Documentation sur Oracle Cloud Infrastructure

Créer et gérer des politiques avec Policy Advisor

Le service de conseils sur les politiques permet d'établir rapidement des autorisations OCI pour les ressources afin de les activer pour le service de données clés sur l'exploitation. Policy Advisor est un emplacement centralisé où vous pouvez voir, créer, mettre à jour et supprimer les politiques requises pour le service de données clés sur l'exploitation.

Policy Advisor automatise la création des politiques suivantes :
  • Politiques requises par les utilisateurs du service de données clés sur l'exploitation (administrateurs et utilisateurs en lecture seule).
  • Politiques requises par le service de données clés sur l'exploitation pour fonctionner correctement.
  • Politiques pour configurer le mode démo (facultatif).
Note

Les politiques any-user sont des politiques de principal de ressource nécessaires au service de données clés sur l'exploitation. Les politiques contenant group {name} sont requises par l'utilisateur qui tente d'activer le service

Le service de données clés sur l'exploitation abandonne les politiques de système principales de service qui représentent un risque pour la sécurité à partir du 31 août 2025. Pour plus d'informations, voir : Suppression d'une politique de principal de service.

Configurer les politiques préalables pour le service de données clés sur l'exploitation

En tant qu'administrateur ayant la possibilité de créer des politiques dans le compartiment racine, procédez comme suit pour configurer les politiques préalables requises avec Policy Advisor :
  1. Dans la page Aperçu du service de données clés sur l'exploitation, dans le coin supérieur droit, cliquez sur Service de conseils sur les politiques. L'assistant Policy Advisor sera alors lancé.
  2. Sous Accès aux ressources, cliquez sur le bouton Configurer pour le service de données clés sur l'exploitation. Ces politiques fourniront les préalables nécessaires pour utiliser le service de données clés sur l'exploitation.
  3. Dans la fenêtre Préalables du service de données clés sur l'exploitation, sélectionnez les groupes d'utilisateurs qui doivent accéder aux politiques préalables, cliquez sur + Ajouter un groupe d'utilisateurs. Cochez tous les groupes requis et cochez la case Accès administrateur ou Accès utilisateur obligatoire. Lorsque vous avez terminé, cliquez sur Select (Sélectionner).
  4. Dans la fenêtre Préalables du service de données clés sur l'exploitation, vous verrez maintenant les groupes d'utilisateurs et le niveau d'accès que vous avez configurés. À droite de ce tableau, sélectionnez les compartiments auxquels le groupe d'utilisateurs peut accéder. Lorsque tous les compartiments ont été ajoutés, cliquez sur Prévisualiser et appliquer les modifications.
  5. La fenêtre Terminer les préalables vous permet de prévisualiser les énoncés de politique qui seront appliqués, cliquez sur Suivant pour les appliquer.
  6. Une fois les politiques préalables appliquées, une coche verte apparaît, pour terminer, cliquez sur Fermer. Les politiques préalables ont été appliquées.

Configurer et gérer les politiques pour les services de données clés sur l'exploitation

Avec Policy Advisor, vous pouvez accorder et modifier les politiques nécessaires pour un type de télémétrie et des types de ressource spécifiques qui doivent être analysés avec le service de données clés sur l'exploitation à partir de votre environnement, à la fois pour le groupe d'utilisateurs qui effectuera cette action et pour le service lui-même.

Voici la liste des types de télémétrie et de ressource dont les stratégies peuvent être gérées à partir de Policy Advisor :
  • Bases de données
    • Bases de données autonomes sur OCI
    • Bases de données sans système d'exploitation, sur machine virtuelle et avec base de données exa sur OCI
    • Bases de données externes (par télémétrie) :
      • Bases de données gérées par Enterprise Manager
      • Bases de données gérées par l'agent de gestion OCI
    • Bases de données MySQL
      • Systèmes de base de données MySQL HeatWave
      • Systèmes MySQL Database externe
  • Instances et hôtes de calcul
    • Calcul des instances sur OCI
    • Hôtes externes (par télémétrie) :
      • Hôtes gérés par Enterprise Manager
      • Hôtes gérés par l'agent de gestion OCI
  • Exadata
    • Gestion des coûts d'Exadata
    • Systèmes Exadata (télémétrie au moyen d'Enterprise Manager)
    • Service de base de données Exadata sur une infrastructure dédiée (ExaDB-D)
  • Rapports d'informations périodiques
Pour configurer des politiques spécifiques, assurez-vous d'abord que les seaux nécessaires ont été créés dans les compartiments à utiliser et procédez comme suit :
  1. Dans la page Aperçu du service de données clés sur l'exploitation, dans le coin supérieur droit, cliquez sur Service de conseils sur les politiques. L'assistant Policy Advisor sera alors lancé.
  2. Sous l'onglet Accès aux ressources, vous verrez les noms des services qui nécessitent l'application de politiques pour que le service de données clés sur l'exploitation fonctionne. Sélectionnez le service à modifier et cliquez sur le bouton Configurer.
  3. Dans la fenêtre Préalables du service de données clés sur l'exploitation, sélectionnez les groupes d'utilisateurs dont l'accès aux politiques doit être modifié
    1. Pour ajouter des groupes d'utilisateurs, cliquez sur + Ajouter un groupe d'utilisateurs. Cochez tous les groupes requis et cochez la case Accès administrateur ou Accès utilisateur obligatoire. Lorsque vous avez terminé, cliquez sur Select (Sélectionner).
    2. Pour supprimer des groupes d'utilisateurs, sélectionnez les trois points à droite d'un groupe d'utilisateurs ayant accès et sélectionnez Supprimer, cela supprimera le groupe de la table.
  4. Dans la fenêtre des préalables du service sélectionné, vous verrez maintenant les groupes d'utilisateurs et le niveau d'accès que vous avez configurés. À droite de ce tableau, sélectionnez les compartiments auxquels les groupes d'utilisateurs peuvent accéder.
    1. Pour ajouter des compartiments, cliquez sur la zone de texte et sélectionnez les compartiments appropriés.
    2. Pour supprimer des compartiments, cliquez sur le X à droite de chaque compartiment.
    Lorsque tous les compartiments ont été modifiés, cliquez sur Prévisualiser et appliquer les modifications.
  5. La fenêtre Terminer les préalables vous permet de prévisualiser les énoncés de politique qui seront appliqués, en affichant les premiers énoncés à supprimer et les énoncés de politique qui seront appliqués. Cliquez sur Suivant pour les appliquer.
  6. Une fois les politiques préalables appliquées, une coche verte apparaît, pour terminer, cliquez sur Fermer. Les politiques préalables ont été appliquées.

Suppression de la politique du principal de service

La meilleure pratique d'Oracle est qu'un service OCI ne doit jamais accéder à la ressource OCI d'un client à l'aide d'un principal de service, car cela introduit un risque potentiel de sécurité. Le service de données clés sur l'exploitation abandonne les politiques de système principales de service qui représentent un risque pour la sécurité à partir du 31 août 2025.

Si des politiques obsolètes sont détectées, Policy Advisor affichera une bannière en haut de la page nécessitant une mise à jour de la politique au nouveau format CRISP. Pour mettre à jour les politiques obsolètes existantes, cliquez sur le bouton Mettre à jour les politiques préalables. Des icônes Avertissement supplémentaires s'affichent à côté des groupes de politiques individuels contenant des énoncés obsolètes. Le bouton Configurer est désactivé pour tous les groupes contenant des énoncés obsolètes jusqu'à ce que les mises à niveau de politique aient été effectuées.

Politiques du service de données clés sur l'exploitation que vous devez écrire dans votre location :
Politique de principal de service obsolète Nouvelle politique
allow service operations-insights to read secret-family in compartment ABC where target.vault.id = 'Vault OCID' allow any-user to read secret-family in tenancy where ALL{request.principal.type='opsidatabaseinsight', target.vault.id = 'Vault OCID'}
allow service operations-insights to read autonomous-database-family in compartment XYZ where {request.operation='GenerateAutonomousDatabaseWallet'} allow any-user to read autonomous-database-family in compartment XYZ where ALL{request.principal.type='opsidatabaseinsight', request.operation='GenerateAutonomousDatabaseWallet'}