Créer des groupes et des politiques IAM requis

Vous pouvez créer une politique qui vous permet de commander et de gérer vos appareils de l'infrastructure en périphérie de réseau Rover à l'aide de la console Oracle Cloud. Cette tâche utilise le modèle Créer une politique dans la console Oracle Cloud.

1. Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous identité, sélectionnez Politiques.

2. Sélectionnez Créer une politique. La boîte de dialogue Créer une politique s'affiche.

3. Remplissez les champs obligatoires comme décrit dans Création d'une politique.

4. Utilisez le générateur de politiques et sélectionnez Autoriser les utilisateurs à créer et à gérer des appareils en périphérie de réseau Rover sous Modèles de politique commune.

5. Pour l'auto-provisionnement, ajoutez la politique suivante au modèle :

   allow dynamic-group roving-edge-devices to manage rover-family in tenancy

6. Suivez les instructions affichées dans le générateur de politiques pour configurer vos groupes de politiques.

7. Sélectionnez Créer. En général, les modifications sont appliquées en 10 secondes.

Utilisez la syntaxe suivante pour autoriser vos groupes d'utilisateurs à accéder aux ressources du service d'infrastructure en périphérie de réseau Rover de votre location :

allow group <admin_user_group> to manage rover-family in tenancy

allow group <admin_user_group> to manage rover-nodes in tenancy

où <admin_user_group> est un groupe créé pour gérer les administrateurs du service d'infrastructure en périphérie de réseau Rover.

Vous pouvez également restreindre cet accès aux compartiments. Par exemple, si vous voulez permettre à un groupe d'utilisateurs de gérer toutes les ressources du service d'infrastructure en périphérie de réseau Rover du compartiment "finance" dans Oracle Cloud Infrastructure, utilisez la commande suivante :

allow group rover-admins to manage rover-family in compartment finance

allow group rover-admins to manage rover-nodes in compartment finance

Cette section décrit les étapes requises pour permettre à votre appareil du service d'infrastructure en périphérie de réseau Rover d'effectuer une synchronisation des données alors qu'il est en votre possession.

Chaque noeud d'appareil du service d'infrastructure en périphérie de réseau Rover fonctionne comme une ressource dans Oracle Cloud Infrastructure, nécessitant l'autorisation de lire et d'écrire des seaux dans vos compartiments dans votre location pour les tâches de synchronisation de données.

Utilisez un groupe dynamique pour représenter toutes les ressources de noeud en périphérie de réseau Rover de votre location. Voir Gestion des groupes dynamiques pour plus d'informations sur la création de groupes dynamiques.

allow dynamic-group OracleIdentityCloudService/roving-edge-devices to manage rover-family in tenancy

Créez un groupe dynamique nommé roving-edge-devices avec les règles de correspondance ci-dessous :

All {resource.type='rovernode'}

Octroyez à ce groupe dynamique une politique de lecture et d'écriture dans les seaux, par exemple :

allow dynamic-group roving-edge-devices to manage object-family in tenancy

Accorder au groupe dynamique l'accès à l'espace de noms du stockage d'objets

allow dynamic-group roving-edge-devices to manage objectstorage-namespaces in tenancy

Définissez une politique pour accorder au service d'infrastructure en périphérie de réseau Rover l'accès en lecture à vos seaux. Cette politique d'accès en lecture permet de générer un fichier manifeste contenant des informations sur les objets à synchroniser avec vos appareils d'infrastructure en périphérie de réseau Rover.

allow service rover to read object-family in tenancy
allow service rover to manage objectstorage-namespaces in tenancy

À l'aide du groupe dynamique roving-edge-devices créé précédemment dans le groupe dynamique pour l'accès au stockage d'objets, accordez au groupe dynamique les autorisations de gestion pour activer l'auto-provisionnement de l'appareil sur place.

allow dynamic-group roving-edge-devices to manage rover-family in tenancy

Pour permettre la livraison d'offres groupées de mise à niveau déconnectées à votre location, suivez ces instructions.

Accordez les autorisations de création et de remplacement d'objet de demandeur au seau de destination :

allow group <group_name> to manage object-family in compartment <compartment_name>

Accordez le service de stockage d'objets dans la région pour gérer les seaux de votre location :

allow service objectstorage-<region_identifier> to manage object-family in tenancy

Vous pouvez également créer des autorisations plus étroites à l'aide de l'exemple suivant :

allow service objectstorage-<region_identifier> to manage object-family in compartment <compartment-name>
where any {request.permission='OBJECT_READ', request.permission='OBJECT_INSPECT', request.permission='OBJECT_CREATE',
request.permission='OBJECT_OVERWRITE', request.permission='OBJECT_DELETE'}

Voir Régions et domaines de disponibilité pour obtenir la liste des identificateurs de région.

Cette section décrit les étapes requises pour permettre à vos administrateurs de créer des autorités de certification et d'autoriser votre appareil du service d'infrastructure en périphérie de réseau Rover à accéder aux ressources de gestion de certificats dans Oracle Cloud Infrastructure Cloud.

Créez une politique permettant aux administrateurs de la sécurité de créer une chambre forte et une clé principale :

Allow group <security-admin-group> to manage vaults in tenancy
Allow group <security-admin-group> to manage keys in tenancy

Créez une politique permettant aux administrateurs de la sécurité d'utiliser l'autorité de certification :

Allow group <security-admin-group> to use certificate-authority-family in tenancy
Allow group <security-admin-group> to use key-delegate in tenancy

Créez un groupe dynamique nommé certificate-authority-dynamic-group avec les règles de correspondance :

all {resource.type='certificateauthority'}

Créez une politique permettant à l'autorité de certification d'utiliser des clés :

Allow dynamic-group certificate-authority-dynamic-group to use keys in compartment <compartment_name>

Créez une politique pour les appareils du service d'infrastructure en périphérie de réseau Rover afin d'utiliser l'autorité de certification et de gérer les certificats :

Allow dynamic-group roving-edge-devices to manage leaf-certificate-family in tenancy
Allow dynamic-group roving-edge-devices to use certificate-authority-family in tenancy

Créez une politique pour les noeuds du service d'infrastructure en périphérie de réseau Rover afin d'extraire et de mettre à jour ses configurations de certificat :

Allow dynamic-group roving-edge-devices to use rover-family in tenancy

Le groupe rover-admins est défini comme administrateur des ressources du service d'infrastructure en périphérie de réseau Rover :

allow group rover-admins to manage rover-family in tenancy
allow group rover-admins to manage rover-nodes in tenancy

Autoriser l'infrastructure en périphérie de réseau Rover à attacher des charges de travail :

allow service rover to read object-family in tenancy
allow service rover to manage objectstorage-namespaces in tenancy

Autoriser l'accès du service d'infrastructure en périphérie de réseau Rover au stockage d'objets :

allow dynamic-group roving-edge-devices to manage object-family in tenancy
allow dynamic-group roving-edge-devices to manage objectstorage-namespaces in tenancy

Autoriser l'auto-provisionnement du groupe dynamique de noeuds en périphérie de réseau Rover et gérer ses configurations de certificat :

allow dynamic-group roving-edge-devices to manage rover-family in tenancy

(Facultatif) Activez la livraison de l'ensemble de mise à niveau déconnecté :

allow group rover-admins to read object-family in tenancy
allow dynamic-group roving-edge-devices to manage object-family in tenancy

(Facultatif) Activez la gestion des certificats :

allow group CertificateAdmins to manage vaults in tenancy
allow group CertificateAdmins to manage keys in tenancy
allow group CertificateAdmins to manage certificate-authority-family in tenancy
allow group CertificateAdmins to use key-delegate in tenancy
allow group rover-admins to read certificate-authority-family in tenancy
allow dynamic-group certificate-authority-dynamic-group to use keys in tenancy
allow dynamic-group roving-edge-devices to manage leaf-certificate-family in tenancy
allow dynamic-group roving-edge-devices to use certificate-authority-family in tenancy

Étape suivante?

Si vous demandez un appareil, consultez l'une des sections suivantes en fonction du type d'appareil :

• Création et soumission d'un noeud pour les périphériques de calcul, GPU et stockage
• Création d'un noeud Ultra en périphérie de réseau Rover