Documentación de Oracle Cloud Infrastructure

Creación manual de políticas de OS Management Hub

Para OS Management Hub, debe identificar qué recursos puede gestionar el servicio y qué usuarios pueden gestionar esos recursos.

Para activar OS Management Hub, defina lo siguiente:

Importante

Para activar la función Detección y supervisión de recursos, debe configurar políticas además de las descritas en las siguientes secciones. Consulte Getting Started with Resource Discovery and Monitoring.

Puede configurar políticas de IAM de varias formas. En las siguientes secciones, se describe cómo definir las sentencias de política de IAM para un grupo de administradores del hub de OS Management mediante un grupo dinámico de recursos. Consulte Políticas de ejemplo para ver casos de uso adicionales que no sean de administrador.

Consejo

En lugar de crear manualmente grupos y sentencias de política, use el asesor de políticas para activar rápidamente el hub de gestión del sistema operativo para un compartimento.

Grupo de Usuarios

Cree un grupo de usuarios (como osmh-admins) o identifique un grupo de usuarios existente para administrar el servicio OS Management Hub en el arrendamiento. A continuación, las sentencias de política necesarias otorgan a este grupo de usuarios administradores la capacidad de gestionar los recursos del hub de OS Management.

Si necesita restringir aún más el acceso, puede crear grupos de usuarios adicionales y definir sentencias de política más restrictivas para limitar el acceso a recursos específicos. Consulte Políticas de ejemplo para conocer los casos de uso que no son de administrador. Para obtener más información sobre los grupos de usuarios, consulte Gestión de grupos.

Grupo dinámico

Cree un grupo dinámico (como osmh-instances) para especificar los recursos que gestionará el hub de OS Management mediante la definición de sentencias de reglas para instancias de OCI y locales o de nube de terceros (no OCI).

Asegúrese de que comprende lo siguiente:

¿Qué hace el grupo dinámico?

El grupo dinámico identifica las instancias que gestionará OS Management Hub. Agregue sentencias de regla para los compartimentos y compartimentos secundarios que contengan instancias que desea que gestione el servicio. El grupo dinámico crece y se reduce dinámicamente en función de estas sentencias de regla. A medida que las instancias se aprovisionan o se dan de baja, el grupo dinámico cambia según corresponda. A continuación, las sentencias de política necesarias otorgan al hub de OS Management la capacidad de acceder a las instancias del grupo dinámico.

Para obtener más información sobre los grupos dinámicos, consulte Gestión de grupos dinámicos.

¿Por qué hay diferentes sentencias para OCI y no OCI?

Cada tipo de instancia utiliza un agente diferente que se corresponde con un objeto de recurso diferente.

  • Las instancias de OCI utilizan Oracle Cloud Agent (OCA), por lo que la sentencia de OCI especifica los recursos instance dentro de un compartimento.

  • Las instancias locales y de nube de terceros utilizan Management Agent Cloud Service (MACS), por lo que la sentencia no OCI especifica los recursos managementagent en un compartimento. Cada recurso de Management Agent se corresponde con una instancia que no es de OCI. Por lo tanto, al incluir Management Agent en el grupo, está incluyendo la instancia asociada.

Consulte también Descripción del agente.

¿Cuándo utilizar ANY y ALL para un grupo dinámico?

Antes de escribir sentencias de reglas de grupo dinámico, es importante comprender la diferencia entre ANY y ALL.

Al definir un grupo dinámico, se define el modo en que el grupo coincide con las reglas definidas en el grupo:

  • Coincidir con cualquier regla definida a continuación incluye recursos que coinciden con cualquiera de las reglas del grupo dinámico. Seleccione esta opción si define un grupo que incluya reglas para varios compartimentos o varios tipos de instancias (como instancias de OCI y no de OCI). Esta configuración indica al grupo que incluya recursos que coincidan con la regla 1 O la regla 2 O la regla 3, y así sucesivamente.
  • Coincidir con todas las reglas definidas a continuación incluye recursos que coinciden con todas las reglas del grupo dinámico. Seleccione esta opción al definir un grupo dinámico reducido de variación que incluya solo un compartimento. Esta configuración indica al grupo que incluya recursos que coincidan con la regla 1 Y la regla 2 Y la regla 3, etc.

Al definir sentencias de reglas individuales dentro del grupo dinámico, defina las condiciones para cada sentencia:

  • Todos los siguientes (ALL) incluye solo los recursos que coinciden con todas las condiciones de la regla. Las sentencias ALL necesitan que cada condición sea verdadera. De lo contrario, no se incluyen recursos para la regla.

  • Alguno de los siguientes (ANY) incluye recursos que coinciden con cualquiera de las condiciones de la regla.

Ejemplos de ANY y ALL para una sentencia de regla individual

Considere la regla utilizada para instancias que no son de OCI.

Correct usage:
ALL {resource.type='managementagent', resource.compartment.id='<compartment_ocid>'}

Al utilizar ALL, la regla solo incluye recursos de Management Agent en el compartimento especificado. La sentencia indica al grupo dinámico que incluya recursos que coincidan con el tipo de agente de gestión AND dentro del compartimento especificado.

Incorrect usage. Do not use:
ANY {resource.type='managementagent', resource.compartment.id='<compartment_ocid>'}

Al utilizar ANY, la regla incluye todos los recursos de Management Agent en todo el arrendamiento y todos los recursos de OCI presentes en el compartimento especificado. Si bien la sentencia incluirá los recursos necesarios para OS Management Hub, es muy amplia y, por lo general, no es preferible.

Tenga en cuenta la regla utilizada para las instancias de OCI al especificar varios compartimentos.

Correct usage:
ANY {instance.compartment.id='<compartment_ocid>',instance.compartment.id='<child compartment_ocid>'}

Al utilizar ANY, la regla incluye todas las instancias de cada uno de los compartimentos especificados. La sentencia indica al grupo dinámico que incluya instancias en <compartment_ocid> O <child compartment_ocid>.

Incorrect usage. Do not use:
ALL {instance.compartment.id='<compartment_ocid>',instance.compartment.id='<child compartment_ocid>'}

Al utilizar ALL, la regla indica al grupo dinámico que incluya instancias que están en <compartment_ocid> Y <child compartment_ocid>. Esta regla no incluirá ninguna instancia porque es imposible que una instancia esté en más de un compartimento al mismo tiempo. No utilice ALL con una sentencia de regla que especifique varios compartimentos.

Creación del grupo dinámico

  1. Siga los pasos para crear un grupo dinámico o actualizar un grupo dinámico existente y configurar las reglas de coincidencia de la siguiente manera.

    Consejo

    Reutilice el mismo grupo dinámico siempre que sea posible en los servicios en lugar de crear nuevos grupos dinámicos porque un único recurso solo puede pertenecer a un máximo de cinco grupos dinámicos.

  2. Para la configuración general de reglas de coincidencia, seleccione: Coincidir con cualquier regla definida a continuación.

  3. Cree sentencias de regla para las instancias que gestionará OS Management Hub.

    Importante

    Las reglas de grupo dinámico no utilizan la herencia de compartimentos. Debe especificar una sentencia de regla para cada compartimento y compartimento secundario que contenga instancias que desea que gestione el servicio.

    Regla para instancias de OCI

    Agregue una sentencia de regla que incluya cada compartimento (y compartimento secundario) que contendrá instancias.

    ANY {instance.compartment.id='<compartment_ocid>',instance.compartment.id='<child compartment_ocid>'}

    Esta regla incluirá todas las instancias de OCI en los compartimentos especificados.

    Regla para instancias que no son de OCI

    Agregue una sentencia de regla separate para cada compartimento (y compartimento secundario) que contenga un agente de gestión utilizado por una instancia.

    ALL {resource.type='managementagent', resource.compartment.id='<compartment_ocid>'}
ALL {resource.type='managementagent', resource.compartment.id='<child compartment_ocid>'}

    Cada sentencia de regla incluirá todos los recursos de Management Agent en el compartimento especificado. Cada instancia que no sea de OCI tiene un recurso de agente correspondiente y, por lo tanto, la sentencia incluirá las instancias que no sean de OCI en el compartimento.

  4. Seleccione Crear (si se crea) o Guardar (si se actualiza).

Sentencias de Política

Cree una política (como osmh-policies) con sentencias que permitan a las instancias registrarse en el hub de gestión del sistema operativo y a los usuarios gestionar y utilizar el servicio.

Importante

Las sentencias de política utilizan el dominio de identidad por defecto, a menos que defina el dominio de identidad antes del nombre de grupo o grupo dinámico (por ejemplo, <identity_domain_name>/<dynamic_group_name>). Para obtener más información, consulte Sintaxis de políticas.
Requisitos

Antes de crear la política, asegúrese de tener lo siguiente:

Uso del Creador de Políticas

El creador de políticas proporciona plantillas para políticas comunes utilizadas para OS Management Hub. Seleccione un caso de uso y, a continuación, rellene la información necesaria, como el grupo dinámico o el compartimento, para completar las sentencias de política. Consulte Writing Policy Statements with the Policy Builder.

  1. Siga los pasos de Creación de una Política y tenga en cuenta las siguientes excepciones.
  2. En Casos de uso de políticas, seleccione Hub de gestión del sistema operativo.
  3. En Plantillas de políticas comunes, seleccione una de las políticas comunes del hub de gestión del sistema operativo.

Plantillas de políticas comunes

El creador de políticas proporciona las siguientes plantillas de políticas comunes de OS Management Hub.

Permitir que OS Management Hub gestione instancias en el grupo dinámico

Tipo de acceso: permite al agente de servicio de las instancias gestionadas interactuar con el hub de gestión del sistema operativo.

Dónde crear la política: en el compartimento raíz.

Sentencias de política: sustituya <osmh-instances> por el nombre del grupo dinámico.

Allow dynamic-group <osmh-instances> to {OSMH_MANAGED_INSTANCE_ACCESS} in tenancy where request.principal.id = target.managed-instance.id
Permitir a los usuarios gestionar recursos de OS Management Hub en el arrendamiento

Tipo de acceso: permite al grupo de usuarios administradores con acceso de arrendamiento:

  • Gestione todos los recursos de OS Management Hub en el arrendamiento.
  • Crear, actualizar y suprimir instancias de Management Agent e instalar claves en el arrendamiento.

Dónde crear la política: en el compartimento raíz.

Sentencias de política: sustituya <osmh-admins> por el nombre del grupo de usuarios.

Allow group <osmh-admins> to manage osmh-family in tenancy
Allow group <osmh-admins> to manage management-agents in tenancy
Allow group <osmh-admins> to manage management-agent-install-keys in tenancy
Permitir a los usuarios gestionar recursos de OS Management Hub en un compartimento

Tipo de acceso: permite al grupo de usuarios administradores con acceso de compartimento:

  • Gestione todos los recursos del hub de OS Management en un compartimento.
  • Leer perfiles y orígenes de software en el compartimento raíz. Esto es necesario para replicar los orígenes de software del proveedor y utilizar perfiles proporcionados por el servicio.
  • Crear, actualizar y suprimir instancias de Management Agent e instalar claves en un compartimento.

Dónde crear la política: el enfoque más sencillo es colocar esta política en el compartimento raíz. Si desea que los usuarios del compartimento individual tengan control sobre las sentencias de política individuales para su compartimento, consulte Asociación de políticas.

Sentencias de política: sustituya <osmh-admins> por el nombre del grupo de usuarios y <compartment> por el nombre del compartimento. Utilice el editor manual para sustituir <tenancy-ocid> por el OCID del arrendamiento.

Allow group <osmh-admins> to read osmh-profiles in tenancy where target.profile.compartment.id = '<tenancy-ocid>'
Allow group <osmh-admins> to read osmh-software-sources in tenancy where target.softwareSource.compartment.id = '<tenancy-ocid>'
Allow group <osmh-admins> to manage osmh-family in compartment <compartment> 
Allow group <osmh-admins> to manage management-agents in compartment <compartment>
Allow group <osmh-admins> to manage management-agent-install-keys in compartment <compartment>
Permitir a los usuarios leer recursos del hub de gestión del sistema operativo en el arrendamiento

Tipo de acceso: permite al grupo de usuarios del operador leer todos los recursos del hub de gestión del sistema operativo en el arrendamiento.

Dónde crear la política: en el compartimento raíz.

Sentencias de política: sustituya <osmh-operators> por el nombre del grupo de usuarios.

Allow group <osmh-operators> to read osmh-family in tenancy
Permitir que los usuarios lean recursos de OS Management Hub en un compartimento

Tipo de acceso: permite al grupo de usuarios del operador leer todos los recursos del hub de OS Management en un compartimento.

Dónde crear la política: el enfoque más sencillo es colocar esta política en el compartimento raíz. Si desea que los usuarios del compartimento individual tengan control sobre las sentencias de política individuales para su compartimento, consulte Asociación de políticas.

Sentencias de política: sustituya <osmh-operators> por el nombre del grupo de usuarios y <compartment> por el nombre del compartimento.

Allow group <osmh-operators> to read osmh-family in compartment <compartment>

Definición manual de las sentencias de política

Si no utiliza el generador de políticas, puede definir manualmente las sentencias de política. Crear una nueva política o modificar una política existente para incluir las siguientes sentencias de política.

Las siguientes sentencias de política proporcionan un ejemplo de cómo proporcionar a los administradores acceso al servicio. Para otros casos de uso, consulte Políticas de ejemplo.

Sentencias de política a nivel de arrendamiento

Para aplicar la política de IAM necesaria en el nivel de arrendamiento, utilice las siguientes sentencias de política:

allow dynamic-group <osmh-instances> to {OSMH_MANAGED_INSTANCE_ACCESS} in tenancy where request.principal.id = target.managed-instance.id
allow group <osmh-admins> to manage osmh-family in tenancy

Incluya las siguientes sentencias adicionales si gestiona instancias locales o de nube de terceros. No son necesarios si se gestionan solo instancias de OCI.

allow group <osmh-admins> to manage management-agents in tenancy
allow group <osmh-admins> to manage management-agent-install-keys in tenancy
Sentencias de política de nivel de compartimento (si no utiliza el nivel de arrendamiento)

Si el administrador del arrendamiento no permite definir políticas de IAM en el nivel de arrendamiento, puede restringir el uso de los recursos de OS Management Hub a un compartimento y sus compartimentos secundarios (las políticas utilizan la herencia de compartimentos). Para permitir a los usuarios replicar los orígenes de software del proveedor y utilizar perfiles proporcionados por el servicio, el grupo de usuarios necesita acceso de lectura a los perfiles y orígenes de software del compartimento raíz.

Para aplicar la política de IAM a un compartimento dentro del arrendamiento, utilice las siguientes sentencias de política:

allow dynamic-group <osmh-instances> to {OSMH_MANAGED_INSTANCE_ACCESS} in compartment <compartment_name> where request.principal.id = target.managed-instance.id
allow group <osmh-admins> to manage osmh-family in compartment <compartment_name>
allow group <osmh-admins> to read osmh-profiles in tenancy where target.profile.compartment.id = '<tenancy_ocid>'
allow group <osmh-admins> to read osmh-software-sources in tenancy where target.softwareSource.compartment.id = '<tenancy_ocid>'

Incluya las siguientes sentencias adicionales si gestiona instancias locales o de nube de terceros. No son necesarios si se gestionan solo instancias de OCI.

allow group <osmh-admins> to manage management-agents in compartment <compartment_name>
allow group <osmh-admins> to manage management-agent-install-keys in compartment <compartment_name>