Oracle Cloud Infrastructure-Dokumentation

Policys mit der Konsole erstellen

Es wird dringend empfohlen, Policy Advisor immer beim Einrichten von Policys zu verwenden, um Benutzerfreundlichkeit und ordnungsgemäße Konfiguration sicherzustellen. Wenn Ihre Umgebung jedoch eine umfassendere Zugriffskontrolle erfordert oder die Policys selbst manuell erteilt werden, können diese über die Konsole durchgeführt werden.

Hinweis

Die any-user-Policys sind Resource-Principal-Policys, die vom Ops Insights-Service benötigt werden. Policys, die group opsi-admins enthalten, sind vom Benutzer erforderlich, der versucht, den Service zu aktivieren

Ops Insights unterstützt ab dem 31. August 2025 Service-Principal-System-Policys, die ein Sicherheitsrisiko darstellen. Weitere Informationen finden Sie unter Entfernen der Service-Principal-Policy.

Administrator-Policys erstellen

Benutzer können Ops Insights nur verwenden, wenn ihrer Gruppe die erforderlichen Berechtigungen erteilt wurden. Damit der Administrator opsiadmin Ops Insights für seine gesamte Ressourcenflotte aktivieren/ deaktivieren und auf alle Analysedaten zugreifen kann, müssen Sie eine Identitäts-Policy erstellen, um der Benutzergruppe opsi-admin Berechtigungen zu erteilen.
Hinweis

Alle Policys können auf Compartment-Ebene geschrieben werden, mit Ausnahme des Ops Insights-Warehouse/AWR-Hubs, für den die Root-/Mandantenebene erforderlich ist.
  1. Melden Sie sich bei der Konsole als Mandantenadministrator an. Öffnen Sie das Navigationsmenü, und klicken Sie unter Governance und Administration auf Identität und Policys.
  2. Verwenden Sie die Anweisungen unter Policy erstellen, und geben Sie der Policy einen sinnvollen Namen. Beispiel: opsi-admin-policy.
  3. Fügen Sie die folgende Policy-Anweisung hinzu, damit die Gruppe Ops Insights aktivieren/deaktivieren oder einen Management Agent-Host oder eine von Enterprise Manager verwaltete Datenbank erstellen/aktivieren oder Tags zu allen Ops Insights-Ressourcen aktualisieren/hinzufügen kann. Beispiel: Wenn Ihre Admin-Gruppe den Namen opsi-admin hat und Sie diese Policy auf der Ebene Mandant hinzufügen möchten, fügen Sie Folgendes hinzu: 
    Allow group opsi-admins to manage opsi-family in tenancy
Allow group opsi-admins to manage management-dashboard-family in tenancy
    Beachten Sie, dass Policys auch auf Compartment-Ebene erstellt werden können.

    Weitere Details zu Policys für die Verwendung von Dashboards finden Sie unter Details zum Management-Dashboard.

  4. Je nachdem, welche Ressourcen Sie aktivieren, fügen Sie die folgenden Policys hinzu:
    Aktivierung Policys Details
    Autonome Datenbanken - grundlegende Features Allow group opsi-admins to use autonomous-database-family in tenancy Grundlegende Features umfassen Capacity Planning.
    Autonome Datenbanken - vollständige Features Allow group opsi-admins to use autonomous-database-family in tenancy

    Allow group opsi-admins to manage virtual-network-family in tenancy

    Allow group opsi-admins to read secret-family in tenancy

    Allow group opsi-admins to read secret-family in tenancy

    Allow any-user to read secret-family in tenancy where ALL{ target.vault.id = 'mydbVault', request.principal.type = 'opsidatabaseinsight'}

    Allow any-user to read autonomous-database-family in tenancy where ALL{request.operation='GenerateAutonomousDatabaseWallet'}

    Zu den vollständigen Funktionen gehören derzeit SQL Explorer und ADDM Spotlight.

    Beim Erstellen der Reverse-Verbindung des privaten Endpunkts ist ein virtueller Netzwerkzugriff erforderlich.

    Zum Lesen des Datenbankbenutzerkennworts aus dem OCI-Vault ist ein Secret-Familienzugriff erforderlich, um Datenerfassungen für die Datenbank auszuführen.

    Für die Verbindung über mTLS mit der Datenbank ist eine Berechtigung zur Wallet-Generierung erforderlich.

    Siehe auch Autonome Datenbanken aktivieren & Unterstützung für vollständige Features.

    Hinweis

    Ops Insights enthält veraltete Service-Principal-System-Policys. Weitere Informationen finden Sie unter Entfernen von Service-Principal-Policys.
    Autonome Datenbanken auf Exadata Cloud@Customer

    Allow group opsi-admins to use database-family in compartment ExaCCadbCompartment

    Allow group opsi-admins to manage management-agents in compartment ExaCCadbCompartment

    Allow group opsi-admins to manage management-agents-named-credentials in compartment ExaCCadbCompartment

    Allow group opsi-admins to read secret-family in compartment ExaCCadbCompartment where any { target.vault.id = '{groupVaultId}' }

    Allow any-user to read database-family in compartment {compartment1} where ALL { request.principal.type = 'opsidatabaseinsight' }

    Allow any-user to read database-family in tenancy where ALL { request.principal.type = 'managementagent', request.operation = 'GenerateAutonomousDatabaseWallet' }

    Allow any-user to read secret-family in tenancy where ALL { request.principal.type = 'managementagent', target.vault.id = '{vaultId}' }

    		 Der Zugriff auf Ops Insights erfolgt über den Management Agent, der Zugriff auf das Datenbankkennwort im Vault sowie das Autonomous Database-Wallet benötigt, wenn mTLS verwendet wird.

    Der Zugriff auf die Datenbankfamilie und die autonome Datenbankfamilie ist erforderlich, um sicherzustellen, dass aktuelle Konfigurationsdaten in Ops Insights verfügbar sind.
    Bare-Metal, VMs und ExaDB-D-Datenbanken

    Allow group opsi-admins to use database-family in tenancy

    Allow group opsi-admins to manage virtual-network-family in tenancy

    Allow group opsi-admins to read secret-family in tenancy

    Allow any-user to read secret-family in tenancy where ALL{ target.vault.id = 'mydbVault', request.principal.type = 'opsidatabaseinsight'}

    		 Der Zugriff auf Ops Insights erfolgt über einen privaten Endpunkt.

    Beim Erstellen der Reverse-Verbindung des privaten Endpunkts ist ein virtueller Netzwerkzugriff erforderlich.

    Zum Lesen des Datenbankbenutzerkennworts aus dem OCI-Vault ist ein Secret-Familienzugriff erforderlich, um Datenerfassungen für die Datenbank auszuführen.

    Hinweis

    Ops Insights enthält veraltete Service-Principal-System-Policys. Weitere Informationen finden Sie unter Entfernen von Service-Principal-Policys.
    Exadata Database Service on Cloud@Customer-Datenbanken Allow group opsi-admins to read database-family in compartment ExaCCdbCompartment

    Allow group opsi-admins to read dbmgmt-family in compartment ExaCCdbCompartment

    Allow group opsi-admins to read secret-family in compartment SecretCompartment where any { target.vault.id = 'VaultOCID' }

    Allow any-user to read database-family in tenancy where ALL { request.principal.type = 'opsiexadatainsight' }

    Allow group opsi-admins to manage management-agents in compartment AgentCompartment

    		 Der Zugriff auf Ops Insights erfolgt über den Management Agent.

    Der Zugriff auf die Datenbankfamilie ist erforderlich, um sicherzustellen, dass aktuelle Konfigurationsdaten in Ops Insights verfügbar sind.

    Zum Lesen des Datenbankbenutzerkennworts aus dem OCI-Vault ist ein Secret-Familienzugriff erforderlich, um Datenerfassungen für die Datenbank auszuführen.
    Exadata Database Service (mit ADB) auf dedizierter Infrastruktur

    Allow group opsi-admins to use database-family in compartment ExaDBdbCompartment

    Allow group opsi-admins to use autonomous-database-family in compartment ExaDSdbCompartment

    Allow group opsi-admins to manage virtual-network-family in compartment ExaDBdbCompartment

    Allow group opsi-admins to read secret-family in compartment ExaDSdbCompartment where any { target.vault.id = '{groupVaultId}' }

    Allow any-user to read database-family in compartment SecretCompartment where ALL { request.principal.type = 'opsiexadatainsight' }

    Allow any-user to read autonomous-database-family in compartment ExaDBdbCompartment where ALL { request.principal.type = 'opsidatabaseinsight' }

    Allow any-user to read database-family in tenancy where ALL { request.principal.type = 'opsidatabaseinsight', request.operation = 'GenerateAutonomousDatabaseWallet' }

    Allow any-user to read secret-family in tenancy where ALL { request.principal.type = 'opsidatabaseinsight', target.vault.id = '{vaultId}' }

    		 Der Zugriff auf Ops Insights erfolgt über einen privaten Endpunkt.

    Der Zugriff auf die Datenbankfamilie und die autonome Datenbankfamilie ist erforderlich, um sicherzustellen, dass aktuelle Konfigurationsdaten in Ops Insights verfügbar sind.

    Für das Onboarding eines vollständigen ExaDB-D-Systems mit autonomen VM-Clustern.
    Exadata Database Service (mit ADB) auf Cloud@Customer

    Allow group opsi-admins to use database-family in compartment ExaCCadbCompartment

    Allow group opsi-admins to use autonomous-database-family in compartment ExaCCadbCompartment

    Allow group opsi-admins to manage management-agents in compartment AgentCompartment

    Allow group opsi-admins to manage management-agents-named-credentials in compartment AgentCompartmentt

    Allow group opsi-admins to read secret-family in compartment SecretCompartment} where any { target.vault.id = '{groupVaultId}' }

    Allow any-user to read database-family in compartment {compartment1} where ALL { request.principal.type = 'opsiexadatainsight' }

    Allow any-user to read autonomous-database-family in compartment ExaCCadbCompartment where ALL { request.principal.type = 'opsidatabaseinsight' }

    Allow any-user to read database-family in tenancy where ALL { request.principal.type = 'managementagent', request.operation = 'GenerateAutonomousDatabaseWallet' }

    Allow any-user to read secret-family in tenancy where ALL { request.principal.type = 'managementagent', target.vault.id = '{vaultId}' }

    		 Der Zugriff auf Ops Insights erfolgt über den Management Agent, der Zugriff auf das Datenbankkennwort im Vault sowie das Autonomous Database-Wallet benötigt, wenn eine mTLS-Verbindung verwendet wird.

    Der Zugriff auf die Datenbankfamilie und die autonome Datenbankfamilie ist erforderlich, um sicherzustellen, dass aktuelle Konfigurationsdaten in Ops Insights verfügbar sind.

    Zum Onboarding des vollständigen ExaDB-C@C-Systems mit autonomen VM-Clustern.
    Externe Datenbanken, Hosts und Engineered Systems mit Oracle Enterprise Manager

    Allow dynamic-group opsienterprisemanagerbridge to read object-family in compartment MyBucketCompartment where ANY (target.bucket.name='embridge-bucket')

    Allow group opsi-admins to inspect object-family in tenancy

    		 Enterprise Manager ist eine On-Premises-Managementlösung von Oracle, die in OCI-Services integriert und Daten gemeinsam verwendet werden kann. Sie müssen eine dynamische Gruppe erstellen, um auf die Daten in einem Object Storage-Compartment zuzugreifen. Beispiel: ALL {resource.type='opsienterprisemanagerbridge'}

    Wenn Sie Datenbanken aktivieren, die von Enterprise Manager verwaltet werden (Datenbanken und Hosts), werden die vollständigen Policy-Details unter Enterprise Manager-Ziele hinzufügen angezeigt.

    Externe Datenbanken und Hosts mit dem OCI Management Agent

    Allow group opsi-admins to use external-database-family in tenancy

    Allow group opsi-admins to manage management-agent-install-keys in tenancy

    		 Ressourcen außerhalb von OCI, wie On-Premise-Datenbanken, die nicht von Enterprise Manager verwaltet werden, erfordern einen Management Agent. Informationen zum Aktivieren von Datenbanken, die mit einem Management Agent verwaltet werden, finden Sie auch unter Management Agent-Policys.
    HeatWave MySQL Database-Systeme Allow group opsi-admins to manage mysql-family in tenancy Ops Insights unterstützt nur die primäre Instanz. Failover-Instanzen und schreibgeschützte Replikate werden derzeit nicht unterstützt.
    Externe MySQL Database-Systeme Allow group opsi-admins to read secret-family in tenancy

    Allow group opsi-admins to read management-agents in tenancy

    Allow group opsi-admins to use dbmgmt-mysql-family in compartment {dbSystemCompartment}

    Allow any-user to read secret-family in tenancy where ALL { request.principal.type = 'opsidatabaseinsight', target.vault.id = 'mydbVault' }

    		 Externe MySQL-Datenbanksysteme, die On Premise bereitgestellt und mit einer Ressource im Database Management-Service verbunden sind.
    OCI-Compute-Instanzen

    Allow group opsi-admins to manage management-agents in tenancy

    Allow group opsi-admins to manage instance-family in tenancy

    Allow group opsi-admins to read instance-agent-plugins in tenancy

    Allow any-user to use instance-family in compartment OCICompartment where ALL { request.principal.type = 'opsihostinsight' }

    Allow any-user to read instance-family in compartment OCICompartment where ALL { request.principal.type = 'opsihostinsight' }

    Allow any-user to manage management-agents in compartment OCICompartment where ALL { request.principal.type = 'opsihostinsight' }

    		 Diese Instanzen können mit Management Agents aktiviert werden. Siehe auch die speziellen Policys unter Management-Agents auf Compute-Instanzen bereitstellen.
    AWR-Hub (Leistungsdaten aus dem Oracle Database Automatic Workload Repository) ADB-S: Allow dynamic-group OPSI_AWR_Hub_Dynamic_Group to manage opsi-awr-hub-sources in tenancy

    ADB-D und externe Datenbanken: Allow group opsi-admins to use opsi-awr-hub-sources in tenancy

    Legacy-Richtlinie: Allow opsi-admins to manage opsi-family in tenancy

    Beachten Sie, dass beim Erstellen eines AWR-Hubs zusätzliche Policys erforderlich sind. Sie können diese über den geführten Erstellungsprozess hinzufügen.

    Vollständige Details finden Sie unter AWR-Performancedaten (Automatic Workload Repository) analysieren.

    Exadata-Warehouse nicht zutreffend Exadata Warehouse ist ein Repository mit Daten aus On-Premise- und Cloud-basierten Oracle Engineered Systems, die von Enterprise Manager überwacht werden. Siehe Exadata-Warehouse.
    Infoberichte Allow any-user to use ons-topics in compartment NewsReportsDBs where ALL{request.principal.type='opsinewsreport'} Der Nachrichtenbericht generiert wöchentliche E-Mail-Berichte über Ihre von OPSI überwachte Flotte mit ONS (Oracle Notification Services). Siehe: Newsberichte.
  5. Klicken Sie auf Erstellen.

Nicht-Administrator-Policys erstellen

Benutzer können Ops Insights nur verwenden, wenn ihrer Gruppe die erforderlichen Berechtigungen erteilt wurden. Damit der Benutzer opsiuser Ops Insights nur für autonome Datenbanken in seinem Mandanten aktivieren/ deaktivieren kann, müssen Sie eine Identitäts-Policy erstellen, um dem Benutzer opsi-users die entsprechenden Gruppenberechtigungen zu erteilen.

  1. Melden Sie Sich bei der Konsole als Mandantenadministrator an, und navigieren Sie zu Governance und Administration, Identität, und klicken Sie auf Policys.
  2. Befolgen Sie die Anweisungen unter So erstellen Sie eine Policy, und geben Sie der Policy einen aussagekräftigen Namen. Beispiel: opsi-user-policy.
  3. Fügen Sie eine Policy-Anweisung hinzu, um der Gruppe das Aktivieren/Deaktivieren von Ops Insights zuzulassen. Beispiel: Fügen Sie für die Gruppe opsi-users Folgendes hinzu:
    Allow group opsi-users to use opsi-family in tenancy
Allow group opsi-users to read management-dashboard-family in tenancy
  4. Klicken Sie auf Erstellen.

Weitere Informationen zum fein granulierten Kontrollzugriff auf Ops Insights finden Sie unter Details zu Ops Insights.

Service-Principal-Policy entfernen

Es ist die Best Practice von Oracle, dass ein OCI-Service niemals mit einem Service-Principal auf die OCI-Ressource eines Kunden zugreifen darf, da dies ein potenzielles Sicherheitsrisiko darstellt. Ops Insights veraltet ab dem 31. August 2025 Service-Principal-System-Policys, die ein Sicherheitsrisiko darstellen.

Wenn veraltete Policys erkannt werden, zeigt Policy Advisor oben auf der Seite ein Banner an, das eine Policy-Aktualisierung im neuen CRISP-Format erfordert. Um die vorhandenen veralteten Policys zu aktualisieren, klicken Sie auf Schaltfläche "Voraussetzungs-Policys aktualisieren". Zusätzliche Symbole für Warnung werden neben den einzelnen Policy-Gruppen angezeigt, die veraltete Anweisungen enthalten. Die Schaltfläche Konfigurieren wird für alle Gruppen deaktiviert, die veraltete Anweisungen enthalten, bis Policy-Upgrades durchgeführt wurden.

Wenn Sie Policys manuell über die Konsole erstellen und bearbeiten, müssen die folgenden Service-Principal-Policys in Ihrer Umgebung geändert werden:
Veraltete Service-Principal-Policy Neue Policy
Allow service operations-insights to read secret-family in compartment ABC where target.vault.id = 'Vault OCID' Allow any-user to read secret-family in tenancy where ALL{request.principal.type='opsidatabaseinsight', target.vault.id = 'Vault OCID'}
Allow service operations-insights to read autonomous-database-family in compartment XYZ where {request.operation='GenerateAutonomousDatabaseWallet'} Allow any-user to read autonomous-database-family in compartment XYZ where ALL{request.principal.type='opsidatabaseinsight', request.operation='GenerateAutonomousDatabaseWallet'}
Allow group <group name> to inspect ons-topic in compartment <compartment-name>

Allow service operations-insights to use ons-topic in tenancy

 Allow any-user to use ons-topics in compartment {compartment} where ALL{request.principal.type='opsinewsreport'}