Documentation Oracle Cloud Infrastructure

Création des stratégies et des groupes IAM requis

Découvrez comment configurer des groupes et des stratégies pour activer l'administration et les fonctionnalités de Roving Edge.

Création d'une stratégie pour la commande d'appareils Roving Edge

Vous pouvez créer une stratégie qui vous permet de commander et de gérer vos appareils Roving Edge Infrastructure à l'aide de la console Oracle Cloud. Cette tâche utilise le modèle Créer une stratégie dans la console Oracle Cloud.

  1. Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Identité, sélectionnez Stratégies.

  2. Sélectionnez Créer une stratégie. La boîte de dialogue Créer une stratégie apparaît.

  3. Renseignez les champs requis comme décrit dans la rubrique Création d'une stratégie.

  4. Utilisez le générateur de stratégies et sélectionnez Autoriser les utilisateurs à créer et à gérer des appareils Roving Edge sous Modèles de stratégie communs.

  5. Pour l'auto-provisionnement, ajoutez la stratégie suivante au modèle :

    allow dynamic-group roving-edge-devices to manage rover-family in tenancy

  6. Suivez les instructions affichées dans le générateur de stratégies pour configurer vos groupes de stratégies.

  7. Choisissez Créer. Vos modifications sont généralement prises en compte dans les 10 secondes qui suivent.

Autorisation de l'accès aux ressources Roving Edge Infrastructure dans OCI

Utilisez la syntaxe suivante pour autoriser les groupes d'utilisateurs à accéder aux ressources Roving Edge Infrastructure dans votre location :

allow group <admin_user_group> to manage rover-family in tenancy
allow group <admin_user_group> to manage rover-nodes in tenancy

<admin_user_group> est un groupe créé pour gérer les administrateurs Roving Edge Infrastructure.

Vous pouvez également restreindre cet accès aux compartiments. Par exemple, si vous voulez autoriser un groupe d'utilisateurs à gérer toutes les ressources Roving Edge Infrastructure du compartiment "finance" dans Oracle Cloud Infrastructure, utilisez la syntaxe suivante :

allow group rover-admins to manage rover-family in compartment finance
allow group rover-admins to manage rover-nodes in compartment finance

Autorisation de l'accès Object Storage à vos appareils Roving Edge Infrastructure

Cette section décrit les étapes requises pour permettre à l'appareil Roving Edge Infrastructure d'effectuer la synchronisation des données alors qu'il est en votre possession.

Pour les tâches de synchronisation de données, chaque noeud d'appareil Roving Edge Infrastructure Infrastructure fonctionne comme une ressource dans Oracle Cloud Infrastructure. Des droits d'accès permettant de lire/d'écrire dans les buckets dans les compartiments de votre location sont donc requis.

Utilisez un groupe dynamique pour représenter toutes les ressources de noeud Roving Edge de votre location. Pour plus d'informations sur la création de groupes dynamiques, reportez-vous à Gestion des groupes dynamiques.

Remarque

Tous les noms de groupe dynamique doivent correspondre exactement à ce qui est indiqué dans les instructions de stratégie. Les noms de groupe dynamique et les instructions de stratégie respectent la casse.
Remarque

Si le groupe dynamique appartient à un domaine d'identité autre que celui par défaut, tel qu'Oracle Identity Cloud Service, et que le groupe dynamique est créé dans ce domaine, vous devez préfixer le nom du groupe dynamique avec le nom de domaine dans toutes les instructions de stratégie pour les groupes dynamiques. Par exemple :

allow dynamic-group OracleIdentityCloudService/roving-edge-devices to manage rover-family in tenancy

Créez un groupe dynamique nommé roving-edge-devices avec les règles de mise en correspondance ci-dessous :

All {resource.type='rovernode'}

Affectez à ce groupe dynamique une stratégie de lecture et d'écriture dans les buckets, par exemple :

allow dynamic-group roving-edge-devices to manage object-family in tenancy

Octroyer un accès de groupe dynamique à l'espace de noms Object Storage

allow dynamic-group roving-edge-devices to manage objectstorage-namespaces in tenancy

Définissez une stratégie pour accorder au service Roving Edge Infrastructure un accès en lecture aux buckets. Cette stratégie d'accès en lecture permet de générer un fichier manifeste contenant les informations sur les objets à synchroniser avec les appareils Roving Edge Infrastructure. 

allow service rover to read object-family in tenancy
allow service rover to manage objectstorage-namespaces in tenancy
Remarque

Vous pouvez restreindre l'accès à un compartiment. Veillez à accorder un accès en lecture à tous les compartiments associés à l'ensemble des buckets de charge globale. Par exemple, si vous avez deux buckets, l'un dans le compartiment "finance" et l'autre dans le compartiment "comptes", vous devez définir la stratégie pour les deux compartiments.

Autorisation du provisionnement automatique des appareils Roving Edge Infrastructure

A l'aide du groupe dynamique roving-edge-devices précédemment créé dans dynamic-group for Object Storage access, accordez au groupe dynamique les droits d'accès de gestion pour activer l'auto-provisionnement des périphériques sur site.

allow dynamic-group roving-edge-devices to manage rover-family in tenancy

Activation de la distribution de bundles de mise à niveau déconnectés (facultatif)

Pour permettre la distribution de bundles de mise à niveau déconnectés à votre location, suivez ces instructions.

Accordez à l'objet demandeur des droits de création et d'écrasement sur le bucket de destination :

allow group <group_name> to manage object-family in compartment <compartment_name>

Autorisez le service Object Storage de la région à gérer les buckets de votre location :

allow service objectstorage-<region_identifier> to manage object-family in tenancy

Vous pouvez également créer des autorisations plus étroites à l'aide de l'exemple suivant :

allow service objectstorage-<region_identifier> to manage object-family in compartment <compartment-name>
where any {request.permission='OBJECT_READ', request.permission='OBJECT_INSPECT', request.permission='OBJECT_CREATE',
request.permission='OBJECT_OVERWRITE', request.permission='OBJECT_DELETE'}

Reportez-vous à Régions et domaines de disponibilité pour obtenir la liste des identificateurs de région.

Activation de la gestion des certificats (facultatif)

Cette section décrit les étapes requises pour autoriser les administrateurs à créer des autorités de certification et à autoriser l'appareil Roving Edge Infrastructure à accéder aux ressources de gestion des certificats dans Oracle Cloud Infrastructure Cloud.

Créez une stratégie permettant aux administrateurs de sécurité de créer un coffre et une clé maître :

Allow group <security-admin-group> to manage vaults in tenancy
Allow group <security-admin-group> to manage keys in tenancy

Créez une stratégie pour que les administrateurs de sécurité utilisent l'autorité de certification :

Allow group <security-admin-group> to use certificate-authority-family in tenancy
Allow group <security-admin-group> to use key-delegate in tenancy

Créez un groupe dynamique nommé certificate-authority-dynamic-group avec les règles de mise en correspondance : 

all {resource.type='certificateauthority'}

Créez une stratégie pour que l'autorité de certification utilise les clés :

Allow dynamic-group certificate-authority-dynamic-group to use keys in compartment <compartment_name>

Créez une stratégie pour que les appareils Roving Edge Infrastructure utilisent l'autorité de certification et gèrent les certificats :

Allow dynamic-group roving-edge-devices to manage leaf-certificate-family in tenancy
Allow dynamic-group roving-edge-devices to use certificate-authority-family in tenancy

Créez une stratégie pour que les noeuds Roving Edge Infrastructure extraient et mettent à jour leurs configurations de certificat :

Allow dynamic-group roving-edge-devices to use rover-family in tenancy
Remarque

Si vous avez créé la stratégie d'auto-provisionnement décrite dans Autoriser l'auto-provisionnement des appareils Roving Edge Infrastructure, ne créez pas cette stratégie. La politique d'auto-provocation satisfait à cette exigence.

Exemples de stratégie

Le groupe rover-admins est défini comme administrateur pour les ressources Roving Edge Infrastructure :

allow group rover-admins to manage rover-family in tenancy
allow group rover-admins to manage rover-nodes in tenancy

Autorisez Roving Edge Infrastructure à attacher des charges globales :

allow service rover to read object-family in tenancy
allow service rover to manage objectstorage-namespaces in tenancy

Autoriser l'accès de Roving Edge Infrastructure au stockage d'objet :

allow dynamic-group roving-edge-devices to manage object-family in tenancy
allow dynamic-group roving-edge-devices to manage objectstorage-namespaces in tenancy

Autorisez le groupe dynamique de noeuds Roving Edge à être auto-provisionné et à gérer ses configurations de certificat :

allow dynamic-group roving-edge-devices to manage rover-family in tenancy

(Facultatif) Activez la distribution du bundle de mise à niveau déconnecté :

allow group rover-admins to read object-family in tenancy
allow dynamic-group roving-edge-devices to manage object-family in tenancy

(Facultatif) Activez la gestion des certificats :

allow group CertificateAdmins to manage vaults in tenancy
allow group CertificateAdmins to manage keys in tenancy
allow group CertificateAdmins to manage certificate-authority-family in tenancy
allow group CertificateAdmins to use key-delegate in tenancy
allow group rover-admins to read certificate-authority-family in tenancy
allow dynamic-group certificate-authority-dynamic-group to use keys in tenancy
allow dynamic-group roving-edge-devices to manage leaf-certificate-family in tenancy
allow dynamic-group roving-edge-devices to use certificate-authority-family in tenancy

Etapes suivantes ?

Si vous demandez un périphérique, reportez-vous à l'une des sections suivantes en fonction du type de périphérique :