Documentation sur Oracle Cloud Infrastructure

Créer des politiques à partir de la console

Il est fortement recommandé de toujours utiliser Policy Advisor lors de la configuration des stratégies afin de garantir leur facilité d'utilisation et leur bonne configuration. Toutefois, si votre environnement nécessite un contrôle d'accès plus approfondi ou l'octroi manuel des politiques, celles-ci peuvent être effectuées à l'aide de la console.

Note

Les politiques any-user sont des politiques de principal de ressource nécessaires au service de données clés sur l'exploitation. Les politiques contenant group opsi-admins sont requises par l'utilisateur qui tente d'activer le service

Le service de données clés sur l'exploitation abandonne les politiques de système principales de service qui représentent un risque pour la sécurité à partir du 31 août 2025. Pour plus d'informations, voir : Suppression d'une politique de principal de service.

Créer des politiques d'administrateur

Les utilisateurs ne peuvent utiliser les données clés sur l'exploitation que si leur groupe dispose des autorisations nécessaires. Pour permettre à l'administrateur opsiadmin d'activer/de désactiver le service de données clés sur l'exploitation pour son parc de ressources et d'accéder à toutes les données d'analyse, vous devez créer une politique d'identité accordant des autorisations au groupe d'utilisateurs opsi-admin.
Note

Toutes les politiques peuvent être écrites au niveau du compartiment, à l'exception de l'entrepôt de données clés sur l'exploitation/du concentrateur AWR qui requiert le niveau racine/location.
  1. Connectez-vous à la console en tant qu'administrateur de votre location, ouvrez le menu de navigation et sous Gouvernance et administration, sélectionnez Identité et cliquez sur Politiques.
  2. Suivez les instructions sous Créez une politique et attribuez à la politique un nom significatif. Par exemple, opsi-admin-policy.
  3. Ajoutez l'énoncé de politique suivant pour autoriser le groupe à activer/désactiver le service de données clés sur l'exploitation ou, pour créer/activer/désactiver un hôte d'agent de gestion ou une base de données gérée par Enterprise Manager, ou pour mettre à jour/ajouter des marqueurs à toutes les ressources du service de données clés sur l'exploitation. Par exemple, si votre groupe d'administrateurs est appelé groupe opsi-admin et que vous voulez ajouter cette politique au niveau de la location, ajoutez les éléments suivants : 
    Allow group opsi-admins to manage opsi-family in tenancy
Allow group opsi-admins to manage management-dashboard-family in tenancy
    Notez que des politiques peuvent également être créées au niveau du compartiment.

    Voir aussi Informations détaillées sur le tableau de bord de gestion pour plus de détails sur les politiques d'utilisation des tableaux de bord.

  4. Selon les ressources que vous allez activer, ajoutez les politiques suivantes :
    Activation Politiques Détails
    Bases de données autonomes - fonctions de base Allow group opsi-admins to use autonomous-database-family in tenancy Les fonctions de base incluent Capacity Planning.
    Bases de données autonomes - Toutes les fonctions Allow group opsi-admins to use autonomous-database-family in tenancy

    Allow group opsi-admins to manage virtual-network-family in tenancy

    Allow group opsi-admins to read secret-family in tenancy

    Allow group opsi-admins to read secret-family in tenancy

    Allow any-user to read secret-family in tenancy where ALL{ target.vault.id = 'mydbVault', request.principal.type = 'opsidatabaseinsight'}

    Allow any-user to read autonomous-database-family in tenancy where ALL{request.operation='GenerateAutonomousDatabaseWallet'}

    Les fonctionnalités complètes incluent actuellement SQL Explorer et ADDM Spotlight.

    L'accès au réseau virtuel est nécessaire dans le cadre de la création de la connexion inverse du point d'extrémité privé.

    L'accès à la famille de clés secrètes est requis pour lire le mot de passe de l'utilisateur de base de données à partir de la chambre forte OCI pour exécuter des collectes de données sur la base de données.

    Une autorisation de génération de portefeuille est nécessaire pour la connexion de mTLS à la base de données.

    Voir aussi Activer les bases de données autonomes et la prise en charge complète des fonctions.

    Note

    Le service de données clés sur l'exploitation comporte des politiques de système de principal de service obsolètes. Pour plus d'informations, voir : Suppression d'une politique de principal de service
    Bases de données autonomes sur Exadata Cloud@Customer

    Allow group opsi-admins to use database-family in compartment ExaCCadbCompartment

    Allow group opsi-admins to manage management-agents in compartment ExaCCadbCompartment

    Allow group opsi-admins to manage management-agents-named-credentials in compartment ExaCCadbCompartment

    Allow group opsi-admins to read secret-family in compartment ExaCCadbCompartment where any { target.vault.id = '{groupVaultId}' }

    Allow any-user to read database-family in compartment {compartment1} where ALL { request.principal.type = 'opsidatabaseinsight' }

    Allow any-user to read database-family in tenancy where ALL { request.principal.type = 'managementagent', request.operation = 'GenerateAutonomousDatabaseWallet' }

    Allow any-user to read secret-family in tenancy where ALL { request.principal.type = 'managementagent', target.vault.id = '{vaultId}' }

    		 L'accès au service de données clés sur l'exploitation se fait au moyen de l'agent de gestion qui a besoin d'accéder au mot de passe de base de données dans la chambre forte ainsi qu'au portefeuille Autonomous Database si mTLS est utilisé.

    L'accès à la famille de bases de données et à la famille de bases de données autonomes est requis pour garantir la disponibilité des données de configuration à jour dans le service de données clés sur l'exploitation.
    Bare Metal, machines virtuelles et bases de données ExaDB-D

    Allow group opsi-admins to use database-family in tenancy

    Allow group opsi-admins to manage virtual-network-family in tenancy

    Allow group opsi-admins to read secret-family in tenancy

    Allow any-user to read secret-family in tenancy where ALL{ target.vault.id = 'mydbVault', request.principal.type = 'opsidatabaseinsight'}

    		 L'accès au service de données clés sur l'exploitation se fait au moyen d'un point d'extrémité privé.

    L'accès au réseau virtuel est nécessaire dans le cadre de la création de la connexion inverse du point d'extrémité privé.

    L'accès à la famille de clés secrètes est requis pour lire le mot de passe de l'utilisateur de base de données à partir de la chambre forte OCI pour exécuter des collectes de données sur la base de données.

    Note

    Le service de données clés sur l'exploitation comporte des politiques de système de principal de service obsolètes. Pour plus d'informations, voir : Suppression d'une politique de principal de service
    Bases de données du service Exadata Database sur Cloud@Customer Allow group opsi-admins to read database-family in compartment ExaCCdbCompartment

    Allow group opsi-admins to read dbmgmt-family in compartment ExaCCdbCompartment

    Allow group opsi-admins to read secret-family in compartment SecretCompartment where any { target.vault.id = 'VaultOCID' }

    Allow any-user to read database-family in tenancy where ALL { request.principal.type = 'opsiexadatainsight' }

    Allow group opsi-admins to manage management-agents in compartment AgentCompartment

    		 L'accès au service de données clés sur l'exploitation se fait au moyen de l'agent de gestion.

    Un accès à la famille de bases de données est requis pour s'assurer que les données de configuration à jour sont disponibles dans Ops Insights.

    L'accès à la famille de clés secrètes est requis pour lire le mot de passe de l'utilisateur de base de données à partir de la chambre forte OCI pour exécuter des collectes de données sur la base de données.
    Service Exadata Database (avec base de données autonome) sur une infrastructure dédiée

    Allow group opsi-admins to use database-family in compartment ExaDBdbCompartment

    Allow group opsi-admins to use autonomous-database-family in compartment ExaDSdbCompartment

    Allow group opsi-admins to manage virtual-network-family in compartment ExaDBdbCompartment

    Allow group opsi-admins to read secret-family in compartment ExaDSdbCompartment where any { target.vault.id = '{groupVaultId}' }

    Allow any-user to read database-family in compartment SecretCompartment where ALL { request.principal.type = 'opsiexadatainsight' }

    Allow any-user to read autonomous-database-family in compartment ExaDBdbCompartment where ALL { request.principal.type = 'opsidatabaseinsight' }

    Allow any-user to read database-family in tenancy where ALL { request.principal.type = 'opsidatabaseinsight', request.operation = 'GenerateAutonomousDatabaseWallet' }

    Allow any-user to read secret-family in tenancy where ALL { request.principal.type = 'opsidatabaseinsight', target.vault.id = '{vaultId}' }

    		 L'accès au service de données clés sur l'exploitation se fait au moyen d'un point d'extrémité privé.

    L'accès à la famille de bases de données et à la famille de bases de données autonomes est requis pour garantir la disponibilité des données de configuration à jour dans le service de données clés sur l'exploitation.

    Pour l'intégration d'un système ExaDB-D complet avec des grappes de machines virtuelles autonomes.
    Service Exadata Database (avec ADB) sur Cloud@Customer

    Allow group opsi-admins to use database-family in compartment ExaCCadbCompartment

    Allow group opsi-admins to use autonomous-database-family in compartment ExaCCadbCompartment

    Allow group opsi-admins to manage management-agents in compartment AgentCompartment

    Allow group opsi-admins to manage management-agents-named-credentials in compartment AgentCompartmentt

    Allow group opsi-admins to read secret-family in compartment SecretCompartment} where any { target.vault.id = '{groupVaultId}' }

    Allow any-user to read database-family in compartment {compartment1} where ALL { request.principal.type = 'opsiexadatainsight' }

    Allow any-user to read autonomous-database-family in compartment ExaCCadbCompartment where ALL { request.principal.type = 'opsidatabaseinsight' }

    Allow any-user to read database-family in tenancy where ALL { request.principal.type = 'managementagent', request.operation = 'GenerateAutonomousDatabaseWallet' }

    Allow any-user to read secret-family in tenancy where ALL { request.principal.type = 'managementagent', target.vault.id = '{vaultId}' }

    		 L'accès au service de données clés sur l'exploitation se fait au moyen de l'agent de gestion qui a besoin d'accéder au mot de passe de base de données dans la chambre forte ainsi qu'au portefeuille Autonomous Database si une connexion mTLS est utilisée.

    L'accès à la famille de bases de données et à la famille de bases de données autonomes est requis pour garantir la disponibilité des données de configuration à jour dans le service de données clés sur l'exploitation.

    Pour l'intégration du système ExaDB-C@C complet avec des grappes de machines virtuelles autonomes.
    Bases de données externes, hôtes et systèmes propriétaires utilisant Oracle Enterprise Manager

    Allow dynamic-group opsienterprisemanagerbridge to read object-family in compartment MyBucketCompartment where ANY (target.bucket.name='embridge-bucket')

    Allow group opsi-admins to inspect object-family in tenancy

    		 Enterprise Manager est une solution de gestion Oracle sur place qui peut s'intégrer aux services OCI et partager des données. Vous devez créer un groupe dynamique pour accéder aux données d'un compartiment de stockage d'objets, par exemple : ALL {resource.type='opsienterprisemanagerbridge'}

    Si vous activez des bases de données gérées par Enterprise Manager (bases de données et hôtes), voir les détails complets des politiques sous : Ajout de cibles Enterprise Manager.

    Bases de données et hôtes externes à l'aide de l'agent de gestion OCI

    Allow group opsi-admins to use external-database-family in tenancy

    Allow group opsi-admins to manage management-agent-install-keys in tenancy

    		 Toutes les ressources en dehors d'OCI, telles que les bases de données sur place qui ne sont pas gérées par Enterprise Manager, nécessiteront un agent de gestion. Si vous activez les bases de données gérées à l'aide d'un agent de gestion, voir aussi Politiques d'agent de gestion.
    Systèmes de base de données MySQL HeatWave Allow group opsi-admins to manage mysql-family in tenancy Le service de données clés sur l'exploitation prend uniquement en charge l'instance principale. Les instances de basculement et les répliques en lecture seule ne sont pas prises en charge actuellement.
    Systèmes MySQL Database externe Allow group opsi-admins to read secret-family in tenancy

    Allow group opsi-admins to read management-agents in tenancy

    Allow group opsi-admins to use dbmgmt-mysql-family in compartment {dbSystemCompartment}

    Allow any-user to read secret-family in tenancy where ALL { request.principal.type = 'opsidatabaseinsight', target.vault.id = 'mydbVault' }

    		 Systèmes de base de données externes MySQL déployés sur place et connectés à une ressource dans le service de gestion de bases de données.
    Instances de calcul OCI

    Allow group opsi-admins to manage management-agents in tenancy

    Allow group opsi-admins to manage instance-family in tenancy

    Allow group opsi-admins to read instance-agent-plugins in tenancy

    Allow any-user to use instance-family in compartment OCICompartment where ALL { request.principal.type = 'opsihostinsight' }

    Allow any-user to read instance-family in compartment OCICompartment where ALL { request.principal.type = 'opsihostinsight' }

    Allow any-user to manage management-agents in compartment OCICompartment where ALL { request.principal.type = 'opsihostinsight' }

    		 Ces instances peuvent être activées à l'aide d'agents de gestion. Voir aussi les politiques spéciales sous Déployer des agents de gestion dans des instances de calcul.
    Centre AWR (données de performance du référentiel AWR d'Oracle Database) ADB-S : Allow dynamic-group OPSI_AWR_Hub_Dynamic_Group to manage opsi-awr-hub-sources in tenancy

    Bases de données ADB-D et externes : Allow group opsi-admins to use opsi-awr-hub-sources in tenancy

    Politique existante : Allow opsi-admins to manage opsi-family in tenancy

    Notez que des politiques supplémentaires sont requises lorsque vous créez un centre AWR. Vous pouvez les ajouter au moyen du processus de création guidée.

    Pour plus de détails, voir Analyser les données de performance du référentiel AWR.

    Entrepôt de données Exadata S.O. L'entrepôt Exadata est un référentiel de données provenant de systèmes propriétaires Oracle sur place et en nuage surveillés par Enterprise Manager. Voir Entrepôt de données Exadata.
    Rapports d'informations périodiques Allow any-user to use ons-topics in compartment NewsReportsDBs where ALL{request.principal.type='opsinewsreport'} Le rapport de nouvelles génère des rapports hebdomadaires par courriel sur votre parc surveillé par OPSI à l'aide d'ONS (Oracle Notification Services). Voir : Rapports sur les nouveautés.
    K8-Oracle Kubernetes Engine (OKE)

    Activation automatique : allow any-user to manage instance-family in tenancy where request.principal.type='opsihostinsight'

    allow any-user to manage management-agents in tenancy where request.principal.type='opsihostinsight'

    allow any-user to manage cluster-family in tenancy where request.principal.type='opsikubeclusterinsight'

    Jeton OBO : allow any-user to manage instance-family in tenancy

    allow any-user to manage management-agents in tenancy

    allow any-user to manage cluster-family in tenancy

    		 Ces politiques sont requises pour la fonctionnalité correcte de la planification de la capacité de l'hôte pour K8-OKE. Vous pouvez également définir des restrictions de groupe, de compartiment ou autres en fonction de votre environnement.
  5. Cliquez sur Créer.

Créer des politiques pour les non-administrateurs

Les utilisateurs ne peuvent utiliser les données clés sur l'exploitation que si leur groupe dispose des autorisations nécessaires. Pour permettre à l'utilisateur opsiuser d'activer/désactiver le service de données clés sur l'exploitation pour les bases de données autonomes de sa location, vous devez créer une politique d'identité pour accorder les autorisations de groupe appropriées à l'utilisateur opsi-users.

  1. Connectez-vous à la console en tant qu'administrateur de votre location et accédez à Gouvernance et administration, puis à Identité, et cliquez sur Politiques.
  2. Suivez les instructions sous Pour créer une politique et attribuez à la politique un nom significatif. Par exemple, opsi-user-policy.
  3. Ajoutez un énoncé pour autoriser le groupe à activer/désactiver le service de données clés sur l'exploitation. Par exemple, pour le groupe opsi-users, ajoutez l'énoncé suivant :
    Allow group opsi-users to use opsi-family in tenancy
Allow group opsi-users to read management-dashboard-family in tenancy
  4. Cliquez sur Créer.

Pour plus d'informations détaillées sur l'accès aux données clés sur l'exploitation, voir Informations détaillées sur les données clés sur l'exploitation.

Suppression de la politique de principal de service

La meilleure pratique d'Oracle est qu'un service OCI ne doit jamais accéder à la ressource OCI d'un client à l'aide d'un principal de service, car cela introduit un risque potentiel de sécurité. Le service de données clés sur l'exploitation abandonne les politiques de système principales de service qui représentent un risque pour la sécurité à partir du 31 août 2025.

Si des politiques obsolètes sont détectées, Policy Advisor affichera une bannière en haut de la page nécessitant une mise à jour de la politique au nouveau format CRISP; pour mettre à jour les politiques obsolètes existantes, cliquez sur le bouton Mettre à jour les politiques de préalables. Des icônes Avertissement supplémentaires s'affichent à côté des groupes de politiques individuels contenant des énoncés obsolètes, et le bouton Configurer est désactivé pour tous les groupes contenant des énoncés obsolètes jusqu'à ce que des mises à niveau de politique aient été effectuées.

Si vous créez et travaillez sur des politiques manuellement à l'aide de la console, les politiques de principal de service suivantes doivent être modifiées dans votre environnement :
Politique de principal de service obsolète Nouvelle politique
Allow service operations-insights to read secret-family in compartment ABC where target.vault.id = 'Vault OCID' Allow any-user to read secret-family in tenancy where ALL{request.principal.type='opsidatabaseinsight', target.vault.id = 'Vault OCID'}
Allow service operations-insights to read autonomous-database-family in compartment XYZ where {request.operation='GenerateAutonomousDatabaseWallet'} Allow any-user to read autonomous-database-family in compartment XYZ where ALL{request.principal.type='opsidatabaseinsight', request.operation='GenerateAutonomousDatabaseWallet'}
Allow group <group name> to inspect ons-topic in compartment <compartment-name>

Allow service operations-insights to use ons-topic in tenancy

 Allow any-user to use ons-topics in compartment {compartment} where ALL{request.principal.type='opsinewsreport'}