Policys für remote überwachte Mandanten erstellen
Der Mandant, in dem Sie die Resource Analytics-Instanz bereitstellen, wird als Reporting-Mandant bezeichnet. Sie können die Resource Analytics-Instanz auch so konfigurieren, dass Ressourcen in anderen Mandanten überwacht werden. Diese Mandanten werden als überwachte Mandanten bezeichnet.
Wichtig
Eine Resource Analytics-Instanz überwacht immer Ressourcen im Reporting-Mandanten (dem Mandanten, in dem Sie sie bereitstellen).
Eine Resource Analytics-Instanz überwacht immer Ressourcen im Reporting-Mandanten (dem Mandanten, in dem Sie sie bereitstellen).
Bevor Sie die Resource Analytics-Instanz zum Überwachen anderer Mandanten konfigurieren, müssen Sie zwei Arten von mandantenübergreifenden Policys sowohl im Reportingmandanten als auch in jedem überwachten Mandanten hinzufügen:
- Mandantenübergreifende Policys, mit denen eine Benutzergruppe einen Resource Analytics-Mandantenanhang aus der Resource Analytics-Instanz für jeden überwachten Mandanten erstellen kann.
- Mandantenübergreifende Policys, mit denen die Resource Analytics-Instanz im Reporting-Mandanten die Ressourcenmetadaten jedes überwachten Mandanten lesen kann.
Erfassen Sie zunächst die folgenden OCIDs:
- Die OCID jedes überwachten Mandanten.
- Die OCID des Reportingmandanten.
- Die OCID einer Benutzergruppe im Reporting-Mandanten mit Benutzern, die zum Verwalten der Mandantenanhänge autorisiert sind (in diesem Beispiel
resource-analytics-admins). - Die OCID einer dynamischen Gruppe im Reportingmandanten, die mit der Resource Analytics-Instanz übereinstimmt (in diesem Beispiel
resource-analytics-instances).
Mandantenübergreifende Policys im Reportingmandanten
Erstellen Sie im Reporting-Mandanten (dem Mandanten, in dem die Resource Analytics-Instanz gespeichert ist) eine Policy im Root Compartment. Die folgenden Beispielanweisungen enthalten zwei überwachte Mandanten Wenn Ihr Mandant Identitätsdomains unterstützt und die Identitätsdomain der Gruppe
mon-ten-1 und mon-ten-2, für die OCIDs monitored-tenancy-1-ocid und monitored-tenancy-2-ocid lauten, obwohl Sie eine andere Anzahl von Mandanten mit unterschiedlichen Namen haben können.define tenancy mon-ten-1 as '<monitored-tenancy-1-ocid>'
define tenancy mon-ten-2 as '<monitored-tenancy-2-ocid>'
endorse group resource-analytics-admins to manage resource-analytics-tenancy-attachment in tenancy mon-ten-1
endorse group resource-analytics-admins to manage resource-analytics-tenancy-attachment in tenancy mon-ten-2
endorse dynamic-group resource-analytics-instances to read compartments in tenancy mon-ten-1
endorse dynamic-group resource-analytics-instances to read compartments in tenancy mon-ten-2
endorse dynamic-group resource-analytics-instances to read resource-metadata in tenancy mon-ten-1
endorse dynamic-group resource-analytics-instances to read resource-metadata in tenancy mon-ten-2resource-analytics-admins keine Standarddomain wie MyDomain ist, verwenden Sie die Syntax für den qualifizierten Namen, um auf die Gruppe und die dynamische Gruppe zu verweisen:define tenancy mon-ten-1 as '<monitored-tenancy-1-ocid>'
define tenancy mon-ten-2 as '<monitored-tenancy-2-ocid>'
endorse group 'MyDomain'/'resource-analytics-admins' to manage resource-analytics-tenancy-attachment in tenancy mon-ten-1
endorse group 'MyDomain'/'resource-analytics-admins' to manage resource-analytics-tenancy-attachment in tenancy mon-ten-2
endorse dynamic-group 'MyDomain'/'resource-analytics-instances' to read compartments in tenancy mon-ten-1
endorse dynamic-group 'MyDomain'/'resource-analytics-instances' to read compartments in tenancy mon-ten-2
endorse dynamic-group 'MyDomain'/'resource-analytics-instances' to read resource-metadata in tenancy mon-ten-1
endorse dynamic-group 'MyDomain'/'resource-analytics-instances' to read resource-metadata in tenancy mon-ten-2Mandantenübergreifende Policys in jedem überwachten Mandanten
Erstellen Sie in jedem überwachten Mandanten eine Policy im Root Compartment mit den folgenden Anweisungen:
define tenancy rep-ten as '<reporting-tenancy-ocid>'
define group resource-analytics-admins as '<resource-analytics-admins-ocid>'
define dynamic-group resource-analytics-instances as '<resource-analytics-instances-ocid>'
admit group resource-analytics-admins of tenancy rep-ten to manage resource-analytics-tenancy-attachment in tenancy
admit dynamic-group resource-analytics-instances of tenancy rep-ten to read compartments in tenancy
admit dynamic-group resource-analytics-instances of tenancy rep-ten to read resource-metadata in tenancy