Oracle Cloud Infrastructure-Dokumentation

Policy Advisor verwenden

Mit dem Policy Advisor können Sie OS Management Hub schnell für ein bestimmtes Compartment aktivieren. Der Advisor definiert die erforderlichen Benutzergruppen, dynamischen Gruppen und Policys, die für die Verwendung von OS Management Hub und Ressourcen-Discovery und -monitoring erforderlich sind.

Wichtig

Der Policy Advisor ist nur unter OC1 verfügbar.
Hinweis

Sie müssen den Policy Advisor in jedem Compartment (und untergeordneten Compartment) ausführen, das Sie mit dem Service verwenden möchten.

  1. Prüfen Sie, ob Sie die folgenden Berechtigungen haben. Wenn Sie nur über read- oder use-Berechtigungen verfügen, erhalten Sie einen Fehler bei Autorisierung nicht erfolgreich, wenn Sie den Advisor ausführen.

    • manage dynamic-groups in tenancy
    • manage groups in tenancy
    • manage policies in tenancy
  2. Wählen Sie unter OS Management Hub die Option Überblick aus.
  3. Wählen Sie unter Listengeltungsbereich das Compartment aus, das Sie für OS Management Hub verwenden möchten.
  4. Wählen Sie Policy Advisor ausführen aus.
  5. Prüfen Sie die Probleme, die mit den aktuellen Richtlinien und Gruppen identifiziert wurden. Wählen Sie Weiter aus.
  6. Prüfen Sie die Aktionen, die der Advisor ausführen wird. Wählen Sie Einrichten aus.
  7. Bestätigen Sie den Vorgang, indem Sie auf Setup klicken.
  8. Führen Sie den Advisor in anderen Compartments oder untergeordneten Compartments, die den Service verwenden, erneut aus.
  9. Fügen Sie Benutzer zur Gruppe osmh-admins und osmh-operators hinzu. Siehe Gruppen verwalten.

Warum wurde ein Policy-Fehler erkannt?

Der Policy Advisor prüft auf eine bestimmte Gruppe von Policys und Gruppen (siehe Was erstellt der Policy Advisor?). Die A policy error was detected-Warnung wird angezeigt, wenn die Policys und Gruppennamen nicht genau mit den Erwartungen des Advisors übereinstimmen.

Wenn Sie bereits Policys eingerichtet haben, haben Sie die Gruppen möglicherweise anders benannt und die Policy-Anweisungen anders definiert als die vom Advisor verwendeten. Wenn OS Management Hub wie erwartet funktioniert, können Sie die Policy-Fehlermeldung ignorieren.

Weitere Informationen finden Sie unter Policy Advisor-Fehlermeldungen.

Kann ich die Warnung verbergen?

Wenn Sie den Service bereits mit Ihren eigenen Gruppen und Policys eingerichtet haben, können Sie die Policy-Problemmeldung ignorieren. Wählen Sie Ausblenden aus, um diese Nachricht im Compartment auszublenden.

Um die Nachricht in allen Compartments auszublenden, wählen Sie auf der Seite Überblick die Option Benutzerkonsoleneinstellungen anzeigen aus.

Was erstellt der Policy Advisor?

Der Advisor definiert die erforderlichen Benutzergruppen (osmh-admins und osmh-operators), die dynamische Gruppe (osmh-instances) und die Policy (osmh-policies) mit den Anweisungen, die für die Verwendung von OS Management Hub und den zugehörigen Features für Ressourcen-Discovery und -monitoring erforderlich sind.

Erstellte Ressourcen
Ressourcenname Beschreibung
osmh-admins Die Benutzergruppe für Administratoren des Service. Administratoren können alle OS Management Hub-Ressourcen in der aktuellen Domain verwalten.
osmh-operators Die Benutzergruppe für Operatoren des Service. Operatoren können alle OS Management Hub-Ressourcen in der aktuellen Domain anzeigen, aber nicht ändern.
osmh-instances Die dynamische Gruppe von Instanzen, die dynamische Gruppenregeln für OCI- und On-Premise- oder Cloud-Instanzen von Drittanbietern enthält.
osmh-policies Die Policy, die Administratorgruppenanweisungen, Operatorgruppenanweisungen und dynamische Gruppenanweisungen enthält.
Vergleichsregeln für dynamische Gruppe

Der Advisor erstellt die folgenden Übereinstimmungsregeln für dynamische Gruppen für die dynamische Gruppe osmh-instances.

Hinweis

Nur das aktuell ausgewählte Compartment ist in der dynamischen Gruppe enthalten. Dynamische Gruppen unterstützen keine Compartment-Vererbung. Daher müssen Sie den Advisor erneut ausführen in allen untergeordneten Compartments, die Sie einschließen möchten.
Dynamische Gruppenregel Beschreibung
ALL {instance.compartment.id='<compartment_ocid>'} Enthält alle OCI-Instanzen im Compartment.
ALL {resource.type='managementagent', resource.compartment.id='<compartment_ocid>'}

Enthält alle Management Agent-Ressourcen im Compartment. Mit dem Agent kann OS Management Hub die entsprechenden On-Premise- oder Cloud-Instanzen von Drittanbietern verwalten.
Policy-Anweisungen für die Administratorgruppe

Der Advisor erstellt die folgenden Administratorengruppen-Policy-Anweisungen für osmh-policies, mit denen osmh-admins-Benutzer OS Management Hub-, Management Agent- und Management Agent-Schlüssel im Compartment und in den untergeordneten Compartments verwalten können.

Policy-Anweisung für Administratorgruppe Beschreibung
Allow group <domain>/osmh-admins to manage osmh-family in compartment <compartment_name>

Ermöglicht der Gruppe osmh-admins die Verwaltung aller OS Management Hub-Ressourcen im Compartment und den zugehörigen untergeordneten Compartments.
Allow group <domain>/osmh-admins to manage management-agents in compartment <compartment_name>

Ermöglicht der Gruppe osmh-admins die Verwaltung von Management-Agents im Compartment und den zugehörigen untergeordneten Compartments (nur für Nicht-OCI-Instanzen).
Allow group <domain>/osmh-admins to manage management-agent-install-keys in compartment <compartment_name>

Ermöglicht der Gruppe osmh-admins die Verwaltung von Management Agent-Installationsschlüsseln im Compartment und den zugehörigen untergeordneten Compartments (nur für Nicht-OCI-Instanzen).
Allow group <domain>/osmh-admins to use appmgmt-family in compartment <compartment_name>

Ermöglicht der Gruppe osmh-admins die Verwaltung von Ressourcen-Discovery und Monitoring im Compartment und in den untergeordneten Compartments.
Allow group <domain>/osmh-admins to read metrics in compartment <compartment_name>

Ermöglicht der Gruppe osmh-admins, Ressourcen-Discovery- und Monitoringmetriken im Compartment und den untergeordneten Compartments anzuzeigen.
Allow group <domain>/osmh-admins to read osmh-profiles in tenancy where target.profile.compartment.id = '<tenancy_ocid>'

Wird nur erstellt, wenn Sie das Root Compartment ausgewählt haben. Ermöglicht der Gruppe osmh-admins das Lesen von Profilen im Root Compartment.
Allow group <domain>/osmh-admins to read osmh-software-sources in tenancy where target.softwareSource.compartment.id = '<tenancy_ocid>'

Wird nur erstellt, wenn Sie das Root Compartment ausgewählt haben. Ermöglicht der Gruppe osmh-admins das Lesen von Softwarequellen im Root Compartment.
Policy-Anweisungen für die Operatorgruppe

Der Advisor erstellt die folgenden Operatorengruppen-Policy-Anweisungen für osmh-policies, mit denen osmh-operators-Benutzer OS Management Hub-Ressourcen im Compartment und in den untergeordneten Compartments anzeigen können.

Policy-Anweisung für Benutzergruppe Beschreibung
Allow group <domain>/osmh-operators to read osmh-family in compartment <compartment_name>

Ermöglicht der Gruppe osmh-operators, alle OS Management Hub-Ressourcen im Compartment und den zugehörigen untergeordneten Compartments anzuzeigen.
Allow group <domain>/osmh-operators to use appmgmt-family in compartment <compartment_name>

Ermöglicht der Gruppe osmh-operators, Ressourcen-Discovery- und Monitoringressourcen im Compartment und den untergeordneten Compartments anzuzeigen.
Allow group <domain>/osmh-operators to read metrics in compartment <compartment_name>

Ermöglicht der Gruppe osmh-operators, Ressourcen-Discovery- und Monitoringressourcen im Compartment und den untergeordneten Compartments anzuzeigen.
Allow group <domain>/osmh-operators to read osmh-profiles in tenancy where target.profile.compartment.id = '<tenancy_ocid>'

Wird nur erstellt, wenn Sie das Root Compartment ausgewählt haben. Ermöglicht der Gruppe osmh-operators das Lesen von Profilen im Root Compartment.
Allow group <domain>/osmh-operators to read osmh-software-sources in tenancy where target.softwareSource.compartment.id = '<tenancy_ocid>'

Wird nur erstellt, wenn Sie das Root Compartment ausgewählt haben. Ermöglicht der Gruppe osmh-operators das Lesen von Softwarequellen im Root Compartment.
Policy-Anweisungen für die dynamische Gruppe

Der Advisor erstellt die folgenden Policy-Anweisungen für dynamische Gruppen für osmh-policies, mit denen verwaltete Instanzen im Compartment mit OS Management Hub und den zugehörigen Features für Ressourcen-Discovery und -monitoring interagieren können.

Policy-Anweisung für dynamische Gruppe Beschreibung
Allow dynamic-group <domain>/osmh-instances to {OSMH_MANAGED_INSTANCE_ACCESS} in compartment <compartment_name> where request.principal.id = target.managed-instance.id

Ermöglicht dem Agent auf den verwalteten Instanzen die Interaktion mit OS Management Hub
Allow dynamic-group <domain>/osmh-instances to use metrics in compartment <compartment_name> where target.metrics.namespace = 'oracle_appmgmt' Lassen Sie zu, dass die verwalteten Instanzen Daten in den Monitoring-Service für das Feature "Ressourcen-Discovery und -monitoring" hochladen.
Allow dynamic-group <domain>/osmh-instances to {MGMT_AGENT_DEPLOY_PLUGIN_CREATE, MGMT_AGENT_INSPECT, MGMT_AGENT_READ} in compartment <compartment_name> Ermöglicht dem Management-Agent auf der verwalteten Instanz die Interaktion mit dem Management Agent-Service für das Feature "Ressourcen-Discovery und -monitoring".
Allow dynamic-group <domain>/osmh-instances to {APPMGMT_MONITORED_INSTANCE_READ, APPMGMT_MONITORED_INSTANCE_ACTIVATE} in compartment <compartment_name> where request.instance.id = target.monitored-instance.id

Ermöglicht verwalteten Instanzen im Compartment die automatische Aktivierung des Features "Ressourcen-Discovery und -monitoring".
Allow dynamic-group <domain>/osmh-instances to {INSTANCE_READ, INSTANCE_UPDATE} in compartment <compartment_name> where request.instance.id = target.instance.id

Ermöglicht verwalteten Instanzen im Compartment die automatische Aktivierung des Features "Ressourcen-Discovery und -monitoring".
Allow dynamic-group <domain>/osmh-instances to {APPMGMT_WORK_REQUEST_READ, INSTANCE_AGENT_PLUGIN_INSPECT} in compartment <compartment_name>

Ermöglicht verwalteten Instanzen im Compartment die automatische Aktivierung des Features "Ressourcen-Discovery und -monitoring".