Documentation sur Oracle Cloud Infrastructure

Créer des groupes, des groupes dynamiques et des politiques

Vous pouvez contrôler la façon dont les utilisateurs gèrent les instances d'analyse des ressources dans votre location.

En général, vous créez un groupe d'utilisateurs dans la location et lui accordez les droits de gestion du service dans un compartiment particulier, et vous accordez au principal de ressource de votre instance d'analyse des ressources les droits d'observation des métadonnées de ressource de votre location.

1. Créer un groupe et un groupe dynamique

  1. Obtenez l'OCID du compartiment que vous avez sélectionné pour votre instance d'analyse des ressources.
    Dans cet exemple, il s'agit de l'OCID de resource-analytics-compartment.
  2. Dans votre domaine d'identité :
    1. Créez un groupe nommé resource-analytics-admins. Il contient les utilisateurs pour gérer les instances d'analyse des ressources et les attachements de location, les bases de données d'intelligence artificielle autonomes et les instances Analytics Cloud.
    2. Ajouter des utilisateurs au groupe, le cas échéant.
    3. Créez un groupe dynamique nommé resource-analytics-instances.
    4. Ajoutez la règle suivante au groupe dynamique pour qu'elle corresponde à l'instance d'analyse des ressources que vous créez éventuellement dans le compartiment resource-analytics-compartment :
      all {resource.type = 'resanalyticsinstance', resource.compartment.id = '<resource-analytics-compartment-ocid>'}

    Pour plus d'informations sur l'ajout d'utilisateurs, de groupes et de groupes dynamiques aux domaines de votre location, voir Gestion des utilisateurs, Gestion des groupes et Gestion des groupes dynamiques.

    Pour les locations plus anciennes qui ne prennent pas en charge les domaines d'identité, voir Gestion des utilisateurs, Gestion des groupes et Gestion des groupes dynamiques.

2. Créer des politiques

Après avoir créé le groupe d'utilisateurs et le groupe dynamique, vous devez fournir des droits (autorisations) à ces groupes afin que les membres du groupe puissent administrer les instances d'analyse des ressources, inspecter le jeu de régions auxquelles vous êtes abonné de la location, observer et signaler les métadonnées des ressources de votre location. Vous fournissez des droits aux groupes sous forme de politiques IAM.

Les politiques IAM régissent le contrôle des ressources des locations Oracle Cloud Infrastructure (OCI). Une politique contient un ou plusieurs énoncés de politique.

Pour créer des politiques :

Pour plus d'informations sur l'ajout de politiques à la location, voir Aperçu de l'utilisation des politiques. Pour les anciennes locations qui ne prennent pas en charge les domaines d'identité, voir Gestion des politiques.

Utiliser le générateur de règles pour créer des règles

Lorsque vous utilisez le générateur de politiques pour créer des politiques pour votre location, vous utilisez des modèles de politique d'analyse des ressources. Un modèle de politique comprend tous les énoncés nécessaires pour fournir les autorisations permettant d'effectuer une tâche ou un jeu de tâches connexes dans un service pour OCI.

Pour plus d'informations sur les énoncés inclus dans chaque modèle de politique d'analyse de ressources, voir Modèles de politique du générateur de politiques. Pour les locations plus anciennes qui ne prennent pas en charge les domaines d'identité, voir Politiques communes.

Créer des politiques à l'aide du générateur de politiques

Créez trois politiques à l'aide du générateur de politiques :
  • Permettre aux instances d'analyse des ressources de gérer les ressources d'analyse des ressources - Permettre aux instances d'analyse des ressources de gérer les ressources d'analyse des ressources, notamment les métadonnées des ressources, les compartiments, les bases de données d'intelligence artificielle autonomes, la famille de réseaux virtuels, les demandes de travail des instances d'analyse et les instances d'analyse.
  • Permettre aux administrateurs de gérer les ressources d'analyse des ressources - Permettre aux administrateurs de gérer les ressources d'analyse des ressources, notamment la famille d'analyse des ressources, la famille de réseau virtuel, les entrepôts de données d'intelligence artificielle autonomes et les demandes de travail.
  • Permettre aux administrateurs d'inspecter le jeu de régions abonnées de la location - Permettre aux administrateurs d'inspecter le jeu de régions abonnées de la location.

Procédez de la façon suivante :

  1. Dans la page Analyse des ressources, sélectionnez Voir les détails pour afficher le panneau Configurer les préalables pour la première utilisation.
  2. Dans la section Créer des politiques, sélectionnez Générateur de politiques pour naviguer jusqu'à la page Politiques d'identité et de sécurité.
  3. Sélectionnez Créer une politique.
    1. Entrez un nom et une description pour votre politique, puis sélectionnez le compartiment racine.
    2. Dans Cas d'utilisation de politique, sélectionnez Analyse des ressources.
    3. Dans Modèles de politique commune, sélectionnez Autoriser les instances d'analyse des ressources à gérer les ressources d'analyse des ressources.
    4. Sélectionnez votre domaine d'identité.
    5. Sélectionnez le groupe dynamique resource-analytics-instances.
    6. Sélectionnez Créer.
  4. Dans la page Politiques d'identité et de sécurité, sélectionnez Créer une politique.
    1. Entrez un nom et une description pour votre politique, puis sélectionnez resource-analytics-compartment ou tout compartiment situé au-dessus.
    2. Dans Cas d'utilisation de politique, sélectionnez Analyse des ressources.
    3. Dans Modèles de politique commune, sélectionnez Permettre aux administrateurs de gérer les ressources d'analyse des ressources.
    4. Sélectionnez votre domaine d'identité.
    5. Sélectionnez le groupe resource-analytics-admins.
    6. Sélectionnez Créer.
  5. Dans la page Politiques d'identité et de sécurité, sélectionnez Créer une politique.
    1. Entrez un nom et une description pour votre politique, puis sélectionnez le compartiment racine.
    2. Dans Cas d'utilisation de politique, sélectionnez Analyse des ressources.
    3. Dans Modèles de politique commune, sélectionnez Permettre aux administrateurs d'inspecter le jeu de régions abonnées de la location.
    4. Sélectionnez votre domaine d'identité.
    5. Sélectionnez le groupe resource-analytics-admins.
    6. Sélectionnez Créer.
  6. Dans la page Politiques d'identité et de sécurité, vérifiez que toutes les politiques ont été créées.

Utiliser l'éditeur manuel pour créer des politiques

Suivez ces instructions si vous décidez de ne pas utiliser le générateur de politiques pour créer les politiques à affecter à votre groupe d'administrateurs et à votre groupe dynamique. Vous créez les politiques avec des énoncés différents selon que vous êtes dans le domaine Default ou un autre domaine :

Conseil

Si vous allez créer manuellement vos politiques, vous copierez probablement les énoncés de politique listés ci-dessous pour le groupe resource-analytics-admins et le groupe dynamique resource-analytics-instances. Si cela est préférable, vous pouvez combiner un ou les trois jeux d'énoncés de politique pour le groupe d'administrateurs et l'instance en une seule politique à la racine.

Créer des politiques pour le groupe d'administrateurs dans le domaine par défaut

Suivez ces étapes uniquement si vous utilisez le domaine Default.
  1. Pour laisser le groupe resource-analytics-admins administrer les instances du service d'analyse des ressources, créez une politique avec les énoncés suivants au niveau ou au-dessus du compartiment (resource-analytics-compartment) où vous voulez créer une instance du service d'analyse des ressources :
    allow group resource-analytics-admins to manage resource-analytics-family in compartment resource-analytics-compartment
allow group resource-analytics-admins to use virtual-network-family in compartment resource-analytics-compartment
allow group resource-analytics-admins to manage autonomous-data-warehouses in compartment resource-analytics-compartment
allow group resource-analytics-admins to inspect work-requests in compartment resource-analytics-compartment
  2. Pour permettre au groupe resource-analytics-admins d'inspecter le jeu de régions auxquelles vous êtes abonné de la location, créez une politique avec les énoncés suivants dans le compartiment racine : 
    allow group resource-analytics-admins to inspect tenancies in tenancy

Créer des politiques pour le groupe d'administrateurs dans un domaine d'identité autre que celui par défaut

Si la location prend en charge les domaines d'identité et que le domaine d'identité du groupe resource-analytics-admins n'est pas Default, mais un autre nom, tel que MyDomain, utilisez la syntaxe de nom qualifié pour faire référence au groupe.
  1. Pour laisser le groupe resource-analytics-admins administrer les instances du service d'analyse des ressources, créez une politique avec les énoncés suivants au niveau ou au-dessus du compartiment (resource-analytics-compartment) où vous voulez créer une instance du service d'analyse des ressources :
    allow group 'MyDomain'/'resource-analytics-admins' to manage resource-analytics-family in compartment resource-analytics-compartment
allow group 'MyDomain'/'resource-analytics-admins' to use virtual-network-family in compartment resource-analytics-compartment
allow group 'MyDomain'/'resource-analytics-admins' to manage autonomous-data-warehouses in compartment resource-analytics-compartment
allow group 'MyDomain'/'resource-analytics-admins' to inspect work-requests in compartment resource-analytics-compartment
  2. Pour permettre au groupe resource-analytics-admins d'inspecter le jeu de régions auxquelles vous êtes abonné de la location, créez une politique avec les énoncés suivants dans le compartiment racine : 
    allow group 'MyDomain'/'resource-analytics-admins' to inspect tenancies in tenancy

Créer des politiques pour l'instance d'analyse des ressources dans le domaine par défaut

Suivez ces étapes uniquement si vous utilisez le domaine Default.
Pour permettre au groupe dynamique resource-analytics-instances d'observer et de déclarer les métadonnées des ressources de votre location, créez une politique avec les énoncés suivants dans le compartiment racine :
allow dynamic-group resource-analytics-instances to read resource-metadata in tenancy
allow dynamic-group resource-analytics-instances to read compartments in tenancy
allow dynamic-group resource-analytics-instances to read autonomous-databases in compartment resource-analytics-compartment
allow dynamic-group resource-analytics-instances to use virtual-network-family in compartment resource-analytics-compartment
allow dynamic-group resource-analytics-instances to read analytics-instance-work-requests in compartment resource-analytics-compartment
allow dynamic-group resource-analytics-instances to manage analytics-instances in compartment resource-analytics-compartment

Créer des politiques pour l'instance d'analyse des ressources dans un domaine d'identité autre que celui par défaut

Si votre location prend en charge les domaines d'identité et que le domaine d'identité du groupe dynamique resource-analytics-instances n'est pas Default, mais un autre nom, tel que MyDomain, utilisez la syntaxe de nom qualifié pour faire référence à votre groupe dynamique.
Pour permettre au groupe dynamique resource-analytics-instances d'observer et de déclarer les métadonnées des ressources de votre location, créez une politique avec les énoncés suivants dans le compartiment racine :
allow dynamic-group 'MyDomain'/'resource-analytics-instances' to read resource-metadata in tenancy
allow dynamic-group 'MyDomain'/'resource-analytics-instances' to read compartments in tenancy
allow dynamic-group 'MyDomain'/'resource-analytics-instances' to read autonomous-databases in compartment resource-analytics-compartment
allow dynamic-group 'MyDomain'/'resource-analytics-instances' to use virtual-network-family in compartment resource-analytics-compartment
allow dynamic-group 'MyDomain'/'resource-analytics-instances' to read analytics-instance-work-requests in compartment resource-analytics-compartment
allow dynamic-group 'MyDomain'/'resource-analytics-instances' to manage analytics-instances in compartment resource-analytics-compartment