Políticas y permisos de OCC

Cree políticas de IAM para controlar quién tiene acceso a los datos de solicitud de capacidad y métrica de OCC, y para controlar el tipo de acceso para cada grupo de usuarios.

Para los datos de métricas en OCC, no hay forma de restringir el acceso según los ID de recursos. Puede utilizar el nombre de familia control-center-family y el tipo de recurso control-center-metrics para restringir el acceso a los datos de métrica en general.

Puede utilizar la familia control-center-capacity-management-family y los tipos de recursos control-center-availability-catalogs y control-center-capacity-requests para restringir el acceso a Capacity Management.

Consulte la sección Ejemplos de políticas para obtener más información.

Los usuarios del grupo Administrators tienen acceso a todos los recursos y datos de métricas de OCC. Cree políticas para que los usuarios tengan los derechos necesarios para los datos de métricas de OCC.

Si no está familiarizado con las políticas de IAM, consulte Getting Started with Policies.

Para obtener una lista completa de las políticas de Oracle Cloud Infrastructure, consulte la referencia de políticas.

En esta sección se explican los siguientes temas:

Para utilizar OCC, cree una política que otorgue los siguientes permisos al usuario o grupos que interactúen con el servicio según corresponda.

Tipos de recursos y permisos

Lista de tipos de recursos del centro de control y permisos asociados.

Para asignar permisos a todos los recursos de supervisión de métricas de OCC, utilice el tipo agregado control-center-family.

Para crear una solicitud de capacidad, necesita el permiso control-center-capacity-management-family.

En la siguiente tabla se muestran todos los recursos de OCC:

Nombre de Familia Recursos para Miembros Acción asignada a usuario
control-center-family
  • control-center-metrics
  • control-center-demand-signals
Incluye todas las métricas del centro de control y todos los recursos futuros de miembros de una familia.
control-center-capacity-management-family
  • control-center-availability-catalogs
  • control-center-capacity-requests
Incluye toda la gestión de capacidad del Centro de Control y los recursos de miembros futuros de una familia.

Una política que utiliza <verb> control-center-familyes igual a escribir una política con una sentencia <verb> <resource-type> independiente para cada uno de los tipos de recursos individuales.

Tipo de Recurso Permisos Acción asignada a usuario
control-center-metrics
  • CONTROL_CENTER_METRICS_INSPECT
  • CONTROL_CENTER_METRICS_READ
Leer espacios de nombres de métricas, nombres de métricas y valores de métricas de OCC.
control-center-availability-catalogs
  • CONTROL_CENTER_AVAILABILITY_CATALOG_INSPECT
  • CONTROL_CENTER_AVAILABILITY_CATALOG_READ
Leer y exportar catálogos de disponibilidad y disponibilidades.
control-center-capacity-requests
  • CONTROL_CENTER_CAPACITY_REQUEST_CREATE
  • CONTROL_CENTER_CAPACITY_REQUEST_DELETE
  • CONTROL_CENTER_CAPACITY_REQUEST_UPDATE
  • CONTROL_CENTER_CAPACITY_REQUEST_INSPECT
  • CONTROL_CENTER_CAPACITY_REQUEST_READ
Permite crear, leer, actualizar y suprimir solicitudes de capacidad.
control-center-demand-signals
  • CONTROL_CENTER_DEMAND_SIGNAL_CREATE
  • CONTROL_CENTER_DEMAND_SIGNAL_DELETE
  • CONTROL_CENTER_DEMAND_SIGNAL_UPDATE
  • CONTROL_CENTER_DEMAND_SIGNAL_INSPECT
  • CONTROL_CENTER_DEMAND_SIGNAL_READ
Permite agregar, leer, actualizar y suprimir la cantidad de demanda de recursos en solicitudes de capacidad.

Variables soportadas

Puede utilizar variables para agregar condiciones a una política.

OCI Control Center soporta las siguientes variables:

  • Entidad: ID de Oracle Cloud (OCID)
  • Cadena: texto en formato libre.
  • List: lista de entidades o cadenas.

Consulte Variables generales para todas las solicitudes.

Las variables se especifican en minúsculas y separadas por guiones. Por ejemplo, target.tag-namespace.name, target.display-name. Aquí name debe ser un valor único y display-name es la descripción.

El servicio OCI Control Center proporciona las variables necesarias para cada solicitud. El motor de autorización proporciona variables automáticas (ya sea de servicio local con el SDK para un cliente grueso o en el plano de datos de identidad para un cliente fino).

Variables necesarias Tipo Descripción
target.compartment.id Entidad (OCID) OCID del recurso primario para la solicitud.
request.operation Cadena ID de operación (por ejemplo, GetUser) de la solicitud.
target.resource.kind Cadena Nombre de tipo de recurso del recurso primario de la solicitud.
Variables automáticas Tipo Descripción
request.user.id Entidad (OCID) OCID del usuario solicitante.
request.groups.id Lista de entidades (OCID) OCID de los grupos en los que está el usuario solicitante.
target.compartment.name Cadena Nombre del compartimento especificado en target.compartment.id.
target.tenant.id Entidad (OCID) OCID del ID de inquilino de destino.
Variables dinámicas Escribir Descripción
request.principal.group.tag.<tagNS>.<tagKey> Cadena Valor de cada etiqueta de un grupo del que el principal es miembro.
request.principal.compartment.tag.<tagNS>.<tagKey> Cadena Valor de cada etiqueta del compartimento que contiene el principal.
target.resource.tag.<tagNS>.<tagKey> Cadena Valor de cada etiqueta en el recurso de destino. (Se calcula en función de tagSlug proporcionado por el servicio en cada solicitud).
target.resource.compartment.tag.<tagNS>.<tagKey> Cadena Valor de cada etiqueta del compartimento que contiene el recurso de destino. (Se calcula en función de tagSlug proporcionado por el servicio en cada solicitud).

A continuación, se muestra una lista de orígenes disponibles para las variables:

  • Solicitud: procede de la entrada de la solicitud.
  • Derivado: procede de la solicitud.
  • Almacenado: procede del servicio y la entrada retenida.
  • Calculado: se calcula a partir de los datos del servicio.

Detalles para combinaciones de verbos y tipos de recursos

Identifique los permisos y las operaciones de API cubiertas por cada verbo para los recursos del centro de control.

El nivel de acceso es acumulativo a medida que pasa de inspect a read a use a manage. Un signo más (+) en una celda de la tabla indica un acceso incremental en comparación con la celda anterior, no extra indica que no hay acceso incremental.

Para obtener más información sobre cómo otorgar acceso, consulte Permisos.

control-centro-métricas

En esta tabla, se muestran los permisos y las operaciones de API que cubre cada verbo para el recurso control-center-metrics.

Verbs Permisos API cubiertas Descripción
inspect

CONTROL_CENTER_METRICS_INSPECT

  • ListNamespaces
  • ListMetricProperties
Las métricas se agrupan en espacios de nombres.

Muestre todos los espacios de nombres.

Obtenga la lista de métricas en un espacio de nombres específico.

read

inspect+

CONTROL_CENTER_METRICS_READ

inspect+

RequestSummarizedMetricData

Obtener datos (valores) de una métrica en un espacio de nombres específico.
use

read+

no extra

manage

use+

no extra

catálogos de disponibilidad de centro de control

En esta tabla, se muestran los permisos y las operaciones de API que cubre cada verbo para el recurso control-center-availability-catalogs.

Verbos Permisos API cubiertas Descripción
inspect CONTROL_CENTER_AVAILABILITY_CATALOG_INSPECT
  • ListOccAvailabilityCatalogs
Muestra todos los catálogos de disponibilidad.
read

inspect+

CONTROL_CENTER_AVAILABILITY_CATALOG_READ

inspect+

  • GetOccAvailabilityCatalog
  • GetOccAvailabilityCatalogContent
  • ListOccAvailabilities

Obtenga los detalles del catálogo de disponibilidad.

Devuelve el contenido binario del catálogo de disponibilidad.

Muestre las disponibilidades de un catálogo de disponibilidad.

solicitudes de capacidad del centro de control

En esta tabla, se muestran los permisos y las operaciones de API que cubre cada verbo para el recurso control-center-capacity-requests.

Verbos Permisos API cubiertas Descripción
inspect CONTROL_CENTER_CAPACITY_REQUEST_INSPECT
  • ListOccCapacityRequests
Muestra todas las solicitudes de capacidad.
read

inspect+

CONTROL_CENTER_CAPACITY_REQUEST_READ

inspect+

  • GetOccCapacityRequest
Obtener detalles sobre la solicitud de capacidad.
use

read+

CONTROL_CENTER_CAPACITY_REQUEST_UPDATE

read+

  • UpdateOccCapacityRequest
Actualice la solicitud de capacidad.
manage

use+

CONTROL_CENTER_CAPACITY_REQUEST_CREATE

CONTROL_CENTER_CAPACITY_REQUEST_DELETE

use+

  • CreateOccCapacityRequest
  • DeleteOccCapacityRequest

Cree una solicitud de capacidad.

Suprimir un recurso de solicitud de capacidad.

señales de control-centro-demanda

En esta tabla, se muestran los permisos y las operaciones de API que cubre cada verbo para el recurso control-center-demand-signals.

Verbs Permisos API cubiertas Descripción
inspect CONTROL_CENTER_DEMAND_SIGNALS_INSPECT
  • ListOccDemandSignals
Muestra todos los recursos de una solicitud de capacidad.
read

inspect+

CONTROL_CENTER_DEMAND_SIGNALS_READ

inspect+

  • GetOccDemandSignal
Obtenga detalles sobre los recursos de una solicitud de capacidad.
use

read+

CONTROL_CENTER_DEMAND_SIGNALS_UPDATE

read+

  • UpdateOccDemandSignal
  • PatchOccDemandSignal

Actualizar el nombre de una solicitud de capacidad.

Permite editar la cantidad de demanda de recursos en una solicitud de capacidad.

manage

use+

CONTROL_CENTER_DEMAND_SIGNALS_CREATE

CONTROL_CENTER_DEMAND_SIGNALS_DELETE

use+

  • CreateOccDemandSignal
  • DeleteOccDemandSignal

Agregar un recurso en una solicitud de capacidad.

Suprimir un recurso en una solicitud de capacidad.

Permisos necesarios para cada operación de API

En la siguiente tabla se muestran las operaciones de API en un orden lógico.

Para obtener más información, consulte Permisos.
Operación de API Permisos necesarios para utilizar la operación
ListNamespaces CONTROL_CENTER_METRICS_INSPECT
ListMetricProperties CONTROL_CENTER_METRICS_INSPECT
RequestSummarizedMetricData CONTROL_CENTER_METRICS_READ
ListOccAvailabilityCatalogs CONTROL_CENTER_AVAILABILITY_CATALOG_INSPECT
GetOccAvailabilityCatalog CONTROL_CENTER_AVAILABILITY_CATALOG_READ
GetOccAvailabilityCatalogContent CONTROL_CENTER_AVAILABILITY_CATALOG_READ
ListOccAvailabilities CONTROL_CENTER_AVAILABILITY_CATALOG_READ
CreateOccCapacityRequest CONTROL_CENTER_CAPACITY_REQUEST_CREATE
DeleteOccCapacityRequest CONTROL_CENTER_CAPACITY_REQUEST_DELETE
UpdateOccCapacityRequest CONTROL_CENTER_CAPACITY_REQUEST_UPDATE
ListOccCapacityRequests CONTROL_CENTER_CAPACITY_REQUEST_INSPECT
GetOccCapacityRequest CONTROL_CENTER_CAPACITY_REQUEST_READ
CreateOccDemandSignal CONTROL_CENTER_DEMAND_SIGNAL_CREATE
DeleteOccDemandSignal CONTROL_CENTER_DEMAND_SIGNAL_DELETE
PatchOccDemandSignal CONTROL_CENTER_DEMAND_SIGNAL_UPDATE
UpdateOccDemandSignal CONTROL_CENTER_DEMAND_SIGNAL_UPDATE
ListOccDemandSignals CONTROL_CENTER_DEMAND_SIGNAL_INSPECT
GetOccDemandSignal CONTROL_CENTER_DEMAND_SIGNAL_READ

Creación de una Política

A continuación, se muestra cómo crear una política en la consola:

  1. Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Políticas.
  2. En la página Políticas, haga clic en Crear política.
  3. En el panel Crear política, introduzca un nombre, una descripción para la política y especifique el compartimento en el que desea crear la política.
  4. En Creador de política, haga clic en el conmutador Mostrar editor manual para activar el editor.

    Introduzca una regla de política en el formato especificado. Consulte ejemplos de políticas en OCC Policies and Permissions.

  5. Haga clic en Crear.

Para obtener instrucciones sobre cómo crear y gestionar políticas mediante la consola o la API, consulte Gestión de políticas.

Para obtener una lista completa de todas las políticas de Oracle Cloud Infrastructure, consulte Referencia de política y Políticas comunes.

Ejemplos de políticas

Las políticas de OCC son necesarias para ver los datos de métricas de OCC.

Para obtener instrucciones sobre cómo crear políticas mediante la consola, consulte Creación de una política.

Para obtener más información sobre la sintaxis, consulte Sintaxis de políticas.

Se proporcionan los siguientes ejemplos de políticas:

Permite al grupo mostrar métricas y leer datos de métricas.

Allow group <group name> to use control-center-metrics in tenancy

Permite al grupo gestionar solicitudes de capacidad.

Allow group customeradmin to manage control-center-capacity-request in tenancy

Políticas de familia OCC

Cree esta política en su arrendamiento para permitir a un usuario o leer todas las métricas de OCC:

Allow <user> to read control-center-family in tenancy

Políticas de vinculación de gestión de capacidad de OCC

Cree las siguientes políticas en su arrendamiento para utilizar las funcionalidades de gestión de capacidad.

allow group <group-name> to manage control-center-capacity-requests in tenancy
allow group <group-name> to read control-center-availability-catalogs in tenancy
define tenancy operator as ocid1.tenancy.oc1..aaaaaaaagkbzgg6lpzrf47xzy4rjoxg4de6ncfiq2rncmjiujvy2hjgxvziqy
define group ccm-operators as ocid1.group.oc1..aaaaaaaay7y5a5tifmzcaa6ucaljuxyf5qvoghcn2lk4l3gxzvmiow7xaa6q
admit group ccm-operators of tenancy operator to use control-center-capacity-requests in tenancy

Aquí <group-name> es cualquier grupo de usuarios del arrendamiento del cliente que se utiliza para la gestión de capacidad. Las políticas relacionadas con el arrendamiento del operador y el grupo de operadores de ccm permiten a los operadores de OCI trabajar en las solicitudes de capacidad creadas por los clientes.