Documentación de Oracle Cloud Infrastructure

Creación de políticas y grupos de IAM necesarios

Descubra cómo configurar grupos y políticas para activar la administración y la funcionalidad de Roving Edge.

Creación de una política para ordenar dispositivos Roving Edge

Puede crear una política que le permita solicitar y gestionar los dispositivos de Roving Edge Infrastructure mediante la consola de Oracle Cloud. Esta tarea utiliza la plantilla Crear política en la consola de Oracle Cloud.

  1. Abra el menú de navegación y seleccione Identity & Security. En Identidad, seleccione Políticas.

  2. Seleccione Crear política. Aparece el cuadro de diálogo Crear política.

  3. Complete los campos necesarios como se describe en Creación de una política.

  4. Utilice el Creador de políticas y seleccione Permitir a los usuarios crear y gestionar dispositivos Roving Edge Devices en Plantillas de políticas comunes.

  5. Para el autoaprovisionamiento, agregue la siguiente política a la plantilla:

    allow dynamic-group roving-edge-devices to manage rover-family in tenancy

  6. Siga las instrucciones que se muestran en el Creador de políticas para configurar los grupos de políticas.

  7. Seleccione Crear. Los cambios entrarán en efecto normalmente en los siguientes 10 segundos.

Permitir el acceso a recursos de Roving Edge Infrastructure en OCI

Utilice la siguiente sintaxis para permitir a los grupos de usuarios acceder a los recursos de Roving Edge Infrastructure de su arrendamiento:

allow group <admin_user_group> to manage rover-family in tenancy
allow group <admin_user_group> to manage rover-nodes in tenancy

donde <admin_user_group> es un grupo creado para gestionar administradores de Roving Edge Infrastructure.

También puede restringir este acceso a los compartimentos. Por ejemplo, si desea permitir que un grupo de usuarios gestione todos los recursos de Roving Edge Infrastructure en el compartimento "finance" en Oracle Cloud Infrastructure, utilice lo siguiente:

allow group rover-admins to manage rover-family in compartment finance
allow group rover-admins to manage rover-nodes in compartment finance

Permitir el acceso al almacenamiento de objetos de los dispositivos de Roving Edge Infrastructure

En esta sección, se describen los pasos necesarios para permitir que el dispositivo de Roving Edge Infrastructure realice la sincronización de datos mientras el dispositivo está en su poder.

Cada nodo de dispositivo de Roving Edge Infrastructure funciona como un recurso en Oracle Cloud Infrastructure, por lo que necesita permiso para leer/escribir en cubos de los compartimentos dentro del arrendamiento para las tareas de sincronización de datos.

Utilice un grupo dinámico para representar todos los recursos de nodo de Roving Edge de su arrendamiento. Consulte Gestión de grupos dinámicos para obtener más información sobre cómo crear grupos dinámicos.

Nota

Todos los nombres de grupos dinámicos deben coincidir exactamente con lo que se especifica en las sentencias de política. Los nombres de grupo dinámico y las sentencias de política son sensibles a mayúsculas/minúsculas.
Nota

Si el grupo dinámico pertenece a un dominio de identidad no por defecto, como Oracle Identity Cloud Service, y el grupo dinámico se crea en ese dominio, debe anteponer al nombre del grupo dinámico el nombre de dominio en todas las sentencias de política para los grupos dinámicos. Por ejemplo:

allow dynamic-group OracleIdentityCloudService/roving-edge-devices to manage rover-family in tenancy

Cree un grupo dinámico denominado roving-edge-devices con las siguientes reglas de coincidencia:

All {resource.type='rovernode'}

Proporcione a este grupo dinámico una política para leer y escribir en cubos; por ejemplo:

allow dynamic-group roving-edge-devices to manage object-family in tenancy

Otorgar acceso de grupo dinámico al espacio de nombres de Object Storage

allow dynamic-group roving-edge-devices to manage objectstorage-namespaces in tenancy

Defina una política para otorgar al servicio Roving Edge Infrastructure acceso de lectura a los cubos. Esta política de acceso de lectura permite generar un manifiesto que contiene la información sobre los objetos que desea que se sincronicen con los dispositivos de Roving Edge Infrastructure. 

allow service rover to read object-family in tenancy
allow service rover to manage objectstorage-namespaces in tenancy
Nota

Puede restringir el acceso a un compartimento. Asegúrese de otorgar acceso de lectura a todos los compartimentos asociados a todos sus cubos de carga de trabajo. Por ejemplo, si tenía dos cubos, uno en el compartimento "finance" y el otro en el compartimento "accounts", debe definir esta política para ambos compartimentos.

Permitir que los dispositivos de Roving Edge Infrastructure se aprovisionen automáticamente

Mediante el grupo dinámico creado anteriormente roving-edge-devices en dynamic-group for Object Storage access, otorgue permisos de gestión de grupos dinámicos para activar el autoaprovisionamiento de dispositivos en el sitio.

allow dynamic-group roving-edge-devices to manage rover-family in tenancy

Activación de la entrega de paquetes de actualización desconectados (opcional)

Para permitir que los paquetes de actualización desconectados se entreguen a su arrendamiento, siga estas instrucciones.

Otorgue al objeto solicitante permisos de creación y sobrescritura para el cubo de destino:

allow group <group_name> to manage object-family in compartment <compartment_name>

Otorgue el servicio Object Storage de la región para gestionar los cubos de su arrendamiento:

allow service objectstorage-<region_identifier> to manage object-family in tenancy

También puede crear permisos más estrechos mediante el siguiente ejemplo:

allow service objectstorage-<region_identifier> to manage object-family in compartment <compartment-name>
where any {request.permission='OBJECT_READ', request.permission='OBJECT_INSPECT', request.permission='OBJECT_CREATE',
request.permission='OBJECT_OVERWRITE', request.permission='OBJECT_DELETE'}

Consulte las regiones y dominios de disponibilidad para obtener una lista de identificadores de región.

Activación de la gestión de certificados (opcional)

En esta sección se describen los pasos necesarios para permitir a los administradores crear autoridades de certificación y permitir que el dispositivo Roving Edge Infrastructure acceda a los recursos de gestión de certificados en Oracle Cloud Infrastructure Cloud.

Cree una política para que los administradores de seguridad creen el almacén y la clave maestra:

Allow group <security-admin-group> to manage vaults in tenancy
Allow group <security-admin-group> to manage keys in tenancy

Cree una política para que los administradores de seguridad utilicen la autoridad de certificación:

Allow group <security-admin-group> to use certificate-authority-family in tenancy
Allow group <security-admin-group> to use key-delegate in tenancy

Cree un grupo dinámico denominado certificate-authority-dynamic-group con las reglas de coincidencia: 

all {resource.type='certificateauthority'}

Cree una política para que la autoridad de certificación utilice claves:

Allow dynamic-group certificate-authority-dynamic-group to use keys in compartment <compartment_name>

Cree una política para que los dispositivos de Roving Edge Infrastructure utilicen la autoridad de certificación y gestionen certificados:

Allow dynamic-group roving-edge-devices to manage leaf-certificate-family in tenancy
Allow dynamic-group roving-edge-devices to use certificate-authority-family in tenancy

Cree una política para que los nodos de Roving Edge Infrastructure recuperen y actualicen sus configuraciones de certificado:

Allow dynamic-group roving-edge-devices to use rover-family in tenancy
Nota

Si ha creado la política de autoaprovisionamiento que se describe en Permitir que los dispositivos de Roving Edge Infrastructure sean autoaprovisionados, no cree esta política. La política de auto-provisión satisface este requisito.

Ejemplos de políticas

El grupo rover-admins está definido para ser el administrador de los recursos de Roving Edge Infrastructure:

allow group rover-admins to manage rover-family in tenancy
allow group rover-admins to manage rover-nodes in tenancy

Permita que Roving Edge Infrastructure asocie cargas de trabajo:

allow service rover to read object-family in tenancy
allow service rover to manage objectstorage-namespaces in tenancy

Permita el acceso de Roving Edge Infrastructure a Object Storage:

allow dynamic-group roving-edge-devices to manage object-family in tenancy
allow dynamic-group roving-edge-devices to manage objectstorage-namespaces in tenancy

Permita que el grupo dinámico de nodos de Roving Edge se autoaprovisione y gestione sus configuraciones de certificado:

allow dynamic-group roving-edge-devices to manage rover-family in tenancy

(Opcional) Active la entrega del paquete de actualización desconectado:

allow group rover-admins to read object-family in tenancy
allow dynamic-group roving-edge-devices to manage object-family in tenancy

(Opcional) Active la gestión de certificados:

allow group CertificateAdmins to manage vaults in tenancy
allow group CertificateAdmins to manage keys in tenancy
allow group CertificateAdmins to manage certificate-authority-family in tenancy
allow group CertificateAdmins to use key-delegate in tenancy
allow group rover-admins to read certificate-authority-family in tenancy
allow dynamic-group certificate-authority-dynamic-group to use keys in tenancy
allow dynamic-group roving-edge-devices to manage leaf-certificate-family in tenancy
allow dynamic-group roving-edge-devices to use certificate-authority-family in tenancy

Siguiente paso?

Si está solicitando un dispositivo, consulte una de las siguientes secciones según el tipo de dispositivo: