必須IAMポリシーの手動作成
WebLogic管理リソースへのユーザーのアクセスを制御するグループに必要なポリシーを作成します。
Pre-General Availability: 2024-10-11
The following legal notice applies to Oracle pre-GA releases.著作権およびその他の適用される法律に関する情報は、Oracleの法律上の注意点を参照してください。
Pre-General Availability Draft Documentation Notice
このドキュメントはPre-General Availability (一般提供前)版であり、デモおよび暫定使用のみを目的としたものです。このソフトウェアを使用するハードウェアに限定するものではありません。Oracle Corporationおよびその関連会社は、このドキュメントに関して一切の責任を負わず、いかなる保証もいたしません。また、このドキュメントを使用したことによって損失、費用、あるいは損害が発生しても、一切の責任を負いかねます。
必要なポリシーの設定方法が不明な場合は、WebLogic管理で必要なポリシーを設定する方法を示す「必要なIAMポリシーの設定」を参照してください。
ユーザー・グループ、動的グループおよびIAMポリシーでは、特定のOCIリソースにアクセスできるユーザーとサービスを指定します。サービスが管理できるWebLogic管理リソースと、それらのリソースを管理できるユーザーを識別する必要があります。これを行うには、ユーザー・グループ、動的グループを定義し、必要なIAMポリシーを設定します。
ポリシーを初めて使用する場合は、ポリシーの開始に関する項を参照してください。特定のポリシー要件またはユースケースがある場合は、ポリシーおよび権限で詳細を参照してください。
必須のポリシー・ステートメント
サービスを使用するには、次のポリシー・ステートメントが必要です:
| ポリシー・ステートメント | 内容 |
|---|---|
Allow group $USER_GROUP to manage instance-family in compartment id $COMPARTMENT_ID |
ユーザー・グループがコンパートメントおよびそのサブコンパートメント内のWebLogic管理プラグインを管理できるようにします。 |
Allow group $USER_GROUP to read instance-agent-plugins in compartment id $COMPARTMENT_ID |
ユーザー・グループがコンパートメントおよびそのサブコンパートメント内のWebLogic管理プラグインと対話できるようにします。 |
Allow group $USER_GROUP to manage wlms-family in compartment id $COMPARTMENT_ID |
ユーザー・グループがコンパートメントおよびそのサブコンパートメント内のすべてのWebLogic管理リソースを管理できるようにします。 |
Allow group $USER_GROUP to use wlms-config in tenancy |
ユーザー・グループがテナンシのWebLogic管理サービス構成を読み取って更新できるようにします。 |
Allow group $USER_GROUP to manage secrets in compartment id $COMPARTMENT_ID |
ユーザー・グループがコンパートメントおよびそのサブコンパートメント内のOCIシークレットを管理できるようにします。 |
Allow dynamic-group $DYNAMIC_GROUP to read secret-bundles in compartment id $COMPARTMENT_ID |
WebLogic管理プラグインが、コンパートメントおよびそのサブコンパートメント内のOCIシークレットを読み取ることができます。 |
Allow dynamic-group $DYNAMIC_GROUP to use wlms-managed-instance-plugins in tenancy |
WebLogic管理プラグインがWebLogic管理サービスを使用できるようにします。 |
Allow resource wlms server-components to read instance-family in compartment id $COMPARTMENT_ID |
WebLogic管理プラグインがOCIインスタンスのステータスをチェックできるようにします。 |
その他のユースケースについては、ポリシーの例を参照してください。
グループまたは動的グループ名の前にアイデンティティ・ドメインを定義しないかぎり、ポリシー・ステートメントはデフォルトのアイデンティティ・ドメインを使用します(たとえば、
<identity_domain_name>/<dynamic_group_name>)。詳細は、ポリシー構文を参照してください。 ポリシー・ステートメントの作成
WebLogic管理のIAMポリシーは、テナンシ・レベルまたはコンパートメント・レベルで設定できます。
- 前提条件
-
ポリシーを作成する前に、次があることを確認してください:
- ポリシー・ステートメント
-
必要なIAMポリシーを適用するには、必要なポリシー・テンプレートを取得し、必要な情報で変更します。
- 「Overview」をクリックします。
- 「ポリシーの設定」をクリックします。
- 「ポリシー・ステートメント」セクションで、「ポリシー・ステートメントのコピー」、「取消」の順にクリックします。
- 必要に応じて、次のようにポリシー・テンプレート・ステートメントを変更します。
Template statement: Allow group $USER_GROUP to manage instance-family in compartment id $COMPARTMENT_ID Modified: Allow group admin_user_group to manage wlms-family in compartment id <unique_OCID> Template statement: Allow dynamic-group $DYNAMIC_GROUP to use wlms-managed-instance-plugins in tenancy Modified: Allow dynamic-group wlms_dynamic_group to use wlms-managed-instance-plugins in tenancy - ナビゲーション・メニューを開き、「アイデンティティ」、「ポリシー」の順にクリックします。
- 変更したポリシー・テンプレート・ステートメントを使用して、ポリシーを作成します。詳細は、ポリシーの作成を参照してください。