Políticas de ejemplo

Los siguientes ejemplos proporcionan políticas de OS Management Hub de ejemplo utilizadas para restringir el acceso a un tipo específico de usuario.

Para estos ejemplos, el arrendamiento tiene la siguiente estructura de compartimentos:

  • Compartimiento root (arrendamiento)
    • Compartimiento dev
      • test compartimento secundario de dev
    • Compartimento prod

Usuario administrador con permisos de arrendamiento

Para este ejemplo:

  • El grupo dinámico es osmh-instances. Las sentencias de regla incluyen instancias de OCI y agentes de gestión (para instancias locales o de nube de terceros) en el compartimento raíz (arrendamiento), el compartimento dev, el compartimento secundario test y el compartimento prod.
  • El usuario pertenece al grupo de usuarios osmh-admins, que puede gestionar todos los recursos del hub de gestión del sistema operativo en el arrendamiento.
  • El entorno contiene instancias de OCI y locales o de nube de terceros.
Reglas de grupo dinámico

El grupo dinámico necesita una regla para cada compartimento (y compartimento secundario) que contendrá instancias gestionadas. En este ejemplo se muestran reglas para el compartimento raíz (arrendamiento), el compartimento dev, el compartimento secundario test y el compartimento prod.

ANY {instance.compartment.id='<tenancy_ocid>',instance.compartment.id='<dev_compartment_ocid>',instance.compartment.id='<test_child compartment_ocid>',instance.compartment.id='<prod_compartment_ocid>'}
ALL {resource.type='managementagent', resource.compartment.id='<tenancy_ocid>'}
ALL {resource.type='managementagent', resource.compartment.id='<dev_compartment_ocid>'}
ALL {resource.type='managementagent', resource.compartment.id='<test_child compartment_ocid>'}
ALL {resource.type='managementagent', resource.compartment.id='<prod_compartment_ocid>'}
  • La primera línea indica al grupo que incluya instancias de OCI en el compartimento raíz, el compartimento dev, el compartimento secundario test y el compartimento prod. Esto se realiza mediante una única sentencia de regla mediante ANY e incluyendo cada compartimento de la sentencia.
  • Las cuatro líneas siguientes indican al grupo que incluya los agentes de gestión en el compartimento especificado. Al incluir el recurso del agente de gestión, la sentencia incluirá la instancia local o de nube de terceros correspondiente.
Sentencias de política
allow dynamic-group osmh-instances to {OSMH_MANAGED_INSTANCE_ACCESS} in tenancy where request.principal.id = target.managed-instance.id
allow group osmh-admins to manage osmh-family in tenancy
allow group osmh-admins to manage management-agents in tenancy
allow group osmh-admins to manage management-agent-install-keys in tenancy
  • La primera línea permite al agente de las instancias gestionadas interactuar con OS Management Hub. OSMH_MANAGED_INSTANCE_ACCESS proporciona acceso al hub de gestión del sistema operativo.
  • La segunda línea permite al grupo de usuarios gestionar todos los recursos del hub de gestión del sistema operativo en el arrendamiento.
  • La tercera línea permite al grupo de usuarios crear, actualizar y suprimir instancias de Management Agent en el arrendamiento.
  • La cuarta línea permite al grupo de usuarios crear, actualizar y suprimir claves de instalación en el arrendamiento.

Usuario administrador restringido a un compartimento

Para este ejemplo:

  • El grupo dinámico es osmh-instances. Las sentencias de regla incluyen instancias de OCI en el compartimento dev y el compartimento secundario test.
  • El usuario pertenece al grupo de usuarios osmh-admins-dev, que puede gestionar todos los recursos del hub de OS Management en el compartimento dev y el compartimento secundario test. El usuario puede leer perfiles y orígenes de software en el arrendamiento que se necesitan para acceder a orígenes de software de proveedor y perfiles proporcionados por el servicio.
  • El entorno solo contiene instancias de OCI.
Reglas de grupo dinámico

El grupo dinámico necesita una regla para cada compartimento (y compartimento secundario) que contendrá instancias gestionadas. En este ejemplo se muestran las reglas para el compartimento secundario dev y test mediante sentencias de reglas independientes para cada uno.

ALL {instance.compartment.id='<dev_compartment_ocid>'}
ALL {instance.compartment.id='<test_compartment_ocid>'}
  • La primera línea incluye todas las instancias del compartimento dev.
  • La segunda línea incluye todas las instancias del compartimento secundario test.
  • Como alternativa, en lugar de dos sentencias de reglas, puede utilizar una única sentencia ANY: ANY {instance.compartment.id='<dev_compartment_ocid>',instance.compartment.id='<test_compartment_ocid>'}
Sentencias de política
allow dynamic-group osmh-instances to {OSMH_MANAGED_INSTANCE_ACCESS} in compartment dev where request.principal.id = target.managed-instance.id
allow group osmh-admins-dev to manage osmh-family in compartment dev
allow group osmh-admins-dev to read osmh-profiles in tenancy where target.profile.compartment.id = '<tenancy_ocid>'
allow group osmh-admins-dev to read osmh-software-sources in tenancy where target.softwareSource.compartment.id = '<tenancy_ocid>'
allow group osmh-admins-dev to manage management-agents in compartment dev
allow group osmh-admins-dev to manage management-agent-install-keys in compartment dev
  • La primera línea permite al agente de servicio de las instancias gestionadas interactuar con OS Management Hub.
  • La segunda línea permite al grupo de usuarios gestionar todos los recursos del hub de OS Management en el compartimento dev. Las políticas utilizan la herencia de compartimentos, por lo que el usuario también podrá gestionar recursos en cualquier compartimento secundario de dev (en este ejemplo, test).
  • La tercera y cuarta líneas permiten al grupo de usuarios leer perfiles y orígenes de software en el compartimento raíz. Esto es necesario para replicar los orígenes de software del proveedor y utilizar perfiles proporcionados por el servicio.
  • La quinta y sexta líneas permiten al usuario gestionar las claves y los agentes de Management Agent Cloud Service (MACS).

Operador restringido a un compartimento

Para este ejemplo:

  • El grupo dinámico es osmh-instances. La sentencia de regla incluye los recursos del agente de gestión en el compartimento prod.
  • El usuario pertenece al grupo de usuarios osmh-operators, que puede leer todos los recursos del hub de gestión del sistema operativo en el compartimento prod.
  • El entorno solo contiene instancias locales o de nube de terceros.
Reglas de grupo dinámico

El grupo dinámico necesita una regla para cada compartimento que contendrá instancias gestionadas. En este ejemplo se muestra una regla para el compartimento prod.


ALL {resource.type='managementagent', resource.compartment.id='<prod_compartment_ocid>'}
  • La regla indica al grupo dinámico que incluya recursos de Management Agent en el compartimento prod. Al incluir el agente, OS Management Hub podrá gestionar la instancia local o de nube de terceros correspondiente.
Sentencias de política
allow dynamic-group osmh-instances to {OSMH_MANAGED_INSTANCE_ACCESS} in compartment prod where request.principal.id = target.managed-instance.id
allow group osmh-operators to read osmh-family in compartment prod
  • La primera línea permite al agente de las instancias gestionadas interactuar con OS Management Hub.
  • La segunda línea permite al grupo de usuarios ver todos los recursos del hub de gestión del sistema operativo en el compartimento prod.
  • Las políticas de Management Agent Cloud Service (MACS) no son necesarias para ver instancias locales o de nube de terceros en OS Management Hub. Por lo tanto, el grupo de usuarios operadores no necesita acceso a MACS, como se muestra en los ejemplos anteriores.