Oracle Cloud Infrastructure-Dokumentation

Policys mit Policy Advisor erstellen und verwalten

Mit Policy Advisor können Sie schnell OCI-Berechtigungen für Ressourcen einrichten, mit denen sie für Ops Insights aktiviert werden können. Policy Advisor ist ein zentraler Speicherort, an dem Sie Policys anzeigen, erstellen, aktualisieren und löschen können, die für Ops Insights erforderlich sind.

Policy Advisor automatisiert die Erstellung der folgenden Policys:
  • Policys, die von Benutzern von Ops Insights benötigt werden (sowohl Administratoren als auch schreibgeschützte Benutzer).
  • Policys, die der Ops Insights-Service benötigt, um ordnungsgemäß zu funktionieren.
  • Richtlinien zum Einrichten des Demomodus (optional).
Hinweis

Die any-user-Policys sind Resource Principal Policys, die vom Ops Insights-Service benötigt werden. Policys mit group {name} sind für den Benutzer erforderlich, der versucht, den Service zu aktivieren

Ops Insights unterstützt ab dem 31. August 2025 Service-Principal-System-Policys, die ein Sicherheitsrisiko darstellen. Weitere Informationen finden Sie unter Entfernen der Service-Principal-Policy.

Erforderliche Policys für Operations Insights einrichten

Als Administrator mit der Möglichkeit, Policys im Root Compartment zu erstellen, führen Sie die folgenden Schritte aus, um die erforderlichen Voraussetzungs-Policys mit Policy Advisor einzurichten:
  1. Klicken Sie auf der Überblickseite für Ops Insights oben rechts auf Policy Advisor. Dadurch wird der Policy Advisor-Assistent gestartet.
  2. Klicken Sie unter Ressourcenzugriff auf die Schaltfläche Konfigurieren für Ops Insights. Diese Policys enthalten die erforderlichen Voraussetzungen für die Nutzung des Ops Insights-Service.
  3. Wählen Sie im Fenster "Voraussetzungen für Ops Insights-Service" die Benutzergruppen aus, die auf die erforderlichen Policys zugreifen müssen, und klicken Sie auf + Benutzergruppe hinzufügen. Aktivieren Sie alle erforderlichen Gruppen, und markieren Sie, ob Administratorzugriff oder Benutzerzugriff erforderlich ist. Klicken Sie nach Abschluss auf Auswählen.
  4. Im Fenster "Voraussetzungen für Ops Insights-Service" werden jetzt die von Ihnen konfigurierten Benutzergruppen und Zugriffsebenen angezeigt. Wählen Sie rechts neben dieser Tabelle die Compartments aus, auf die die Benutzergruppe zugreifen darf. Wenn alle Compartments hinzugefügt wurden, klicken Sie auf Änderungen in der Vorschau anzeigen und anwenden.
  5. Im Fenster "Vollständige Voraussetzungen" können Sie eine Vorschau der Policy-Anweisungen anzeigen, die angewendet werden. Klicken Sie auf Weiter, um sie anzuwenden.
  6. Nachdem die Voraussetzungs-Policys angewendet wurden, wird ein grünes Häkchen angezeigt, und klicken Sie zum Abschluss auf Schließen. Die erforderlichen Policys wurden angewendet.

Policys für Ops Insights Services einrichten und verwalten

Mit Policy Advisor können Sie die erforderlichen Policys für bestimmte Telemetrietypen und Ressourcentypen erteilen und ändern, die mit Ops Insights aus Ihrer Umgebung analysiert werden müssen, sowohl für die Benutzergruppe, die diese Aktion ausführt, als auch für den Service selbst.

Im Folgenden finden Sie eine Liste der Telemetrie- und Ressourcentypen, deren Policys von Policy Advisor verwaltet werden können:
  • Datenbanken
    • Autonome Datenbanken auf OCI
    • Bare Metal-, VM- und Exa-DB-Datenbanken auf OCI
    • Externe Datenbanken (über Telemetrie):
      • Von Enterprise Manager verwaltete Datenbanken
      • Von OCI Management Agent verwaltete Datenbanken
    • MySQL-Datenbanken
      • HeatWave MySQL Database-Systeme
      • Externe MySQL Database-Systeme
  • Compute-Instanzen und Hosts
    • Berechnet Instanzen auf OCI
    • Externe Hosts (per Telemetrie):
      • Von Enterprise Manager verwaltete Hosts
      • Von OCI Management Agent verwaltete Hosts
  • Exadata
    • Exadata-Systeme (Telemetrie über Enterprise Manager)
    • Exadata Database Service on Dedicated Infrastructure (ExaDB-D)
  • Infoberichte
Um die spezifischen Policys einzurichten, stellen Sie zunächst sicher, dass die erforderlichen Buckets in den zu verwendenden Compartments erstellt wurden, und führen Sie die folgenden Schritte aus:
  1. Klicken Sie auf der Überblickseite für Ops Insights oben rechts auf Policy Advisor. Dadurch wird der Policy Advisor-Assistent gestartet.
  2. Auf der Registerkarte Ressourcenzugriff werden die Namen der Services angezeigt, für die Policys angewendet werden müssen, damit Ops Insights funktioniert. Wählen Sie den Service aus, den Sie bearbeiten möchten, und klicken Sie auf die Schaltfläche Konfigurieren.
  3. Wählen Sie im Fenster "Voraussetzungen für Ops Insights-Service" die Benutzergruppen aus, deren Policy-Zugriff geändert werden muss
    1. Klicken Sie auf + Benutzergruppe hinzufügen, um Benutzergruppen hinzuzufügen. Aktivieren Sie alle erforderlichen Gruppen, und markieren Sie, ob Administratorzugriff oder Benutzerzugriff erforderlich ist. Klicken Sie nach Abschluss auf Auswählen.
    2. Um Benutzergruppen zu entfernen, wählen Sie die drei Punkte rechts neben einer Benutzergruppe mit Zugriff aus, und wählen Sie Entfernen aus. Dadurch wird sie aus der Tabelle entfernt.
  4. Im Fenster "Ausgewählte Servicevoraussetzungen" werden jetzt die von Ihnen konfigurierten Benutzergruppen und Zugriffsebenen angezeigt. Rechts neben dieser Tabelle wählen Sie die Compartments aus, auf die die Benutzergruppen zugreifen können.
    1. Um Compartments hinzuzufügen, klicken Sie auf das Textfeld und wählen die entsprechenden Compartments aus.
    2. Um Compartments zu entfernen, klicken Sie auf das X rechts neben jedem Compartment.
    Wenn alle Compartments geändert wurden, klicken Sie auf Änderungen in der Vorschau anzeigen und anwenden.
  5. Im Fenster "Vollständige Voraussetzungen" können Sie eine Vorschau der Policy-Anweisungen anzeigen, die angewendet werden. Dabei werden die ersten zu löschenden Anweisungen und die Policy-Anweisungen angezeigt, die angewendet werden. Klicken Sie auf Weiter, um sie anzuwenden.
  6. Nachdem die Voraussetzungs-Policys angewendet wurden, wird ein grünes Häkchen angezeigt, und klicken Sie zum Abschluss auf Schließen. Die erforderlichen Policys wurden angewendet.

Service-Principal-Policy entfernen

Es ist die Best Practice von Oracle, dass ein OCI-Service niemals mit einem Service-Principal auf die OCI-Ressource eines Kunden zugreifen darf, da dies ein potenzielles Sicherheitsrisiko darstellt. Ops Insights veraltet ab dem 31. August 2025 Service-Principal-System-Policys, die ein Sicherheitsrisiko darstellen.

Wenn veraltete Policys erkannt werden, zeigt Policy Advisor oben auf der Seite ein Banner an, das eine Policy-Aktualisierung im neuen CRISP-Format erfordert. Um die vorhandenen veralteten Policys zu aktualisieren, klicken Sie auf Schaltfläche "Voraussetzungs-Policys aktualisieren". Zusätzliche Symbole für Warnung werden neben den einzelnen Policy-Gruppen angezeigt, die veraltete Anweisungen enthalten. Die Schaltfläche Konfigurieren wird für alle Gruppen deaktiviert, die veraltete Anweisungen enthalten, bis Policy-Upgrades durchgeführt wurden.

Ops Insight-Policys, die Sie in Ihren Mandanten schreiben müssen:
Veraltete Service-Principal-Policy Neue Policy
allow service operations-insights to read secret-family in compartment ABC where target.vault.id = 'Vault OCID' allow any-user to read secret-family in tenancy where ALL{request.principal.type='opsidatabaseinsight', target.vault.id = 'Vault OCID'}
allow service operations-insights to read autonomous-database-family in compartment XYZ where {request.operation='GenerateAutonomousDatabaseWallet'} allow any-user to read autonomous-database-family in compartment XYZ where ALL{request.principal.type='opsidatabaseinsight', request.operation='GenerateAutonomousDatabaseWallet'}
allow group <group name> to inspect ons-topic in compartment <compartment-name>

allow service operations-insights to use ons-topic in tenancy

 allow any-user to use ons-topics in compartment {compartment} where ALL{request.principal.type='opsinewsreport'}