Políticas y permisos de OCC

Cree políticas de IAM para controlar quién tiene acceso a los datos de solicitud de capacidad y métrica de OCC, y para controlar el tipo de acceso para cada grupo de usuarios.

Para los datos de métricas en OCC, no hay forma de restringir el acceso según los ID de recursos. Puede utilizar el nombre de familia control-center-family y el tipo de recurso control-center-metrics para restringir el acceso a los datos de métrica en general.

Puede utilizar la familia control-center-capacity-management-family y los tipos de recursos control-center-availability-catalogs y control-center-capacity-requests para restringir el acceso a Capacity Management.

Consulte la sección Ejemplos de políticas para obtener más información.

Los usuarios del grupo Administrators tienen acceso a todos los recursos y datos de métricas de OCC. Cree políticas para que los usuarios tengan los derechos necesarios para los datos de métricas de OCC.

Si no está familiarizado con las políticas de IAM, consulte Getting Started with Policies.

Para obtener una lista completa de las políticas de Oracle Cloud Infrastructure, consulte la referencia de políticas.

En esta sección se explican los siguientes temas:

Para utilizar OCC, cree una política que otorgue los siguientes permisos al usuario o grupos que interactúen con el servicio según corresponda.

Tipos de recursos y permisos

Lista de tipos de recursos del centro de control y permisos asociados.

Para asignar permisos a todos los recursos de supervisión de métricas de OCC, utilice el tipo agregado control-center-family.

Para crear una solicitud de capacidad, necesita el permiso control-center-capacity-management-family.

En la siguiente tabla se muestran todos los recursos de OCC:


Nombre de Familia	Recursos para Miembros	Acción asignada a usuario
`control-center-family`	`control-center-metrics` `control-center-demand-signals`	Incluye todas las métricas del centro de control y todos los recursos futuros de miembros de una familia.
`control-center-capacity-management-family`	`control-center-availability-catalogs` `control-center-capacity-requests`	Incluye toda la gestión de capacidad del Centro de Control y los recursos de miembros futuros de una familia.

Una política que utiliza <verb> control-center-familyes igual a escribir una política con una sentencia <verb> <resource-type> independiente para cada uno de los tipos de recursos individuales.


Tipo de Recurso	Permisos	Acción asignada a usuario
`control-center-metrics`	`CONTROL_CENTER_METRICS_INSPECT` `CONTROL_CENTER_METRICS_READ`	Leer espacios de nombres de métricas, nombres de métricas y valores de métricas de OCC.
`control-center-availability-catalogs`	`CONTROL_CENTER_AVAILABILITY_CATALOG_INSPECT` `CONTROL_CENTER_AVAILABILITY_CATALOG_READ`	Leer y exportar catálogos de disponibilidad y disponibilidades.
`control-center-capacity-requests`	`CONTROL_CENTER_CAPACITY_REQUEST_CREATE` `CONTROL_CENTER_CAPACITY_REQUEST_DELETE` `CONTROL_CENTER_CAPACITY_REQUEST_UPDATE` `CONTROL_CENTER_CAPACITY_REQUEST_INSPECT` `CONTROL_CENTER_CAPACITY_REQUEST_READ`	Permite crear, leer, actualizar y suprimir solicitudes de capacidad.
`control-center-demand-signals`	`CONTROL_CENTER_DEMAND_SIGNAL_CREATE` `CONTROL_CENTER_DEMAND_SIGNAL_DELETE` `CONTROL_CENTER_DEMAND_SIGNAL_UPDATE` `CONTROL_CENTER_DEMAND_SIGNAL_INSPECT` `CONTROL_CENTER_DEMAND_SIGNAL_READ`	Permite agregar, leer, actualizar y suprimir la cantidad de demanda de recursos en solicitudes de capacidad.

Variables soportadas

Puede utilizar variables para agregar condiciones a una política.

OCI Control Center soporta las siguientes variables:

Entidad: ID de Oracle Cloud (OCID)
Cadena: texto en formato libre.
List: lista de entidades o cadenas.

Consulte Variables generales para todas las solicitudes.

Las variables se especifican en minúsculas y separadas por guiones. Por ejemplo, target.tag-namespace.name, target.display-name. Aquí name debe ser un valor único y display-name es la descripción.

El servicio OCI Control Center proporciona las variables necesarias para cada solicitud. El motor de autorización proporciona variables automáticas (ya sea de servicio local con el SDK para un cliente grueso o en el plano de datos de identidad para un cliente fino).


Variables necesarias	Tipo	Descripción
`target.compartment.id`	Entidad (OCID)	OCID del recurso primario para la solicitud.
`request.operation`	Cadena	ID de operación (por ejemplo, `GetUser`) de la solicitud.
`target.resource.kind`	Cadena	Nombre de tipo de recurso del recurso primario de la solicitud.


Variables automáticas	Tipo	Descripción
`request.user.id`	Entidad (OCID)	OCID del usuario solicitante.
`request.groups.id`	Lista de entidades (OCID)	OCID de los grupos en los que está el usuario solicitante.
`target.compartment.name`	Cadena	Nombre del compartimento especificado en `target.compartment.id`.
`target.tenant.id`	Entidad (OCID)	OCID del ID de inquilino de destino.


Variables dinámicas	Escribir	Descripción
`request.principal.group.tag.<tagNS>.<tagKey>`	Cadena	Valor de cada etiqueta de un grupo del que el principal es miembro.
`request.principal.compartment.tag.<tagNS>.<tagKey>`	Cadena	Valor de cada etiqueta del compartimento que contiene el principal.
`target.resource.tag.<tagNS>.<tagKey>`	Cadena	Valor de cada etiqueta en el recurso de destino. (Se calcula en función de tagSlug proporcionado por el servicio en cada solicitud).
`target.resource.compartment.tag.<tagNS>.<tagKey>`	Cadena	Valor de cada etiqueta del compartimento que contiene el recurso de destino. (Se calcula en función de tagSlug proporcionado por el servicio en cada solicitud).

A continuación, se muestra una lista de orígenes disponibles para las variables:

Solicitud: procede de la entrada de la solicitud.
Derivado: procede de la solicitud.
Almacenado: procede del servicio y la entrada retenida.
Calculado: se calcula a partir de los datos del servicio.

Detalles para combinaciones de verbos y tipos de recursos

Identifique los permisos y las operaciones de API cubiertas por cada verbo para los recursos del centro de control.

El nivel de acceso es acumulativo a medida que pasa de inspect a read a use a manage. Un signo más (+) en una celda de la tabla indica un acceso incremental en comparación con la celda anterior, no extra indica que no hay acceso incremental.

Para obtener más información sobre cómo otorgar acceso, consulte Permisos.

control-centro-métricas

En esta tabla, se muestran los permisos y las operaciones de API que cubre cada verbo para el recurso control-center-metrics.


Verbs	Permisos	API cubiertas	Descripción
`inspect`	`CONTROL_CENTER_METRICS_INSPECT`	`ListNamespaces` `ListMetricProperties`	Las métricas se agrupan en espacios de nombres. Muestre todos los espacios de nombres. Obtenga la lista de métricas en un espacio de nombres específico.
`read`	`inspect+` `CONTROL_CENTER_METRICS_READ`	`inspect+` `RequestSummarizedMetricData`	Obtener datos (valores) de una métrica en un espacio de nombres específico.
`use`	`read+`	`no extra`
`manage`	`use+`	`no extra`

catálogos de disponibilidad de centro de control

En esta tabla, se muestran los permisos y las operaciones de API que cubre cada verbo para el recurso control-center-availability-catalogs.


Verbos	Permisos	API cubiertas	Descripción
`inspect`	`CONTROL_CENTER_AVAILABILITY_CATALOG_INSPECT`	`ListOccAvailabilityCatalogs`	Muestra todos los catálogos de disponibilidad.
`read`	`inspect+` `CONTROL_CENTER_AVAILABILITY_CATALOG_READ`	`inspect+` `GetOccAvailabilityCatalog` `GetOccAvailabilityCatalogContent` `ListOccAvailabilities`	Obtenga los detalles del catálogo de disponibilidad. Devuelve el contenido binario del catálogo de disponibilidad. Muestre las disponibilidades de un catálogo de disponibilidad.

solicitudes de capacidad del centro de control

En esta tabla, se muestran los permisos y las operaciones de API que cubre cada verbo para el recurso control-center-capacity-requests.


Verbos	Permisos	API cubiertas	Descripción
`inspect`	`CONTROL_CENTER_CAPACITY_REQUEST_INSPECT`	`ListOccCapacityRequests`	Muestra todas las solicitudes de capacidad.
`read`	`inspect+` `CONTROL_CENTER_CAPACITY_REQUEST_READ`	`inspect+` `GetOccCapacityRequest`	Obtener detalles sobre la solicitud de capacidad.
`use`	`read+` `CONTROL_CENTER_CAPACITY_REQUEST_UPDATE`	`read+` `UpdateOccCapacityRequest`	Actualice la solicitud de capacidad.
`manage`	`use+` `CONTROL_CENTER_CAPACITY_REQUEST_CREATE` `CONTROL_CENTER_CAPACITY_REQUEST_DELETE`	`use+` `CreateOccCapacityRequest` `DeleteOccCapacityRequest`	Cree una solicitud de capacidad. Suprimir un recurso de solicitud de capacidad.

señales de control-centro-demanda

En esta tabla, se muestran los permisos y las operaciones de API que cubre cada verbo para el recurso control-center-demand-signals.


Verbs	Permisos	API cubiertas	Descripción
`inspect`	`CONTROL_CENTER_DEMAND_SIGNALS_INSPECT`	`ListOccDemandSignals`	Muestra todos los recursos de una solicitud de capacidad.
`read`	`inspect+` `CONTROL_CENTER_DEMAND_SIGNALS_READ`	`inspect+` `GetOccDemandSignal`	Obtenga detalles sobre los recursos de una solicitud de capacidad.
`use`	`read+` `CONTROL_CENTER_DEMAND_SIGNALS_UPDATE`	`read+` `UpdateOccDemandSignal` `PatchOccDemandSignal`	Actualizar el nombre de una solicitud de capacidad. Permite editar la cantidad de demanda de recursos en una solicitud de capacidad.
`manage`	`use+` `CONTROL_CENTER_DEMAND_SIGNALS_CREATE` `CONTROL_CENTER_DEMAND_SIGNALS_DELETE`	`use+` `CreateOccDemandSignal` `DeleteOccDemandSignal`	Agregar un recurso en una solicitud de capacidad. Suprimir un recurso en una solicitud de capacidad.

Permisos necesarios para cada operación de API

En la siguiente tabla se muestran las operaciones de API en un orden lógico.

Para obtener más información, consulte Permisos.


Operación de API	Permisos necesarios para utilizar la operación
`ListNamespaces`	`CONTROL_CENTER_METRICS_INSPECT`
`ListMetricProperties`	`CONTROL_CENTER_METRICS_INSPECT`
`RequestSummarizedMetricData`	`CONTROL_CENTER_METRICS_READ`
`ListOccAvailabilityCatalogs`	`CONTROL_CENTER_AVAILABILITY_CATALOG_INSPECT`
`GetOccAvailabilityCatalog`	`CONTROL_CENTER_AVAILABILITY_CATALOG_READ`
`GetOccAvailabilityCatalogContent`	`CONTROL_CENTER_AVAILABILITY_CATALOG_READ`
`ListOccAvailabilities`	`CONTROL_CENTER_AVAILABILITY_CATALOG_READ`
`CreateOccCapacityRequest`	`CONTROL_CENTER_CAPACITY_REQUEST_CREATE`
`DeleteOccCapacityRequest`	`CONTROL_CENTER_CAPACITY_REQUEST_DELETE`
`UpdateOccCapacityRequest`	`CONTROL_CENTER_CAPACITY_REQUEST_UPDATE`
`ListOccCapacityRequests`	`CONTROL_CENTER_CAPACITY_REQUEST_INSPECT`
`GetOccCapacityRequest`	`CONTROL_CENTER_CAPACITY_REQUEST_READ`
`CreateOccDemandSignal`	`CONTROL_CENTER_DEMAND_SIGNAL_CREATE`
`DeleteOccDemandSignal`	`CONTROL_CENTER_DEMAND_SIGNAL_DELETE`
`PatchOccDemandSignal`	`CONTROL_CENTER_DEMAND_SIGNAL_UPDATE`
`UpdateOccDemandSignal`	`CONTROL_CENTER_DEMAND_SIGNAL_UPDATE`
`ListOccDemandSignals`	`CONTROL_CENTER_DEMAND_SIGNAL_INSPECT`
`GetOccDemandSignal`	`CONTROL_CENTER_DEMAND_SIGNAL_READ`

Creación de una Política

A continuación, se muestra cómo crear una política en la consola:

Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Políticas.
En la página Políticas, haga clic en Crear política.
En el panel Crear política, introduzca un nombre, una descripción para la política y especifique el compartimento en el que desea crear la política.
En Creador de política, haga clic en el conmutador Mostrar editor manual para activar el editor.

Introduzca una regla de política en el formato especificado. Consulte ejemplos de políticas en OCC Policies and Permissions.
Haga clic en Crear.

Para obtener instrucciones sobre cómo crear y gestionar políticas mediante la consola o la API, consulte Gestión de políticas.

Para obtener una lista completa de todas las políticas de Oracle Cloud Infrastructure, consulte Referencia de política y Políticas comunes.

Ejemplos de políticas

Las políticas de OCC son necesarias para ver los datos de métricas de OCC.

Para obtener instrucciones sobre cómo crear políticas mediante la consola, consulte Creación de una política.

Para obtener más información sobre la sintaxis, consulte Sintaxis de políticas.

Se proporcionan los siguientes ejemplos de políticas:

Permite al grupo mostrar métricas y leer datos de métricas.

Allow group <group name> to use control-center-metrics in tenancy

Permite al grupo gestionar solicitudes de capacidad.

Allow group customeradmin to manage control-center-capacity-request in tenancy

Políticas de familia OCC

Cree esta política en su arrendamiento para permitir a un usuario o leer todas las métricas de OCC:

Allow <user> to read control-center-family in tenancy

Políticas de vinculación de gestión de capacidad de OCC

Cree las siguientes políticas en su arrendamiento para utilizar las funcionalidades de gestión de capacidad.

allow group <group-name> to manage control-center-capacity-requests in tenancy

allow group <group-name> to read control-center-availability-catalogs in tenancy

define tenancy operator as ocid1.tenancy.oc1..aaaaaaaagkbzgg6lpzrf47xzy4rjoxg4de6ncfiq2rncmjiujvy2hjgxvziqy

define group ccm-operators as ocid1.group.oc1..aaaaaaaay7y5a5tifmzcaa6ucaljuxyf5qvoghcn2lk4l3gxzvmiow7xaa6q

admit group ccm-operators of tenancy operator to use control-center-capacity-requests in tenancy

Aquí <group-name> es cualquier grupo de usuarios del arrendamiento del cliente que se utiliza para la gestión de capacidad. Las políticas relacionadas con el arrendamiento del operador y el grupo de operadores de ccm permiten a los operadores de OCI trabajar en las solicitudes de capacidad creadas por los clientes.

Documentación de Oracle Cloud Infrastructure