Creación de grupos, grupos dinámicos y políticas

Puede controlar cómo gestionan los usuarios las instancias de Resource Analytics en su arrendamiento.

Normalmente, se crea un grupo de usuarios en el arrendamiento y se le otorgan los derechos para gestionar el servicio en un compartimento concreto, y se otorga a la entidad de recurso de la instancia de Resource Analytics los derechos para observar los metadatos de recurso de su arrendamiento.

1. Crear un grupo y un grupo dinámico

Obtenga el OCID del compartimento que ha seleccionado para la instancia de Resource Analytics.
En este ejemplo, es el OCID de resource-analytics-compartment.
En el dominio de identidad:
1. Cree un grupo denominado resource-analytics-admins. Contiene los usuarios para gestionar las instancias de Resource Analytics y las asociaciones de arrendamiento, las bases de datos de IA autónomas y las instancias de Analytics Cloud.
2. Agregue usuarios al grupo según corresponda.
3. Cree un grupo dinámico denominado resource-analytics-instances.
4. Agregue la siguiente regla al grupo dinámico para que coincida con la instancia de Resource Analytics que finalmente cree en el compartimento resource-analytics-compartment:
```
all {resource.type = 'resanalyticsinstance', resource.compartment.id = '<resource-analytics-compartment-ocid>'} 
```
Para obtener más información sobre la adición de usuarios, grupos y grupos dinámicos a dominios de su arrendamiento, consulte Gestión de usuarios, Gestión de grupos y Gestión de grupos dinámicos.

Para los arrendamientos anteriores que no soportan dominios de identidad, consulte Gestión de usuarios, Gestión de grupos y Gestión de grupos dinámicos.

2. Crear pólizas

Después de crear el grupo de usuarios y el grupo dinámico, debe proporcionar derechos (permisos) a esos grupos para que los miembros del grupo puedan administrar instancias de Resource Analytics, inspeccionar el juego de regiones suscritas del arrendamiento y observar y notificar los metadatos de los recursos de su arrendamiento. Puede proporcionar derechos a grupos en forma de políticas de IAM.

Las políticas de IAM controlan el control de los recursos en los arrendamientos de Oracle Cloud Infrastructure (OCI). Una política contiene una o más sentencias de política.

Para crear políticas:

La mejor práctica es utilizar el creador de políticas, que le ayuda a crear rápidamente políticas comunes sin necesidad de escribir manualmente las sentencias de política. Consulte Uso del Creador de Políticas para Crear Políticas.
De lo contrario, debe crear una política y escribir manualmente las sentencias de política. Consulte Uso del Editor Manual para Crear Políticas.

Para obtener más información sobre la adición de políticas al arrendamiento, consulte Visión general del trabajo con políticas. Para los arrendamientos anteriores que no soportan dominios de identidad, consulte Gestión de políticas.

Uso del Creador de Políticas para Crear Políticas

Al utilizar el creador de políticas para crear políticas para su arrendamiento, puede aprovechar las plantillas de políticas de Resource Analytics. Una plantilla de política incluye todas las sentencias necesarias para proporcionar los permisos requeridos para realizar una tarea o un juego de tareas relacionadas en un servicio en OCI.

Para obtener más información sobre las sentencias incluidas en cada plantilla de política de Resource Analytics, consulte Plantillas de política de Policy Builder. Para los arrendamientos anteriores que no soportan dominios de identidad, consulte Políticas comunes.

Creación de políticas con Policy Builder

Cree tres políticas mediante Policy Builder:

Permitir que las instancias de análisis de recursos gestionen recursos de análisis de recursos: permite que las instancias de análisis de recursos gestionen recursos de análisis de recursos, incluidos metadatos de recursos, compartimentos, bases de datos de IA autónomas, familia de redes virtuales, solicitudes de trabajo de instancias de análisis e instancias de análisis.
Permitir a los administradores gestionar recursos de análisis de recursos: permite a los administradores gestionar recursos de análisis de recursos, incluida la familia de análisis de recursos, la familia de redes virtuales, los almacenes de datos de IA autónomos y las solicitudes de trabajo.
Permitir a los administradores inspeccionar el juego de regiones suscritas del arrendamiento: permitir a los administradores inspeccionar el juego de regiones suscritas del arrendamiento.

Siga estos pasos:

En la página Análisis de recursos, seleccione Ver detalles para mostrar el panel Configurar requisitos para primer uso.
En la sección Crear políticas, seleccione Creador de políticas para navegar a la página Políticas de Identidad y Seguridad.
Seleccione Crear política.
1. Introduzca un nombre y una descripción para la política y, a continuación, seleccione el compartimento raíz.
2. En Casos de uso de política, seleccione Análisis de recursos.
3. En Plantillas de política comunes, seleccione Permitir que las instancias de Resource Analytics gestionen recursos de Resource Analytics.
4. Seleccione el dominio de identidad.
5. Seleccione el grupo dinámico resource-analytics-instances.
6. Seleccione Crear.
En la página Políticas de identidad y seguridad, seleccione Crear política.
1. Introduzca un nombre y una descripción para la política y, a continuación, seleccione resource-analytics-compartment o cualquier compartimento que esté encima de ella.
2. En Casos de uso de política, seleccione Análisis de recursos.
3. En Plantillas de políticas comunes, seleccione Permitir a los administradores gestionar recursos de Resource Analytics.
4. Seleccione el dominio de identidad.
5. Seleccione el grupo resource-analytics-admins.
6. Seleccione Crear.
En la página Políticas de identidad y seguridad, seleccione Crear política.
1. Introduzca un nombre y una descripción para la política y, a continuación, seleccione el compartimento raíz.
2. En Casos de uso de política, seleccione Análisis de recursos.
3. En Plantillas de política comunes, seleccione Permitir a los administradores inspeccionar el juego de regiones suscritas del arrendamiento.
4. Seleccione el dominio de identidad.
5. Seleccione el grupo resource-analytics-admins.
6. Seleccione Crear.
En la página Políticas de Identidad y Seguridad, confirme que se han creado todas las políticas.

Uso del Editor Manual para Crear Políticas

Siga estas instrucciones si decide no utilizar el creador de políticas para crear las políticas que se asignarán al grupo de administradores y al grupo dinámico. Las políticas se crean con diferentes sentencias en función de si está en el dominio Default o en otro dominio:

Creación de políticas para el grupo de administradores en el dominio predeterminado
Creación de políticas para el grupo de administradores en un dominio de identidad no por defecto
Creación de políticas para la instancia de Resource Analytics en el dominio por defecto
Creación de políticas para la instancia de Resource Analytics en un dominio de identidad no por defecto

Consejo

Si va a crear manualmente las políticas, lo más probable es que copie las sentencias de política que se muestran a continuación para el grupo resource-analytics-admins y el grupo dinámico resource-analytics-instances. Si lo prefiere, puede combinar cualquiera o los tres juegos de sentencias de política para el grupo de administradores y la instancia en una única política en la raíz.

Creación de políticas para el grupo de administradores en el dominio predeterminado

Siga estos pasos solo si utiliza el dominio Default.

Para permitir que el grupo resource-analytics-admins administre instancias de Resource Analytics, cree una política con las siguientes sentencias en el compartimento (resource-analytics-compartment) o por encima de él donde desee crear una instancia de Resource Analytics:

allow group resource-analytics-admins to manage resource-analytics-family in compartment resource-analytics-compartment
allow group resource-analytics-admins to use virtual-network-family in compartment resource-analytics-compartment
allow group resource-analytics-admins to manage autonomous-data-warehouses in compartment resource-analytics-compartment
allow group resource-analytics-admins to inspect work-requests in compartment resource-analytics-compartment

Para permitir que el grupo resource-analytics-admins inspeccione el juego de regiones suscritas del arrendamiento, cree una política con las siguientes sentencias en el compartimento raíz:
```
allow group resource-analytics-admins to inspect tenancies in tenancy
```

Creación de políticas para el grupo de administradores en un dominio de identidad no por defecto

Si el arrendamiento soporta dominios de identidad y el dominio de identidad del grupo resource-analytics-admins no es Default, sino que otro nombre, como MyDomain, utilice la sintaxis de nombre cualificado para hacer referencia al grupo.

allow group 'MyDomain'/'resource-analytics-admins' to manage resource-analytics-family in compartment resource-analytics-compartment
allow group 'MyDomain'/'resource-analytics-admins' to use virtual-network-family in compartment resource-analytics-compartment
allow group 'MyDomain'/'resource-analytics-admins' to manage autonomous-data-warehouses in compartment resource-analytics-compartment
allow group 'MyDomain'/'resource-analytics-admins' to inspect work-requests in compartment resource-analytics-compartment

Para permitir que el grupo resource-analytics-admins inspeccione el juego de regiones suscritas del arrendamiento, cree una política con las siguientes sentencias en el compartimento raíz:
```
allow group 'MyDomain'/'resource-analytics-admins' to inspect tenancies in tenancy
```

Creación de políticas para la instancia de Resource Analytics en el dominio por defecto