Documentation sur Oracle Cloud Infrastructure

Configurer des instances de calcul pour accéder à Log Analytics interlocation

Vous devrez peut-être accorder l'accès à un fournisseur tiers pour gérer et surveiller les journaux d'un CompanyABC. Ce document explique comment configurer l'accès si le fournisseur souhaite utiliser l'interface de ligne de commande ou la trousse SDK à partir des instances de calcul de la location VendorA pour accéder à Log Analytics de CompanyABC.

La politique OCI IAM utilise le concept d'admission et d'endos pour activer l'accès interlocation. Si vous voulez accorder l'autorisation aux instances de calcul de la location source (VendorA) d'accéder à Log Analytics de la location de destination (CompanyABC), les administrateurs des deux locations doivent créer des politiques IAM comme ci-dessous.

  1. Configurer le principal d'instance et le groupe dynamique dans la location source (VendorA) :

    La fonction Principaux d'instance vous permet d'effectuer des appels de service à partir d'une instance. Les instances de calcul OCI sont autorisées à interagir avec les API OCI en créant un groupe dynamique des instances de calcul et une politique qui autorise les opérations que les instances peuvent effectuer.

    Créez un groupe dynamique, par exemple oci_la_dg, pour autoriser les instances des compartiments disposant des autorisations définies dans les politiques. 

    Any {instance.compartment.id = 'ocid1.compartment.oc1..aaaaabcd',instance.compartment.id = 'ocid1.compartment.oc1..aaaaadef'}

  2. Créer une politique dans la location source (VendorA) : 

    Define tenancy CompanyABC as ocid1.tenancy.oc1..aaaaaaaaabc
Endorse dynamic-group oci_la_dg to manage loganalytics-features-family in tenancy CompanyABC
Endorse dynamic-group oci_la_dg to manage loganalytics-resources-family in tenancy CompanyABC
Endorse dynamic-group oci_la_dg to manage management-dashboard-family in tenancy CompanyABC
Endorse dynamic-group oci_la_dg to read compartments in tenancy CompanyABC

  3. Créer une politique dans la location de destination (CompanyABC) : 

    Define tenancy VendorA as ocid1.tenancy.oc1..aaaaavendora
Define dynamic-group oci_la_dg as ocid1.dynamicgroup.oc1..aaaaaaaavendora
Admit dynamic-group oci_la_dg of tenancy VendorA to manage loganalytics-features-family in tenancy
Admit dynamic-group oci_la_dg of tenancy VendorA to manage loganalytics-resources-family in tenancy
Admit dynamic-group oci_la_dg of tenancy VendorA to manage management-dashboard-family in tenancy 
Admit dynamic-group oci_la_dg of tenancy VendorA to read compartments in tenancy

  4. Vérifiez que vous pouvez maintenant exécuter les API Log Analytics à partir des instances auxquelles des autorisations ont été accordées.

Pour plus d'informations sur les énoncés Endorse, Admit et Define, voir Documentation sur le service de stockage d'objets. En plus des groupes dynamiques, ces instructions peuvent également être appliquées aux groupes.