Documentation sur Oracle Cloud Infrastructure

Créer et gérer des politiques avec Policy Advisor

Utilisez le service de conseils sur les politiques pour établir rapidement les autorisations OCI sur les ressources qui leur permettent d'être activées pour le service de données clés sur l'exploitation. Policy Advisor est un emplacement centralisé où vous pouvez voir, créer, mettre à jour et supprimer les politiques requises pour le service de données clés sur l'exploitation.

Policy Advisor automatise la création des politiques suivantes :
  • Politiques requises par les utilisateurs du service de données clés sur l'exploitation (administrateurs et utilisateurs en lecture seule).
  • Politiques requises par le service de données clés sur l'exploitation pour fonctionner correctement.
  • Politiques de configuration du mode démo (facultatif).
Note

Les politiques any-user sont des politiques de principal de ressource requises par le service de données clés sur l'exploitation. Les politiques contenant group {name} sont requises par l'utilisateur qui tente d'activer le service

Le service de données clés sur l'exploitation abandonne les politiques de système principales de service qui représentent un risque pour la sécurité à partir du 31 août 2025. Pour plus d'informations, voir : Suppression d'une politique de principal de service.

Configurer les politiques préalables pour le service de données clés sur l'exploitation

En tant qu'administrateur avec la possibilité de créer des politiques dans le compartiment racine, procédez comme suit pour configurer les politiques préalables requises avec Policy Advisor :
  1. Dans la page Aperçu du service de données clés sur l'exploitation, dans le coin supérieur droit, cliquez sur Policy Advisor. L'assistant Policy Advisor sera lancé.
  2. Sous Accès aux ressources, cliquez sur le bouton Configurer pour le service de données clés sur l'exploitation. Ces politiques fourniront les préalables nécessaires pour utiliser le service de données clés sur l'exploitation.
  3. Dans la fenêtre des préalables du service de données clés sur l'exploitation, sélectionnez les groupes d'utilisateurs qui doivent accéder aux politiques préalables. Cliquez sur + Ajouter un groupe d'utilisateurs. Cochez toutes les cases requises pour les groupes et cochez la case Accès de l'administrateur ou Accès de l'utilisateur. Lorsque vous avez terminé, cliquez sur Select (Sélectionner).
  4. Dans la fenêtre des préalables du service de données clés sur l'exploitation, vous verrez maintenant les groupes d'utilisateurs et le niveau d'accès que vous avez configurés. À droite de cette table, sélectionnez les compartiments auxquels le groupe d'utilisateurs peut accéder. Une fois tous les compartiments ajoutés, cliquez sur Prévisualiser et appliquer les modifications.
  5. La fenêtre Terminer les préalables vous permet de prévisualiser les énoncés de politique qui seront appliqués. Cliquez sur Suivant pour les appliquer.
  6. Une fois les politiques préalables appliquées, une coche verte apparaît. Pour terminer, cliquez sur Fermer. Les politiques préalables ont été appliquées.

Configurer et gérer les politiques pour les services de données clés sur l'exploitation

Grâce à Policy Advisor, vous pouvez accorder et modifier les politiques nécessaires pour un type de télémétrie et des types de ressource spécifiques qui doivent être analysés avec Ops Insights depuis votre environnement, à la fois pour le groupe d'utilisateurs qui effectuera cette action et pour le service lui-même.

Voici une liste des types de télémétrie et de ressource dont les politiques peuvent être gérées à partir de Policy Advisor :
  • bases de données
    • Bases de données autonomes sur OCI
    • Bases de données sans système d'exploitation, sur machine virtuelle et Exa-DB sur OCI
    • Bases de données externes (par télémétrie) :
      • Bases de données gérées par Enterprise Manager
      • Bases de données gérées par l'agent de gestion OCI
    • Bases de données MySQL
      • Systèmes de base de données MySQL HeatWave
      • Systèmes MySQL Database externe
  • Instances et hôtes de calcul
    • Calcule les instances sur OCI
    • Hôtes externes (par télémétrie) :
      • Hôtes gérés par Enterprise Manager
      • Hôtes gérés par l'agent de gestion OCI
  • Exadata
    • Systèmes Exadata (télémétrie au moyen d'Enterprise Manager)
    • Service de base de données Exadata sur une infrastructure dédiée (ExaDB-D)
  • Rapports d'informations périodiques
Pour configurer les politiques spécifiques, assurez-vous d'abord que les seaux nécessaires ont été créés dans les compartiments à utiliser, puis procédez comme suit :
  1. Dans la page Aperçu du service de données clés sur l'exploitation, dans le coin supérieur droit, cliquez sur Policy Advisor. L'assistant Policy Advisor sera lancé.
  2. Sous l'onglet Accès aux ressources, vous verrez les noms des services qui nécessitent l'application de politiques pour que le service de données clés sur l'exploitation fonctionne. Sélectionnez le service à modifier et cliquez sur le bouton Configurer.
  3. Dans la fenêtre des préalables du service de données clés sur l'exploitation, sélectionnez les groupes d'utilisateurs qui doivent voir leur accès à la politique modifié
    1. Pour ajouter des groupes d'utilisateurs, cliquez sur + Ajouter un groupe d'utilisateurs. Cochez toutes les cases requises pour les groupes et cochez la case Accès de l'administrateur ou Accès de l'utilisateur. Lorsque vous avez terminé, cliquez sur Select (Sélectionner).
    2. Pour supprimer des groupes d'utilisateurs, sélectionnez les trois points à droite d'un groupe d'utilisateurs auquel vous avez accès et sélectionnez Supprimer. Cela le supprimera de la table.
  4. Dans la fenêtre des préalables de service sélectionnée, vous verrez maintenant les groupes d'utilisateurs et le niveau d'accès que vous avez configurés. À droite de cette table, sélectionnez les compartiments auxquels les groupes d'utilisateurs peuvent accéder.
    1. Pour ajouter des compartiments, cliquez sur la zone de texte et sélectionnez les compartiments appropriés.
    2. Pour supprimer des compartiments, cliquez sur le X à droite de chaque compartiment.
    Lorsque tous les compartiments ont été modifiés, cliquez sur Prévisualiser et appliquer les modifications.
  5. La fenêtre Terminer les préalables vous permet de prévisualiser les énoncés de politique qui seront appliqués, en affichant les premiers énoncés à supprimer et les énoncés de politique qui seront appliqués. Cliquez sur Suivant pour les appliquer.
  6. Une fois les politiques préalables appliquées, une coche verte apparaît. Pour terminer, cliquez sur Fermer. Les politiques préalables ont été appliquées.

Suppression de la politique de principal de service

La meilleure pratique d'Oracle est qu'un service OCI ne doit jamais accéder à la ressource OCI d'un client à l'aide d'un principal de service, car cela introduit un risque potentiel de sécurité. Le service de données clés sur l'exploitation abandonne les politiques de système principales de service qui représentent un risque pour la sécurité à partir du 31 août 2025.

Si des politiques obsolètes sont détectées, Policy Advisor affichera une bannière en haut de la page nécessitant une mise à jour de la politique au nouveau format CRISP; pour mettre à jour les politiques obsolètes existantes, cliquez sur le bouton Mettre à jour les politiques de préalables. Des icônes Avertissement supplémentaires s'affichent à côté des groupes de politiques individuels contenant des énoncés obsolètes, et le bouton Configurer est désactivé pour tous les groupes contenant des énoncés obsolètes jusqu'à ce que des mises à niveau de politique aient été effectuées.

Politiques Ops Insight à écrire dans votre location :
Politique de principal de service obsolète Nouvelle politique
allow service operations-insights to read secret-family in compartment ABC where target.vault.id = 'Vault OCID' allow any-user to read secret-family in tenancy where ALL{request.principal.type='opsidatabaseinsight', target.vault.id = 'Vault OCID'}
allow service operations-insights to read autonomous-database-family in compartment XYZ where {request.operation='GenerateAutonomousDatabaseWallet'} allow any-user to read autonomous-database-family in compartment XYZ where ALL{request.principal.type='opsidatabaseinsight', request.operation='GenerateAutonomousDatabaseWallet'}