Documentación de Oracle Cloud Infrastructure

Creación y Gestión de Políticas con el Asesor de Políticas

Utilice Policy Advisor para establecer rápidamente permisos de OCI en recursos que permitan activarlos para Ops Insights. El asesor de políticas es una ubicación centralizada en la que puede ver, crear, actualizar y suprimir las políticas necesarias para Ops Insights.

El asesor de políticas automatiza la creación de las siguientes políticas:
  • Políticas que necesitan los usuarios de Ops Insights (tanto administradores como usuarios de solo lectura).
  • Políticas que necesita el servicio Ops Insights para funcionar correctamente.
  • Políticas para configurar el modo de demostración (opcional).
Nota

Las políticas any-user son políticas de entidad de recurso necesarias para el servicio Ops Insights. Las políticas que contienen group {name} son necesarias para que el usuario intente activar el servicio

Ops Insights está descartando las políticas del sistema principal de servicio que representan un riesgo de seguridad a partir del 31 de agosto de 2025. Para obtener más información, consulte: Service Principal Policy Removal.

Configurar políticas de requisitos para Ops Insights

Como administrador con la capacidad de crear políticas en el compartimento raíz, siga estos pasos para configurar las políticas de requisitos necesarios con el asesor de políticas:
  1. En la página Visión general de Ops Insights, en la parte superior derecha, haga clic en Asesor de políticas. Esto iniciará el asistente de Policy Advisor.
  2. En Acceso a recursos, haga clic en el botón Configurar para Ops Insights. Estas políticas proporcionarán los requisitos necesarios para utilizar el servicio Ops Insights.
  3. En la ventana de requisitos del servicio Ops Insights, seleccione los grupos de usuarios que necesitan acceder a las políticas de requisitos. Haga clic en + Agregar grupo de usuarios. Marque todos los grupos como necesarios y marque si se necesita acceso de administrador o acceso de usuario. Al finalizar, haga clic en Seleccionar.
  4. En la ventana de requisitos del servicio Ops Insights, ahora verá los grupos de usuarios y el nivel de acceso que ha configurado. A la derecha de esta tabla, seleccione los compartimentos a los que puede acceder el grupo de usuarios. Cuando se hayan agregado todos los compartimentos, haga clic en Vista previa y aplicación de cambios.
  5. La ventana Completar requisitos previos permite obtener una vista previa de las sentencias de política que se aplicarán y hacer clic en Siguiente para aplicarlas.
  6. Una vez que se hayan aplicado las políticas de requisitos, aparecerá una marca de control verde. Para terminar, haga clic en Cerrar. Se han aplicado las políticas de requisitos.

Configuración y gestión de políticas para Ops Insights Services

Con Policy Advisor puede otorgar y modificar las políticas necesarias para tipos de recursos y tipos de telemetría específicos que se deben analizar con Ops Insights desde su entorno, tanto para el grupo de usuarios que realizará esta acción como para el propio servicio.

A continuación se muestra una lista de los tipos de telemetría y recursos cuyas políticas se pueden gestionar desde el asesor de políticas:
  • Base de Datos
    • Bases de datos autónomas en OCI
    • Bases de datos con hardware dedicado, VM y Exa-DB en OCI
    • Bases de datos externas (mediante telemetría):
      • Bases de Datos Gestionadas de Enterprise Manager
      • bases de datos gestionadas por OCI Management Agent
    • bases de datos MySQL
      • Sistemas de base de datos MySQL HeatWave
      • Sistemas de MySQL Database externa
  • Instancias informáticas y hosts
    • Calcula instancias en OCI
    • Hosts externos (mediante telemetría):
      • Hosts gestionados de Enterprise Manager
      • Hosts gestionados de OCI Management Agent
  • Exadata
    • Sistemas de Exadata (telemetría a través de Enterprise Manager)
    • Exadata Database Service on Dedicated Infrastructure (ExaDB-D)
  • Informes de novedades
Para configurar políticas específicas, primero asegúrese de que se han creado los cubos necesarios en los compartimentos que se van a utilizar y siga estos pasos:
  1. En la página Visión general de Ops Insights, en la parte superior derecha, haga clic en Asesor de políticas. Esto iniciará el asistente de Policy Advisor.
  2. En el separador Acceso a recursos, verá los nombres de los servicios que necesitan que se apliquen políticas para que funcione Ops Insights. Seleccione el servicio que desea editar y haga clic en el botón Configurar.
  3. En la ventana de requisitos del servicio Ops Insights, seleccione los grupos de usuarios que necesitan que se modifique su acceso a la política
    1. Para agregar grupos de usuarios, haga clic en + Agregar Grupo de Usuarios. Marque todos los grupos como necesarios y marque si se necesita acceso de administrador o acceso de usuario. Al finalizar, haga clic en Seleccionar.
    2. Para eliminar grupos de usuarios, seleccione los tres puntos a la derecha de un grupo de usuarios que tenga acceso y seleccione Eliminar, esto lo eliminará de la tabla.
  4. En la ventana de requisitos de servicio seleccionada, ahora verá los grupos de usuarios y el nivel de acceso que ha configurado. A la derecha de esta tabla, seleccione Compartments a los que pueden acceder los grupos de usuarios.
    1. Para agregar compartimentos, haga clic en el cuadro de texto y seleccione los compartimentos adecuados.
    2. Para eliminar compartimentos, haga clic en la X situada a la derecha de cada compartimento.
    Cuando se hayan modificado todos los compartimentos, haga clic en Vista previa y aplicación de cambios.
  5. La ventana Complete Prerequisites permite obtener una vista previa de las sentencias de política que se aplicarán, mostrando las primeras sentencias que se suprimirán y las sentencias de política que se aplicarán. Haga clic en Siguiente para aplicarlos.
  6. Una vez que se hayan aplicado las políticas de requisitos, aparecerá una marca de control verde. Para terminar, haga clic en Cerrar. Se han aplicado las políticas de requisitos.

Eliminación de política de entidad de servicio

La mejor práctica de Oracle es que un servicio de OCI nunca debe acceder al recurso de OCI de un cliente mediante una entidad de servicio, ya que esto introduce un riesgo potencial de seguridad. Ops Insights está desuso de las políticas del sistema principal de servicio que representan un riesgo de seguridad a partir del 31 de agosto de 2025.

Si se detectan políticas en desuso, el asesor de políticas mostrará un banner en la parte superior de la página que requiere una actualización de la política al nuevo formato CRISP. Para actualizar las políticas en desuso existentes, haga clic en el botón Actualizar políticas de requisitos previos. Aparecen iconos de advertencia adicionales junto a los grupos de políticas individuales que contienen sentencias en desuso, y el botón Configurar se desactivará para todos los grupos que contienen sentencias en desuso hasta que se hayan realizado los cambios de versión de políticas.

Políticas de Ops Insight que debe escribir en su arrendamiento:
Política de entidad de servicio en desuso Nueva Política
allow service operations-insights to read secret-family in compartment ABC where target.vault.id = 'Vault OCID' allow any-user to read secret-family in tenancy where ALL{request.principal.type='opsidatabaseinsight', target.vault.id = 'Vault OCID'}
allow service operations-insights to read autonomous-database-family in compartment XYZ where {request.operation='GenerateAutonomousDatabaseWallet'} allow any-user to read autonomous-database-family in compartment XYZ where ALL{request.principal.type='opsidatabaseinsight', request.operation='GenerateAutonomousDatabaseWallet'}