Ejemplo A-1 Creación de políticas de operador para contenedores en Exadata Cloud

En este caso hipotético, hay seis compartimentos y cinco grupos de usuarios que administran los compartimentos.

Dado que los sistemas de conformidad de la industria de tarjetas de pago (PCI), los controles de organizaciones de servicios 2 (SOC-2) y la Ley de Portabilidad y Responsabilidad de Seguros de Salud en EE. UU. (HIPAA, Health Insurance Portability and Accountability Act) se rigen por diferentes regímenes de conformidad, existen dos formas de crear controles de operador que los rijan. Una forma es crear un control de operador distinto para cada régimen de conformidad. La otra forma es crear el control de operador más estricto requerido y hacer que las tres categorías de conformidad se rijan por el mismo control de operador. En este escenario, dado que los compartimentos Functional-QA (func-qa) y Performance-QA (perf-qa) no están bajo la gobernanza de ningún régimen de conformidad, y los compartimentos los administra el mismo grupo de usuarios, podemos tener un único control de operador que los rija a ambos.

Supongamos que usted es el administrador de políticas para estos sistemas. Para crear los controles de política de operador para esta configuración, debe crear una política que rija todos los sistemas bajo regímenes de conformidad, una política para el despliegue de operaciones de desarrollo (devops) y una opción para los sistemas de aseguramiento de la calidad (QA). Los propios controles se colocan en un compartimento denominado "policies", que solo puede gestionar el grupo "top-security-users". Los siguientes comandos de la CLI son indicativos y se ajustan para facilitar su legibilidad; se utilizan para los nombres de ejemplos en lugar de los OCID. Para obtener más información, consulte la guía de la CLI.

/* Ensure only the top_security group has permission on the policies compartment */
allow group top_security to manage operator-control in compartment policies

/* create operator controls */
oci opctl operator-control create --operator-control-name "prod-opctl-policy" --pre-approved-op-action-list ‘[“INFRA_DIAG”]’ --approver-groups-list '["top_security_group"]' --is-fully-pre-approved false --description “Production Operator Control” --compartment-id “policies"
oci opctl operator-control create --operator-control-name "devops-opctl-policy" --pre-approved-op-action-list ‘[“INFRA_DIAG”, "INFRA_UPDATE_RESTART"] --approver-groups-list '["devops-admin"]' --is-fully-pre-approved false --description “Devops Operator Control” --compartment-id “policies"
oci opctl operator-control create --operator-control-name "qa-opctl-policy" --is-fully-pre-approved true --approver-groups-list '["qa-admin, psr-admin"]' --description “QA/Test Operator Control” --compartment-id “policies"

/* Ensure users have assignment permissions on the target Exadata. They also need read privileges on the policies. An example for pci-admin is given below*/
allow group pci-admin to manage operator-control-assignment in compartment prod-pci;

/* Ensure the user groups have manage operator control request privileges in there respective compartments */
allow group pci-sec-controller to manage operator-control-access-request in compartment prod-pci
allow group hipaa-sec-controller to manage operator-control-access-request in compartment prod-hipaa
allow group soc-sec-controller to manage operator-control-access-request in compartment prod-soc
allow group devops-sec-controller to manage operator-control-access-request in compartment devops
allow group qa-sec-controller to manage operator-control-access-request in compartment func-qa
allow group perf-sec-controller to manage operator-control-access-request in compartment perf-qa
allow group pci-admin to read operator-control in compartment policies;

Una vez que hemos creado los grupos de usuarios relevantes y otorgado los permisos. Los usuarios de estos grupos de usuarios pueden continuar y someter a control los respectivos sistemas de Exadata. Los sistemas de Exadata deben asignarse con los controles respectivos. Las propias asignaciones residen en los mismos compartimentos que los sistemas de Exadata. Como se mencionó anteriormente, los siguientes comandos son indicativos y se adaptan para facilitar su legibilidad. Para obtener más información, consulte la guía de la CLI.

A continuación, debe crear los grupos de usuarios de política de control de operador relevantes y les otorgará acceso de lectura a los compartimentos que contienen los controles de operador que administran los miembros de estos grupos:

oci opctl operator-control-assignment create --operator-control-id "prod-opctl-policy" --compartment-id "prod-pci" --resource-compartment-id "prod-pci" --resource-id "exadata-OCID..E1..E10" --resource-name "Exadata E1-E10" --is-enforced-always true
oci opctl operator-control-assignment create --operator-control-id "prod-opctl-policy" --compartment-id "prod-hipaa" --resource-compartment-id "prod-hipaa" --resource-id "exadata-OCID..E11..E15" --resource-name "Exadata E11-E15" --is-enforced-always true
oci opctl operator-control-assignment create --operator-control-id "prod-opctl-policy" --compartment-id "prod-soc" --resource-compartment-id "prod-soc" --resource-id "exadata-OCID..E16..E20" --resource-name "Exadata E16-E20" --is-enforced-always true
oci opctl operator-control-assignment create --operator-control-id "devops-opctl-policy" --compartment-id "devops" --resource-compartment-id "devops" --resource-id "exadata-OCID..E21..E25" --resource-name "Exadata E21-E25" --is-enforced-always true
oci opctl operator-control-assignment create --operator-control-id "qa-opctl-policy" --compartment-id "func-qa" --resource-compartment-id "func-qa" --resource-id "exadata-OCID..E26..E30" --resource-name "Exadata E26-E30" --is-enforced-always true
oci opctl operator-control-assignment create --operator-control-id "qa-opctl-policy" --compartment-id "perf-qa" --resource-compartment-id "perf-qa" --resource-id "exadata-OCID..E31..E40" --resource-name "Exadata E31-E40" --is-enforced-always true

A continuación, debe aprobar, rechazar o revocar los permisos de solicitud de acceso para cada control de operador con los grupos creados anteriormente.

Ejemplo A-2 Asignación de privilegios de DBA de operador para aprobar solicitudes de acceso

Supongamos que ha otorgado al grupo top-security-users el grupo de usuarios de control de operador en varios sistemas, pero decide que desea otorgar a un subjuego de usuarios del arrendamiento la aprobación o revocación de solicitudes de control de acceso de operador, sin hacer que los usuarios en este subjuego sean miembros del grupo top-security-users, lo cual les otorgaría privilegios en otro arrendamiento, además de otros privilegios de gestión. Para lograr ese objetivo, debe completar los siguientes pasos

1. Crear un grupo de IAM, opctl-prod-pci-operators.
2. Otorgue a los miembros de este grupo privilegios para otorgar o revocar solicitudes de acceso en el compartimento prod-pci.
3. Agregar los usuarios a los que desea otorgar estos privilegios al grupo opctl-prod-pci-operators.

Por ejemplo, a continuación se muestra una lista de políticas de IAM necesarias para que el grupo otorgue o revoque solicitudes de acceso:

Allow group opctl-prod-pci-operators to use operator-control-accessrequest in compartment prod-pci
Allow group opctl-prod-pci-operators to inspect identity-providers in tenancy 
Allow group opctl-prod-pci-operators to inspect groups in tenancy
Allow group opctl-prod-pci-operators to inspect users in tenancy