Oracle Cloud Infrastructure-Dokumentation

Oracle Cloud Migrations Service-Policys

Für die Verwendung des Migrationsservice sind Oracle Cloud Migrations-Service-Policys erforderlich.

Eine Policy-Syntax lautet wie folgt: 

allow <subject> to <verb> <resource-type> in <location> where <conditions>

Vollständige Informationen finden Sie unter Policy-Syntax. Weitere Informationen zum Erstellen von Policys finden Sie unter Funktionsweise von Policys, Policy-Referenz und Policy-Details für Object Storage.

Informationen zum Erstellen von Policys mit der Konsole finden Sie unter Anweisungen.

Policy Builder

Oracle Cloud Migrations unterstützt Policy Builder. Mit dem Policy Builder in der Cloud-Konsole können Sie schnell allgemeine Policys erstellen, ohne die Policy-Anweisungen manuell eingeben zu müssen. Informationen zum Erstellen von Policys mit Policy Builder finden Sie unter Policy-Anweisungen mit Policy Builder erstellen.

Wählen Sie im Policy Builder die Policy-Anwendungsfälle für Oracle Cloud Migrations aus. Die folgenden vordefinierten Policy-Vorlagen sind zum Erstellen der Service-Policys verfügbar:

Migrations-Policys

Dynamische Gruppen und IAM-Policys für den Migrationsservice.

  • Erstellen Sie dynamische Gruppen für den Migrationsservice. Sie können die dynamische Gruppe beispielsweise als MigrationDynamicGroup benennen und compartmentOCID durch die OCID Ihres Migrations-Compartments ersetzen: 
    ALL {resource.type = 'ocmmigration', resource.compartment.id = '<migration_compartment_ocid>'}

    Weitere Informationen zu dynamischen Gruppen, einschließlich der für das Erstellen erforderlichen Berechtigungen, finden Sie unter Dynamische Gruppen verwalten und Policys für dynamische Gruppen schreiben.

  • Erstellen Sie alle der folgenden IAM-Policys, damit der Migrationsservice Ihre OCI-Ressourcen in spezifischen Compartments oder in Ihrem Mandanten lesen oder verwalten kann: 
    Allow dynamic-group MigrationDynamicGroup to manage instance-family in compartment <migration_compartment_name>
Allow dynamic-group MigrationDynamicGroup to manage compute-image-capability-schema in compartment <migration_compartment_name>
Allow dynamic-group MigrationDynamicGroup to manage virtual-network-family in compartment <migration_compartment_name>
Allow dynamic-group MigrationDynamicGroup to manage volume-family in compartment <migration_compartment_name>
Allow dynamic-group MigrationDynamicGroup to manage object-family in compartment <migration_compartment_name>
Allow dynamic-group MigrationDynamicGroup to read ocb-inventory in tenancy
Allow dynamic-group MigrationDynamicGroup to read ocb-inventory-asset in compartment <migration_compartment_name>
Allow dynamic-group MigrationDynamicGroup to {OCB_CONNECTOR_READ, OCB_CONNECTOR_DATA_READ, OCB_ASSET_SOURCE_READ, OCB_ASSET_SOURCE_CONNECTOR_DATA_UPDATE } in compartment <migration_compartment_name>
Allow dynamic-group MigrationDynamicGroup to {INSTANCE_IMAGE_INSPECT, INSTANCE_IMAGE_READ} in tenancy
Allow dynamic-group MigrationDynamicGroup to {INSTANCE_INSPECT} in tenancy where any {request.operation='ListShapes'}
Allow dynamic-group MigrationDynamicGroup to {DEDICATED_VM_HOST_READ} in tenancy where any {request.operation='GetDedicatedVmHost'}
Allow dynamic-group MigrationDynamicGroup to {CAPACITY_RESERVATION_READ} in tenancy where any {request.operation='GetComputeCapacityReservation'}
Allow dynamic-group MigrationDynamicGroup to {ORGANIZATIONS_SUBSCRIPTION_INSPECT} in tenancy where any {request.operation='ListSubscriptions'}
Allow dynamic-group MigrationDynamicGroup to read rate-cards in tenancy
Allow dynamic-group MigrationDynamicGroup to read metrics in tenancy where target.metrics.namespace='ocb_asset'
Allow dynamic-group MigrationDynamicGroup to read tag-namespaces in tenancy
Allow dynamic-group MigrationDynamicGroup to use tag-namespaces in tenancy where target.tag-namespace.name='CloudMigrations'

Discovery Policys

Dynamische Gruppe und IAM-Policy für den Discovery-Service.

Dynamische Gruppen erstellen

Erstellen Sie eine dynamische Gruppe für den Discovery-Service. Sie können der dynamischen Gruppe beispielsweise den Namen DiscoveryDynamicGroup geben.

ALL { resource.type = 'ocbassetsource' }

IAM-Policys erstellen

Erstellen Sie die folgende IAM-Policy, um dem Discovery-Service die erforderlichen Berechtigungen zum Ausführen von Migrationen zu erteilen.

Allow dynamic-group DiscoveryDynamicGroup to inspect compartments in compartment <migration_compartment_name>
Allow dynamic-group DiscoveryDynamicGroup to read ocb-environments in compartment <migration_compartment_name>
Allow dynamic-group DiscoveryDynamicGroup to read ocb-inventory in tenancy
Allow dynamic-group DiscoveryDynamicGroup to manage ocb-inventory-asset in compartment <migration_compartment_name>
Allow dynamic-group DiscoveryDynamicGroup to {TENANCY_INSPECT} in tenancy
Allow dynamic-group DiscoveryDynamicGroup to read secret-family in compartment <migrationsecret_compartment_name>
Allow dynamic-group DiscoveryDynamicGroup to use metrics in compartment <migration_compartment_name> where target.metrics.namespace='ocb_asset'

Weitere Informationen zu dynamischen Gruppen, einschließlich der für das Erstellen erforderlichen Berechtigungen, finden Sie unter Dynamische Gruppen verwalten und Policys für dynamische Gruppen schreiben.

Richtlinien für Hydrierungsagent

Dynamische Gruppen und IAM-Policys für den Hydrierungs-Agent.

  • Erstellen Sie dynamische Gruppen für den Hydrierungs-Agent. Sie können die dynamische Gruppe beispielsweise als HydrationAgentDynamicGroup benennen und compartmentOCID durch die OCID Ihres Migrations-Compartments ersetzen: 
    ALL {instance.compartment.id = '<migration_compartment_ocid>'}

  • Weitere Informationen zu dynamischen Gruppen, einschließlich der für das Erstellen erforderlichen Berechtigungen, finden Sie unter Dynamische Gruppen verwalten und Policys für dynamische Gruppen schreiben.

  • Erstellen Sie die folgenden IAM-Policys in spezifischen Compartments oder in Ihrem Mandanten, um dem Hydration Agent Berechtigungen zum Abrufen von Snapshots aus OCI Object Storage und zum Aufrufen der Hydrierungs-APIs des Migrationsservice zu erteilen: 
    Define tenancy OCM-SERVICE AS <ocm_service_tenancy_ocid_for_realm>     
Endorse dynamic-group HydrationAgentDynamicGroup to { OBJECT_CREATE } in tenancy OCM-SERVICE where all { target.bucket.name = 'tenancy_ocid' }
Allow dynamic-group HydrationAgentDynamicGroup to {OCM_HYDRATION_AGENT_TASK_INSPECT, OCM_HYDRATION_AGENT_TASK_UPDATE, OCM_HYDRATION_AGENT_REPORT_STATUS} in compartment <migration_compartment_name>
Allow dynamic-group HydrationAgentDynamicGroup to manage objects in compartment <migration_compartment_name>
Allow dynamic-group HydrationAgentDynamicGroup to read secret-family in compartment <migrationsecret_compartment_name>
Hinweis

Der Wert von ocm_service_tenancy_for_realm für die OC1-Realm wird unten erwähnt. Wenn sich Ihr Mandant in einer anderen Realm als OC1 befindet, wenden Sie sich an Oracle Support, um die korrekte Servicemandanten-OCID zu erhalten. ocid1.tenancy.oc1..aaaaaaaartv6j5muce2s4djz7rvfn2vwceq3cnue33d72isntnlfmi7huv7q