Gruppen, dynamische Gruppen und Policys erstellen

Sie können steuern, wie Benutzer Instanzen von Resource Analytics in Ihrem Mandanten verwalten.

In der Regel erstellen Sie eine Benutzergruppe im Mandanten und erteilen dieser Gruppe die Berechtigung, den Service in einem bestimmten Compartment zu verwalten. Außerdem erteilen Sie dem Resource Principal Ihrer Resource Analytics-Instanz die Berechtigung, die Ressourcenmetadaten Ihres Mandanten zu beobachten.

1. Gruppe und dynamische Gruppe erstellen

Rufen Sie die OCID des Compartments ab, das Sie für die Resource Analytics-Instanz ausgewählt haben.
In diesem Beispiel ist es die OCID von resource-analytics-compartment.
In Ihrer Identitätsdomain:
1. Erstellen Sie eine Gruppe mit dem Namen resource-analytics-admins. Sie enthält die Benutzer zum Verwalten von Resource Analytics-Instanzen und Mandantenanhängen, autonomen KI-Datenbanken und Analytics Cloud-Instanzen.
2. Fügen Sie der Gruppe ggf. Benutzer hinzu.
3. Erstellen Sie eine dynamische Gruppe mit dem Namen resource-analytics-instances.
4. Fügen Sie der dynamischen Gruppe die folgende Regel hinzu, damit sie mit der Resource Analytics-Instanz übereinstimmt, die Sie schließlich im Compartment resource-analytics-compartment erstellen:
```
all {resource.type = 'resanalyticsinstance', resource.compartment.id = '<resource-analytics-compartment-ocid>'} 
```
Weitere Informationen zum Hinzufügen von Benutzern, Gruppen und dynamischen Gruppen zu Domains in Ihrem Mandanten finden Sie unter Benutzer verwalten, Gruppen verwalten und Dynamische Gruppen verwalten.

Ältere Mandanten, die keine Identitätsdomains unterstützen, finden Sie unter Benutzer verwalten, Gruppen verwalten und Dynamische Gruppen verwalten.

2. Policys erstellen

Nachdem Sie die Benutzergruppe und dynamische Gruppe erstellt haben, müssen Sie diesen Gruppen Rechte (Berechtigungen) erteilen, damit Gruppenmitglieder Resource Analytics-Instanzen verwalten, das Set der abonnierten Regionen des Mandanten prüfen und die Metadaten für Ressourcen in Ihrem Mandanten beobachten und melden können. Sie erteilen Gruppen Rechte in Form von IAM-Policys.

IAM-Policys regeln die Kontrolle über Ressourcen in Oracle Cloud Infrastructure-(OCI-)Mandanten. Eine Policy enthält eine oder mehrere Policy-Anweisungen.

So erstellen Sie Policys:

Die Best Practice besteht darin, den Policy Builder zu verwenden, mit dem Sie schnell allgemeine Policys erstellen können, ohne die Policy-Anweisungen manuell eingeben zu müssen. Siehe Policy Builder zum Erstellen von Policys verwenden.
Andernfalls müssen Sie eine Policy erstellen und die Policy-Anweisungen manuell eingeben. Siehe Policys mit dem manuellen Editor erstellen.

Weitere Informationen zum Hinzufügen von Policys zum Mandanten finden Sie unter Überblick über das Arbeiten mit Policys. Informationen zu älteren Mandanten, die keine Identitätsdomains unterstützen, finden Sie unter Policys verwalten.

Policy Builder zum Erstellen von Policys verwenden

Wenn Sie mit dem Policy Builder Policys für Ihren Mandanten erstellen, verwenden Sie Resource Analytics-Policy-Vorlagen. Eine Policy-Vorlage enthält alle Anweisungen, die erforderlich sind, um die Berechtigungen zum Ausführen einer Aufgabe oder einer Gruppe von zugehörigen Aufgaben in einem Service in OCI bereitzustellen.

Weitere Informationen zu den Anweisungen, die in jeder Resource Analytics-Policy-Vorlage enthalten sind, finden Sie unter Policy Builder-Policy-Vorlagen. Informationen zu älteren Mandanten, die keine Identitätsdomains unterstützen, finden Sie unter Allgemeine Policys.

Policys mit Policy Builder erstellen

Erstellen Sie drei Policys mit Policy Builder:

Verwalten von Ressourcenanalyseressourcen durch Resource Analytics-Instanzen zulassen - Mit Resource Analytics-Instanzen können Ressourcenanalyseressourcen verwaltet werden, einschließlich Ressourcenmetadaten, Compartments, autonomen KI-Datenbanken, virtueller Netzwerkfamilie, Arbeitsanforderungen von Analyseinstanzen und Analyseinstanzen.
Verwalten von Resource Analytics-Ressourcen durch Administratoren zulassen - Ermöglicht Administratoren das Verwalten von Resource Analytics-Ressourcen, einschließlich Resource Analytics-Familie, virtueller Netzwerkfamilie, autonomen KI-Data Warehouses und Arbeitsanforderungen.
Prüfen der Gruppe der abonnierten Regionen des Mandanten durch Administratoren zulassen - Lassen Sie zu, dass Administratoren das Set der abonnierten Regionen des Mandanten prüfen.

Führen Sie die folgenden Schritte aus:

Wählen Sie auf der Seite "Ressourcenanalyse" die Option Details anzeigen aus, um den Bereich Voraussetzungen für die erste Verwendung konfigurieren anzuzeigen.
Wählen Sie im Abschnitt Policys erstellen die Option Policy Builder aus, um zur Seite Policys für Identität und Sicherheit zu navigieren.
Wählen Sie Policy erstellen aus.
1. Geben Sie einen Namen und eine Beschreibung für die Policy ein, und wählen Sie das Root Compartment aus.
2. Wählen Sie unter Policy-Anwendungsfälle die Option Ressourcenanalyse aus.
3. Wählen Sie unter Allgemeine Policy-Vorlagen die Option Verwalten von Resource Analytics-Ressourcen durch Resource Analytics-Instanzen zulassen aus.
4. Wählen Sie Ihre Identitätsdomain aus.
5. Wählen Sie die dynamische Gruppe resource-analytics-instances aus.
6. Wählen Sie Erstellen aus.
Wählen Sie auf der Seite Policys für Identität und Sicherheit die Option Policy erstellen aus.
1. Geben Sie einen Namen und eine Beschreibung für die Policy ein, und wählen Sie resource-analytics-compartment oder ein beliebiges darüber liegendes Compartment aus.
2. Wählen Sie unter Policy-Anwendungsfälle die Option Ressourcenanalyse aus.
3. Wählen Sie unter Allgemeine Policy-Vorlagen die Option Verwalten von Ressourcenanalyse durch Administratoren zulassen aus.
4. Wählen Sie Ihre Identitätsdomain aus.
5. Wählen Sie die Gruppe resource-analytics-admins aus.
6. Wählen Sie Erstellen aus.
Wählen Sie auf der Seite Policys für Identität und Sicherheit die Option Policy erstellen aus.
1. Geben Sie einen Namen und eine Beschreibung für die Policy ein, und wählen Sie das Root Compartment aus.
2. Wählen Sie unter Policy-Anwendungsfälle die Option Ressourcenanalyse aus.
3. Wählen Sie unter Allgemeine Policy-Vorlagen die Option Prüfen der Gruppe abonnierter Regionen des Mandanten durch Administratoren zulassen aus.
4. Wählen Sie Ihre Identitätsdomain aus.
5. Wählen Sie die Gruppe resource-analytics-admins aus.
6. Wählen Sie Erstellen aus.
Bestätigen Sie auf der Seite Policys für Identität und Sicherheit, dass alle Policys erstellt wurden.

Policys mit dem manuellen Editor erstellen

Befolgen Sie diese Anweisungen, wenn Sie den Policy Builder nicht verwenden möchten, um die Policys zu erstellen, die Ihrer Administratorgruppe und der dynamischen Gruppe zugewiesen werden sollen. Sie erstellen die Policys mit unterschiedlichen Anweisungen, je nachdem, ob Sie sich in der Domain Default oder in einer anderen Domain befinden:

Policys für die Administratorgruppe in der Standarddomain erstellen
Policys für die Administratorgruppe in einer Nicht-Standardidentitätsdomain erstellen
Policys für die Resource Analytics-Instanz in der Standarddomain erstellen
Policys für die Resource Analytics-Instanz in einer Nicht-Standardidentitätsdomain erstellen

Tipp

Wenn Sie Ihre Policys manuell erstellen, kopieren Sie höchstwahrscheinlich die unten aufgeführten Policy-Anweisungen für die Gruppe resource-analytics-admins und die dynamische Gruppe resource-analytics-instances. Falls gewünscht, können Sie eine oder alle drei Gruppen von Policy-Anweisungen für die Administratorgruppe und die Instanz in einer einzelnen Policy in der Root kombinieren.

Policys für die Administratorgruppe in der Standarddomain erstellen

Führen Sie diese Schritte nur aus, wenn Sie die Domain Default verwenden.

Um der Gruppe resource-analytics-admins die Verwaltung von Resource Analytics-Instanzen zu ermöglichen, erstellen Sie eine Policy mit den folgenden Anweisungen im oder über dem Compartment (resource-analytics-compartment), in dem Sie eine Resource Analytics-Instanz erstellen möchten:

allow group resource-analytics-admins to manage resource-analytics-family in compartment resource-analytics-compartment
allow group resource-analytics-admins to use virtual-network-family in compartment resource-analytics-compartment
allow group resource-analytics-admins to manage autonomous-data-warehouses in compartment resource-analytics-compartment
allow group resource-analytics-admins to inspect work-requests in compartment resource-analytics-compartment

Um zuzulassen, dass die Gruppe resource-analytics-admins das Set der abonnierten Regionen des Mandanten prüft, erstellen Sie eine Policy mit den folgenden Anweisungen im Root Compartment:
```
allow group resource-analytics-admins to inspect tenancies in tenancy
```

Policys für die Administratorgruppe in einer Nicht-Standardidentitätsdomain erstellen

Wenn der Mandant Identitätsdomains unterstützt und die Identitätsdomain der Gruppe resource-analytics-admins nicht Default, sondern ein anderer Name, wie MyDomain, ist, verwenden Sie die Syntax für qualifizierte Namen, um auf die Gruppe zu verweisen.

allow group 'MyDomain'/'resource-analytics-admins' to manage resource-analytics-family in compartment resource-analytics-compartment
allow group 'MyDomain'/'resource-analytics-admins' to use virtual-network-family in compartment resource-analytics-compartment
allow group 'MyDomain'/'resource-analytics-admins' to manage autonomous-data-warehouses in compartment resource-analytics-compartment
allow group 'MyDomain'/'resource-analytics-admins' to inspect work-requests in compartment resource-analytics-compartment

Um zuzulassen, dass die Gruppe resource-analytics-admins das Set der abonnierten Regionen des Mandanten prüft, erstellen Sie eine Policy mit den folgenden Anweisungen im Root Compartment:
```
allow group 'MyDomain'/'resource-analytics-admins' to inspect tenancies in tenancy
```

Policys für die Resource Analytics-Instanz in der Standarddomain erstellen