Documentación de Oracle Cloud Infrastructure

Uso del Asesor de Políticas

Utilice el asesor de políticas para activar rápidamente OS Management Hub para un compartimento específico. El asesor define los grupos de usuarios, el grupo dinámico y las políticas necesarios para utilizar OS Management Hub y Resource Discovery and Monitoring.

Importante

El asesor de políticas solo está disponible en OC1.
Nota

Debe ejecutar el asesor de políticas en cada compartimento (y compartimento secundario) que desee utilizar con el servicio.

  1. Verifique que cuenta con los siguientes permisos. Si solo tiene permisos read o use, obtendrá un error de fallo de autorización al ejecutar el asesor.

    • manage dynamic-groups in tenancy
    • manage groups in tenancy
    • manage policies in tenancy
  2. En OS Management Hub, seleccione Visión general.
  3. En Ámbito de lista, seleccione el compartimento que desea utilizar para el hub de OS Management.
  4. Seleccione Ejecutar Asesor de Políticas.
  5. Revise los problemas identificados con las políticas y los grupos actuales. Seleccione Siguiente.
  6. Revise las acciones que realizará el asesor. Seleccione Configuración.
  7. Confirme haciendo clic en Configuración.
  8. Vuelva a ejecutar el asesor en cualquier otro compartimento o compartimento secundario que vaya a utilizar el servicio.
  9. Agregue usuarios al grupo osmh-admins y osmh-operators. Consulte Gestión de grupos.

¿Por qué se ha detectado un error de política?

El asesor de políticas comprueba si hay un juego específico de políticas y grupos (consulte ¿Qué crea el asesor de políticas?). Se muestra la advertencia A policy error was detected si las políticas y los nombres de grupo no coinciden exactamente con lo que espera el asesor.

Si ya ha configurado políticas, puede que haya asignado un nombre a los grupos y definido las sentencias de política de forma diferente a lo que utiliza el asesor. Si el hub de gestión del sistema operativo funciona como se esperaba, puede ignorar el aviso de error de política.

Para obtener más información, consulte Policy advisor error messages.

¿Puedo ocultar la advertencia?

Si ya ha configurado el servicio con sus propios grupos y políticas, puede ignorar el mensaje de incidencia de política. Seleccione Ocultar para ocultar este mensaje en el compartimento.

Para ocultar el mensaje en todos los compartimentos, en la página Visión general, seleccione Mostrar configuración de consola de usuario.

¿Qué crea el asesor de políticas?

El asesor define los grupos de usuarios necesarios (osmh-admins y osmh-operators), el grupo dinámico (osmh-instances) y la política (osmh-policies) con las sentencias necesarias para utilizar el hub de gestión del sistema operativo y sus funciones de detección y supervisión de recursos.

Recursos creados
Nombre del recurso Descripción
osmh-admins Grupo de usuarios para administradores del servicio. Los administradores pueden gestionar todos los recursos de OS Management Hub en el dominio actual.
osmh-operators Grupo de usuarios para los operadores del servicio. Los operadores pueden ver, pero no modificar, todos los recursos del hub de gestión del sistema operativo en el dominio actual.
osmh-instances Grupo dinámico de instancias que contiene las reglas de grupo dinámico para instancias de OCI y locales o de nube de terceros.
osmh-policies La política que contiene las sentencias de grupo de administradores, las sentencias de grupo de operadores y las sentencias de grupo dinámico.
Reglas de coincidencia de grupo dinámico

El asesor crea las siguientes reglas de coincidencia de grupo dinámico para el grupo dinámico osmh-instances.

Nota

En el grupo dinámico solo se incluye el compartimento seleccionado actualmente. Los grupos dinámicos no soportan la herencia de compartimentos. Por lo tanto, debe volver a ejecutar el asesor en cualquier compartimento secundario que desee incluir.
Regla de grupo dinámico Descripción
ALL {instance.compartment.id='<compartment_ocid>'} Incluye todas las instancias de OCI del compartimento.
ALL {resource.type='managementagent', resource.compartment.id='<compartment_ocid>'}

Incluye todos los recursos de Management Agent dentro del compartimento. La inclusión del agente permite a OS Management Hub gestionar las instancias locales o de nube de terceros correspondientes.
Sentencias de política para el grupo de administradores

El asesor crea las siguientes sentencias de política de grupo de administradores para osmh-policies, que permite a los usuarios de osmh-admins gestionar las claves de OS Management Hub, Management Agent y Management Agent en el compartimento y sus compartimentos secundarios.

Sentencia de política de grupo de administradores Descripción
Allow group <domain>/osmh-admins to manage osmh-family in compartment <compartment_name>

Permite al grupo osmh-admins gestionar todos los recursos del hub de gestión del sistema operativo en el compartimento y sus compartimentos secundarios.
Allow group <domain>/osmh-admins to manage management-agents in compartment <compartment_name>

Permite al grupo osmh-admins gestionar instancias de Management Agent en el compartimento y sus compartimentos secundarios (utilizados solo para instancias que no son de OCI).
Allow group <domain>/osmh-admins to manage management-agent-install-keys in compartment <compartment_name>

Permite al grupo osmh-admins gestionar las claves de instalación de Management Agent en el compartimento y sus compartimentos secundarios (utilizados solo para instancias que no son de OCI).
Allow group <domain>/osmh-admins to use appmgmt-family in compartment <compartment_name>

Permite al grupo osmh-admins gestionar los recursos de detección y supervisión de recursos en el compartimento y sus compartimentos secundarios.
Allow group <domain>/osmh-admins to read metrics in compartment <compartment_name>

Permite al grupo osmh-admins ver las métricas de detección y supervisión de recursos en el compartimento y sus compartimentos secundarios.
Allow group <domain>/osmh-admins to read osmh-profiles in tenancy where target.profile.compartment.id = '<tenancy_ocid>'

Solo se crea si ha seleccionado el compartimento raíz. Permite al grupo osmh-admins leer perfiles en el compartimento raíz.
Allow group <domain>/osmh-admins to read osmh-software-sources in tenancy where target.softwareSource.compartment.id = '<tenancy_ocid>'

Solo se crea si ha seleccionado el compartimento raíz. Permite al grupo osmh-admins leer orígenes de software en el compartimento raíz.
Sentencias de política para el grupo de operadores

El asesor crea las siguientes sentencias de política de grupo de operadores para osmh-policies, que permite a los usuarios de osmh-operators ver los recursos del hub de OS Management en el compartimento y sus compartimentos secundarios.

Sentencia de política de grupo de operadores Descripción
Allow group <domain>/osmh-operators to read osmh-family in compartment <compartment_name>

Permite al grupo osmh-operators ver todos los recursos del hub de OS Management en el compartimento y sus compartimentos secundarios.
Allow group <domain>/osmh-operators to use appmgmt-family in compartment <compartment_name>

Permite al grupo osmh-operators ver los recursos de detección y supervisión de recursos en el compartimento y sus compartimentos secundarios.
Allow group <domain>/osmh-operators to read metrics in compartment <compartment_name>

Permite al grupo osmh-operators ver los recursos de detección y supervisión de recursos en el compartimento y sus compartimentos secundarios.
Allow group <domain>/osmh-operators to read osmh-profiles in tenancy where target.profile.compartment.id = '<tenancy_ocid>'

Solo se crea si ha seleccionado el compartimento raíz. Permite al grupo osmh-operators leer perfiles en el compartimento raíz.
Allow group <domain>/osmh-operators to read osmh-software-sources in tenancy where target.softwareSource.compartment.id = '<tenancy_ocid>'

Solo se crea si ha seleccionado el compartimento raíz. Permite al grupo osmh-operators leer orígenes de software en el compartimento raíz.
Sentencias de política para el grupo dinámico

El asesor crea las siguientes sentencias de política de grupo dinámico para osmh-policies, lo que permite que las instancias gestionadas del compartimento interactúen con el hub de gestión del sistema operativo y sus funciones de detección y supervisión de recursos.

Sentencia de política de grupo dinámico Descripción
Allow dynamic-group <domain>/osmh-instances to {OSMH_MANAGED_INSTANCE_ACCESS} in compartment <compartment_name> where request.principal.id = target.managed-instance.id

Permite al agente de las instancias gestionadas interactuar con OS Management Hub
Allow dynamic-group <domain>/osmh-instances to use metrics in compartment <compartment_name> where target.metrics.namespace = 'oracle_appmgmt' Permitir que las instancias gestionadas carguen datos en el servicio Monitoring para la función Detección y supervisión de recursos.
Allow dynamic-group <domain>/osmh-instances to {MGMT_AGENT_DEPLOY_PLUGIN_CREATE, MGMT_AGENT_INSPECT, MGMT_AGENT_READ} in compartment <compartment_name> Permite al agente de gestión de la instancia gestionada interactuar con el servicio Management Agent para la función Detección y supervisión de recursos.
Allow dynamic-group <domain>/osmh-instances to {APPMGMT_MONITORED_INSTANCE_READ, APPMGMT_MONITORED_INSTANCE_ACTIVATE} in compartment <compartment_name> where request.instance.id = target.monitored-instance.id

Permite que las instancias gestionadas del compartimento activen automáticamente la función Detección y supervisión de recursos.
Allow dynamic-group <domain>/osmh-instances to {INSTANCE_READ, INSTANCE_UPDATE} in compartment <compartment_name> where request.instance.id = target.instance.id

Permite que las instancias gestionadas del compartimento activen automáticamente la función Detección y supervisión de recursos.
Allow dynamic-group <domain>/osmh-instances to {APPMGMT_WORK_REQUEST_READ, INSTANCE_AGENT_PLUGIN_INSPECT} in compartment <compartment_name>

Permite que las instancias gestionadas del compartimento activen automáticamente la función Detección y supervisión de recursos.