ポリシーの例
Pre-General Availability: 2024-10-11
The following legal notice applies to Oracle pre-GA releases.著作権およびその他の適用される法律に関する情報は、Oracleの法律上の注意点を参照してください。
Pre-General Availability Draft Documentation Notice
このドキュメントはPre-General Availability (一般提供前)版であり、デモおよび暫定使用のみを目的としたものです。このソフトウェアを使用するハードウェアに限定するものではありません。Oracle Corporationおよびその関連会社は、このドキュメントに関して一切の責任を負わず、いかなる保証もいたしません。また、このドキュメントを使用したことによって損失、費用、あるいは損害が発生しても、一切の責任を負いかねます。
ポリシーを記述する場合は、テナンシ管理に管理者グループを使用できます。たとえば:
allow group Administrators to manage wlms-managed-instances in tenancy
allow group Administrators to manage wlms-wlsdomains in tenancy
allow group Administrators to manage wlms-family in tenancyまた、複数のグループに同じ権限が必要なポリシー・ステートメントを組み合せることで、権限を簡素化することもできます。たとえば、次のポリシー・ステートメントがあります。
allow group <user-grp-01> to inspect wlms-wlsdomains in tenancy
allow group <user-grp-01> to inspect wlms-work-requests in tenancy
allow group <user-grp-02> to inspect wlms-wlsdomains in tenancy
allow group <user-grp-02> to inspect wlms-work-requests in tenancyこれは、次のようになります。
allow group <user-grp-01>,<user-grp-01> { WLMS_WLSDOMAIN_INSPECT, WLMS_WORK_REQUEST_INSPECT } in tenancyユーザー・グループを制限するポリシーの例
提供されている例は、特定のユーザー・グループのリソースまたはコンパートメント・アクセスを制限するために使用されるポリシーの例です。これらの例のテナンシには、次のコンパートメント構造があります:
- rootコンパートメント(テナント)
- <dev>コンパートメント
- <dev>の<test>サブコンパートメント
- <prod>コンパートメント
- <dev>コンパートメント
この例では、次のようになります。
- 動的グループは<wlms-dyn-grp>です。ルール・ステートメントには、ルート・コンパートメント(テナンシ)、<dev>コンパートメント、<test>サブコンパートメントおよび<prod>コンパートメント内のOCIインスタンスが含まれます。
- ユーザーは、テナンシ内のすべてのリソースを管理できるユーザー・グループ<wlms-admin-grp>に属しています。
ポリシー・ステートメント
- 動的グループが特定のコンパートメントの管理対象インスタンスを表示およびスキャンできるようにします。
allow dynamic-group <wlms-dyn-grp> to {WLMS_MANAGED_INSTANCE_USE} in tenancy where target.compartment.id='<dev_compartment_ocid>' - ユーザー・グループがテナンシ内のすべての管理対象インスタンスを表示、スキャンおよび更新できるようにします。
allow group <wlms-admin-grp> to use wlms-managed-instances in tenancy - ユーザー・グループがテナンシ内のすべてのドメインを使用、更新、再起動、パッチ適用および移動できるようにします。
allow group <wlms-admin-grp> to use wlms-wlsdomains in tenancy - ユーザー・グループにテナンシ内のすべてのリソースの管理を許可します。
allow group <wlms-admin-grp> to manage wlms-family in tenancy
この例では、次のようになります。
- ユーザーは、<dev>コンパートメントおよび<test>サブコンパートメント内のすべてのリソースを管理できるユーザー・グループwlms-admin-grp-devに属しています。
ポリシー・ステートメント
- ユーザー・グループが<dev>コンパートメント内のすべてのWebLogic管理サービス・リソースを管理できるようにします。ポリシーではコンパートメント継承が使用されるため、ユーザーは<dev>のサブコンパートメント(この例では<test>)内のリソースも管理できます。
allow group <wlms-admin-grp-dev> to manage wlms-family in compartment <dev> - ユーザー・グループがルート・コンパートメントの管理対象インスタンスを読み取れるようにします。
allow group <wlms-admin-grp-dev> to read wlms-managed-instances in tenancy where target.compartment.id = '<tenancy_ocid>' - ユーザーは、devコンパートメント内の管理対象インスタンスを使用できます。
allow group <wlms-admin-grp-dev> to use wlms-managed-instances in compartment <dev> - ユーザーは、devコンパートメント内のドメインを使用、更新、再起動、パッチ適用、移動および削除できます。
allow group <wlms-admin-grp-dev> to manage wlms-wlsdomains in compartment <dev>
この例では、次のようになります。
- 動的グループは<wlms-instances>です。ルール文には、<prod>コンパートメントにプラグイン・エージェント・リソースが含まれます。
- ユーザーは、<prod>コンパートメント内のすべてのWebLogic管理リソースを読み取ることができるユーザー・グループ<wlms-users>に属しています。
ポリシー・ステートメント
- 管理対象インスタンスのエージェントがWebLogic管理と対話できるようにします。
allow dynamic-group <wlms-instances> to {WLMS_MANAGED_INSTANCE_PLUGIN_ACCESS} in compartment prod where request.principal.id = target.managed-instance.i - ユーザー・グループに、<prod>コンパートメント内のすべてのWebLogic管理リソースの表示を許可します。
allow group <wlms-users> to read wlms-family in compartment <prod>
拡張サンプル・ポリシー
提供されている高度なWebLogic管理の例は、特定のユーザー・グループのリソースまたはコンパートメントのアクセスを制限するために使用されるサンプル・ポリシーです。
アクセス・タイプ: WebLogic管理プラグインが有効になっているコンパートメント内のすべてのコンピュート・インスタンス、WebLogic管理プラグインによって検出されたWebLogicサーバー・ドメインおよびサーバー、およびすべての構成設定を表示する機能。このポリシーでは、グループのユーザーは、WebLogicサーバー・ドメインの状態を変更する可能性のあるサービス・アクションを実行できません。
使用する場合: このポリシーは、本番のWebLogicサーバー・ドメインがあるコンパートメントへのアクセスを制御する場合に便利です。
ポリシーを作成する場所: このポリシーを、ユーザー・グループへのアクセス権を付与するコンパートメントに配置します。
Allow group Default/<WlmsDevUsers> to read wlms-family in compartment <WlmsProduction>アクセス・タイプ: ドメインの削除アクションを除くすべてのサービス・アクションを実行する機能。
使用する場合: このポリシーは、偶発的なドメインの削除を防止する場合に便利です。
ポリシーを作成する場所: このポリシーを、ユーザー・グループへのアクセス権を付与するコンパートメントに配置します。
Allow group Default/<WlmsUsers> to use wlms-family in compartment <WlmsTest>アクセス・タイプ: WebLogic管理プラグインが有効になっているコンパートメント内のすべてのコンピュート・インスタンス、WebLogic管理プラグインによって検出されたWebLogicサーバー・ドメインおよびサーバー、およびすべての構成設定を表示する機能。このポリシーを使用すると、グループのユーザーは、スキャン・アクションを実行して、最新のWebLogicドメイン情報をオンデマンドで取得することもできます。
使用する場合: このポリシーは、本番のWebLogicサーバー・ドメインがあるコンパートメントへのアクセスを制御する場合に便利です。
ポリシーを作成する場所: このポリシーを、ユーザー・グループへのアクセス権を付与するコンパートメントに配置します。
Allow group Default/<WlmsDevUsers> to read wlms-family in compartment <WlmsProduction>
Allow group Default/<WlmsDevUsers> to {WLMS_WLSDOMAIN_USE} in compartment <WlmsProduction>
Allow group Default/<WlmsDevUsers> to {WLMS_MANAGED_INSTANCE_USE} in compartment <WlmsProduction>アクセス・タイプ: WebLogic管理プラグインが有効になっているコンパートメント内のすべてのコンピュート・インスタンス、WebLogic管理プラグインによって検出されたWebLogicサーバー・ドメインおよびサーバー、およびすべての構成設定を表示する機能。このポリシーを使用すると、グループのユーザーは、スキャン・アクションおよびパッチ・ドメインを実行して、最新のWebLogicドメイン情報をオンデマンドで取得することもできます。
使用する場合: このポリシーは、本番のWebLogicサーバー・ドメインがあるコンパートメントへのパッチ適用ウィンドウ中にのみ特定の操作を実行するために、操作ユーザーなどの特定のユーザー・セットを指定する場合に便利です。
ポリシーを作成する場所: このポリシーを、ユーザー・グループへのアクセス権を付与するコンパートメントに配置します。
Allow group Default/<WlmsOperationsUsers> to read wlms-family in compartment <WlmsProduction>
Allow group Default/<WlmsOperationsUsers> to {WLMS_WLSDOMAIN_USE} in compartment <WlmsProduction>
Allow group Default/<WlmsOperationsUsers> to {WLMS_MANAGED_INSTANCE_USE} in compartment <WlmsProduction>
Allow group Default/<WlmsOperationsUsers> to {WLMS_WLSDOMAIN_PATCH} in compartment <WlmsProduction>アクセス・タイプ: WebLogic管理プラグインが有効になっているコンパートメント内のすべてのコンピュート・インスタンス、WebLogic管理プラグインによって検出されたWebLogicサーバー・ドメインおよびサーバー、およびすべての構成設定を表示する機能。このポリシーを使用すると、グループのユーザーは、スキャン・アクションの実行、構成設定の変更およびドメインの再起動によって、最新のWebLogicドメイン情報をオンデマンドで取得することもできます。
使用する場合: このポリシーは、本番のWebLogicサーバー・ドメインがあるコンパートメントへのパッチ適用ウィンドウ中にのみ特定の操作を実行するために、操作ユーザーなどの特定のユーザー・セットを指定する場合に便利です。これらの設定では、パッチ適用が許可されないようにしました。WLMS_WLSDOMAIN_RESTARTは、後でパッチ適用ウィンドウが開いているときにWLMS_WLSDOMAIN_PATCH権限に置き換えることができます。
ポリシーを作成する場所: このポリシーを、ユーザー・グループへのアクセス権を付与するコンパートメントに配置します。
Allow group Default/<WlmsOperationsUsers> to read wlms-family in compartment <WlmsProduction>
Allow group Default/<WlmsOperationsUsers> to {WLMS_WLSDOMAIN_USE} in compartment <WlmsProduction>
Allow group Default/<WlmsOperationsUsers> to {WLMS_MANAGED_INSTANCE_USE} in compartment <WlmsProduction>
Allow group Default/<WlmsOperationsUsers> to {WLMS_WLSDOMAIN_RESTART} in compartment <WlmsProduction>
Allow group Default/<WlmsOperationsUsers> to {WLMS_WLSDOMAIN_UPDATE} in compartment <WlmsProduction>アクセス・タイプ: WebLogic管理プラグインが有効になっているコンパートメント内のすべてのコンピュート・インスタンス、WebLogic管理プラグインによって検出されたWebLogicサーバー・ドメインおよびサーバー、およびすべての構成設定を表示する機能。このポリシーを使用すると、グループのユーザーは、スキャン・アクションの実行、構成設定の変更、ドメインの再起動およびパッチ・ドメインの実行によって、最新のWebLogicドメイン情報をオンデマンドで取得することもできます。コンパートメントを移動する機能は追加されません。
使用する場合: このポリシーは、メンテナンスするコンパートメントの組織構造があり、他のユーザーがドメインを移動してこの組織を混乱させないようにする場合に便利です。
ポリシーを作成する場所: このポリシーを、ユーザー・グループへのアクセス権を付与するコンパートメントに配置します。
Allow group Default/<WlmsDevUsers> to read wlms-family in compartment <WlmsDev>
Allow group Default/<WlmsDevUsers> to {WLMS_WLSDOMAIN_USE} in compartment <WlmsDev>
Allow group Default/<WlmsDevUsers> to {WLMS_MANAGED_INSTANCE_USE} in compartment <WlmsDev>
Allow group Default/<WlmsDevUsers> to {WLMS_WLSDOMAIN_PATCH} in compartment <WlmsDev>
Allow group Default/<WlmsDevUsers> to {WLMS_WLSDOMAIN_UPDATE} in compartment <WlmsDev>アクセス・タイプ: WebLogic管理プラグインが有効になっているコンパートメント内のすべてのコンピュート・インスタンス、WebLogic管理プラグインによって検出されたWebLogicサーバー・ドメインおよびサーバー、およびすべての構成設定を表示する機能。このポリシーを使用すると、グループのユーザーは、スキャン・アクションを実行して、最新のWebLogicドメイン情報をオンデマンドで取得することもできます。コンパートメント内の管理対象インスタンス構成設定を更新する機能は追加されません。
使用する場合: このポリシーは、スキャンされるパスをユーザーが中断しないようにするが、管理対象インスタンスから最新のWebLogicドメイン情報を取得できるようにする場合に役立ちます。
ポリシーを作成する場所: このポリシーを、ユーザー・グループへのアクセス権を付与するコンパートメントに配置します。
Allow group Default/<WlmsDevUsers> to read wlms-family in compartment <WlmsTest>
Allow group Default/<WlmsDevUsers> to {WLMS_MANAGED_INSTANCE_USE} in compartment <WlmsTest>