Documentación de Oracle Cloud Infrastructure

Creación y Gestión de Políticas con Policy Advisor

Utilice Asesoramiento de pólizas para establecer rápidamente permisos a OCI en recursos que permitan que se activen para Ops Insights. Policy Advisor es una ubicación centralizada en la que puede ver, crear, actualizar y suprimir políticas necesarias para Ops Insights.

Policy Advisor automatiza la creación de las siguientes políticas:
  • Políticas que necesitan los usuarios de Ops Insights (tanto administradores como usuarios de solo lectura).
  • Políticas necesarias para que el servicio Ops Insights funcione correctamente.
  • Políticas para configurar el modo de demostración (opcional).
Nota

Las políticas any-user son políticas de entidad de recurso necesarias para el servicio Ops Insights. El usuario que intenta activar el servicio necesita las políticas que contienen group {name}

Ops Insights está descartando las políticas del sistema principal de servicio que representan un riesgo de seguridad a partir del 31 de agosto de 2025. Para obtener más información, consulte: Service Principal Policy Removal.

Configurar políticas de requisitos para Ops Insights

Como administrador con la capacidad de crear políticas en el compartimento raíz, siga estos pasos para configurar las políticas necesarias con el asesor de políticas:
  1. En la página Visión general de Ops Insights, en la parte superior derecha, haga clic en Asesor de políticas. Esto iniciará el asistente de asesor de políticas.
  2. En Acceso a recursos, haga clic en el botón Configurar de Ops Insights. Estas políticas proporcionarán los requisitos necesarios para utilizar el servicio Ops Insights.
  3. En la ventana de requisitos del servicio Ops Insights, seleccione los grupos de usuarios que necesitan acceder a las políticas de requisitos. Haga clic en + Agregar grupo de usuarios. Marque todos los grupos requeridos y marque si se requiere acceso de administrador o acceso de usuario. Cuando termine, haga clic en Seleccionar.
  4. En la ventana de requisitos del servicio Ops Insights ahora verá los grupos de usuarios y el nivel de acceso que ha configurado. A la derecha de esta tabla, seleccione los compartimentos a los que puede acceder el grupo de usuarios. Cuando se hayan agregado todos los compartimentos, haga clic en Vista previa y aplicación de cambios.
  5. La ventana Completar requisitos previos permite obtener una vista previa de las sentencias de política que se aplicarán y hacer clic en Siguiente para aplicarlas.
  6. Una vez que se hayan aplicado las políticas de requisitos, aparecerá una marca de verificación verde para terminar, haga clic en Cerrar. Se han aplicado las políticas de requisitos previos.

Configuración y gestión de políticas para los servicios de Ops Insights

Con Policy Advisor puede otorgar y modificar las políticas necesarias para tipos de telemetría y recursos específicos que se deben analizar con Ops Insights de su entorno, tanto para el grupo de usuarios que realizará esta acción como para el propio servicio.

A continuación se muestra una lista de tipos de telemetría y recursos cuyas políticas se pueden gestionar desde Policy Advisor:
  • Bases de datos
    • Bases de datos de IA autónomas en OCI
    • Bases de datos con hardware dedicado, de máquina virtual y de base de datos exa en OCI
    • Bases de datos externas (a través de telemetría):
      • Bases de datos gestionadas por Enterprise Manager
      • Bases de datos gestionadas por OCI Management Agent
    • MySQL Bases de datos
      • Sistemas de base de datos MySQL HeatWave
      • Sistemas de MySQL Database externos
  • Instancias informáticas y hosts
    • Calcula instancias en OCI
    • Hosts externos (a través de telemetría):
      • Hosts Gestionados de Enterprise Manager
      • Hosts gestionados de OCI Management Agent
  • Exadata
    • Sistemas de Exadata (telemetría a través de Enterprise Manager)
    • Exadata Database Service on Dedicated Infrastructure (ExaDB-D)
  • Informes de novedades
Para configurar las políticas específicas, primero asegúrese de que se han creado los cubos necesarios en los compartimentos que se van a utilizar y siga estos pasos:
  1. En la página Visión general de Ops Insights, en la parte superior derecha, haga clic en Asesor de políticas. Esto iniciará el asistente de asesor de políticas.
  2. En el separador Acceso a recursos, verá los nombres de los servicios que necesitan que se apliquen políticas para que Ops Insights funcione. Seleccione el servicio que desea editar y haga clic en el botón Configurar.
  3. En la ventana de requisitos del servicio Ops Insights, seleccione los grupos de usuarios que necesitan que se modifique su acceso a la política
    1. Para agregar grupos de usuarios, haga clic en + Agregar grupo de usuarios. Marque todos los grupos requeridos y marque si se requiere acceso de administrador o acceso de usuario. Cuando termine, haga clic en Seleccionar.
    2. Para eliminar grupos de usuarios, seleccione los tres puntos situados a la derecha de un grupo de usuarios que tenga acceso y seleccione Eliminar, lo que lo eliminará de la tabla.
  4. En la ventana de requisitos de servicio seleccionada, ahora verá los grupos de usuarios y el nivel de acceso que ha configurado. A la derecha de esta tabla, seleccione los compartimentos a los que pueden acceder los grupos de usuarios.
    1. Para agregar compartimentos, haga clic en el cuadro de texto y seleccione los compartimentos adecuados.
    2. Para eliminar compartimentos, haga clic en la X situada a la derecha de cada compartimento.
    Cuando se hayan modificado todos los compartimentos, haga clic en Vista previa y aplicación de cambios.
  5. La ventana Complete Prerequisites le permite obtener una vista previa de las sentencias de política que se aplicarán, mostrando las primeras sentencias que se suprimirán y las sentencias de política que se aplicarán. Haga clic en Siguiente para aplicarlos.
  6. Una vez que se hayan aplicado las políticas de requisitos, aparecerá una marca de verificación verde para terminar, haga clic en Cerrar. Se han aplicado las políticas de requisitos previos.

Eliminación de política de principal de servicio

La mejor práctica de Oracle es que un servicio de OCI nunca deba acceder al recurso de OCI de un cliente mediante una entidad de servicio, ya que esto presenta un riesgo potencial de seguridad. Ops Insights está descartando las políticas del sistema principal de servicio que representan un riesgo de seguridad a partir del 31 de agosto de 2025.

Si se detectan políticas en desuso, el asesor de políticas mostrará un banner en la parte superior de la página que requiere una actualización de política al nuevo formato CRISP; para actualizar las políticas en desuso existentes, haga clic en el botón Actualizar políticas de requisitos previos. Aparecen iconos adicionales de Advertencia junto a los grupos de políticas individuales que contienen sentencias en desuso, y el botón Configurar se desactivará para todos los grupos que contienen sentencias en desuso hasta que se hayan realizado actualizaciones de políticas.

Políticas de Ops Insight que debe escribir en su arrendamiento:
Política de principal de servicio en desuso Nueva póliza
allow service operations-insights to read secret-family in compartment ABC where target.vault.id = 'Vault OCID' allow any-user to read secret-family in tenancy where ALL{request.principal.type='opsidatabaseinsight', target.vault.id = 'Vault OCID'}
allow service operations-insights to read autonomous-database-family in compartment XYZ where {request.operation='GenerateAutonomousDatabaseWallet'} allow any-user to read autonomous-database-family in compartment XYZ where ALL{request.principal.type='opsidatabaseinsight', request.operation='GenerateAutonomousDatabaseWallet'}