Oracle Cloud Infrastructure-Dokumentation

OS Management Hub-Policys manuell erstellen

Bei OS Management Hub müssen Sie angeben, welche Ressourcen der Service verwalten kann und welche Benutzer diese Ressourcen verwalten können.

Um OS Management Hub zu aktivieren, definieren Sie Folgendes:

Wichtig

Um das Feature Ressourcen-Discovery und -monitoring zu aktivieren, müssen Sie zusätzlich zu den in den folgenden Abschnitten beschriebenen Policys konfigurieren. Siehe Erste Schritte mit Resource Discovery and Monitoring.

Sie können IAM-Policys auf verschiedene Arten konfigurieren. In den folgenden Abschnitten wird beschrieben, wie Sie die IAM-Policy-Anweisungen für eine Gruppe von OS Management Hub-Administratoren mit einer dynamischen Gruppe von Ressourcen festlegen. Weitere Anwendungsfälle für Nicht-Administratoren finden Sie unter Beispiel-Policys.

Tipp

Anstatt Gruppen und Policy-Anweisungen manuell zu erstellen, verwenden Sie den Policy Advisor, um OS Management Hub schnell für ein Compartment zu aktivieren.

Benutzergruppe

Erstellen Sie eine Benutzergruppe (z.B. osmh-admins), oder identifizieren Sie eine vorhandene Benutzergruppe zur Verwaltung des OS Management Hub-Service im Mandanten. Die erforderlichen Policy-Anweisungen erteilen dieser Administratorbenutzergruppe dann die Möglichkeit, OS Management Hub-Ressourcen zu verwalten.

Wenn Sie den Zugriff weiter einschränken müssen, können Sie zusätzliche Benutzergruppen erstellen und restriktivere Policy-Anweisungen festlegen, um den Zugriff auf bestimmte Ressourcen einzuschränken. Anwendungsfälle für Nicht-Administratoren finden Sie unter Beispiel-Policys. Weitere Informationen zu Benutzergruppen finden Sie unter Gruppen verwalten.

Dynamische Gruppe

Erstellen Sie eine dynamische Gruppe (z.B. osmh-instances), um die von OS Management Hub verwalteten Ressourcen anzugeben, indem Sie Regelanweisungen für OCI- und On-Premise- oder Cloud-Instanzen von Drittanbietern (nicht OCI) definieren.

Beachten Sie Folgendes:

Was bewirkt die dynamische Gruppe?

Die dynamische Gruppe identifiziert die Instanzen, die OS Management Hub verwaltet. Sie fügen Regelanweisungen für die Compartments und Sub-Compartments hinzu, die Instanzen enthalten, die vom Service verwaltet werden sollen. Die dynamische Gruppe wird basierend auf diesen Regelanweisungen dynamisch vergrößert und verkleinert. Wenn Instanzen bereitgestellt oder eingestellt werden, ändert sich die dynamische Gruppe entsprechend. Die erforderlichen Policy-Anweisungen erteilen dann OS Management Hub die Möglichkeit, auf die Instanzen innerhalb der dynamischen Gruppe zuzugreifen.

Weitere Informationen zu dynamischen Gruppen finden Sie unter Dynamische Gruppen verwalten.

Warum gibt es verschiedene Anweisungen für OCI und Nicht-OCI?

Jeder Instanztyp verwendet einen anderen Agent, der einem anderen Ressourcenobjekt entspricht.

  • OCI-Instanzen verwenden den Oracle Cloud Agent (OCA), sodass die OCI-Anweisung instance-Ressourcen in einem Compartment angibt.

  • On-Premise- und Cloud-Instanzen von Drittanbietern verwenden Management Agent Cloud Service (MACS), sodass die Nicht-OCI-Anweisung managementagent-Ressourcen in einem Compartment angibt. Jede Management Agent-Ressource entspricht einer Nicht-OCI-Instanz. Wenn Sie also den Management Agent in die Gruppe aufnehmen, nehmen Sie die zugehörige Instanz auf.

Siehe auch Agent.

Wann wird ANY und ALL für eine dynamische Gruppe verwendet?

Bevor Sie Regelanweisungen für dynamische Gruppen schreiben, ist es wichtig, den Unterschied zwischen ANY und ALL zu verstehen.

Beim Definieren einer dynamischen Gruppe legen Sie fest, wie die Gruppe mit den in der Gruppe definierten Regeln übereinstimmt:

  • Mit einer der unten definierten Regeln abgleichen umfasst Ressourcen, die mit einer der Regeln in der dynamischen Gruppe übereinstimmen. Wählen Sie diese Option aus, wenn Sie eine Gruppe definieren, die Regeln für mehrere Compartments oder mehrere Instanztypen enthält (wie OCI- und Nicht-OCI-Instanzen). Diese Einstellung weist die Gruppe an, Ressourcen einzuschließen, die Regel 1 ODER Regel 2 ODER Regel 3 usw. entsprechen.
  • Mit allen unten definierten Regeln abgleichen umfasst Ressourcen, die allen Regeln in der dynamischen Gruppe entsprechen. Wählen Sie diese Option aus, wenn Sie eine schmale dynamische Gruppe definieren, die nur ein Compartment enthält. Diese Einstellung weist die Gruppe an, Ressourcen einzuschließen, die Regel 1 UND Regel 2 UND Regel 3 usw. entsprechen.

Wenn Sie einzelne Regelanweisungen innerhalb der dynamischen Gruppe definieren, legen Sie die Bedingungen für jede Anweisung fest:

  • Alle der Folgenden (ALL): Enthält nur Ressourcen, die mit allen Bedingungen in der Regel übereinstimmen. Für ALL-Anweisungen muss jede Bedingung wahr sein. Andernfalls sind keine Ressourcen für die Regel enthalten.

  • Eine der Folgenden (ANY): Enthält Ressourcen, die mit einer der Bedingungen in der Regel übereinstimmen.

Beispiele für ANY und ALL für eine einzelne Regelanweisung

Beachten Sie die Regel, die für Nicht-OCI-Instanzen verwendet wird.

Correct usage:
ALL {resource.type='managementagent', resource.compartment.id='<compartment_ocid>'}

Wenn Sie ALL verwenden, enthält die Regel nur Management Agent-Ressourcen im angegebenen Compartment. Die Anweisung weist die dynamische Gruppe an, Ressourcen einzuschließen, die mit dem Management-Agent-Typ AND im angegebenen Compartment übereinstimmen.

Incorrect usage. Do not use:
ANY {resource.type='managementagent', resource.compartment.id='<compartment_ocid>'}

Wenn Sie ANY verwenden, enthält die Regel jede Management Agent-Ressource im gesamten Mandanten und jede OCI-Ressource, die im angegebenen Compartment vorhanden ist. Die Anweisung enthält zwar die für OS Management Hub erforderlichen Ressourcen, ist jedoch sehr umfangreich und in der Regel nicht vorzuziehen.

Berücksichtigen Sie die Regel, die für OCI-Instanzen verwendet wird, wenn Sie mehrere Compartments angeben.

Correct usage:
ANY {instance.compartment.id='<compartment_ocid>',instance.compartment.id='<subcompartment_ocid>'}

Wenn Sie ANY verwenden, enthält die Regel jede Instanz in jedem der angegebenen Compartments. Die Anweisung weist die dynamische Gruppe an, Instanzen in <compartment_ocid> ODER <subcompartment_ocid> einzuschließen.

Incorrect usage. Do not use:
ALL {instance.compartment.id='<compartment_ocid>',instance.compartment.id='<subcompartment_ocid>'}

Wenn Sie ALL verwenden, weist die Regel die dynamische Gruppe an, Instanzen in <compartment_ocid> UND <subcompartment_ocid> aufzunehmen. Diese Regel enthält keine Instanzen, weil eine Instanz nicht in mehr als einem Compartment gleichzeitig enthalten sein kann. Verwenden Sie ALL nicht mit einer Regelanweisung, die mehrere Compartments angibt.

Dynamische Gruppe erstellen

  1. Führen Sie die Schritte zum Erstellen einer dynamischen Gruppe oder zum Aktualisieren einer vorhandenen dynamischen Gruppe aus, und konfigurieren Sie die Übereinstimmungsregeln wie folgt.

    Tipp

    Verwenden Sie nach Möglichkeit dieselbe dynamische Gruppe über Services hinweg wieder, anstatt neue dynamische Gruppen zu erstellen, da eine einzelne Ressource nur maximal fünf dynamischen Gruppen angehören kann.

  2. Wählen Sie für die allgemeine Abgleichsregeleinstellung Folgendes aus: Übereinstimmung mit unten definierten Regeln.

  3. Erstellen Sie Regelanweisungen für die Instanzen, die von OS Management Hub verwaltet werden.

    Wichtig

    Regeln für dynamische Gruppen verwenden keine Compartment-Vererbung. Sie müssen eine Regelanweisung für jedes Compartment und Sub-Compartment angeben, das Instanzen enthält, die vom Service verwaltet werden sollen.

    Regel für OCI-Instanzen

    Fügen Sie eine Regelanweisung hinzu, die jedes Compartment (und Sub-Compartment) enthält, das Instanzen enthält.

    ANY {instance.compartment.id='<compartment_ocid>',instance.compartment.id='<subcompartment_ocid>'}

    Diese Regel enthält alle OCI-Instanzen in den angegebenen Compartments.

    Regel für Nicht-OCI-Instanzen

    Fügen Sie eine separate Regelanweisung für jedes Compartment (und Sub-Compartment) hinzu, das einen von einer Instanz verwendeten Management Agent enthält.

    ALL {resource.type='managementagent', resource.compartment.id='<compartment_ocid>'}
ALL {resource.type='managementagent', resource.compartment.id='<subcompartment_ocid>'}

    Jede Regelanweisung enthält alle Management Agent-Ressourcen im angegebenen Compartment. Jede Nicht-OCI-Instanz verfügt über eine entsprechende Agent-Ressource. Daher enthält die Anweisung die Nicht-OCI-Instanzen im Compartment.

  4. Wählen Sie Erstellen (bei Erstellung) oder Speichern (bei Aktualisierung).

Policy-Anweisungen

Erstellen Sie eine Policy (wie osmh-policies) mit Anweisungen, mit denen Instanzen sich bei OS Management Hub registrieren können, und Benutzern die Verwaltung und den Betrieb des Service ermöglichen.

Wichtig

Policy-Anweisungen verwenden die Standardidentitätsdomain, es sei denn, Sie definieren die Identitätsdomain vor dem Namen der Gruppe oder dynamischen Gruppe (Beispiel: <identity_domain_name>/<dynamic_group_name>). Weitere Informationen finden Sie unter Policy-Syntax.
Voraussetzungen

Stellen Sie vor dem Erstellen der Policy sicher, dass Sie Folgendes haben:

Policy Builder

Der Policy Builder stellt Vorlagen für allgemeine Policys bereit, die für OS Management Hub verwendet werden. Wählen Sie einen Anwendungsfall aus, und geben Sie dann die erforderlichen Informationen wie dynamische Gruppe oder Compartment ein, um die Policy-Anweisungen abzuschließen. Siehe Policy-Anweisungen mit Policy Builder erstellen.

  1. Befolgen Sie die Schritte unter Policy erstellen mit den folgenden Ausnahmen.
  2. Wählen Sie unter Policy-Anwendungsfälle die Option OS Management Hub aus.
  3. Wählen Sie unter Allgemeine Policy-Vorlagen eine der allgemeinen OS Management Hub-Policys aus.

Allgemeine Policy-Vorlagen

Der Policy Builder stellt die folgenden allgemeinen Policy-Vorlagen für OS Management Hub bereit.

Verwalten von Instanzen in der dynamischen Gruppe durch OS Management Hub zulassen

Zugriffstyp: Ermöglicht dem Service-Agent auf den verwalteten Instanzen die Interaktion mit OS Management Hub.

Wo wird die Policy erstellt: Im Root Compartment.

Policy-Anweisungen: Ersetzen Sie <osmh-instances> durch den Namen der dynamischen Gruppe.

Allow dynamic-group <osmh-instances> to {OSMH_MANAGED_INSTANCE_ACCESS} in tenancy where request.principal.id = target.managed-instance.id
Verwalten von OS Management Hub-Ressourcen im Mandanten durch Benutzer zulassen

Zugriffstyp: Ermöglicht der Admin-Benutzergruppe mit Mandantenzugriff auf:

  • Verwalten Sie alle OS Management Hub-Ressourcen im Mandanten.
  • Erstellen, aktualisieren und löschen Sie Management-Agents, und installieren Sie Schlüssel im Mandanten.

Wo wird die Policy erstellt: Im Root Compartment.

Policy-Anweisungen: Ersetzen Sie <osmh-admins> durch den Namen der Benutzergruppe.

Allow group <osmh-admins> to manage osmh-family in tenancy
Allow group <osmh-admins> to manage management-agents in tenancy
Allow group <osmh-admins> to manage management-agent-install-keys in tenancy
Verwalten von OS Management Hub-Ressourcen in einem Compartment durch Benutzer zulassen

Zugriffstyp: Ermöglicht der Admin-Benutzergruppe mit Compartment-Zugriff auf:

  • Verwalten Sie alle OS Management Hub-Ressourcen in einem Compartment.
  • Lesen Sie Profile und Softwarequellen im Root Compartment. Dies ist erforderlich, um Anbietersoftwarequellen zu replizieren und vom Service bereitgestellte Profile zu verwenden.
  • Erstellen, aktualisieren und löschen Sie Management-Agents, und installieren Sie Schlüssel in einem Compartment.

Wo wird die Policy erstellt: Am einfachsten ist es, diese Policy im Root Compartment zu erstellen. Informationen dazu, wie die Benutzer des einzelnen Compartments die einzelnen Policy-Anweisungen für ihr Compartment selbst kontrollieren können, finden Sie unter Policy-Zuordnung.

Policy-Anweisungen: Ersetzen Sie <osmh-admins> durch den Benutzergruppennamen und <compartment> durch den Compartment-Namen. Verwenden Sie den manuellen Editor, um <tenancy-ocid> durch Ihre Mandanten-OCID zu ersetzen.

Allow group <osmh-admins> to read osmh-profiles in tenancy where target.profile.compartment.id = '<tenancy-ocid>'
Allow group <osmh-admins> to read osmh-software-sources in tenancy where target.softwareSource.compartment.id = '<tenancy-ocid>'
Allow group <osmh-admins> to manage osmh-family in compartment <compartment> 
Allow group <osmh-admins> to manage management-agents in compartment <compartment>
Allow group <osmh-admins> to manage management-agent-install-keys in compartment <compartment>
Lesen von OS Management Hub-Ressourcen im Mandanten durch Benutzer zulassen

Zugriffstyp: Ermöglicht der Benutzergruppe des Operators das Lesen aller OS Management Hub-Ressourcen im Mandanten.

Wo wird die Policy erstellt: Im Root Compartment.

Policy-Anweisungen: Ersetzen Sie <osmh-operators> durch den Namen der Benutzergruppe.

Allow group <osmh-operators> to read osmh-family in tenancy
Lesen von OS Management Hub-Ressourcen in einem Compartment durch Benutzer zulassen

Zugriffstyp: Ermöglicht der Operatorbenutzergruppe das Lesen aller OS Management Hub-Ressourcen in einem Compartment.

Wo wird die Policy erstellt: Am einfachsten ist es, diese Policy im Root Compartment zu erstellen. Informationen dazu, wie die Benutzer des einzelnen Compartments die einzelnen Policy-Anweisungen für ihr Compartment selbst kontrollieren können, finden Sie unter Policy-Zuordnung.

Policy-Anweisungen: Ersetzen Sie <osmh-operators> durch den Benutzergruppennamen und <compartment> durch den Compartment-Namen.

Allow group <osmh-operators> to read osmh-family in compartment <compartment>

Policy-Anweisungen manuell definieren

Wenn Sie den Policy Builder nicht verwenden, können Sie die Policy-Anweisungen manuell definieren. Erstellen Sie eine neue Policy, oder ändern Sie eine vorhandene Policy, um die folgenden Policy-Anweisungen aufzunehmen.

Die folgenden Policy-Anweisungen liefern ein Beispiel dafür, wie Administratoren Zugriff auf den Service gewähren können. Weitere Anwendungsfälle finden Sie unter Beispiel-Policys.

Policy-Anweisungen auf Mandantenebene

Um die erforderliche IAM-Policy auf Mandantenebene anzuwenden, verwenden Sie die folgenden Policy-Anweisungen:

allow dynamic-group <osmh-instances> to {OSMH_MANAGED_INSTANCE_ACCESS} in tenancy where request.principal.id = target.managed-instance.id
allow group <osmh-admins> to manage osmh-family in tenancy

Nehmen Sie die folgenden zusätzlichen Anweisungen bei der Verwaltung von On-Premise- oder Cloud-Instanzen von Drittanbietern auf. Diese sind nicht erforderlich, wenn nur OCI-Instanzen verwaltet werden.

allow group <osmh-admins> to manage management-agents in tenancy
allow group <osmh-admins> to manage management-agent-install-keys in tenancy
Policy-Anweisungen auf Compartment-Ebene (wenn nicht auf Mandantenebene)

Wenn der Mandantenadministrator das Festlegen von IAM-Policys auf Mandantenebene nicht zulässt, können Sie die Verwendung von OS Management Hub-Ressourcen auf ein Compartment und dessen Sub-Compartments einschränken (Policys verwenden die Compartment-Vererbung). Damit Benutzer Hersteller-Softwarequellen replizieren und vom Service bereitgestellte Profile verwenden können, benötigt die Benutzergruppe Lesezugriff auf Profile und Softwarequellen im Root Compartment.

Um die IAM-Policy auf ein Compartment innerhalb des Mandanten anzuwenden, verwenden Sie die folgenden Policy-Anweisungen:

allow dynamic-group <osmh-instances> to {OSMH_MANAGED_INSTANCE_ACCESS} in compartment <compartment_name> where request.principal.id = target.managed-instance.id
allow group <osmh-admins> to manage osmh-family in compartment <compartment_name>
allow group <osmh-admins> to read osmh-profiles in tenancy where target.profile.compartment.id = '<tenancy_ocid>'
allow group <osmh-admins> to read osmh-software-sources in tenancy where target.softwareSource.compartment.id = '<tenancy_ocid>'

Nehmen Sie die folgenden zusätzlichen Anweisungen bei der Verwaltung von On-Premise- oder Cloud-Instanzen von Drittanbietern auf. Diese sind nicht erforderlich, wenn nur OCI-Instanzen verwaltet werden.

allow group <osmh-admins> to manage management-agents in compartment <compartment_name>
allow group <osmh-admins> to manage management-agent-install-keys in compartment <compartment_name>