Políticas y permisos de OCC
Cree políticas de IAM para controlar quién tiene acceso a los datos de solicitud de capacidad y métrica de OCC, y para controlar el tipo de acceso para cada grupo de usuarios.
Para los datos de métricas en OCC, no hay forma de restringir el acceso según los ID de recursos. Puede utilizar el nombre de familia control-center-family
y el tipo de recurso control-center-metrics
para restringir el acceso a los datos de métrica en general.
Puede utilizar la familia control-center-capacity-management-family y los tipos de recursos control-center-availability-catalogs
y control-center-capacity-requests
para restringir el acceso a Capacity Management.
Consulte la sección Ejemplos de políticas para obtener más información.
Los usuarios del grupo Administrators
tienen acceso a todos los recursos y datos de métricas de OCC. Cree políticas para que los usuarios tengan los derechos necesarios para los datos de métricas de OCC.
Si no está familiarizado con las políticas de IAM, consulte Getting Started with Policies.
Para obtener una lista completa de las políticas de Oracle Cloud Infrastructure, consulte la referencia de políticas.
En esta sección se explican los siguientes temas:
- Variables soportadas
- Detalles para combinaciones de verbos y tipos de recursos
- Creación de una Política
- Ejemplos de políticas
Para utilizar OCC, cree una política que otorgue los siguientes permisos al usuario o grupos que interactúen con el servicio según corresponda.
Tipos de recursos y permisos
Lista de tipos de recursos del centro de control y permisos asociados.
Para asignar permisos a todos los recursos de supervisión de métricas de OCC, utilice el tipo agregado control-center-family.
Para crear una solicitud de capacidad, necesita el permiso control-center-capacity-management-family.
En la siguiente tabla se muestran todos los recursos de OCC:
Nombre de Familia | Recursos para Miembros | Acción asignada a usuario |
---|---|---|
control-center-family |
|
Incluye todas las métricas del centro de control y todos los recursos futuros de miembros de una familia. |
control-center-capacity-management-family |
|
Incluye toda la gestión de capacidad del Centro de Control y los recursos de miembros futuros de una familia. |
Una política que utiliza <verb> control-center-family
es igual a escribir una política con una sentencia <verb> <resource-type>
independiente para cada uno de los tipos de recursos individuales.
Tipo de Recurso | Permisos | Acción asignada a usuario |
---|---|---|
control-center-metrics |
|
Leer espacios de nombres de métricas, nombres de métricas y valores de métricas de OCC. |
control-center-availability-catalogs |
|
Leer y exportar catálogos de disponibilidad y disponibilidades. |
control-center-capacity-requests |
|
Permite crear, leer, actualizar y suprimir solicitudes de capacidad. |
control-center-demand-signals |
|
Permite agregar, leer, actualizar y suprimir la cantidad de demanda de recursos en solicitudes de capacidad. |
Variables soportadas
Puede utilizar variables para agregar condiciones a una política.
OCI Control Center soporta las siguientes variables:
- Entidad: ID de Oracle Cloud (OCID)
- Cadena: texto en formato libre.
- List: lista de entidades o cadenas.
Consulte Variables generales para todas las solicitudes.
Las variables se especifican en minúsculas y separadas por guiones. Por ejemplo, target.tag-namespace.name
, target.display-name
. Aquí name
debe ser un valor único y display-name
es la descripción.
El servicio OCI Control Center proporciona las variables necesarias para cada solicitud. El motor de autorización proporciona variables automáticas (ya sea de servicio local con el SDK para un cliente grueso o en el plano de datos de identidad para un cliente fino).
Variables necesarias | Tipo | Descripción |
---|---|---|
target.compartment.id |
Entidad (OCID) | OCID del recurso primario para la solicitud. |
request.operation |
Cadena | ID de operación (por ejemplo, GetUser ) de la solicitud. |
target.resource.kind |
Cadena | Nombre de tipo de recurso del recurso primario de la solicitud. |
Variables automáticas | Tipo | Descripción |
---|---|---|
request.user.id |
Entidad (OCID) | OCID del usuario solicitante. |
request.groups.id |
Lista de entidades (OCID) | OCID de los grupos en los que está el usuario solicitante. |
target.compartment.name |
Cadena | Nombre del compartimento especificado en target.compartment.id . |
target.tenant.id |
Entidad (OCID) | OCID del ID de inquilino de destino. |
Variables dinámicas | Escribir | Descripción |
---|---|---|
request.principal.group.tag.<tagNS>.<tagKey> |
Cadena | Valor de cada etiqueta de un grupo del que el principal es miembro. |
request.principal.compartment.tag.<tagNS>.<tagKey> |
Cadena | Valor de cada etiqueta del compartimento que contiene el principal. |
target.resource.tag.<tagNS>.<tagKey> |
Cadena | Valor de cada etiqueta en el recurso de destino. (Se calcula en función de tagSlug proporcionado por el servicio en cada solicitud). |
target.resource.compartment.tag.<tagNS>.<tagKey> |
Cadena | Valor de cada etiqueta del compartimento que contiene el recurso de destino. (Se calcula en función de tagSlug proporcionado por el servicio en cada solicitud). |
A continuación, se muestra una lista de orígenes disponibles para las variables:
- Solicitud: procede de la entrada de la solicitud.
- Derivado: procede de la solicitud.
- Almacenado: procede del servicio y la entrada retenida.
- Calculado: se calcula a partir de los datos del servicio.
Detalles para combinaciones de verbos y tipos de recursos
Identifique los permisos y las operaciones de API cubiertas por cada verbo para los recursos del centro de control.
El nivel de acceso es acumulativo a medida que pasa de inspect
a read
a use
a manage
. Un signo más (+)
en una celda de la tabla indica un acceso incremental en comparación con la celda anterior, no extra
indica que no hay acceso incremental.
Para obtener más información sobre cómo otorgar acceso, consulte Permisos.
En esta tabla, se muestran los permisos y las operaciones de API que cubre cada verbo para el recurso control-center-metrics
.
Verbs | Permisos | API cubiertas | Descripción |
---|---|---|---|
inspect |
|
|
Las métricas se agrupan en espacios de nombres. Muestre todos los espacios de nombres. Obtenga la lista de métricas en un espacio de nombres específico. |
read |
|
|
Obtener datos (valores) de una métrica en un espacio de nombres específico. |
use |
|
|
|
manage |
|
|
En esta tabla, se muestran los permisos y las operaciones de API que cubre cada verbo para el recurso control-center-availability-catalogs
.
Verbos | Permisos | API cubiertas | Descripción |
---|---|---|---|
inspect |
CONTROL_CENTER_AVAILABILITY_CATALOG_INSPECT |
|
Muestra todos los catálogos de disponibilidad. |
read |
|
|
Obtenga los detalles del catálogo de disponibilidad. Devuelve el contenido binario del catálogo de disponibilidad. Muestre las disponibilidades de un catálogo de disponibilidad. |
En esta tabla, se muestran los permisos y las operaciones de API que cubre cada verbo para el recurso control-center-capacity-requests
.
Verbos | Permisos | API cubiertas | Descripción |
---|---|---|---|
inspect |
CONTROL_CENTER_CAPACITY_REQUEST_INSPECT |
|
Muestra todas las solicitudes de capacidad. |
read |
|
|
Obtener detalles sobre la solicitud de capacidad. |
use |
|
|
Actualice la solicitud de capacidad. |
manage |
|
|
Cree una solicitud de capacidad. Suprimir un recurso de solicitud de capacidad. |
En esta tabla, se muestran los permisos y las operaciones de API que cubre cada verbo para el recurso control-center-demand-signals
.
Verbs | Permisos | API cubiertas | Descripción |
---|---|---|---|
inspect |
CONTROL_CENTER_DEMAND_SIGNALS_INSPECT |
|
Muestra todos los recursos de una solicitud de capacidad. |
read |
|
|
Obtenga detalles sobre los recursos de una solicitud de capacidad. |
use |
|
|
Actualizar el nombre de una solicitud de capacidad. Permite editar la cantidad de demanda de recursos en una solicitud de capacidad. |
manage |
|
|
Agregar un recurso en una solicitud de capacidad. Suprimir un recurso en una solicitud de capacidad. |
Permisos necesarios para cada operación de API
En la siguiente tabla se muestran las operaciones de API en un orden lógico.
Para obtener más información, consulte Permisos.Operación de API | Permisos necesarios para utilizar la operación |
---|---|
ListNamespaces |
CONTROL_CENTER_METRICS_INSPECT |
ListMetricProperties |
CONTROL_CENTER_METRICS_INSPECT |
RequestSummarizedMetricData |
CONTROL_CENTER_METRICS_READ |
ListOccAvailabilityCatalogs |
CONTROL_CENTER_AVAILABILITY_CATALOG_INSPECT |
GetOccAvailabilityCatalog |
CONTROL_CENTER_AVAILABILITY_CATALOG_READ |
GetOccAvailabilityCatalogContent |
CONTROL_CENTER_AVAILABILITY_CATALOG_READ |
ListOccAvailabilities |
CONTROL_CENTER_AVAILABILITY_CATALOG_READ |
CreateOccCapacityRequest |
CONTROL_CENTER_CAPACITY_REQUEST_CREATE |
DeleteOccCapacityRequest |
CONTROL_CENTER_CAPACITY_REQUEST_DELETE |
UpdateOccCapacityRequest |
CONTROL_CENTER_CAPACITY_REQUEST_UPDATE |
ListOccCapacityRequests |
CONTROL_CENTER_CAPACITY_REQUEST_INSPECT |
GetOccCapacityRequest |
CONTROL_CENTER_CAPACITY_REQUEST_READ |
CreateOccDemandSignal |
CONTROL_CENTER_DEMAND_SIGNAL_CREATE |
DeleteOccDemandSignal |
CONTROL_CENTER_DEMAND_SIGNAL_DELETE |
PatchOccDemandSignal |
CONTROL_CENTER_DEMAND_SIGNAL_UPDATE |
UpdateOccDemandSignal |
CONTROL_CENTER_DEMAND_SIGNAL_UPDATE |
ListOccDemandSignals |
CONTROL_CENTER_DEMAND_SIGNAL_INSPECT |
GetOccDemandSignal |
CONTROL_CENTER_DEMAND_SIGNAL_READ |
Creación de una Política
A continuación, se muestra cómo crear una política en la consola:
Para obtener instrucciones sobre cómo crear y gestionar políticas mediante la consola o la API, consulte Gestión de políticas.
Para obtener una lista completa de todas las políticas de Oracle Cloud Infrastructure, consulte Referencia de política y Políticas comunes.
Ejemplos de políticas
Las políticas de OCC son necesarias para ver los datos de métricas de OCC.
Para obtener instrucciones sobre cómo crear políticas mediante la consola, consulte Creación de una política.
Para obtener más información sobre la sintaxis, consulte Sintaxis de políticas.
Se proporcionan los siguientes ejemplos de políticas:
Permite al grupo mostrar métricas y leer datos de métricas.
Allow group <group name> to use control-center-metrics in tenancy
Permite al grupo gestionar solicitudes de capacidad.
Allow group customeradmin to manage control-center-capacity-request in tenancy
Políticas de familia OCC
Cree esta política en su arrendamiento para permitir a un usuario o leer todas las métricas de OCC:
Allow <user> to read control-center-family in tenancy
Políticas de vinculación de gestión de capacidad de OCC
Cree las siguientes políticas en su arrendamiento para utilizar las funcionalidades de gestión de capacidad.
allow group <group-name> to manage control-center-capacity-requests in tenancy
allow group <group-name> to read control-center-availability-catalogs in tenancy
define tenancy operator as ocid1.tenancy.oc1..aaaaaaaagkbzgg6lpzrf47xzy4rjoxg4de6ncfiq2rncmjiujvy2hjgxvziqy
define group ccm-operators as ocid1.group.oc1..aaaaaaaay7y5a5tifmzcaa6ucaljuxyf5qvoghcn2lk4l3gxzvmiow7xaa6q
admit group ccm-operators of tenancy operator to use control-center-capacity-requests in tenancy
Aquí <group-name>
es cualquier grupo de usuarios del arrendamiento del cliente que se utiliza para la gestión de capacidad. Las políticas relacionadas con el arrendamiento del operador y el grupo de operadores de ccm permiten a los operadores de OCI trabajar en las solicitudes de capacidad creadas por los clientes.