La política de OCI IAM utiliza el concepto de admisión y proveedor para activar el acceso entre arrendamientos. Si desea otorgar permiso para que las instancias informáticas del arrendamiento de origen (VendorA) accedan a Logging Analytics del arrendamiento de destino (CompanyABC), los administradores de ambos arrendamientos deben crear políticas de IAM como se muestra a continuación.

1. Configurar principal de instancia y grupo dinámico en el arrendamiento de origen (VendorA):

   La capacidad de principales de instancia le permite realizar llamadas de servicio desde una instancia. Las instancias informáticas de OCI están autorizadas a interactuar con las API de OCI mediante la creación de un grupo dinámico de instancias informáticas y una política que autoriza las operaciones que pueden realizar las instancias.

   Cree un grupo dinámico, por ejemplo oci_la_dg, para autorizar las instancias de los compartimentos con los permisos definidos en las políticas.

   Any {instance.compartment.id = 'ocid1.compartment.oc1..aaaaabcd',instance.compartment.id = 'ocid1.compartment.oc1..aaaaadef'}

2. Crear política en el arrendamiento de origen (VendorA):

   Define tenancy CompanyABC as ocid1.tenancy.oc1..aaaaaaaaabc
   Endorse dynamic-group oci_la_dg to manage loganalytics-features-family in tenancy CompanyABC
   Endorse dynamic-group oci_la_dg to manage loganalytics-resources-family in tenancy CompanyABC
   Endorse dynamic-group oci_la_dg to manage management-dashboard-family in tenancy CompanyABC
   Endorse dynamic-group oci_la_dg to read compartments in tenancy CompanyABC

3. Crear política en el arrendamiento de destino (CompanyABC):

   Define tenancy VendorA as ocid1.tenancy.oc1..aaaaavendora
   Define dynamic-group oci_la_dg as ocid1.dynamicgroup.oc1..aaaaaaaavendora
   Admit dynamic-group oci_la_dg of tenancy VendorA to manage loganalytics-features-family in tenancy
   Admit dynamic-group oci_la_dg of tenancy VendorA to manage loganalytics-resources-family in tenancy
   Admit dynamic-group oci_la_dg of tenancy VendorA to manage management-dashboard-family in tenancy 
   Admit dynamic-group oci_la_dg of tenancy VendorA to read compartments in tenancy

4. Verifique que ahora puede ejecutar las API de Logging Analytics desde las instancias que recibieron permisos.

Para obtener información sobre las sentencias Endorse, Admit y Define, consulte la documentación de Object Storage. Además de los grupos dinámicos, estas sentencias también se pueden aplicar a los grupos.