Compute-Instanzen Für den mandantenübergreifenden Zugriff auf Log Analytics einrichten

Möglicherweise müssen Sie einem Drittanbieter Zugriff erteilen, um Logs für ein CompanyABC zu verwalten und zu überwachen. In diesem Dokument wird erläutert, wie Sie den Zugriff einrichten, wenn der Anbieter CLI oder SDK aus den Compute-Instanzen im VendorA-Mandanten verwenden möchte, um auf Log Analytics von CompanyABC zuzugreifen.

Die OCI-IAM-Policy verwendet das Konzept von admit und endorse, um mandantenübergreifenden Zugriff zu ermöglichen. Wenn Sie Compute-Instanzen des Quellmandanten (VendorA) die Berechtigung für den Zugriff auf Log Analytics des Zielmandanten (CompanyABC) erteilen möchten, müssen die Administratoren beider Mandanten wie unten beschrieben IAM-Policys erstellen.

1. Instanz-Principal und dynamische Gruppe im Quellmandanten einrichten (VendorA):

   Mit der Instanz-Principals-Funktion können Sie Serviceaufrufe von einer Instanz ausführen. OCI-Compute-Instanzen sind zur Interaktion mit OCI-APIs autorisiert, indem sie eine dynamische Gruppe der Compute-Instanzen und eine Policy erstellen, die autorisiert, welche Vorgänge die Instanzen ausführen können.

   Erstellen Sie eine dynamische Gruppe. Beispiel: oci_la_dg, um die Instanzen in den Compartments mit den in den Policys definierten Berechtigungen zu autorisieren.

   Any {instance.compartment.id = 'ocid1.compartment.oc1..aaaaabcd',instance.compartment.id = 'ocid1.compartment.oc1..aaaaadef'}

2. Policy im Quellmandanten erstellen (VendorA):

   Define tenancy CompanyABC as ocid1.tenancy.oc1..aaaaaaaaabc
   Endorse dynamic-group oci_la_dg to manage loganalytics-features-family in tenancy CompanyABC
   Endorse dynamic-group oci_la_dg to manage loganalytics-resources-family in tenancy CompanyABC
   Endorse dynamic-group oci_la_dg to manage management-dashboard-family in tenancy CompanyABC
   Endorse dynamic-group oci_la_dg to read compartments in tenancy CompanyABC

3. Policy im Zielmandanten erstellen (CompanyABC):

   Define tenancy VendorA as ocid1.tenancy.oc1..aaaaavendora
   Define dynamic-group oci_la_dg as ocid1.dynamicgroup.oc1..aaaaaaaavendora
   Admit dynamic-group oci_la_dg of tenancy VendorA to manage loganalytics-features-family in tenancy
   Admit dynamic-group oci_la_dg of tenancy VendorA to manage loganalytics-resources-family in tenancy
   Admit dynamic-group oci_la_dg of tenancy VendorA to manage management-dashboard-family in tenancy 
   Admit dynamic-group oci_la_dg of tenancy VendorA to read compartments in tenancy

4. Prüfen Sie, ob Sie jetzt Log Analytics-APIs aus den Instanzen ausführen können, denen Berechtigungen erteilt wurden.

Informationen zu den Anweisungen Endorse, Admit und Define finden Sie in der Object Storage-Dokumentation. Zusätzlich zu dynamischen Gruppen können diese Anweisungen auch für Gruppen angewendet werden.