Políticas del servicio Oracle Cloud Migrations
Las políticas del servicio Oracle Cloud Migrations son necesarias para utilizar el servicio de migración.
Una sintaxis de política es la siguiente:
allow <subject> to <verb> <resource-type> in <location> where <conditions>
Para obtener más información, consulte Sintaxis de políticas. Para obtener más información sobre la creación de políticas, consulte cómo funcionan las políticas, la Referencia de políticas y los detalles de políticas para Object Storage.
Consulte las instrucciones para crear políticas mediante la consola.
Creador de política
Oracle Cloud Migrations soporta Policy Builder. El creador de políticas de la consola de Cloud ayuda a crear rápidamente políticas comunes sin necesidad de escribir manualmente las sentencias de política. Para crear políticas mediante el creador de políticas, consulte Escritura de sentencias de política con el creador de políticas.
En el creador de políticas, seleccione los casos de uso de políticas para Oracle Cloud Migrations. Las siguientes plantillas de política predefinidas están disponibles para crear políticas de servicio:
Políticas de Migración
Grupos dinámicos y políticas de IAM para el servicio de migración.
- Cree grupos dinámicos para el servicio de migración. Puede nombrar el grupo dinámico como, por ejemplo,
MigrationDynamicGroup
y sustituircompartmentOCID
por el OCID del compartimento de migración:ALL {resource.type = 'ocmmigration', resource.compartment.id = '<migration_compartment_ocid>'}
Para obtener más información sobre los grupos dinámicos, incluidos los permisos necesarios para crearlos, consulte Gestión de grupos dinámicos y Escritura de políticas para grupos dinámicos.
- Cree todas las siguientes políticas de IAM para permitir que el servicio Migration lea o gestione sus recursos de OCI en compartimentos específicos o en su arrendamiento:
Allow dynamic-group MigrationDynamicGroup to manage instance-family in compartment <migration_compartment_name> Allow dynamic-group MigrationDynamicGroup to manage compute-image-capability-schema in compartment <migration_compartment_name> Allow dynamic-group MigrationDynamicGroup to manage virtual-network-family in compartment <migration_compartment_name> Allow dynamic-group MigrationDynamicGroup to manage volume-family in compartment <migration_compartment_name> Allow dynamic-group MigrationDynamicGroup to manage object-family in compartment <migration_compartment_name> Allow dynamic-group MigrationDynamicGroup to read ocb-inventory in tenancy Allow dynamic-group MigrationDynamicGroup to read ocb-inventory-asset in compartment <migration_compartment_name> Allow dynamic-group MigrationDynamicGroup to {OCB_CONNECTOR_READ, OCB_CONNECTOR_DATA_READ, OCB_ASSET_SOURCE_READ, OCB_ASSET_SOURCE_CONNECTOR_DATA_UPDATE } in compartment <migration_compartment_name> Allow dynamic-group MigrationDynamicGroup to {INSTANCE_IMAGE_INSPECT, INSTANCE_IMAGE_READ} in tenancy Allow dynamic-group MigrationDynamicGroup to {INSTANCE_INSPECT} in tenancy where any {request.operation='ListShapes'} Allow dynamic-group MigrationDynamicGroup to {DEDICATED_VM_HOST_READ} in tenancy where any {request.operation='GetDedicatedVmHost'} Allow dynamic-group MigrationDynamicGroup to {CAPACITY_RESERVATION_READ} in tenancy where any {request.operation='GetComputeCapacityReservation'} Allow dynamic-group MigrationDynamicGroup to {ORGANIZATIONS_SUBSCRIPTION_INSPECT} in tenancy where any {request.operation='ListSubscriptions'} Allow dynamic-group MigrationDynamicGroup to read rate-cards in tenancy Allow dynamic-group MigrationDynamicGroup to read metrics in tenancy where target.metrics.namespace='ocb_asset' Allow dynamic-group MigrationDynamicGroup to read tag-namespaces in tenancy Allow dynamic-group MigrationDynamicGroup to use tag-namespaces in tenancy where target.tag-namespace.name='CloudMigrations'
Políticas de detección
Grupo dinámico y política de IAM para el Servicio de detección.
Creación de Grupos Dinámicos
Cree un grupo dinámico para el servicio de detección. Puede asignar un nombre al grupo dinámico como, por ejemplo, DiscoveryDynamicGroup
.
ALL { resource.type = 'ocbassetsource' }
Crear una política de de IAM
Cree la siguiente política de IAM para otorgar al servicio de detección los permisos necesarios para realizar migraciones.
Allow dynamic-group DiscoveryDynamicGroup to inspect compartments in compartment <migration_compartment_name>
Allow dynamic-group DiscoveryDynamicGroup to read ocb-environments in compartment <migration_compartment_name>
Allow dynamic-group DiscoveryDynamicGroup to read ocb-agents in compartment <migration_compartment_name>
Allow dynamic-group DiscoveryDynamicGroup to read ocb-inventory in tenancy
Allow dynamic-group DiscoveryDynamicGroup to manage ocb-inventory-asset in compartment <migration_compartment_name>
Allow dynamic-group DiscoveryDynamicGroup to {TENANCY_INSPECT} in tenancy
Para obtener más información sobre los grupos dinámicos, incluidos los permisos necesarios para crearlos, consulte Gestión de grupos dinámicos y Escritura de políticas para grupos dinámicos.
Políticas de agente remoto
Cree los siguientes grupos dinámicos y políticas de IAM para el agente remoto.
- Cree grupos dinámicos para el agente remoto. Puede asignar un nombre al grupo dinámico como, por ejemplo,
RemoteAgentDynamicGroup
:ALL {resource.type = 'ocbagent'}
Para obtener más información sobre los grupos dinámicos, incluidos los permisos necesarios para crearlos, consulte Gestión de grupos dinámicos y Escritura de políticas para grupos dinámicos.
- Cree todas las siguientes políticas de IAM para permitir que el agente remoto utilice, lea o gestione sus recursos de OCI en compartimentos específicos o en su arrendamiento:
Define tenancy OCB-SERVICE as <ocb_service_tenancy_ocid_for_realm> Endorse dynamic-group RemoteAgentDynamicGroup to { OBJECT_CREATE } in tenancy OCB-SERVICE Allow dynamic-group RemoteAgentDynamicGroup to manage buckets in compartment <migration_compartment_name> Allow dynamic-group RemoteAgentDynamicGroup to manage object-family in compartment <migration_compartment_name> Allow dynamic-group RemoteAgentDynamicGroup to {OCM_REPLICATION_TASK_READ, OCM_REPLICATION_TASK_UPDATE} in compartment <migration_compartment_name> Allow dynamic-group RemoteAgentDynamicGroup to use ocb-asset-source-connectors in compartment <migration_compartment_name> Allow dynamic-group RemoteAgentDynamicGroup to use ocb-connectors in compartment <migration_compartment_name> Allow dynamic-group RemoteAgentDynamicGroup to manage ocb-inventory in tenancy Allow dynamic-group RemoteAgentDynamicGroup to manage ocb-inventory-asset in compartment <migration_compartment_name> Allow dynamic-group RemoteAgentDynamicGroup to read secret-family in compartment <migrationsecret_compartment_name> Allow dynamic-group RemoteAgentDynamicGroup to use metrics in compartment <migration_compartment_name> where target.metrics.namespace='ocb_asset' Allow dynamic-group RemoteAgentDynamicGroup to { OCM_CONNECTOR_INSPECT, OCM_ASSET_SOURCE_READ, OCM_ASSET_SOURCE_CONNECTION_PUSH } in compartment <migration_compartment_name> Allow dynamic-group RemoteAgentDynamicGroup to { OCB_AGENT_INSPECT, OCB_AGENT_SYNC, OCB_AGENT_READ, OCB_AGENT_DEPENDENCY_INSPECT, OCB_AGENT_DEPENDENCY_READ, OCB_AGENT_KEY_UPDATE, OCB_AGENT_TASK_READ, OCB_AGENT_ASSET_SOURCES_INSPECT, OCB_AGENT_TASK_UPDATE, OCB_AGENT_UPDATE_COMMAND_CREATE } in compartment <migration_compartment_name> Allow dynamic-group RemoteAgentDynamicGroup to { OCB_ASSET_SOURCE_INSPECT, OCB_ASSET_SOURCE_READ, OCB_ASSET_SOURCE_ASSET_HANDLES_PUSH, OCB_ASSET_SOURCE_CONNECTION_PUSH } in compartment <migration_compartment_name>
El valor
ocb_service_tenancy_ocid_for_realm
para el dominio OC1 es el siguiente:ocid1.tenancy.oc1..aaaaaaaahr2xcduf4knzkzhkzt442t66bpqt3aazss6cy2ll6x4xj3ci7tiq
.
Si su arrendamiento está ubicado en un dominio que no sea OC1, póngase en contacto con los Servicios de Soporte Oracle para obtener el OCID de arrendamiento de servicio correcto.
Políticas del plugin de detección
Grupos dinámicos y políticas de IAM para el plugin de detección.
- Cree grupos dinámicos para el plugin de detección. Puede asignar un nombre al grupo dinámico como, por ejemplo,
DiscoveryPluginDynamicGroup
:ALL {resource.type = 'ocbagent'}
Para obtener más información sobre los grupos dinámicos, incluidos los permisos necesarios para crearlos, consulte Gestión de grupos dinámicos y Escritura de políticas para grupos dinámicos.
- Cree todas las siguientes políticas de IAM para permitir que el plugin de detección utilice, lea o gestione recursos en compartimentos específicos o en su arrendamiento:
Allow dynamic-group DiscoveryPluginDynamicGroup to use ocb-connectors in compartment <migration_compartment_name> Allow dynamic-group DiscoveryPluginDynamicGroup to use ocb-asset-source-connectors in compartment <migration_compartment_name> Allow dynamic-group DiscoveryPluginDynamicGroup to read ocb-inventory in tenancy Allow dynamic-group DiscoveryPluginDynamicGroup to manage ocb-inventory-asset in compartment <migration_compartment_name> Allow dynamic-group DiscoveryPluginDynamicGroup to read secret-family in compartment <migrationsecret_compartment_name> Allow dynamic-group DiscoveryPluginDynamicGroup to use metrics in compartment <migration_compartment_name> where target.metrics.namespace='ocb_asset'
Políticas del plugin de replicación
Grupos dinámicos y políticas de IAM para el plugin de replicación.
- Cree grupos dinámicos para el plugin de replicación. Puede asignar un nombre al grupo dinámico como, por ejemplo,
ReplicationPluginDynamicGroup
:ALL {resource.type = 'ocbagent'}
Para obtener más información sobre los grupos dinámicos, incluidos los permisos necesarios para crearlos, consulte Gestión de grupos dinámicos y Escritura de políticas para grupos dinámicos.
- Cree las siguientes políticas de IAM en compartimentos específicos o en su arrendamiento para que el plugin de replicación publique instantáneas en OCI Object Storage y llame a las API de replicación del servicio de migración:
Allow dynamic-group ReplicationPluginDynamicGroup to { OCM_REPLICATION_TASK_INSPECT, OCM_REPLICATION_TASK_READ, OCM_REPLICATION_TASK_UPDATE, OCM_CONNECTOR_INSPECT, OCM_ASSET_SOURCE_READ, OCM_ASSET_SOURCE_CONNECTION_PUSH } in compartment <migration_compartment_name> Allow dynamic-group ReplicationPluginDynamicGroup to { BUCKET_INSPECT, BUCKET_READ, OBJECTSTORAGE_NAMESPACE_READ, OBJECT_CREATE, OBJECT_DELETE, OBJECT_INSPECT, OBJECT_OVERWRITE, OBJECT_READ } in compartment <migration_compartment_name> where all {target.bucket.name='<REPLICATION_SNAPSHOTS_BUCKET>'} Allow dynamic-group ReplicationPluginDynamicGroup to read secret-family in compartment <migrationsecret_compartment_name> Allow dynamic-group ReplicationPluginDynamicGroup to use metrics in compartment <migration_compartment_name> where target.metrics.namespace='ocb_asset' Allow dynamic-group ReplicationPluginDynamicGroup to {OCB_AGENT_INSPECT, OCB_AGENT_SYNC, OCB_AGENT_READ, OCB_AGENT_DEPENDENCY_INSPECT, OCB_AGENT_DEPENDENCY_READ, OCB_AGENT_KEY_UPDATE, OCB_AGENT_TASK_READ, OCB_AGENT_ASSET_SOURCES_INSPECT, OCB_AGENT_TASK_UPDATE} in tenancy Allow dynamic-group ReplicationPluginDynamicGroup to use ocb-connectors in compartment <migration_compartment_name> Allow dynamic-group ReplicationPluginDynamicGroup to use ocb-asset-source-connectors in compartment <migration_compartment_name> Allow dynamic-group ReplicationPluginDynamicGroup to read ocb-inventory in tenancy Allow dynamic-group ReplicationPluginDynamicGroup to read ocb-inventory-asset in compartment <migration_compartment_name>
Políticas de agente de hidratación
Grupos dinámicos y políticas de IAM para el agente de hidratación.
- Cree grupos dinámicos para el agente de hidratación. Puede nombrar el grupo dinámico como, por ejemplo,
HydrationAgentDynamicGroup
y sustituircompartmentOCID
por el OCID del compartimento de migración:ALL {instance.compartment.id = '<migration_compartment_ocid>'}
Para obtener más información sobre los grupos dinámicos, incluidos los permisos necesarios para crearlos, consulte Gestión de grupos dinámicos y Escritura de políticas para grupos dinámicos.
- Cree las siguientes políticas de IAM en compartimentos específicos o en su arrendamiento para proporcionar permisos al agente de hidratación para extraer instantáneas de OCI Object Storage y llamar a las API de hidratación del servicio de migración:
Define tenancy OCM-SERVICE AS <ocm_service_tenancy_ocid_for_realm> Endorse dynamic-group HydrationAgentDynamicGroup to { OBJECT_CREATE } in tenancy OCM-SERVICE where all { target.bucket.name = 'tenancy_ocid' } Allow dynamic-group HydrationAgentDynamicGroup to {OCM_HYDRATION_AGENT_TASK_INSPECT, OCM_HYDRATION_AGENT_TASK_UPDATE, OCM_HYDRATION_AGENT_REPORT_STATUS} in compartment <migration_compartment_name> Allow dynamic-group HydrationAgentDynamicGroup to read objects in compartment <migration_compartment_name>
El valor
ocm_service_tenancy_ocid_for_realm
para el dominio OC1 es el siguiente: ocid1.tenancy.oc1..aaaaaaaartv6j5muce2s4djz7rvfn2vwceq3cnue33d72isntnlfmi7huv7q
.
Si su arrendamiento está ubicado en un dominio que no sea OC1, póngase en contacto con los Servicios de Soporte Oracle para obtener el OCID de arrendamiento de servicio correcto.