Oracle Cloud Infrastructure-Dokumentation

Policys mit Policy Advisor erstellen und verwalten

Mit Policy Advisor können Sie OCI-Berechtigungen schnell für Ressourcen einrichten, damit diese für Ops Insights aktiviert werden. Policy Advisor ist ein zentraler Speicherort, an dem Sie Policys anzeigen, erstellen, aktualisieren und löschen können, die für Ops Insights erforderlich sind.

Policy Advisor automatisiert das Erstellen der folgenden Policys:
  • Policys, die von Benutzern von Ops Insights benötigt werden (sowohl Administratoren als auch schreibgeschützte Benutzer).
  • Policys, die vom Ops Insights-Service benötigt werden, um ordnungsgemäß zu funktionieren.
  • Richtlinien zum Einrichten des Demomodus (optional).
Hinweis

Die any-user-Policys sind Resource-Principal-Policys, die vom Ops Insights-Service benötigt werden. Policys, die group {name} enthalten, sind vom Benutzer erforderlich, der versucht, den Service zu aktivieren

Ops Insights unterstützt ab dem 31. August 2025 Service-Principal-System-Policys, die ein Sicherheitsrisiko darstellen. Weitere Informationen finden Sie unter Entfernen der Service-Principal-Policy.

Erforderliche Policys für Ops Insights einrichten

Als Administrator mit der Möglichkeit, Policys im Root Compartment zu erstellen, führen Sie die folgenden Schritte aus, um die erforderlichen Voraussetzungs-Policys mit Policy Advisor einzurichten:
  1. Klicken Sie auf der Seite "Ops Insights - Überblick" oben rechts auf Policy Advisor. Dadurch wird der Policy Advisor-Assistent gestartet.
  2. Klicken Sie unter Ressourcenzugriff auf die Schaltfläche Konfigurieren für Ops Insights. Diese Policys stellen die erforderlichen Voraussetzungen für die Nutzung des Ops Insights-Service bereit.
  3. Wählen Sie im Fenster "Voraussetzungen für Ops Insights-Service" die Benutzergruppen aus, die auf die erforderlichen Policys zugreifen müssen, und klicken Sie auf + Benutzergruppe hinzufügen. Markieren Sie alle erforderlichen Gruppen, und markieren Sie, ob Administratorzugriff oder Benutzerzugriff erforderlich ist. Klicken Sie nach Abschluss auf Auswählen.
  4. Im Fenster "Voraussetzungen für Ops Insights-Service" werden jetzt die von Ihnen konfigurierten Benutzergruppen und Zugriffsebenen angezeigt. Wählen Sie rechts neben dieser Tabelle die Compartments aus, auf die die Benutzergruppe zugreifen kann. Wenn alle Compartments hinzugefügt wurden, klicken Sie auf Vorschau anzeigen und Änderungen anwenden.
  5. Im Fenster "Voraussetzungen abschließen" können Sie eine Vorschau der Policy-Anweisungen anzeigen, die angewendet werden. Klicken Sie auf Weiter, um sie anzuwenden.
  6. Nachdem die erforderlichen Policys angewendet wurden, wird ein grünes Häkchen angezeigt, und klicken Sie auf Schließen, um den Vorgang abzuschließen. Die erforderlichen Policys wurden angewendet.

Policys für Ops Insights-Services einrichten und verwalten

Mit Policy Advisor können Sie die erforderlichen Policys für bestimmte Telemetrietypen und Ressourcentypen erteilen und ändern, die mit Ops Insights aus Ihrer Umgebung analysiert werden müssen, sowohl für die Benutzergruppe, die diese Aktion ausführt, als auch für den Service selbst.

Im Folgenden finden Sie eine Liste der Telemetrie- und Ressourcentypen, deren Policys über Policy Advisor verwaltet werden können:
  • Datenbanken
    • Autonome KI-Datenbanken auf OCI
    • Bare-Metal-, VM- und Exa-DB-Datenbanken auf OCI
    • Externe Datenbanken (über Telemetrie):
      • Von Enterprise Manager verwaltete Datenbanken
      • Von OCI Management Agent verwaltete Datenbanken
    • MySQL-Datenbanken
      • MySQL HeatWave-Datenbanksysteme
      • Externe MySQL Database-Systeme
  • Compute-Instanzen und Hosts
    • Berechnet Instanzen auf OCI
    • Externe Hosts (über Telemetrie):
      • Von Enterprise Manager verwaltete Hosts
      • Von OCI Management Agent verwaltete Hosts
  • Exadata
    • Exadata-Kostenmanagement
    • Exadata-Systeme (Telemetrie über Enterprise Manager)
    • Exadata Database Service on Dedicated Infrastructure (ExaDB-D)
  • Infoberichte
Um die spezifischen Policys einzurichten, stellen Sie zunächst sicher, dass die erforderlichen Buckets in den zu verwendenden Compartments erstellt wurden, und führen Sie die folgenden Schritte aus:
  1. Klicken Sie auf der Seite "Ops Insights - Überblick" oben rechts auf Policy Advisor. Dadurch wird der Policy Advisor-Assistent gestartet.
  2. Auf der Registerkarte Ressourcenzugriff werden die Namen der Services angezeigt, für die Policys angewendet werden müssen, damit Ops Insights funktioniert. Wählen Sie den Service, den Sie bearbeiten möchten, und klicken Sie auf die Schaltfläche Konfigurieren.
  3. Wählen Sie im Fenster "Voraussetzungen für Ops Insights-Service" die Benutzergruppen aus, deren Policy-Zugriff geändert werden muss
    1. Um Benutzergruppen hinzuzufügen, klicken Sie auf + Benutzergruppe hinzufügen. Markieren Sie alle erforderlichen Gruppen, und markieren Sie, ob Administratorzugriff oder Benutzerzugriff erforderlich ist. Klicken Sie nach Abschluss auf Auswählen.
    2. Um Benutzergruppen zu entfernen, wählen Sie die drei Punkte rechts neben einer Benutzergruppe aus, die Zugriff hat, und wählen Sie Entfernen aus. Dadurch wird sie aus der Tabelle entfernt.
  4. Im ausgewählten Fenster für Servicevoraussetzungen werden jetzt die von Ihnen konfigurierten Benutzergruppen und Zugriffsebenen angezeigt. Wählen Sie rechts neben dieser Tabelle die Compartments aus, auf die Benutzergruppen zugreifen können.
    1. Um Compartments hinzuzufügen, klicken Sie auf das Textfeld und wählen Sie die entsprechenden Compartments aus.
    2. Um Compartments zu entfernen, klicken Sie auf das X rechts neben jedem Compartment.
    Wenn alle Compartments geändert wurden, klicken Sie auf Vorschau anzeigen und Änderungen anwenden.
  5. Im Fenster "Voraussetzungen abschließen" können Sie eine Vorschau der Policy-Anweisungen anzeigen, die angewendet werden. Dabei werden die ersten zu löschenden Anweisungen und die angewendeten Policy-Anweisungen angezeigt. Klicken Sie auf Weiter, um sie anzuwenden.
  6. Nachdem die erforderlichen Policys angewendet wurden, wird ein grünes Häkchen angezeigt, und klicken Sie auf Schließen, um den Vorgang abzuschließen. Die erforderlichen Policys wurden angewendet.

Service-Principal-Policy entfernen

Es ist die Best Practice von Oracle, dass ein OCI-Service niemals mit einem Service-Principal auf die OCI-Ressource eines Kunden zugreifen darf, da dies ein potenzielles Sicherheitsrisiko darstellt. Ops Insights unterstützt ab dem 31. August 2025 Service-Principal-System-Policys, die ein Sicherheitsrisiko darstellen.

Wenn veraltete Policys erkannt werden, zeigt Policy Advisor oben auf der Seite ein Banner an, das eine Policy-Aktualisierung im neuen CRISP-Format erfordert. Um die vorhandenen veralteten Policys zu aktualisieren, klicken Sie auf die Schaltfläche "Voraussetzungs-Policys aktualisieren". Zusätzliche Symbole für Warnung werden neben den einzelnen Policy-Gruppen angezeigt, die veraltete Anweisungen enthalten. Die Schaltfläche Konfigurieren wird für alle Gruppen mit veralteten Anweisungen deaktiviert, bis Policy-Upgrades durchgeführt wurden.

Ops Insight-Policys, die Sie in Ihren Mandanten schreiben müssen:
Veraltete Service-Principal-Policy Neue Police
allow service operations-insights to read secret-family in compartment ABC where target.vault.id = 'Vault OCID' allow any-user to read secret-family in tenancy where ALL{request.principal.type='opsidatabaseinsight', target.vault.id = 'Vault OCID'}
allow service operations-insights to read autonomous-database-family in compartment XYZ where {request.operation='GenerateAutonomousDatabaseWallet'} allow any-user to read autonomous-database-family in compartment XYZ where ALL{request.principal.type='opsidatabaseinsight', request.operation='GenerateAutonomousDatabaseWallet'}