Création manuelle des politiques du centre de gestion du système d'exploitation
Pour le centre de gestion du système d'exploitation, vous devez identifier les ressources que le service peut gérer et les utilisateurs qui peuvent les gérer.
Pour activer le centre de gestion du système d'exploitation, définissez les éléments suivants :
Pour activer la fonction Détection et surveillance des ressources, vous devez configurer des politiques en plus de celles décrites dans les sections suivantes. Voir Pour commencer la détection et la surveillance des ressources.
Vous pouvez configurer les politiques IAM de différentes façons. Les sections suivantes décrivent comment définir les énoncés de politique IAM pour un groupe d'administrateurs du centre de gestion du système d'exploitation à l'aide d'un groupe dynamique de ressources. Voir Exemples de politiques pour des cas d'utilisation supplémentaires pour les non-administrateurs.
Au lieu de créer manuellement des groupes et des énoncés de politique, utilisez le service de conseils sur les politiques pour activer rapidement le centre de gestion du système d'exploitation pour un compartiment.
Groupe d'utilisateurs
Créez un groupe d'utilisateurs (par exemple, osmh-admins
) ou identifiez un groupe d'utilisateurs existant pour administrer le service du centre de gestion du système d'exploitation dans la location. Les énoncés de politique requis permettent ensuite à ce groupe d'utilisateurs administrateurs de gérer les ressources du centre de gestion du système d'exploitation.
Si vous devez restreindre davantage l'accès, vous pouvez créer des groupes d'utilisateurs supplémentaires et définir des énoncés de politique plus restrictifs pour limiter l'accès à des ressources spécifiques. Voir Exemples de politiques pour les cas d'utilisation non administrateurs. Pour plus d'informations sur les groupes d'utilisateurs, voir Gestion des groupes.
Groupe dynamique
Créez un groupe dynamique (par exemple, osmh-instances
) pour spécifier les ressources que le centre de gestion du système d'exploitation gérera en définissant des énoncés de règle pour les instances OCI et sur place ou nuage tiers (non OCI).
Assurez-vous de comprendre les éléments suivants :
Le groupe dynamique identifie les instances que le centre de gestion du système d'exploitation va gérer. Vous ajoutez des énoncés de règle pour les compartiments et les compartiments enfants qui contiennent les instances que vous voulez gérer par le service. Le groupe dynamique augmente et diminue dynamiquement en fonction de ces instructions de règle. Au fur et à mesure que les instances sont provisionnées ou mises hors service, le groupe dynamique change en conséquence. Les énoncés de politique requis permettent ensuite au centre de gestion du système d'exploitation d'accéder aux instances du groupe dynamique.
Pour plus d'informations sur les groupes dynamiques, voir Gestion des groupes dynamiques .
Chaque type d'instance utilise un agent différent qui correspond à un objet de ressource différent.
-
Les instances OCI utilisent Oracle Cloud Agent (OCA) de sorte que l'énoncé OCI spécifie les ressources
instance
dans un compartiment. -
Les instances sur place et de nuage de tierce partie utilisent Management Agent Cloud Service (MACS), de sorte que l'énoncé non OCI spécifie les ressources
managementagent
dans un compartiment. Chaque ressource d'agent de gestion correspond à une instance non OCI. Par conséquent, en incluant l'agent de gestion dans le groupe, vous incluez l'instance associée.
Voir aussi Présentation de l'agent.
Avant d'écrire des énoncés de règle de groupe dynamique, il est important de comprendre la différence entre ANY et ALL.
Lors de la définition d'un groupe dynamique, vous définissez la manière dont le groupe correspond aux règles définies dans le groupe :
- Satisfaire à n'importe quelle règle définie ci-dessous inclut des ressources qui correspondent à n'importe laquelle des règles du groupe dynamique. Sélectionnez cette option si vous définissez un groupe qui inclut des règles pour plusieurs compartiments ou plusieurs types d'instance (tels que des instances OCI et non OCI). Ce paramètre indique au groupe d'inclure les ressources qui correspondent à la règle 1 OU à la règle 2 OU à la règle 3, etc.
- Mettre en correspondance toutes les règles définies ci-dessous inclut les ressources qui correspondent à toutes les règles du groupe dynamique. Sélectionnez cette option lors de la définition d'un groupe dynamique étroit et variable qui inclut un seul compartiment. Ce paramètre indique au groupe d'inclure les ressources correspondant à la règle 1 ET à la règle 2 ET à la règle 3, etc.
Lorsque vous définissez des instructions de règles individuelles dans le groupe dynamique, vous définissez les conditions de chaque instruction :
-
Tout ce qui suit (
ALL
) inclut uniquement les ressources correspondant à toutes les conditions de la règle. Les énoncésALL
exigent que chaque condition soit vraie. Sinon, les ressources ne sont pas incluses pour la règle. -
Un des suivants (
ANY
) inclut les ressources correspondant à n'importe laquelle des conditions de la règle.
- Exemples ANY et ALL pour un énoncé de règle individuel
-
Tenez compte de la règle utilisée pour les instances non OCI.
Correct usage: ALL {resource.type='managementagent', resource.compartment.id='<compartment_ocid>'}
Lors de l'utilisation de
ALL
, la règle inclut uniquement les ressources d'agent de gestion dans le compartiment spécifié. L'énoncé indique au groupe dynamique d'inclure les ressources correspondant au type d'agent de gestion ET qui se trouvent dans le compartiment spécifié.Incorrect usage. Do not use: ANY {resource.type='managementagent', resource.compartment.id='<compartment_ocid>'}
Lors de l'utilisation de
ANY
, la règle inclut chaque ressource d'agent de gestion dans l'ensemble de la location et chaque ressource OCI présente dans le compartiment spécifié. Bien que l'énoncé inclue les ressources nécessaires pour le centre de gestion de système d'exploitation, il est très large et généralement pas préférable.Tenez compte de la règle utilisée pour les instances OCI lorsque vous spécifiez plusieurs compartiments.
Correct usage: ANY {instance.compartment.id='<compartment_ocid>',instance.compartment.id='<child compartment_ocid>'}
Lorsque vous utilisez
ANY
, la règle inclut chaque instance dans chacun des compartiments spécifiés. L'énoncé indique au groupe dynamique d'inclure des instances dans <compartment_ocid> OU <child compartment_ocid>.Incorrect usage. Do not use: ALL {instance.compartment.id='<compartment_ocid>',instance.compartment.id='<child compartment_ocid>'}
Lors de l'utilisation de
ALL
, la règle indique au groupe dynamique d'inclure les instances qui se trouvent dans <compartment_ocid> AND <child compartment_ocid>. Cette règle n'inclura aucune instance, car il est impossible qu'une instance se trouve dans plusieurs compartiments à la fois. N'utilisez pasALL
avec un énoncé de règle qui spécifie plusieurs compartiments.
Création du groupe dynamique
-
Suivez les étapes pour créer un groupe dynamique ou mettre à jour un groupe dynamique existant et configurer les règles de correspondance comme suit.
Conseil
Réutilisez le même groupe dynamique dans la mesure du possible entre les services au lieu de créer de nouveaux groupes dynamiques, car une seule ressource ne peut appartenir qu'à un maximum de cinq groupes dynamiques.
-
Pour le paramètre de règle de correspondance globale, sélectionnez : Correspondance avec les règles définies ci-dessous.
-
Créez des énoncés de règle pour les instances que le centre de gestion du système d'exploitation gérera.
Important
Les règles de groupe dynamique n'utilisent pas l'héritage de compartiment. Vous devez spécifier un énoncé de règle pour chaque compartiment et compartiment enfant qui contient les instances que vous voulez gérer par le service.
- Règle pour les instances OCI
-
Ajoutez un énoncé de règle qui inclut chaque compartiment (et compartiment enfant) qui contiendra des instances.
ANY {instance.compartment.id='<compartment_ocid>',instance.compartment.id='<child compartment_ocid>'}
Cette règle inclura toutes les instances OCI dans les compartiments spécifiés.
- Règle pour les instances non OCI
-
Ajoutez un énoncé de règle séparé pour chaque compartiment (et compartiment enfant) qui contiendra un agent de gestion utilisé par une instance.
ALL {resource.type='managementagent', resource.compartment.id='<compartment_ocid>'} ALL {resource.type='managementagent', resource.compartment.id='<child compartment_ocid>'}
Chaque énoncé de règle inclura chaque ressource d'agent de gestion dans le compartiment spécifié. Chaque instance non OCI a une ressource d'agent correspondante. Par conséquent, l'énoncé inclura les instances non OCI dans le compartiment.
- Sélectionnez Créer (en cas de création) ou Enregistrer (en cas de mise à jour).
Énoncés de la politique
Créez une politique (par exemple, osmh-policies
) avec des énoncés qui permettent aux instances de s'enregistrer auprès du centre de gestion du système d'exploitation et aux utilisateurs de gérer et d'exploiter le service.
Les énoncés de politique utilisent le domaine d'identité par défaut, sauf si vous définissez le domaine d'identité avant le nom du groupe ou du groupe dynamique (par exemple,
<identity_domain_name>/<dynamic_group_name>
). Pour plus d'informations, voir Syntaxe d'une politique. - Préalables
-
Avant de créer la politique, vérifiez que vous disposez des éléments suivants :
- Groupe d'utilisateurs (<osmh-admins> ou <osmh-operators> dans les exemples)
- Groupe dynamique (<osmh-instances> dans les exemples)
Utilisation du générateur de stratégies
Le générateur de politiques fournit des modèles pour les politiques communes utilisées pour le centre de gestion du système d'exploitation. Sélectionnez un cas d'utilisation, puis entrez les informations requises telles que le groupe dynamique ou le compartiment pour terminer les énoncés de politique. Voir Création d'énoncés de politique avec le générateur de politiques.
- Suivez les étapes sous Création d'une politique, en notant les exceptions suivantes.
- Pour Cas d'utilisation de politique, sélectionnez Centre de gestion du système d'exploitation.
- Pour Modèles de politique commune, sélectionnez l'une des politiques communes du centre de gestion des systèmes d'exploitation.
Modèles de politique commune
Le générateur de politiques fournit les modèles de politique communs suivants du centre de gestion du système d'exploitation.
Type d'accès : Permet à l'agent de service sur les instances gérées d'interagir avec le centre de gestion du système d'exploitation.
Où créer la politique : Dans le compartiment racine.
Énoncés de politique : Remplacez <osmh-instances>
par le nom du groupe dynamique.
Allow dynamic-group <osmh-instances> to {OSMH_MANAGED_INSTANCE_ACCESS} in tenancy where request.principal.id = target.managed-instance.id
Type d'accès : Autorise le groupe d'utilisateurs administrateurs avec accès à la location à :
- Gérer toutes les ressources du centre de gestion du système d'exploitation dans la location.
- Créez, mettez à jour et supprimez des agents de gestion et installez des clés dans la location.
Où créer la politique : Dans le compartiment racine.
Énoncés de politique : Remplacez <osmh-admins>
par le nom du groupe d'utilisateurs.
Allow group <osmh-admins> to manage osmh-family in tenancy
Allow group <osmh-admins> to manage management-agents in tenancy
Allow group <osmh-admins> to manage management-agent-install-keys in tenancy
Type d'accès : Autorise le groupe d'utilisateurs administrateurs avec accès au compartiment à :
- Gérer toutes les ressources du centre de gestion du système d'exploitation dans un compartiment.
- Lire les profils et les sources de logiciels dans le compartiment racine. Cela est nécessaire pour répliquer les sources de logiciels des fournisseurs et utiliser les profils fournis par le service.
- Créer, mettre à jour et supprimer des agents de gestion et installer des clés dans un compartiment.
Où créer la politique : L'approche la plus facile consiste à placer cette politique dans le compartiment racine. Si vous voulez que les utilisateurs du compartiment aient un contrôle sur les énoncés de la politique pour leur compartiment, voir Association de politique.
Énoncés de politique : Remplacez <osmh-admins>
par le nom du groupe d'utilisateurs et <compartment>
par le nom du compartiment. Utilisez l'éditeur manuel pour remplacer <tenancy-ocid>
par l'OCID de votre location.
Allow group <osmh-admins> to read osmh-profiles in tenancy where target.profile.compartment.id = '<tenancy-ocid>'
Allow group <osmh-admins> to read osmh-software-sources in tenancy where target.softwareSource.compartment.id = '<tenancy-ocid>'
Allow group <osmh-admins> to manage osmh-family in compartment <compartment>
Allow group <osmh-admins> to manage management-agents in compartment <compartment>
Allow group <osmh-admins> to manage management-agent-install-keys in compartment <compartment>
Type d'accès : Permet au groupe d'utilisateurs de l'opérateur de lire toutes les ressources du centre de gestion du système d'exploitation dans la location.
Où créer la politique : Dans le compartiment racine.
Énoncés de politique : Remplacez <osmh-operators>
par le nom du groupe d'utilisateurs.
Allow group <osmh-operators> to read osmh-family in tenancy
Type d'accès : Permet au groupe d'utilisateurs opérateurs de lire toutes les ressources du centre de gestion du système d'exploitation d'un compartiment.
Où créer la politique : L'approche la plus facile consiste à placer cette politique dans le compartiment racine. Si vous voulez que les utilisateurs du compartiment aient un contrôle sur les énoncés de la politique pour leur compartiment, voir Association de politique.
Énoncés de politique : Remplacez <osmh-operators>
par le nom du groupe d'utilisateurs et <compartment>
par le nom du compartiment.
Allow group <osmh-operators> to read osmh-family in compartment <compartment>
Définition manuelle des énoncés de politique
Si vous n'utilisez pas le générateur de politiques, vous pouvez définir manuellement les énoncés de politique. Créez une nouvelle politique ou modifiez une politique existante pour inclure les énoncés suivants.
Les énoncés de politique suivants fournissent un exemple de la façon de fournir aux administrateurs l'accès au service. Pour d'autres cas d'utilisation, voir Exemples de politiques.
- Énoncés de politique au niveau de la location
-
Pour appliquer la politique IAM requise au niveau de la location, utilisez les énoncés de politique suivants :
allow dynamic-group <osmh-instances> to {OSMH_MANAGED_INSTANCE_ACCESS} in tenancy where request.principal.id = target.managed-instance.id allow group <osmh-admins> to manage osmh-family in tenancy
Ajoutez les énoncés supplémentaires suivants si vous gérez des instances sur place ou de nuage tiers. Elles ne sont pas requises si seules les instances OCI sont gérées.
allow group <osmh-admins> to manage management-agents in tenancy allow group <osmh-admins> to manage management-agent-install-keys in tenancy
- Énoncés de politique au niveau du compartiment (s'ils n'utilisent pas le niveau de la location)
-
Si l'administrateur de la location ne permet pas de définir des politiques IAM au niveau de la location, vous pouvez limiter l'utilisation des ressources du centre de gestion des systèmes d'exploitation à un compartiment et à ses compartiments enfants (les politiques utilisent l'héritage des compartiments). Pour permettre aux utilisateurs de répliquer des sources de logiciels de fournisseur et d'utiliser des profils fournis par le service, le groupe d'utilisateurs doit disposer d'un accès en lecture aux profils et aux sources de logiciels dans le compartiment racine.
Pour appliquer la politique IAM à un compartiment de la location, utilisez les énoncés de politique suivants :
allow dynamic-group <osmh-instances> to {OSMH_MANAGED_INSTANCE_ACCESS} in compartment <compartment_name> where request.principal.id = target.managed-instance.id allow group <osmh-admins> to manage osmh-family in compartment <compartment_name> allow group <osmh-admins> to read osmh-profiles in tenancy where target.profile.compartment.id = '<tenancy_ocid>' allow group <osmh-admins> to read osmh-software-sources in tenancy where target.softwareSource.compartment.id = '<tenancy_ocid>'
Ajoutez les énoncés supplémentaires suivants si vous gérez des instances sur place ou de nuage tiers. Elles ne sont pas requises si seules les instances OCI sont gérées.
allow group <osmh-admins> to manage management-agents in compartment <compartment_name> allow group <osmh-admins> to manage management-agent-install-keys in compartment <compartment_name>