Oracle Cloud Infrastructure-Dokumentation

Erforderliche IAM-Gruppen und -Policys erstellen

Erfahren Sie, wie Sie Gruppen und Policys einrichten, um die Administration und Funktionalität von Roving Edge zu aktivieren.

Policy für die Bestellung von Roving Edge Devices erstellen

Sie können eine Policy erstellen, mit der Sie Ihre Roving Edge Infrastructure-Geräte mit der Oracle Cloud-Konsole bestellen und verwalten können. Diese Aufgabe verwendet die Vorlage "Policy erstellen" in der Oracle Cloud-Konsole.

  1. öffnen Sie das Navigationsmenü, und wählen Sie Identität und Sicherheit aus. Wählen Sie unter Identität die Option Policys aus.

  2. Wählen Sie Policy erstellen aus. Das Dialogfeld Policy erstellen wird angezeigt.

  3. Füllen Sie die Pflichtfelder aus, wie unter Policy erstellen beschrieben.

  4. Verwenden Sie den Policy Builder, und wählen Sie unter Allgemeine Policy-Vorlagen die Option Erstellen und Verwalten von Roving Edge Devices durch Benutzer zulassen aus.

  5. Fügen Sie für das Self-Provisioning die folgende Policy zur Vorlage hinzu:

    allow dynamic-group roving-edge-devices to manage rover-family in tenancy

  6. Befolgen Sie die Anweisungen im Policy Builder, um die Policy-Gruppen zu konfigurieren.

  7. Wählen Sie Erstellen. Ihre Änderungen treten in der Regel innerhalb von 10 Sekunden in Kraft.

Zugriff auf Roving Edge Infrastructure-Ressourcen in OCI zulassen

Mit der folgenden Syntax können Sie Benutzergruppen Zugriff auf Roving Edge Infrastructure-Ressourcen in Ihrem Mandanten erteilen:

allow group <admin_user_group> to manage rover-family in tenancy
allow group <admin_user_group> to manage rover-nodes in tenancy

Dabei ist <admin_user_group> eine Gruppe, die zum Verwalten von Roving Edge Infrastructure-Administratoren erstellt wurde.

Sie können diesen Zugriff auch auf Compartments einschränken. Beispiel: Wenn Sie das Verwalten aller Roving Edge Infrastructure-Ressourcen im Compartment "finance" in Oracle Cloud Infrastructure durch eine Gruppe von Benutzern zulassen möchten, verwenden Sie den folgenden Befehl:

allow group rover-admins to manage rover-family in compartment finance
allow group rover-admins to manage rover-nodes in compartment finance

Object Storage-Zugriff für Roving Edge Infrastructure-Geräte zulassen

In diesem Abschnitt werden die Schritte beschrieben, die erforderlich sind, damit Ihr Roving Edge Infrastructure-Gerät eine Datensynchronisierung ausführen kann, während das Gerät in Ihrem Besitz ist.

Jeder Roving Edge Infrastructure-Geräteknoten fungiert als Ressource in Oracle Cloud Infrastructure. Dabei ist eine Berechtigung zum Lesen/Schreiben von Buckets in Ihren Compartments in Ihrem Mandanten für Datensynchronisierungsaufgaben erforderlich.

Mit einer dynamischen Gruppe können Sie alle Roving Edge-Knotenressourcen in Ihrem Mandanten darstellen. Weitere Informationen zum Erstellen dynamischer Gruppen finden Sie unter Dynamische Gruppen verwalten.

Hinweis

Alle Namen dynamischer Gruppen müssen genau mit den in den Policy-Anweisungen angegebenen Namen übereinstimmen. Bei dynamischen Gruppennamen und Policy-Anweisungen muss die Groß-/Kleinschreibung beachtet werden.
Hinweis

Wenn Ihre dynamische Gruppe zu einer Nicht-Standardidentitätsdomain wie Oracle Identity Cloud Service gehört und die dynamische Gruppe in dieser Domain erstellt wird, müssen Sie dem Namen der dynamischen Gruppe in allen Policy-Anweisungen für dynamische Gruppen den Domainnamen voranstellen. Beispiel:

allow dynamic-group OracleIdentityCloudService/roving-edge-devices to manage rover-family in tenancy

Erstellen Sie eine dynamische Gruppe namens roving-edge-devices mit den folgenden Übereinstimmungsregeln:

All {resource.type='rovernode'}

Erteilen Sie dieser dynamischen Gruppe eine Policy zum Lesen und Schreiben in Buckets. Beispiel:

allow dynamic-group roving-edge-devices to manage object-family in tenancy

Dynamischen Gruppenzugriff auf den Object Storage-Namespace erteilen

allow dynamic-group roving-edge-devices to manage objectstorage-namespaces in tenancy

Legen Sie eine Policy fest, um dem Roving Edge Infrastructure-Service Lesezugriff auf Ihre Buckets zu erteilen. Mit dieser Lesezugriff-Policy kann eine Manifestdatei generiert werden, die Informationen zu den Objekten enthält, die Sie mit Ihren Roving Edge Infrastructure-Geräten synchronisieren möchten. 

allow service rover to read object-family in tenancy
allow service rover to manage objectstorage-namespaces in tenancy
Hinweis

Sie können den Zugriff auf ein Compartment einschränken. Stellen Sie sicher, dass Sie Lesezugriff auf alle Compartments erteilen, die mit allen Workload Buckets verknüpft sind. Beispiel: Wenn Sie zwei Buckets haben, einen im Compartment "finance" und einen im Compartment "accounts", müssen Sie diese Policy für beide Compartments festlegen.

Selbstbereitstellung von Roving Edge Infrastructure-Geräten zulassen

Erteilen Sie der dynamischen Gruppe mit der zuvor erstellten dynamischen Gruppe roving-edge-devices in dynamic-group for Object Storage access Verwaltungsberechtigungen für dynamische Gruppen, um das Selbstprovisioning von Geräten vor Ort zu aktivieren.

allow dynamic-group roving-edge-devices to manage rover-family in tenancy

Bereitstellung des getrennten Upgrade-Bundles aktivieren (optional)

Um zu ermöglichen, dass getrennte Upgrade-Bundles an Ihren Mandanten zugestellt werden, befolgen Sie diese Anweisungen.

Erteilen Sie dem Ziel-Bucket die Berechtigung zum Erstellen und Überschreiben des Anfordererobjekts:

allow group <group_name> to manage object-family in compartment <compartment_name>

Geben Sie den Object Storage-Service in der Region an, um die Buckets in Ihrem Mandanten zu verwalten:

allow service objectstorage-<region_identifier> to manage object-family in tenancy

Mit dem folgenden Beispiel können Sie auch engere Berechtigungen erstellen:

allow service objectstorage-<region_identifier> to manage object-family in compartment <compartment-name>
where any {request.permission='OBJECT_READ', request.permission='OBJECT_INSPECT', request.permission='OBJECT_CREATE',
request.permission='OBJECT_OVERWRITE', request.permission='OBJECT_DELETE'}

Eine Liste der Regions-IDs finden Sie unter Regionen und Availability-Domains.

Zertifikatsverwaltung aktivieren (optional)

In diesem Abschnitt werden die Schritte beschrieben, die erforderlich sind, damit Ihre Administratoren Certificate Authoritys erstellen und Ihrem Roving Edge Infrastructure-Gerät den Zugriff auf Certificate Management-Ressourcen in Oracle Cloud Infrastructure Cloud ermöglichen können.

Erstellen Sie eine Policy für die Sicherheitsadministratoren, um Vault und Masterschlüssel zu erstellen:

Allow group <security-admin-group> to manage vaults in tenancy
Allow group <security-admin-group> to manage keys in tenancy

Erstellen Sie eine Policy, damit die Sicherheitsadministratoren die Certificate Authority verwenden können:

Allow group <security-admin-group> to use certificate-authority-family in tenancy
Allow group <security-admin-group> to use key-delegate in tenancy

Erstellen Sie eine dynamische Gruppe namens certificate-authority-dynamic-group mit den Übereinstimmungsregeln: 

all {resource.type='certificateauthority'}

Erstellen Sie eine Policy für die Certificate Authority, um Schlüssel zu verwenden:

Allow dynamic-group certificate-authority-dynamic-group to use keys in compartment <compartment_name>

Erstellen Sie eine Policy für Roving Edge Infrastructure-Geräte, um die Certificate Authority zu verwenden und Zertifikate zu verwalten:

Allow dynamic-group roving-edge-devices to manage leaf-certificate-family in tenancy
Allow dynamic-group roving-edge-devices to use certificate-authority-family in tenancy

Erstellen Sie eine Policy für Roving Edge Infrastructure-Knoten, um die Zertifikatskonfigurationen abzurufen und zu aktualisieren:

Allow dynamic-group roving-edge-devices to use rover-family in tenancy
Hinweis

Wenn Sie die unter Selbst-Provisioning von Roving Edge Infrastructure-Geräten zulassen beschriebene Selbst-Provisioning-Policy erstellt haben, erstellen Sie diese Policy nicht. Die Selbsthilfepolitik erfüllt diese Anforderung.

Policy-Beispiele

Die Gruppe rover-admins ist als Administrator für Roving Edge Infrastructure-Ressourcen definiert:

allow group rover-admins to manage rover-family in tenancy
allow group rover-admins to manage rover-nodes in tenancy

Zulassen, dass Roving Edge Infrastructure Workloads anhängt:

allow service rover to read object-family in tenancy
allow service rover to manage objectstorage-namespaces in tenancy

Roving Edge Infrastructure-Zugriff auf Object Storage zulassen:

allow dynamic-group roving-edge-devices to manage object-family in tenancy
allow dynamic-group roving-edge-devices to manage objectstorage-namespaces in tenancy

Lassen Sie zu, dass die dynamische Gruppe von Roving Edge-Knoten selbst bereitgestellt wird, und verwalten Sie die Zertifikatskonfigurationen:

allow dynamic-group roving-edge-devices to manage rover-family in tenancy

(Optional) Zustellung des getrennten Upgrade-Bundles aktivieren:

allow group rover-admins to read object-family in tenancy
allow dynamic-group roving-edge-devices to manage object-family in tenancy

(Optional) Aktivieren Sie die Zertifikatsverwaltung:

allow group CertificateAdmins to manage vaults in tenancy
allow group CertificateAdmins to manage keys in tenancy
allow group CertificateAdmins to manage certificate-authority-family in tenancy
allow group CertificateAdmins to use key-delegate in tenancy
allow group rover-admins to read certificate-authority-family in tenancy
allow dynamic-group certificate-authority-dynamic-group to use keys in tenancy
allow dynamic-group roving-edge-devices to manage leaf-certificate-family in tenancy
allow dynamic-group roving-edge-devices to use certificate-authority-family in tenancy

Weitere Schritte?

Wenn Sie ein Gerät anfordern, lesen Sie je nach Gerätetyp einen der folgenden Abschnitte: