Documentation sur Oracle Cloud Infrastructure

Politiques et autorisations du CCO

Créez des politiques IAM pour contrôler qui a accès aux données de mesure et de demande de capacité OCC, et pour contrôler le type d'accès pour chaque groupe d'utilisateurs.

Pour les données de mesure dans OCC, il n'y a aucun moyen de restreindre l'accès en fonction des ID ressource. Vous pouvez utiliser le nom de famille control-center-family et le type de ressource control-center-metrics pour restreindre l'accès aux données de mesure globales.

Vous pouvez utiliser le nom de famille control-center-capacity-management-family et les types de ressource control-center-availability-catalogs et control-center-capacity-requests pour restreindre l'accès à Capacity Management.

Voir la section Exemples de politique pour plus de détails.

Les utilisateurs du groupe Administrators ont accès à toutes les ressources et données de mesure OCC. Créez des politiques permettant aux utilisateurs d'avoir les droits nécessaires sur les données de mesure OCC.

Pour en connaître davantage sur les politiques IAM, voir Marche à suivre pour commencer les politiques.

Pour une liste complète des politiques Oracle Cloud Infrastructure, voir Informations de référence sur les politiques.

Cette section traite des sujets suivants :

Pour utiliser OCC, créez une politique qui accorde les autorisations suivantes à l'utilisateur ou aux groupes qui interagissent avec le service en conséquence.

Types de ressource et autorisations

Liste des types de ressource du centre de contrôle et des autorisations associées.

Pour affecter des autorisations à toutes les ressources de surveillance des mesures OCC, utilisez le type d'agrégation control-center-family.

Pour créer une demande de capacité, vous devez disposer de l'autorisation control-center-capacity-management-family.

Le tableau suivant répertorie toutes les ressources dans OCC :

Nom de la famille Ressources de membre Action affectée à l'utilisateur
control-center-family
  • control-center-metrics
  • control-center-demand-signals
 Inclut toutes les mesures du centre de contrôle et toutes les ressources futures des membres d'une même famille.
control-center-capacity-management-family
  • control-center-availability-catalogs
  • control-center-capacity-requests
 Inclut la gestion de la capacité du centre de contrôle et toutes les ressources membres futures dans une même famille.

Une politique qui utilise <verb> control-center-family équivaut à une politique avec un énoncé <verb> <resource-type> distinct pour chacun des types de ressource individuels.

Type de ressource Permissions Action affectée à l'utilisateur
control-center-metrics
  • CONTROL_CENTER_METRICS_INSPECT
  • CONTROL_CENTER_METRICS_READ
 Lisez les espaces de noms de mesure OCC, les noms de mesure et les valeurs de mesure.
control-center-availability-catalogs
  • CONTROL_CENTER_AVAILABILITY_CATALOG_INSPECT
  • CONTROL_CENTER_AVAILABILITY_CATALOG_READ
 Consulter et exporter les catalogues de disponibilité et les disponibilités.
control-center-capacity-requests
  • CONTROL_CENTER_CAPACITY_REQUEST_CREATE
  • CONTROL_CENTER_CAPACITY_REQUEST_DELETE
  • CONTROL_CENTER_CAPACITY_REQUEST_UPDATE
  • CONTROL_CENTER_CAPACITY_REQUEST_INSPECT
  • CONTROL_CENTER_CAPACITY_REQUEST_READ
 Créer, lire, mettre à jour et supprimer des demandes de capacité.
control-center-demand-signals
  • CONTROL_CENTER_DEMAND_SIGNAL_CREATE
  • CONTROL_CENTER_DEMAND_SIGNAL_DELETE
  • CONTROL_CENTER_DEMAND_SIGNAL_UPDATE
  • CONTROL_CENTER_DEMAND_SIGNAL_INSPECT
  • CONTROL_CENTER_DEMAND_SIGNAL_READ
 Ajouter, lire, mettre à jour et supprimer la quantité de demande de ressources dans les demandes de capacité.

Variables prises en charge

Vous pouvez utiliser des variables pour ajouter des conditions à une politique.

OCI Control Center prend en charge les variables suivantes :

  • Entité : Identificateur Oracle Cloud (OCID)
  • Chaîne : Texte à structure libre.
  • Liste : Liste d'entités ou de chaînes.

Voir Variables générales pour toutes les demandes.

Les variables sont en minuscules et séparées par des tirets. Par exemple, target.tag-namespace.name, target.display-name. Ici, name doit être unique et display-name est la description.

Les variables requises sont fournies par le service du centre de contrôle OCI pour chaque demande. Les variables automatiques sont fournies par le moteur d'autorisation (intégré au service avec la trousse SDK pour un client lourd ou dans le plan de données d'identité pour un client léger).

Variables requises Type Description
target.compartment.id Entité (OCID) OCID de la ressource principale de la demande.
request.operation Chaîne ID opération (par exemple, GetUser) de la demande.
target.resource.kind Chaîne Nom du type de ressource de la ressource principale de la demande.
Variables automatiques Type Description
request.user.id Entité (OCID) OCID de l'utilisateur à l'origine de la demande.
request.groups.id Liste d'entités (OCID) OCID des groupes auxquels appartient l'utilisateur à l'origine de la demande.
target.compartment.name Chaîne Nom du compartiment indiqué dans target.compartment.id.
target.tenant.id Entité (OCID) OCID de l'ID locataire cible.
Variables dynamiques Type Description
request.principal.group.tag.<tagNS>.<tagKey> Chaîne Valeur de chaque marqueur d'un groupe dont le principal est un membre.
request.principal.compartment.tag.<tagNS>.<tagKey> Chaîne Valeur de chaque marqueur du compartiment qui contient le principal.
target.resource.tag.<tagNS>.<tagKey> Chaîne Valeur de chaque marqueur sur la ressource cible. (Calculé sur la base de tagSlug fourni par le service à chaque demande.)
target.resource.compartment.tag.<tagNS>.<tagKey> Chaîne Valeur de chaque marqueur du compartiment contenant la ressource cible. (Calculé sur la base de tagSlug fourni par le service à chaque demande.)

Les sources disponibles pour les variables sont les suivantes :

  • Demande : Provient de l'entrée de la demande.
  • Dérivé : Provient de la demande.
  • Stocké : Provient du service, entrée conservée.
  • Calculé : Calculé à partir des données du service.

Informations détaillées sur les combinaisons de verbe et de type de ressource

Identifiez les autorisations et les opérations d'API couvertes par chaque verbe pour les ressources du centre de contrôle.

Le niveau d'accès est cumulatif au fur et à mesure que vous progressez depuis inspect à read, use et manage. Un signe plus (+) dans une cellule de tableau indique un accès incrémentiel par rapport à la cellule précédente, no extra indique qu'il n'y a aucun accès incrémentiel.

Pour plus d'informations sur l'octroi de l'accès, voir Autorisations.

contrôle-centre-mesures

Ce tableau répertorie les autorisations et les opérations d'API couvertes par chaque verbe, pour la ressource control-center-metrics.

Verbes Permissions API couvertes par Description
inspect

CONTROL_CENTER_METRICS_INSPECT
  • ListNamespaces
  • ListMetricProperties
 Les mesures sont regroupées dans des espaces de noms.

Répertoriez tous les espaces de noms.

Obtenir la liste des mesures dans un espace de noms spécifique.
read

inspect+

CONTROL_CENTER_METRICS_READ

inspect+

RequestSummarizedMetricData

 Obtenir des données (valeurs) pour une mesure dans un espace de noms spécifique.
use

read+

no extra
manage

use+

no extra
Catalogues de disponibilité du centre de contrôle

Ce tableau répertorie les autorisations et les opérations d'API couvertes par chaque verbe, pour la ressource control-center-availability-catalogs.

Verbes Permissions API couvertes Description
inspect CONTROL_CENTER_AVAILABILITY_CATALOG_INSPECT
  • ListOccAvailabilityCatalogs
 Répertorie tous les catalogues de disponibilité.
read

inspect+

CONTROL_CENTER_AVAILABILITY_CATALOG_READ

inspect+

  • GetOccAvailabilityCatalog
  • GetOccAvailabilityCatalogContent
  • ListOccAvailabilities

Obtenir les détails du catalogue de disponibilité.

Retourne le contenu binaire du catalogue de disponibilité.

Répertoriez les disponibilités dans un catalogue de disponibilité.
contrôle-centre-capacité-demandes

Ce tableau répertorie les autorisations et les opérations d'API couvertes par chaque verbe, pour la ressource control-center-capacity-requests.

Verbes Permissions API couvertes Description
inspect CONTROL_CENTER_CAPACITY_REQUEST_INSPECT
  • ListOccCapacityRequests
 Répertorie toutes les demandes de capacité.
read

inspect+

CONTROL_CENTER_CAPACITY_REQUEST_READ

inspect+

  • GetOccCapacityRequest
 Obtenez des détails sur la demande de capacité.
use

read+

CONTROL_CENTER_CAPACITY_REQUEST_UPDATE

read+

  • UpdateOccCapacityRequest
 Mettez à jour la demande de capacité.
manage

use+

CONTROL_CENTER_CAPACITY_REQUEST_CREATE

CONTROL_CENTER_CAPACITY_REQUEST_DELETE

use+

  • CreateOccCapacityRequest
  • DeleteOccCapacityRequest

Créez une demande de capacité.

Supprimer une ressource de demande de capacité.
contrôle-centre-demande-signaux

Ce tableau répertorie les autorisations et les opérations d'API couvertes par chaque verbe, pour la ressource control-center-demand-signals.

Verbes Permissions API sécurisées Description
inspect CONTROL_CENTER_DEMAND_SIGNALS_INSPECT
  • ListOccDemandSignals
 Liste toutes les ressources d'une demande de capacité.
read

inspect+

CONTROL_CENTER_DEMAND_SIGNALS_READ

inspect+

  • GetOccDemandSignal
 Obtenez des détails sur les ressources d'une demande de capacité.
use

read+

CONTROL_CENTER_DEMAND_SIGNALS_UPDATE

read+

  • UpdateOccDemandSignal
  • PatchOccDemandSignal

Mettre à jour le nom d'une demande de capacité.

Sert à modifier la quantité de ressources d'une demande de capacité.
manage

use+

CONTROL_CENTER_DEMAND_SIGNALS_CREATE

CONTROL_CENTER_DEMAND_SIGNALS_DELETE

use+

  • CreateOccDemandSignal
  • DeleteOccDemandSignal

Ajouter une ressource dans une demande de capacité.

Supprimer une ressource dans une demande de capacité.

Autorisations requises pour chaque opération d'API

Le tableau suivant liste les opérations d'API dans un ordre logique.

Pour plus d'informations, voir Autorisations.
Opérations d'API Autorisations requises pour utiliser l'opération
ListNamespaces CONTROL_CENTER_METRICS_INSPECT
ListMetricProperties CONTROL_CENTER_METRICS_INSPECT
RequestSummarizedMetricData CONTROL_CENTER_METRICS_READ
ListOccAvailabilityCatalogs CONTROL_CENTER_AVAILABILITY_CATALOG_INSPECT
GetOccAvailabilityCatalog CONTROL_CENTER_AVAILABILITY_CATALOG_READ
GetOccAvailabilityCatalogContent CONTROL_CENTER_AVAILABILITY_CATALOG_READ
ListOccAvailabilities CONTROL_CENTER_AVAILABILITY_CATALOG_READ
CreateOccCapacityRequest CONTROL_CENTER_CAPACITY_REQUEST_CREATE
DeleteOccCapacityRequest CONTROL_CENTER_CAPACITY_REQUEST_DELETE
UpdateOccCapacityRequest CONTROL_CENTER_CAPACITY_REQUEST_UPDATE
ListOccCapacityRequests CONTROL_CENTER_CAPACITY_REQUEST_INSPECT
GetOccCapacityRequest CONTROL_CENTER_CAPACITY_REQUEST_READ
CreateOccDemandSignal CONTROL_CENTER_DEMAND_SIGNAL_CREATE
DeleteOccDemandSignal CONTROL_CENTER_DEMAND_SIGNAL_DELETE
PatchOccDemandSignal CONTROL_CENTER_DEMAND_SIGNAL_UPDATE
UpdateOccDemandSignal CONTROL_CENTER_DEMAND_SIGNAL_UPDATE
ListOccDemandSignals CONTROL_CENTER_DEMAND_SIGNAL_INSPECT
GetOccDemandSignal CONTROL_CENTER_DEMAND_SIGNAL_READ

Création d'une politique

Voici comment créer une politique dans la console :

  1. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Politiques.
  2. Dans la page Politiques, cliquez sur Créer une politique.
  3. Dans le panneau Créer une politique, entrez un nom, une description pour la politique et spécifiez le compartiment dans lequel vous souhaitez créer la politique.
  4. Sous Générateur de politiques, cliquez sur Afficher l'éditeur manuel pour activer l'éditeur.

    Entrez une règle de politique dans le format spécifié. Voir des exemples de politique sous Politiques et autorisations OCC.

  5. Cliquez sur Créer.

Pour des instructions sur la création et la gestion des politiques à l'aide de la console ou de l'API, voir Gestion des politiques.

Pour obtenir la liste complète de toutes les politiques d'Oracle Cloud Infrastructure, voir Informations de référence sur les politiques et Politiques communes.

Exemples de politiques

Les politiques OCC sont requises pour consulter les données de mesure OCC.

Pour obtenir des instructions sur la création de politiques à l'aide de la console, voir Création d'une politique.

Pour plus de détails sur la syntaxe, voir Syntaxe d'une politique.

Voici des exemples de politique :

Permet au groupe de lister les mesures et de lire les données des mesures.

Allow group <group name> to use control-center-metrics in tenancy

Permet au groupe de gérer les demandes de capacité.

Allow group customeradmin to manage control-center-capacity-request in tenancy

Politiques de la famille OCC

Créez cette politique dans votre location, pour autoriser un utilisateur ou pour lire toutes les mesures dans OCC :

Allow <user> to read control-center-family in tenancy

Politiques d'intégration de la gestion de la capacité OCC

Créez les politiques suivantes dans votre location pour utiliser les fonctionnalités de gestion de la capacité.

allow group <group-name> to manage control-center-capacity-requests in tenancy
allow group <group-name> to read control-center-availability-catalogs in tenancy
define tenancy operator as ocid1.tenancy.oc1..aaaaaaaagkbzgg6lpzrf47xzy4rjoxg4de6ncfiq2rncmjiujvy2hjgxvziqy
define group ccm-operators as ocid1.group.oc1..aaaaaaaay7y5a5tifmzcaa6ucaljuxyf5qvoghcn2lk4l3gxzvmiow7xaa6q
admit group ccm-operators of tenancy operator to use control-center-capacity-requests in tenancy

Ici, <group-name> représente tout groupe d'utilisateurs de la location du client qui est utilisé pour la gestion de la capacité. Les politiques liées à la location d'opérateur et au groupe d'opérateurs ccm permettent aux opérateurs OCI de traiter les demandes de capacité créées par les clients.