Documentación de Oracle Cloud Infrastructure

Creación de políticas utilizando la consola

Se recomienda utilizar siempre el asesor de políticas al configurar políticas para garantizar la facilidad de uso y la configuración adecuada. Sin embargo, si su entorno requiere un control de acceso más exhaustivo o la concesión manual de las políticas, estas se pueden realizar mediante la consola.

Nota

Las políticas any-user son políticas de entidad de recurso necesarias para el servicio Ops Insights. El usuario que intenta activar el servicio necesita las políticas que contienen group opsi-admins

Ops Insights está descartando las políticas del sistema principal de servicio que representan un riesgo de seguridad a partir del 31 de agosto de 2025. Para obtener más información, consulte: Service Principal Policy Removal.

Crear Políticas de Administrador

Los usuarios solo pueden utilizar Ops Insights si se han otorgado los permisos necesarios a su grupo. Para permitir que el administrador de opsiadmin active/desactive Ops Insights en todo su conjunto de recursos y acceda a todos los datos analíticos, debe crear una política de identidad para otorgar permisos de grupo de usuarios opsi-admin.
Nota

Todas las políticas se pueden escribir en el nivel de ámbito de compartimento, excepto el almacén de Ops Insights/Hub de AWR que necesita el nivel de raíz/arrendamiento.
  1. Conéctese a la consola como administrador del arrendamiento. Abra el menú de navegación y, en Gobernanza y administración, vaya a Identidad y haga clic en Políticas.
  2. Utilice las instrucciones de create a policy y asigne a la política un nombre significativo. Por ejemplo, opsi-admin-policy.
  3. Agregue la siguiente sentencia de política para permitir que el grupo active/desactive Ops Insights, para crear/activar/desactivar un host de Management Agent o una base de datos gestionada de Enterprise Manager, o para actualizar/agregar etiquetas a todos los recursos de Ops Insights. Por ejemplo, si el grupo de administradores se denomina grupo opsi-admin y desea agregar esta política en el nivel de arrendamiento, agregue lo siguiente: 
    Allow group opsi-admins to manage opsi-family in tenancy
Allow group opsi-admins to manage management-dashboard-family in tenancy
    Tenga en cuenta que las políticas también se pueden crear en el nivel de compartimento.

    Consulte también Detalles del panel de control de gestión para obtener más información sobre las políticas para utilizar paneles de control.

  4. Según los recursos que active, agregue las siguientes políticas:
    Activación Políticas Detalles
    Bases de datos autónomas - funciones básicas Allow group opsi-admins to use autonomous-database-family in tenancy Las funciones básicas incluyen Capacity Planning.
    Bases de datos autónomas - Funciones completas Allow group opsi-admins to use autonomous-database-family in tenancy

    Allow group opsi-admins to manage virtual-network-family in tenancy

    Allow group opsi-admins to read secret-family in tenancy

    Allow group opsi-admins to read secret-family in tenancy

    Allow any-user to read secret-family in tenancy where ALL{ target.vault.id = 'mydbVault', request.principal.type = 'opsidatabaseinsight'}

    Allow any-user to read autonomous-database-family in tenancy where ALL{request.operation='GenerateAutonomousDatabaseWallet'}

    Actualmente, las funciones completas incluyen SQL Explorer y ADDM Spotlight.

    Se necesita acceso de red virtual como parte de la creación de conexión inversa de punto final privado.

    Se necesita acceso de familia secreta para leer la contraseña de usuario de base de datos del almacén de OCI para ejecutar recopilaciones de datos en la base de datos.

    Se necesita permiso de generación de cartera para conectarse a través de mTLS a la base de datos.

    Consulte también Activación de bases de datos autónomas y soporte completo de funciones.

    Nota

    Ops Insights tiene políticas de sistema de principal de servicio en desuso. Para obtener más información, consulte: Service Principal Policy Removal
    Bases de datos autónomas en Exadata Cloud@Customer

    Allow group opsi-admins to use database-family in compartment ExaCCadbCompartment

    Allow group opsi-admins to manage management-agents in compartment ExaCCadbCompartment

    Allow group opsi-admins to manage management-agents-named-credentials in compartment ExaCCadbCompartment

    Allow group opsi-admins to read secret-family in compartment ExaCCadbCompartment where any { target.vault.id = '{groupVaultId}' }

    Allow any-user to read database-family in compartment {compartment1} where ALL { request.principal.type = 'opsidatabaseinsight' }

    Allow any-user to read database-family in tenancy where ALL { request.principal.type = 'managementagent', request.operation = 'GenerateAutonomousDatabaseWallet' }

    Allow any-user to read secret-family in tenancy where ALL { request.principal.type = 'managementagent', target.vault.id = '{vaultId}' }

    		 El acceso a Ops Insights se realiza a través de Management Agent, que necesita acceder a la contraseña de la base de datos en el almacén, así como a la cartera de Autonomous Database si se está utilizando mTLS.

    Se necesita acceso a la familia de bases de datos y a la familia de bases de datos autónomas para garantizar que los datos de configuración actualizados estén disponibles en Ops Insights.
    Bases de datos con hardware dedicado, de máquinas virtuales y ExaDB-D

    Allow group opsi-admins to use database-family in tenancy

    Allow group opsi-admins to manage virtual-network-family in tenancy

    Allow group opsi-admins to read secret-family in tenancy

    Allow any-user to read secret-family in tenancy where ALL{ target.vault.id = 'mydbVault', request.principal.type = 'opsidatabaseinsight'}

    		 El acceso a Ops Insights se realiza a través de un punto final privado.

    Se necesita acceso de red virtual como parte de la creación de conexión inversa de punto final privado.

    Se necesita acceso de familia secreta para leer la contraseña de usuario de base de datos del almacén de OCI para ejecutar recopilaciones de datos en la base de datos.

    Nota

    Ops Insights tiene políticas de sistema de principal de servicio en desuso. Para obtener más información, consulte: Service Principal Policy Removal
    Bases de datos de Exadata Database Service on Cloud@Customer Allow group opsi-admins to read database-family in compartment ExaCCdbCompartment

    Allow group opsi-admins to read dbmgmt-family in compartment ExaCCdbCompartment

    Allow group opsi-admins to read secret-family in compartment SecretCompartment where any { target.vault.id = 'VaultOCID' }

    Allow any-user to read database-family in tenancy where ALL { request.principal.type = 'opsiexadatainsight' }

    Allow group opsi-admins to manage management-agents in compartment AgentCompartment

    		 El acceso a Ops Insights se realiza a través de Management Agent.

    Se necesita acceso a la familia de bases de datos para garantizar que los datos de configuración actualizados estén disponibles en Ops Insights.

    Se necesita acceso de familia secreta para leer la contraseña de usuario de base de datos del almacén de OCI para ejecutar recopilaciones de datos en la base de datos.
    Exadata Database Service (con ADB) en infraestructura dedicada

    Allow group opsi-admins to use database-family in compartment ExaDBdbCompartment

    Allow group opsi-admins to use autonomous-database-family in compartment ExaDSdbCompartment

    Allow group opsi-admins to manage virtual-network-family in compartment ExaDBdbCompartment

    Allow group opsi-admins to read secret-family in compartment ExaDSdbCompartment where any { target.vault.id = '{groupVaultId}' }

    Allow any-user to read database-family in compartment SecretCompartment where ALL { request.principal.type = 'opsiexadatainsight' }

    Allow any-user to read autonomous-database-family in compartment ExaDBdbCompartment where ALL { request.principal.type = 'opsidatabaseinsight' }

    Allow any-user to read database-family in tenancy where ALL { request.principal.type = 'opsidatabaseinsight', request.operation = 'GenerateAutonomousDatabaseWallet' }

    Allow any-user to read secret-family in tenancy where ALL { request.principal.type = 'opsidatabaseinsight', target.vault.id = '{vaultId}' }

    		 El acceso a Ops Insights se realiza a través de un punto final privado.

    Se necesita acceso a la familia de bases de datos y a la familia de bases de datos autónomas para garantizar que los datos de configuración actualizados estén disponibles en Ops Insights.

    Para incorporar un sistema ExaDB-D completo con clusters de VM autónomos.
    Exadata Database Service (con ADB) en Cloud@Customer

    Allow group opsi-admins to use database-family in compartment ExaCCadbCompartment

    Allow group opsi-admins to use autonomous-database-family in compartment ExaCCadbCompartment

    Allow group opsi-admins to manage management-agents in compartment AgentCompartment

    Allow group opsi-admins to manage management-agents-named-credentials in compartment AgentCompartmentt

    Allow group opsi-admins to read secret-family in compartment SecretCompartment} where any { target.vault.id = '{groupVaultId}' }

    Allow any-user to read database-family in compartment {compartment1} where ALL { request.principal.type = 'opsiexadatainsight' }

    Allow any-user to read autonomous-database-family in compartment ExaCCadbCompartment where ALL { request.principal.type = 'opsidatabaseinsight' }

    Allow any-user to read database-family in tenancy where ALL { request.principal.type = 'managementagent', request.operation = 'GenerateAutonomousDatabaseWallet' }

    Allow any-user to read secret-family in tenancy where ALL { request.principal.type = 'managementagent', target.vault.id = '{vaultId}' }

    		 El acceso a Ops Insights se realiza a través de Management Agent, que necesita acceder a la contraseña de la base de datos en el almacén, así como a la cartera de Autonomous Database si se está utilizando una conexión mTLS.

    Se necesita acceso a la familia de bases de datos y a la familia de bases de datos autónomas para garantizar que los datos de configuración actualizados estén disponibles en Ops Insights.

    Para incorporar el sistema ExaDB-C@C completo con clusters de VM autónomos.
    Bases de datos, hosts y sistemas de ingeniería externos con Oracle Enterprise Manager

    Allow dynamic-group opsienterprisemanagerbridge to read object-family in compartment MyBucketCompartment where ANY (target.bucket.name='embridge-bucket')

    Allow group opsi-admins to inspect object-family in tenancy

    		 Enterprise Manager es una solución de gestión de Oracle local que se puede integrar con los servicios de OCI y compartir datos. Debe crear un grupo dinámico para acceder a los datos de un compartimento de Object Storage, por ejemplo: ALL {resource.type='opsienterprisemanagerbridge'}

    Si va a activar bases de datos gestionadas por Enterprise Manager (bases de datos y hosts), consulte los detalles completos de las políticas en: Adición de Destinos de Enterprise Manager.

    Bases de datos y hosts externos que utilizan OCI Management Agent

    Allow group opsi-admins to use external-database-family in tenancy

    Allow group opsi-admins to manage management-agent-install-keys in tenancy

    		 Cualquier recurso fuera de OCI, como bases de datos locales que no estén gestionadas por Enterprise Manager, necesitará un agente de gestión. Si activará bases de datos gestionadas mediante Management Agent, consulte también políticas de Management Agent.
    HeatWave Sistemas de MySQL Database Allow group opsi-admins to manage mysql-family in tenancy Ops Insights solo soporta la instancia principal. Actualmente no están soportadas las instancias de failover ni las réplicas de solo lectura.
    Sistemas de MySQL Database externa Allow group opsi-admins to read secret-family in tenancy

    Allow group opsi-admins to read management-agents in tenancy

    Allow group opsi-admins to use dbmgmt-mysql-family in compartment {dbSystemCompartment}

    Allow any-user to read secret-family in tenancy where ALL { request.principal.type = 'opsidatabaseinsight', target.vault.id = 'mydbVault' }

    		 Sistemas de base de datos MySQL externos desplegados localmente y conectados a un recurso en el servicio Database Management.
    Instancias informáticas de OCI

    Allow group opsi-admins to manage management-agents in tenancy

    Allow group opsi-admins to manage instance-family in tenancy

    Allow group opsi-admins to read instance-agent-plugins in tenancy

    Allow any-user to use instance-family in compartment OCICompartment where ALL { request.principal.type = 'opsihostinsight' }

    Allow any-user to read instance-family in compartment OCICompartment where ALL { request.principal.type = 'opsihostinsight' }

    Allow any-user to manage management-agents in compartment OCICompartment where ALL { request.principal.type = 'opsihostinsight' }

    		 Estas instancias se pueden activar mediante Management Agent. Consulte también las políticas especiales de Deploy Management Agent on Compute Instances.
    Hub de AWR (datos de rendimiento del repositorio de carga de trabajo automática de Oracle Database) ADB-S: Allow dynamic-group OPSI_AWR_Hub_Dynamic_Group to manage opsi-awr-hub-sources in tenancy

    Bases de datos ADB-D y externas: Allow group opsi-admins to use opsi-awr-hub-sources in tenancy

    Política heredada: Allow opsi-admins to manage opsi-family in tenancy

    Tenga en cuenta que se necesitan políticas adicionales al crear un hub de AWR. Puede agregarlos mediante el proceso de creación guiada.

    Para obtener más información, consulte Análisis de los datos de rendimiento del repositorio de carga de trabajo automática (AWR).

    Exadata Warehouse N/D Exadata Warehouse es un repositorio de datos de sistemas de ingeniería de Oracle locales y basados en la nube supervisados por Enterprise Manager. Consulte Almacén de Exadata.
    Informes de novedades Allow any-user to use ons-topics in compartment NewsReportsDBs where ALL{request.principal.type='opsinewsreport'} El informe de noticias genera informes semanales por correo electrónico sobre el conjunto supervisado por OPSI mediante ONS (Oracle Notification Services). Consulte: Informes de novedades.
  5. Haga clic en Crear.

Creación de políticas que no sean de administrador

Los usuarios solo pueden utilizar Ops Insights si se han otorgado los permisos necesarios a su grupo. Para permitir que el usuario opsiuser active/desactive Ops Insights solo en bases de datos autónomas de su arrendamiento, debe crear una política de identidad para otorgar al usuario opsi-users los permisos de grupo adecuados.

  1. Conéctese a la consola como administrador de arrendamiento y vaya a Gobernanza y administración y, a continuación, Identidad y haga clic en Políticas.
  2. Utilice las instrucciones de Para crear una política y asigne a la política un nombre significativo. Por ejemplo, opsi-user-policy.
  3. Agregue una sentencia de política para permitir que el grupo active/desactive Ops Insights. Por ejemplo, para el grupo opsi-users, agregue lo siguiente:
    Allow group opsi-users to use opsi-family in tenancy
Allow group opsi-users to read management-dashboard-family in tenancy
  4. Haga clic en Crear.

Para obtener más acceso de control detallado a Ops Insights, consulte Detalles de Ops Insights.

Eliminación de política de entidad de servicio

La mejor práctica de Oracle es que un servicio de OCI nunca debe acceder al recurso de OCI de un cliente mediante una entidad de servicio, ya que esto introduce un riesgo potencial de seguridad. Ops Insights está desuso de las políticas del sistema principal de servicio que representan un riesgo de seguridad a partir del 31 de agosto de 2025.

Si se detectan políticas en desuso, el asesor de políticas mostrará un banner en la parte superior de la página que requiere una actualización de la política al nuevo formato CRISP. Para actualizar las políticas en desuso existentes, haga clic en el botón Actualizar políticas de requisitos previos. Aparecen iconos de advertencia adicionales junto a los grupos de políticas individuales que contienen sentencias en desuso, y el botón Configurar se desactivará para todos los grupos que contienen sentencias en desuso hasta que se hayan realizado los cambios de versión de políticas.

Si está creando y trabajando en políticas manualmente mediante la consola, es necesario cambiar las siguientes políticas de principal de servicio en el entorno:
Política de entidad de servicio en desuso Nueva Política
Allow service operations-insights to read secret-family in compartment ABC where target.vault.id = 'Vault OCID' Allow any-user to read secret-family in tenancy where ALL{request.principal.type='opsidatabaseinsight', target.vault.id = 'Vault OCID'}
Allow service operations-insights to read autonomous-database-family in compartment XYZ where {request.operation='GenerateAutonomousDatabaseWallet'} Allow any-user to read autonomous-database-family in compartment XYZ where ALL{request.principal.type='opsidatabaseinsight', request.operation='GenerateAutonomousDatabaseWallet'}
Allow group <group name> to inspect ons-topic in compartment <compartment-name>

Allow service operations-insights to use ons-topic in tenancy

 Allow any-user to use ons-topics in compartment {compartment} where ALL{request.principal.type='opsinewsreport'}