Configuración de instancias informáticas para acceder a Log Analytics entre arrendamientos

Puede que tenga que otorgar acceso a un proveedor de terceros para gestionar y supervisar los logs de CompanyABC. En este documento se explica cómo configurar el acceso si el proveedor desea utilizar la CLI o el SDK desde las instancias informáticas del arrendamiento VendorA para acceder a Log Analytics de CompanyABC.

La política de OCI IAM utiliza el concepto de admisión y endorse para activar el acceso entre arrendamientos. Si desea otorgar permiso para que las instancias informáticas del arrendamiento de origen (VendorA) accedan a Log Analytics del arrendamiento de destino (CompanyABC), los administradores de ambos arrendamientos deben crear políticas de IAM como se indica a continuación.

1. Configurar principal de instancia y grupo dinámico en el arrendamiento de origen (VendorA):

   La capacidad de principales de instancia permite realizar llamadas de servicio desde una instancia. Las instancias informáticas de OCI están autorizadas a interactuar con las API de OCI mediante la creación de un grupo dinámico de instancias informáticas y una política que autoriza las operaciones que pueden realizar las instancias.

   Cree un grupo dinámico, por ejemplo oci_la_dg, para autorizar las instancias de los compartimentos con los permisos definidos en las políticas.

   Any {instance.compartment.id = 'ocid1.compartment.oc1..aaaaabcd',instance.compartment.id = 'ocid1.compartment.oc1..aaaaadef'}

2. Crear política en el arrendamiento de origen (VendorA):

   Define tenancy CompanyABC as ocid1.tenancy.oc1..aaaaaaaaabc
   Endorse dynamic-group oci_la_dg to manage loganalytics-features-family in tenancy CompanyABC
   Endorse dynamic-group oci_la_dg to manage loganalytics-resources-family in tenancy CompanyABC
   Endorse dynamic-group oci_la_dg to manage management-dashboard-family in tenancy CompanyABC
   Endorse dynamic-group oci_la_dg to read compartments in tenancy CompanyABC

3. Crear política en el arrendamiento de destino (CompanyABC):

   Define tenancy VendorA as ocid1.tenancy.oc1..aaaaavendora
   Define dynamic-group oci_la_dg as ocid1.dynamicgroup.oc1..aaaaaaaavendora
   Admit dynamic-group oci_la_dg of tenancy VendorA to manage loganalytics-features-family in tenancy
   Admit dynamic-group oci_la_dg of tenancy VendorA to manage loganalytics-resources-family in tenancy
   Admit dynamic-group oci_la_dg of tenancy VendorA to manage management-dashboard-family in tenancy 
   Admit dynamic-group oci_la_dg of tenancy VendorA to read compartments in tenancy

4. Verifique que ahora puede ejecutar las API de Log Analytics desde las instancias a las que se han otorgado permisos.

Para obtener información sobre las sentencias Endorse, Admit y Define, consulte Documentación de Object Storage. Además de los grupos dinámicos, estas sentencias también se pueden aplicar a grupos.