Políticas de ejemplo

El grupo dinámico necesita una regla para cada compartimento (y compartimento secundario) que contendrá instancias gestionadas. En este ejemplo se muestran reglas para el compartimento raíz (arrendamiento), el compartimento dev, el compartimento secundario test y el compartimento prod.

ANY {instance.compartment.id='<tenancy_ocid>',instance.compartment.id='<dev_compartment_ocid>',instance.compartment.id='<test_child compartment_ocid>',instance.compartment.id='<prod_compartment_ocid>'}
ALL {resource.type='managementagent', resource.compartment.id='<tenancy_ocid>'}
ALL {resource.type='managementagent', resource.compartment.id='<dev_compartment_ocid>'}
ALL {resource.type='managementagent', resource.compartment.id='<test_child compartment_ocid>'}
ALL {resource.type='managementagent', resource.compartment.id='<prod_compartment_ocid>'}

• La primera línea indica al grupo que incluya instancias de OCI en el compartimento raíz, el compartimento dev, el compartimento secundario test y el compartimento prod. Esto se realiza mediante una única sentencia de regla mediante ANY e incluyendo cada compartimento de la sentencia.
• Las cuatro líneas siguientes indican al grupo que incluya los agentes de gestión en el compartimento especificado. Al incluir el recurso del agente de gestión, la sentencia incluirá la instancia local o de nube de terceros correspondiente.

allow dynamic-group osmh-instances to {OSMH_MANAGED_INSTANCE_ACCESS} in tenancy where request.principal.id = target.managed-instance.id
allow group osmh-admins to manage osmh-family in tenancy
allow group osmh-admins to manage management-agents in tenancy
allow group osmh-admins to manage management-agent-install-keys in tenancy

• La primera línea permite al agente de las instancias gestionadas interactuar con OS Management Hub. OSMH_MANAGED_INSTANCE_ACCESS proporciona acceso al hub de gestión del sistema operativo.
• La segunda línea permite al grupo de usuarios gestionar todos los recursos del hub de gestión del sistema operativo en el arrendamiento.
• La tercera línea permite al grupo de usuarios crear, actualizar y suprimir instancias de Management Agent en el arrendamiento.
• La cuarta línea permite al grupo de usuarios crear, actualizar y suprimir claves de instalación en el arrendamiento.

El grupo dinámico necesita una regla para cada compartimento (y compartimento secundario) que contendrá instancias gestionadas. En este ejemplo se muestran las reglas para el compartimento secundario dev y test mediante sentencias de reglas independientes para cada uno.

ALL {instance.compartment.id='<dev_compartment_ocid>'}
ALL {instance.compartment.id='<test_compartment_ocid>'}

• La primera línea incluye todas las instancias del compartimento dev.
• La segunda línea incluye todas las instancias del compartimento secundario test.
• Como alternativa, en lugar de dos sentencias de reglas, puede utilizar una única sentencia ANY: ANY {instance.compartment.id='<dev_compartment_ocid>',instance.compartment.id='<test_compartment_ocid>'}

allow dynamic-group osmh-instances to {OSMH_MANAGED_INSTANCE_ACCESS} in compartment dev where request.principal.id = target.managed-instance.id
allow group osmh-admins-dev to manage osmh-family in compartment dev
allow group osmh-admins-dev to read osmh-profiles in tenancy where target.profile.compartment.id = '<tenancy_ocid>'
allow group osmh-admins-dev to read osmh-software-sources in tenancy where target.softwareSource.compartment.id = '<tenancy_ocid>'
allow group osmh-admins-dev to manage management-agents in compartment dev
allow group osmh-admins-dev to manage management-agent-install-keys in compartment dev

• La primera línea permite al agente de servicio de las instancias gestionadas interactuar con OS Management Hub.
• La segunda línea permite al grupo de usuarios gestionar todos los recursos del hub de OS Management en el compartimento dev. Las políticas utilizan la herencia de compartimentos, por lo que el usuario también podrá gestionar recursos en cualquier compartimento secundario de dev (en este ejemplo, test).
• La tercera y cuarta líneas permiten al grupo de usuarios leer perfiles y orígenes de software en el compartimento raíz. Esto es necesario para replicar los orígenes de software del proveedor y utilizar perfiles proporcionados por el servicio.
• La quinta y sexta líneas permiten al usuario gestionar las claves y los agentes de Management Agent Cloud Service (MACS).

El grupo dinámico necesita una regla para cada compartimento que contendrá instancias gestionadas. En este ejemplo se muestra una regla para el compartimento prod.

ALL {resource.type='managementagent', resource.compartment.id='<prod_compartment_ocid>'}

• La regla indica al grupo dinámico que incluya recursos de Management Agent en el compartimento prod. Al incluir el agente, OS Management Hub podrá gestionar la instancia local o de nube de terceros correspondiente.

allow dynamic-group osmh-instances to {OSMH_MANAGED_INSTANCE_ACCESS} in compartment prod where request.principal.id = target.managed-instance.id
allow group osmh-operators to read osmh-family in compartment prod

• La primera línea permite al agente de las instancias gestionadas interactuar con OS Management Hub.
• La segunda línea permite al grupo de usuarios ver todos los recursos del hub de gestión del sistema operativo en el compartimento prod.
• Las políticas de Management Agent Cloud Service (MACS) no son necesarias para ver instancias locales o de nube de terceros en OS Management Hub. Por lo tanto, el grupo de usuarios operadores no necesita acceso a MACS, como se muestra en los ejemplos anteriores.