Policy Advisor verwenden
Mit dem Policy Advisor können Sie OS Management Hub schnell für ein bestimmtes Compartment aktivieren. Der Advisor definiert die erforderlichen Benutzergruppen, dynamischen Gruppen und Policys, die für die Verwendung von OS Management Hub und Ressourcen-Discovery und -monitoring erforderlich sind.
Der Policy Advisor ist nur unter OC1 verfügbar.
Sie müssen den Policy Advisor in jedem Compartment (und untergeordneten Compartment) ausführen, das Sie mit dem Service verwenden möchten.
-
Prüfen Sie, ob Sie die folgenden Berechtigungen haben. Wenn Sie nur über
read
- oderuse
-Berechtigungen verfügen, erhalten Sie einen Fehler bei Autorisierung nicht erfolgreich, wenn Sie den Advisor ausführen.manage dynamic-groups in tenancy
manage groups in tenancy
manage policies in tenancy
- Überblick aus.
- Wählen Sie unter Listengeltungsbereich das Compartment aus, das Sie für OS Management Hub verwenden möchten.
- Wählen Sie Policy Advisor ausführen aus.
- Prüfen Sie die Probleme, die mit den aktuellen Richtlinien und Gruppen identifiziert wurden. Wählen Sie Weiter aus.
- Prüfen Sie die Aktionen, die der Advisor ausführen wird. Wählen Sie Einrichten aus.
- Bestätigen Sie den Vorgang, indem Sie auf Setup klicken.
- Führen Sie den Advisor in anderen Compartments oder untergeordneten Compartments, die den Service verwenden, erneut aus.
- Fügen Sie Benutzer zur Gruppe
osmh-admins
undosmh-operators
hinzu. Siehe Gruppen verwalten.
Warum wurde ein Policy-Fehler erkannt?
Der Policy Advisor prüft auf eine bestimmte Gruppe von Policys und Gruppen (siehe Was erstellt der Policy Advisor?). Die A policy error was detected
-Warnung wird angezeigt, wenn die Policys und Gruppennamen nicht genau mit den Erwartungen des Advisors übereinstimmen.
Wenn Sie bereits Policys eingerichtet haben, haben Sie die Gruppen möglicherweise anders benannt und die Policy-Anweisungen anders definiert als die vom Advisor verwendeten. Wenn OS Management Hub wie erwartet funktioniert, können Sie die Policy-Fehlermeldung ignorieren.
Weitere Informationen finden Sie unter Policy Advisor-Fehlermeldungen.
Kann ich die Warnung verbergen?
Wenn Sie den Service bereits mit Ihren eigenen Gruppen und Policys eingerichtet haben, können Sie die Policy-Problemmeldung ignorieren. Wählen Sie Ausblenden aus, um diese Nachricht im Compartment auszublenden.
Um die Nachricht in allen Compartments auszublenden, wählen Sie auf der Seite Überblick die Option Benutzerkonsoleneinstellungen anzeigen aus.
Was erstellt der Policy Advisor?
Der Advisor definiert die erforderlichen Benutzergruppen (osmh-admins
und osmh-operators
), die dynamische Gruppe (osmh-instances
) und die Policy (osmh-policies
) mit den Anweisungen, die für die Verwendung von OS Management Hub und den zugehörigen Features für Ressourcen-Discovery und -monitoring erforderlich sind.
- Erstellte Ressourcen
-
Ressourcenname Beschreibung osmh-admins
Die Benutzergruppe für Administratoren des Service. Administratoren können alle OS Management Hub-Ressourcen in der aktuellen Domain verwalten. osmh-operators
Die Benutzergruppe für Operatoren des Service. Operatoren können alle OS Management Hub-Ressourcen in der aktuellen Domain anzeigen, aber nicht ändern. osmh-instances
Die dynamische Gruppe von Instanzen, die dynamische Gruppenregeln für OCI- und On-Premise- oder Cloud-Instanzen von Drittanbietern enthält. osmh-policies
Die Policy, die Administratorgruppenanweisungen, Operatorgruppenanweisungen und dynamische Gruppenanweisungen enthält. - Vergleichsregeln für dynamische Gruppe
-
Der Advisor erstellt die folgenden Übereinstimmungsregeln für dynamische Gruppen für die dynamische Gruppe
osmh-instances
.Hinweis
Nur das aktuell ausgewählte Compartment ist in der dynamischen Gruppe enthalten. Dynamische Gruppen unterstützen keine Compartment-Vererbung. Daher müssen Sie den Advisor erneut ausführen in allen untergeordneten Compartments, die Sie einschließen möchten.Dynamische Gruppenregel Beschreibung ALL {instance.compartment.id='<compartment_ocid>'}
Enthält alle OCI-Instanzen im Compartment. ALL {resource.type='managementagent', resource.compartment.id='<compartment_ocid>'}
Enthält alle Management Agent-Ressourcen im Compartment. Mit dem Agent kann OS Management Hub die entsprechenden On-Premise- oder Cloud-Instanzen von Drittanbietern verwalten.
- Policy-Anweisungen für die Administratorgruppe
-
Der Advisor erstellt die folgenden Administratorengruppen-Policy-Anweisungen für
osmh-policies
, mit denenosmh-admins
-Benutzer OS Management Hub-, Management Agent- und Management Agent-Schlüssel im Compartment und in den untergeordneten Compartments verwalten können.Policy-Anweisung für Administratorgruppe Beschreibung Allow group <domain>/osmh-admins to manage osmh-family in compartment <compartment_name>
Ermöglicht der Gruppe
osmh-admins
die Verwaltung aller OS Management Hub-Ressourcen im Compartment und den zugehörigen untergeordneten Compartments.Allow group <domain>/osmh-admins to manage management-agents in compartment <compartment_name>
Ermöglicht der Gruppe
osmh-admins
die Verwaltung von Management-Agents im Compartment und den zugehörigen untergeordneten Compartments (nur für Nicht-OCI-Instanzen).Allow group <domain>/osmh-admins to manage management-agent-install-keys in compartment <compartment_name>
Ermöglicht der Gruppe
osmh-admins
die Verwaltung von Management Agent-Installationsschlüsseln im Compartment und den zugehörigen untergeordneten Compartments (nur für Nicht-OCI-Instanzen).Allow group <domain>/osmh-admins to use appmgmt-family in compartment <compartment_name>
Ermöglicht der Gruppe
osmh-admins
die Verwaltung von Ressourcen-Discovery und Monitoring im Compartment und in den untergeordneten Compartments.Allow group <domain>/osmh-admins to read metrics in compartment <compartment_name>
Ermöglicht der Gruppe
osmh-admins
, Ressourcen-Discovery- und Monitoringmetriken im Compartment und den untergeordneten Compartments anzuzeigen.Allow group <domain>/osmh-admins to read osmh-profiles in tenancy where target.profile.compartment.id = '<tenancy_ocid>'
Wird nur erstellt, wenn Sie das Root Compartment ausgewählt haben. Ermöglicht der Gruppe
osmh-admins
das Lesen von Profilen im Root Compartment.Allow group <domain>/osmh-admins to read osmh-software-sources in tenancy where target.softwareSource.compartment.id = '<tenancy_ocid>'
Wird nur erstellt, wenn Sie das Root Compartment ausgewählt haben. Ermöglicht der Gruppe
osmh-admins
das Lesen von Softwarequellen im Root Compartment. - Policy-Anweisungen für die Operatorgruppe
-
Der Advisor erstellt die folgenden Operatorengruppen-Policy-Anweisungen für
osmh-policies
, mit denenosmh-operators
-Benutzer OS Management Hub-Ressourcen im Compartment und in den untergeordneten Compartments anzeigen können.Policy-Anweisung für Benutzergruppe Beschreibung Allow group <domain>/osmh-operators to read osmh-family in compartment <compartment_name>
Ermöglicht der Gruppe
osmh-operators
, alle OS Management Hub-Ressourcen im Compartment und den zugehörigen untergeordneten Compartments anzuzeigen.Allow group <domain>/osmh-operators to use appmgmt-family in compartment <compartment_name>
Ermöglicht der Gruppe
osmh-operators
, Ressourcen-Discovery- und Monitoringressourcen im Compartment und den untergeordneten Compartments anzuzeigen.Allow group <domain>/osmh-operators to read metrics in compartment <compartment_name>
Ermöglicht der Gruppe
osmh-operators
, Ressourcen-Discovery- und Monitoringressourcen im Compartment und den untergeordneten Compartments anzuzeigen.Allow group <domain>/osmh-operators to read osmh-profiles in tenancy where target.profile.compartment.id = '<tenancy_ocid>'
Wird nur erstellt, wenn Sie das Root Compartment ausgewählt haben. Ermöglicht der Gruppe
osmh-operators
das Lesen von Profilen im Root Compartment.Allow group <domain>/osmh-operators to read osmh-software-sources in tenancy where target.softwareSource.compartment.id = '<tenancy_ocid>'
Wird nur erstellt, wenn Sie das Root Compartment ausgewählt haben. Ermöglicht der Gruppe
osmh-operators
das Lesen von Softwarequellen im Root Compartment. - Policy-Anweisungen für die dynamische Gruppe
-
Der Advisor erstellt die folgenden Policy-Anweisungen für dynamische Gruppen für
osmh-policies
, mit denen verwaltete Instanzen im Compartment mit OS Management Hub und den zugehörigen Features für Ressourcen-Discovery und -monitoring interagieren können.Policy-Anweisung für dynamische Gruppe Beschreibung Allow dynamic-group <domain>/osmh-instances to {OSMH_MANAGED_INSTANCE_ACCESS} in compartment <compartment_name> where request.principal.id = target.managed-instance.id
Ermöglicht dem Agent auf den verwalteten Instanzen die Interaktion mit OS Management Hub
Allow dynamic-group <domain>/osmh-instances to use metrics in compartment <compartment_name> where target.metrics.namespace = 'oracle_appmgmt'
Lassen Sie zu, dass die verwalteten Instanzen Daten in den Monitoring-Service für das Feature "Ressourcen-Discovery und -monitoring" hochladen. Allow dynamic-group <domain>/osmh-instances to {MGMT_AGENT_DEPLOY_PLUGIN_CREATE, MGMT_AGENT_INSPECT, MGMT_AGENT_READ} in compartment <compartment_name>
Ermöglicht dem Management-Agent auf der verwalteten Instanz die Interaktion mit dem Management Agent-Service für das Feature "Ressourcen-Discovery und -monitoring". Allow dynamic-group <domain>/osmh-instances to {APPMGMT_MONITORED_INSTANCE_READ, APPMGMT_MONITORED_INSTANCE_ACTIVATE} in compartment <compartment_name> where request.instance.id = target.monitored-instance.id
Ermöglicht verwalteten Instanzen im Compartment die automatische Aktivierung des Features "Ressourcen-Discovery und -monitoring".
Allow dynamic-group <domain>/osmh-instances to {INSTANCE_READ, INSTANCE_UPDATE} in compartment <compartment_name> where request.instance.id = target.instance.id
Ermöglicht verwalteten Instanzen im Compartment die automatische Aktivierung des Features "Ressourcen-Discovery und -monitoring".
Allow dynamic-group <domain>/osmh-instances to {APPMGMT_WORK_REQUEST_READ, INSTANCE_AGENT_PLUGIN_INSPECT} in compartment <compartment_name>
Ermöglicht verwalteten Instanzen im Compartment die automatische Aktivierung des Features "Ressourcen-Discovery und -monitoring".