GROUP_INSTALL_PACKAGE |
ListManagedInstanceGroupAvailableModules |
OSMH_MANAGED_INSTANCE_GROUP_READ |
ListManagedInstanceGroupAvailablePackages |
OSMH_MANAGED_INSTANCE_GROUP_READ |
ListManagedInstanceGroupAvailableSoftwareSources |
OSMH_MANAGED_INSTANCE_GROUP_READ |
ListManagedInstanceGroupInstalledPackages |
OSMH_MANAGED_INSTANCE_GROUP_READ |
ListManagedInstanceGroupModules |
OSMH_MANAGED_INSTANCE_GROUP_READ |
UpdateAllPackagesOnManagedInstanceGroup |
OSMH_MANAGED_INSTANCE_GROUP_INSTALL_UPDATE |
CreateProfile |
次のうち最大1つ:
|
GetProfile |
OSMH_PROFILE_READ |
ListProfiles |
OSMH_PROFILE_INSPECT |
UpdateProfile |
OSMH_PROFILE_UPDATE |
DeleteProfile |
OSMH_PROFILE_DELETE |
ChangeProfileCompartment |
OSMH_PROFILE_MOVE |
CreateManagementStation |
OSMH_MANAGEMENT_STATION_CREATE |
ListManagementStations |
OSMH_MANAGEMENT_STATION_INSPECT |
GetManagementStation |
OSMH_MANAGEMENT_STATION_READ |
UpdateManagementStation |
OSMH_MANAGEMENT_STATION_UPDATE |
DeleteManagementStation |
OSMH_MANAGEMENT_STATION_DELETE |
ListMirrors |
OSMH_MANAGEMENT_STATION_READ |
SynchronizeMirrors |
OSMH_MANAGEMENT_STATION_UPDATE |
SynchronizeSingleMirrors |
OSMH_MANAGEMENT_STATION_UPDATE |
ChangeManagementStationCompartment |
OSMH_MANAGEMENT_STATION_MOVE |
RefreshManagementStationConfig |
OSMH_MANAGEMENT_STATION_UPDATE |
ListScheduledJobs |
OSMH_SCHEDULED_JOB_INSPECT |
CreateScheduledJob |
および次の1つ以上です。
|
GetScheduledJob |
OSMH_SCHEDULED_JOB_READ |
UpdateScheduledJob |
OSMH_SCHEDULED_JOB_UPDATE |
DeleteScheduledJob |
OSMH_SCHEDULED_JOB_DELETE |
RunScheduledJobNow |
OSMH_SCHEDULED_JOB_UPDATE |
ChangeScheduledJobCompartment |
OSMH_SCHEDULED_JOB_MOVE |
ListWorkRequests |
OSMH_WORK_REQUEST_INSPECT |
GetWorkRequest |
OSMH_WORK_REQUEST_READ |
ListWorkRequestErrors |
OSMH_WORK_REQUEST_READ |
ListWorkRequestLogs |
OSMH_WORK_REQUEST_READ |
ListSoftwareSources |
OSMH_SOFTWARE_SOURCE_INSPECT |
GetSoftwareSource |
OSMH_SOFTWARE_SOURCE_READ |
UpdateSoftwareSource |
OSMH_SOFTWARE_SOURCE_UPDATE |
CreateSoftwareSource |
OSMH_SOFTWARE_SOURCE_CREATE |
DeleteSoftwareSource |
OSMH_SOFTWARE_SOURCE_DELETE |
ListSoftwarePackages |
OSMH_SOFTWARE_SOURCE_READ |
GetSoftwarePackage |
OSMH_SOFTWARE_SOURCE_READ |
ListErrata |
共有公開情報であるため、認可は必要ありません。このAPIは認証のみされます。 |
GetErratum |
共有公開情報であるため、認可は必要ありません。このAPIは認証のみされます。 |
ListWindowsUpdate |
共有公開情報であるため、認可は必要ありません。このAPIは認証のみされます。 |
GetWindowsUpdate |
共有公開情報であるため、認可は必要ありません。このAPIは認証のみされます。 |
ListModuleStreams |
OSMH_SOFTWARE_SOURCE_READ |
ListModuleStreamProfiles |
OSMH_SOFTWARE_SOURCE_READ |
QueryModuleStreamProfilesInSoftwareSources |
OSMH_SOFTWARE_SOURCE_READ |
GetModuleStream |
OSMH_SOFTWARE_SOURCE_READ |
GetModuleStreamProfile |
OSMH_SOFTWARE_SOURCE_READ |
ChangeAvailabilityOfSoftwareSources |
OSMH_SOFTWARE_SOURCE_UPDATE |
ListPackageGroups |
OSMH_SOFTWARE_SOURCE_READ |
GetPackageGroup |
OSMH_SOFTWARE_SOURCE_READ |
QueryPackageGroupsInSoftwareSources |
OSMH_SOFTWARE_SOURCE_READ |
ListSoftwareSourceVendors |
OSMH_SOFTWARE_SOURCE_INSPECT |
ListEntitlements |
OSMH_ENTITLEMENTS_INSPECT |
CreateEntitlement |
OSMH_ENTITLEMENTS_CREATE |
AddPackagesToSoftwareSource |
OSMH_SOFTWARE_SOURCE_UPDATE |
ChangeAvailabilityOfSoftwareSources |
OSMH_SOFTWARE_SOURCE_UPDATE |
GetSoftwarePackageByName |
OSMH_SOFTWARE_SOURCE_READ |
ListAllSoftwarePackages |
OSMH_SOFTWARE_SOURCE_READ |
ListSoftwarePackageSoftwareSources |
OSMH_SOFTWARE_SOURCE_INSPECT |
SearchSoftwareSourceModules |
OSMH_SOFTWARE_SOURCE_READ |
SearchSoftwareSourceModuleStreams |
OSMH_SOFTWARE_SOURCE_READ |
SearchSoftwareSourcePackageGroups |
OSMH_SOFTWARE_SOURCE_READ |
ListEvents |
OSMH_EVENT_INSPECT |
GetEvent |
OSMH_EVENT_READ |
CreateEvent |
OSMH_EVENT_CREATE |
UpdateEvent |
OSMH_EVENT_UPDATE |
DeleteEvent |
OSMH_EVENT_DELETE |
GetEventContent |
OSMH_EVENT_READ |
DeleteEventContent |
OSMH_EVENT_MANAGE |
ImportEventContent |
OSMH_EVENT_MANAGE |
UpdateEventOccurrence |
OSMH_EVENT_UPDATE |
ChangeEventCompartment |
OSMH_EVENT_MOVE |