Documentation sur Oracle Cloud Infrastructure

Utilisation de Policy Advisor

Utilisez la fonction de conseil sur les politiques pour activer rapidement le centre de gestion du système d'exploitation pour un compartiment spécifique. La fonction de conseil définit les groupes d'utilisateurs, les groupes dynamiques et les politiques nécessaires pour utiliser le centre de gestion du système d'exploitation et la détection et la surveillance des ressources.

Important

Le service de conseils sur les politiques n'est disponible que dans OC1.
Note

Vous devez exécuter le service de conseils sur les politiques dans chaque compartiment (et compartiment enfant) que vous voulez utiliser avec le service.

  1. Vérifiez que vous disposez des autorisations suivantes. Si vous disposez uniquement des autorisations read ou use, vous obtenez une erreur d'échec d'autorisation lors de l'exécution de la fonction de conseil.

    • manage dynamic-groups in tenancy
    • manage groups in tenancy
    • manage policies in tenancy
  2. Sous Centre de gestion du système d'exploitation, sélectionnez Aperçu.
  3. Sous Portée de liste, sélectionnez le compartiment que vous souhaitez utiliser pour le centre de gestion du système d'exploitation.
  4. Sélectionnez Exécuter le service de conseils sur les politiques.
  5. Examinez les problèmes identifiés avec les politiques et les groupes actuels. Sélectionnez Suivant.
  6. Sert à consulter les actions que le conseiller effectuera. Sélectionnez Configuration.
  7. Confirmez en cliquant sur Configurer.
  8. Exécutez de nouveau la fonction de conseil dans les autres compartiments ou compartiments enfants qui utiliseront le service.
  9. Ajoutez des utilisateurs au groupe osmh-admins et osmh-operators. Voir Gestion des groupes.

Pourquoi une erreur de politique a-t-elle été détectée?

Le conseiller en politiques vérifie un ensemble spécifique de politiques et de groupes (voir Qu'est-ce que le conseiller en politiques crée?). L'avertissement A policy error was detected s'affiche si les politiques et les noms de groupe ne correspondent pas exactement à ce que la fonction de conseil attend.

Si vous avez déjà configuré des stratégies, vous avez peut-être nommé vos groupes et défini vos énoncés de stratégie différemment de ce que la fonction de conseil utilise. Si le centre de gestion du système d'exploitation fonctionne comme prévu, vous pouvez ignorer l'avis d'erreur de politique.

Pour plus d'informations, voir Messages d'erreur du service de conseils sur les politiques.

Puis-je cacher l'avertissement?

Si vous avez déjà configuré le service à l'aide de vos propres groupes et politiques, vous pouvez ignorer le message de problème de politique. Sélectionnez Masquer pour masquer ce message dans le compartiment.

Pour masquer le message dans tous les compartiments, dans la page Aperçu, sélectionnez Afficher les paramètres de la console utilisateur.

Que crée le conseiller en politiques?

La fonction de conseil définit les groupes d'utilisateurs nécessaires (osmh-admins et osmh-operators), le groupe dynamique (osmh-instances) et la politique (osmh-policies) avec les énoncés requis pour utiliser le centre de gestion du système d'exploitation et ses fonctions Détection et surveillance des ressources.

Ressources créées
Nom de ressource Description
osmh-admins Groupe d'utilisateurs pour les administrateurs du service. Les administrateurs peuvent gérer toutes les ressources du centre de gestion du système d'exploitation dans le domaine courant.
osmh-operators Groupe d'utilisateurs pour les opérateurs du service. Les opérateurs peuvent voir, mais pas modifier, toutes les ressources du centre de gestion du système d'exploitation dans le domaine courant.
osmh-instances Groupe dynamique d'instances qui contient les règles de groupe dynamique pour les instances OCI et sur place ou de nuage tiers.
osmh-policies Politique contenant les énoncés du groupe d'administrateurs, les énoncés du groupe d'opérateurs et les énoncés du groupe dynamique.
Règles de correspondance de groupe dynamique

La fonction de conseil crée les règles de correspondance de groupe dynamique suivantes pour le groupe dynamique osmh-instances.

Note

Seul le compartiment actuellement sélectionné est inclus dans le groupe dynamique. Les groupes dynamiques ne prennent pas en charge l'héritage des compartiments. Par conséquent, vous devez exécuter à nouveau la fonction de conseil dans tous les compartiments enfants à inclure.
Règle de groupe dynamique Description
ALL {instance.compartment.id='<compartment_ocid>'} Inclut toutes les instances OCI du compartiment.
ALL {resource.type='managementagent', resource.compartment.id='<compartment_ocid>'}

Inclut toutes les ressources de l'agent de gestion dans le compartiment. L'inclusion de l'agent permet au centre de gestion du système d'exploitation de gérer les instances sur place ou de nuage tiers correspondantes.
Énoncés de politique pour le groupe d'administrateurs

La fonction de conseil crée les énoncés de politique de groupe d'administrateurs suivants pour osmh-policies, ce qui permet aux utilisateurs osmh-admins de gérer le centre de gestion du système d'exploitation, l'agent de gestion et les clés d'agent de gestion dans le compartiment et ses compartiments enfants.

Énoncé de politique de groupe d'administrateurs Description
Allow group <domain>/osmh-admins to manage osmh-family in compartment <compartment_name>

Permet au groupe osmh-admins de gérer toutes les ressources du centre de gestion du système d'exploitation du compartiment et de ses compartiments enfants.
Allow group <domain>/osmh-admins to manage management-agents in compartment <compartment_name>

Permet au groupe osmh-admins de gérer les agents de gestion dans le compartiment et ses compartiments enfants (utilisés uniquement pour les instances non OCI).
Allow group <domain>/osmh-admins to manage management-agent-install-keys in compartment <compartment_name>

Permet au groupe osmh-admins de gérer les clés d'installation de l'agent de gestion dans le compartiment et ses compartiments enfants (utilisés uniquement pour les instances non OCI).
Allow group <domain>/osmh-admins to use appmgmt-family in compartment <compartment_name>

Permet au groupe osmh-admins de gérer les ressources de détection et de surveillance des ressources dans le compartiment et ses compartiments enfants.
Allow group <domain>/osmh-admins to read metrics in compartment <compartment_name>

Permet au groupe osmh-admins de voir les mesures de détection et de surveillance des ressources dans le compartiment et ses compartiments enfants.
Allow group <domain>/osmh-admins to read osmh-profiles in tenancy where target.profile.compartment.id = '<tenancy_ocid>'

Création uniquement si vous avez sélectionné le compartiment racine. Permet au groupe osmh-admins de lire les profils dans le compartiment racine.
Allow group <domain>/osmh-admins to read osmh-software-sources in tenancy where target.softwareSource.compartment.id = '<tenancy_ocid>'

Création uniquement si vous avez sélectionné le compartiment racine. Permet au groupe osmh-admins de lire les sources de logiciels dans le compartiment racine.
Énoncés de politique pour le groupe d'opérateurs

La fonction de conseil crée les énoncés de politique de groupe d'opérateurs suivants pour osmh-policies, ce qui permet aux utilisateurs osmh-operators de voir les ressources du centre de gestion du système d'exploitation dans le compartiment et ses compartiments enfants.

Énoncé de politique de groupe d'opérateurs Description
Allow group <domain>/osmh-operators to read osmh-family in compartment <compartment_name>

Permet au groupe osmh-operators de voir toutes les ressources du centre de gestion du système d'exploitation du compartiment et de ses compartiments enfants.
Allow group <domain>/osmh-operators to use appmgmt-family in compartment <compartment_name>

Permet au groupe osmh-operators de voir les ressources de détection et de surveillance des ressources dans le compartiment et ses compartiments enfants.
Allow group <domain>/osmh-operators to read metrics in compartment <compartment_name>

Permet au groupe osmh-operators de voir les ressources de détection et de surveillance des ressources dans le compartiment et ses compartiments enfants.
Allow group <domain>/osmh-operators to read osmh-profiles in tenancy where target.profile.compartment.id = '<tenancy_ocid>'

Création uniquement si vous avez sélectionné le compartiment racine. Permet au groupe osmh-operators de lire les profils dans le compartiment racine.
Allow group <domain>/osmh-operators to read osmh-software-sources in tenancy where target.softwareSource.compartment.id = '<tenancy_ocid>'

Création uniquement si vous avez sélectionné le compartiment racine. Permet au groupe osmh-operators de lire les sources de logiciels dans le compartiment racine.
Énoncés de politique pour le groupe dynamique

La fonction de conseil crée les énoncés de politique de groupe dynamique suivants pour osmh-policies, qui permettent aux instances gérées du compartiment d'interagir avec le centre de gestion du système d'exploitation et ses fonctions de détection et de surveillance des ressources.

Énoncé de politique de groupe dynamique Description
Allow dynamic-group <domain>/osmh-instances to {OSMH_MANAGED_INSTANCE_ACCESS} in compartment <compartment_name> where request.principal.id = target.managed-instance.id

Permet à l'agent des instances gérées d'interagir avec le centre de gestion du système d'exploitation
Allow dynamic-group <domain>/osmh-instances to use metrics in compartment <compartment_name> where target.metrics.namespace = 'oracle_appmgmt' Autorisez les instances gérées à charger des données dans le service de surveillance pour la fonction Détection et surveillance des ressources.
Allow dynamic-group <domain>/osmh-instances to {MGMT_AGENT_DEPLOY_PLUGIN_CREATE, MGMT_AGENT_INSPECT, MGMT_AGENT_READ} in compartment <compartment_name> Permet à l'agent de gestion de l'instance gérée d'interagir avec le service d'agent de gestion pour la fonction Détection et surveillance des ressources.
Allow dynamic-group <domain>/osmh-instances to {APPMGMT_MONITORED_INSTANCE_READ, APPMGMT_MONITORED_INSTANCE_ACTIVATE} in compartment <compartment_name> where request.instance.id = target.monitored-instance.id

Permet aux instances gérées du compartiment d'activer automatiquement la fonction Détection et surveillance des ressources.
Allow dynamic-group <domain>/osmh-instances to {INSTANCE_READ, INSTANCE_UPDATE} in compartment <compartment_name> where request.instance.id = target.instance.id

Permet aux instances gérées du compartiment d'activer automatiquement la fonction Détection et surveillance des ressources.
Allow dynamic-group <domain>/osmh-instances to {APPMGMT_WORK_REQUEST_READ, INSTANCE_AGENT_PLUGIN_INSPECT} in compartment <compartment_name>

Permet aux instances gérées du compartiment d'activer automatiquement la fonction Détection et surveillance des ressources.