Stratégies et droits d'accès OCC

Créez des stratégies IAM pour contrôler qui a accès aux données de mesure et de demande de capacité OCC, ainsi que le type d'accès de chaque groupe d'utilisateurs.

Pour les données de mesure dans OCC, il n'existe aucun moyen de restreindre l'accès en fonction des ID ressource. Vous pouvez utiliser le nom de famille control-center-family et le type de ressource control-center-metrics pour restreindre l'accès aux données de mesure dans leur ensemble.

Vous pouvez utiliser le nom de famille control-center-capacity-management-family et les types de ressource control-center-availability-catalogs et control-center-capacity-requests pour restreindre l'accès à Capacity Management.

Pour plus d'informations, reportez-vous à la section Exemples de stratégie.

Les utilisateurs du groupe Administrators ont accès à toutes les ressources OCC et à toutes les données de mesure. Créez des stratégies pour que les utilisateurs disposent des droits nécessaires sur les données de mesure OCC.

Si vous ne connaissez pas les stratégies IAM, reportez-vous à Initiation aux stratégies.

Pour obtenir la liste complète des stratégies Oracle Cloud Infrastructure, reportez-vous à Référence de stratégie.

Cette section décrit les rubriques suivantes :

Pour utiliser OCC, créez une stratégie qui accorde les droits d'accès suivants à l'utilisateur ou aux groupes qui interagissent avec le service en conséquence.

Types de ressource et droits d'accès

Liste des types de ressource de centre de contrôle et des droits d'accès associés.

Pour affecter des droits d'accès à toutes les ressources de surveillance des mesures OCC, utilisez le type d'agrégation control-center-family.

Pour créer une demande de capacité, vous avez besoin de l'autorisation control-center-capacity-management-family.

Le tableau suivant répertorie toutes les ressources dans OCC :


Family Name	Ressources membre	Action affectée à l'utilisateur
`control-center-family`	`control-center-metrics` `control-center-demand-signals`	Inclut toutes les mesures du centre de contrôle et toutes les ressources membres futures d'une même famille.
`control-center-capacity-management-family`	`control-center-availability-catalogs` `control-center-capacity-requests`	Inclut toute la gestion des capacités du centre de contrôle et toutes les ressources futures des membres d'une même famille.

Une stratégie qui utilise <verb> control-center-family équivaut à écrire une stratégie avec une instruction <verb> <resource-type> distincte pour chaque type de ressource individuel.


Type de ressource	Droits	Action affectée à l'utilisateur
`control-center-metrics`	`CONTROL_CENTER_METRICS_INSPECT` `CONTROL_CENTER_METRICS_READ`	Lisez les espaces de noms de mesure, les noms de mesure et les valeurs de mesure OCC.
`control-center-availability-catalogs`	`CONTROL_CENTER_AVAILABILITY_CATALOG_INSPECT` `CONTROL_CENTER_AVAILABILITY_CATALOG_READ`	Lire et exporter les catalogues de disponibilité et les disponibilités.
`control-center-capacity-requests`	`CONTROL_CENTER_CAPACITY_REQUEST_CREATE` `CONTROL_CENTER_CAPACITY_REQUEST_DELETE` `CONTROL_CENTER_CAPACITY_REQUEST_UPDATE` `CONTROL_CENTER_CAPACITY_REQUEST_INSPECT` `CONTROL_CENTER_CAPACITY_REQUEST_READ`	Créez, lisez, mettez à jour et supprimez des demandes de capacité.
`control-center-demand-signals`	`CONTROL_CENTER_DEMAND_SIGNAL_CREATE` `CONTROL_CENTER_DEMAND_SIGNAL_DELETE` `CONTROL_CENTER_DEMAND_SIGNAL_UPDATE` `CONTROL_CENTER_DEMAND_SIGNAL_INSPECT` `CONTROL_CENTER_DEMAND_SIGNAL_READ`	Ajouter, lire, mettre à jour et supprimer la quantité demandée de ressources dans les demandes de capacité.

Variables prises en charge

Vous pouvez utiliser des variables pour ajouter des conditions à une stratégie.

OCI Control Center prend en charge les variables suivantes :

Entité : OCID (identificateur Oracle Cloud)
Chaîne : texte à format libre.
Liste : liste des entités ou des chaînes.

Reportez-vous à Variables générales pour toutes les demandes.

Les variables sont en minuscules et séparées par un trait d'union. Par exemple, target.tag-namespace.name, target.display-name. Ici, name doit être unique et display-name est la description.

Les variables requises sont fournies par le service OCI Control Center pour chaque demande. Les variables automatiques sont fournies par le moteur d'autorisation (dans le service avec le kit SDK pour un client lourd, ou sur le plan de données d'identité pour un client léger).


Variables requises	Type	Description :
`target.compartment.id`	Entité (OCID)	OCID de la ressource principale de la demande.
`request.operation`	Chaîne	ID de l'opération (par exemple, `GetUser`) pour la demande.
`target.resource.kind`	Chaîne	Nom de catégorie de la ressource principale de la demande.


Variables automatiques	Type	Description :
`request.user.id`	Entité (OCID)	OCID de l'utilisateur à l'origine de la demande.
`request.groups.id`	Liste des entités (OCID)	OCID des groupes auxquels appartient l'utilisateur demandeur.
`target.compartment.name`	Chaîne	Nom du compartiment indiqué dans `target.compartment.id`.
`target.tenant.id`	Entité (OCID)	OCID de l'ID de locataire cible.


Variables dynamiques	Type	Description
`request.principal.group.tag.<tagNS>.<tagKey>`	Chaîne	Valeur de chaque balise sur un groupe dont le principal est membre.
`request.principal.compartment.tag.<tagNS>.<tagKey>`	Chaîne	Valeur de chaque balise sur le compartiment qui contient le principal.
`target.resource.tag.<tagNS>.<tagKey>`	Chaîne	Valeur de chaque balise sur la ressource cible. (Calculé en fonction de tagSlug fourni par le service à chaque demande).
`target.resource.compartment.tag.<tagNS>.<tagKey>`	Chaîne	Valeur de chaque balise sur le compartiment contenant la ressource cible. (Calculé en fonction de tagSlug fourni par le service à chaque demande).

Voici la liste des sources disponibles pour les variables :

Demande : provient de l'entrée de la demande.
Dérivé : provient de la demande.
Stocké : provient du service, entrée conservée.
Calculé : calculé à partir des données de service.

Détails des combinaisons de verbe et de type de ressource

Identifiez les droits d'accès et les opérations d'API couverts par chaque verbe pour les ressources Control Center.

Le niveau d'accès est cumulatif à mesure que vous passez d'un verbe à l'autre, dans l'ordre suivant : inspect, read, use, manage. Le signe plus (+) dans une cellule du tableau indique un accès incrémentiel par rapport à la cellule précédente, no extra indique l'absence d'accès incrémentiel.

Pour plus d'informations sur l'octroi d'accès, reportez-vous à Droits d'accès.

centre de contrôle-mesures

Ce tableau répertorie les droits d'accès et les opérations d'API couverts par chaque verbe pour la ressource control-center-metrics.


Verbs	Droits	API couvertes	Description :
`inspect`	`CONTROL_CENTER_METRICS_INSPECT`	`ListNamespaces` `ListMetricProperties`	Les mesures sont regroupées dans des espaces de noms. Répertoriez tous les espaces de noms. Obtenez la liste des mesures dans un espace de noms spécifique.
`read`	`inspect+` `CONTROL_CENTER_METRICS_READ`	`inspect+` `RequestSummarizedMetricData`	Obtenez des données (valeurs) pour une mesure dans un espace de noms spécifique.
`use`	`read+`	`no extra`
`manage`	`use+`	`no extra`

control-center-availability-catalogues

Ce tableau répertorie les droits d'accès et les opérations d'API couverts par chaque verbe pour la ressource control-center-availability-catalogs.


Verbes	Droits d'accès	API couvertes	Description
`inspect`	`CONTROL_CENTER_AVAILABILITY_CATALOG_INSPECT`	`ListOccAvailabilityCatalogs`	Répertorie tous les catalogues de disponibilité.
`read`	`inspect+` `CONTROL_CENTER_AVAILABILITY_CATALOG_READ`	`inspect+` `GetOccAvailabilityCatalog` `GetOccAvailabilityCatalogContent` `ListOccAvailabilities`	Obtenez les détails du catalogue de disponibilité. Renvoie le contenu binaire du catalogue de disponibilité. Répertoriez les disponibilités dans un catalogue de disponibilité.

contrôle-centre-capacité-demandes

Ce tableau répertorie les droits d'accès et les opérations d'API couverts par chaque verbe pour la ressource control-center-capacity-requests.


Verbes	Droits d'accès	API couvertes	Description
`inspect`	`CONTROL_CENTER_CAPACITY_REQUEST_INSPECT`	`ListOccCapacityRequests`	Répertorie toutes les demandes de capacité.
`read`	`inspect+` `CONTROL_CENTER_CAPACITY_REQUEST_READ`	`inspect+` `GetOccCapacityRequest`	Obtenir les détails de la demande de capacité.
`use`	`read+` `CONTROL_CENTER_CAPACITY_REQUEST_UPDATE`	`read+` `UpdateOccCapacityRequest`	Mettez à jour la demande de capacité.
`manage`	`use+` `CONTROL_CENTER_CAPACITY_REQUEST_CREATE` `CONTROL_CENTER_CAPACITY_REQUEST_DELETE`	`use+` `CreateOccCapacityRequest` `DeleteOccCapacityRequest`	Créez une demande de capacité. Supprimez une ressource de demande de capacité.

contrôle-centre-demande-signaux

Ce tableau répertorie les droits d'accès et les opérations d'API couverts par chaque verbe pour la ressource control-center-demand-signals.


Verbes	Droits d'accès	API couvertes	Description
`inspect`	`CONTROL_CENTER_DEMAND_SIGNALS_INSPECT`	`ListOccDemandSignals`	Répertorie toutes les ressources d'une demande de capacité.
`read`	`inspect+` `CONTROL_CENTER_DEMAND_SIGNALS_READ`	`inspect+` `GetOccDemandSignal`	Obtenez des détails sur les ressources dans une demande de capacité.
`use`	`read+` `CONTROL_CENTER_DEMAND_SIGNALS_UPDATE`	`read+` `UpdateOccDemandSignal` `PatchOccDemandSignal`	Mettez à jour le nom d'une demande de capacité. Modifier la quantité demandée de ressources dans une demande de capacité.
`manage`	`use+` `CONTROL_CENTER_DEMAND_SIGNALS_CREATE` `CONTROL_CENTER_DEMAND_SIGNALS_DELETE`	`use+` `CreateOccDemandSignal` `DeleteOccDemandSignal`	Ajoutez une ressource dans une demande de capacité. Supprimez une ressource dans une demande de capacité.

Droits d'accès requis pour chaque opération d'API

Le tableau suivant répertorie les opérations d'API dans un ordre logique.

Pour plus d'informations, reportez-vous à Droits d'accès.


Opération d'API	Droits d'accès requis pour utiliser l'opération
`ListNamespaces`	`CONTROL_CENTER_METRICS_INSPECT`
`ListMetricProperties`	`CONTROL_CENTER_METRICS_INSPECT`
`RequestSummarizedMetricData`	`CONTROL_CENTER_METRICS_READ`
`ListOccAvailabilityCatalogs`	`CONTROL_CENTER_AVAILABILITY_CATALOG_INSPECT`
`GetOccAvailabilityCatalog`	`CONTROL_CENTER_AVAILABILITY_CATALOG_READ`
`GetOccAvailabilityCatalogContent`	`CONTROL_CENTER_AVAILABILITY_CATALOG_READ`
`ListOccAvailabilities`	`CONTROL_CENTER_AVAILABILITY_CATALOG_READ`
`CreateOccCapacityRequest`	`CONTROL_CENTER_CAPACITY_REQUEST_CREATE`
`DeleteOccCapacityRequest`	`CONTROL_CENTER_CAPACITY_REQUEST_DELETE`
`UpdateOccCapacityRequest`	`CONTROL_CENTER_CAPACITY_REQUEST_UPDATE`
`ListOccCapacityRequests`	`CONTROL_CENTER_CAPACITY_REQUEST_INSPECT`
`GetOccCapacityRequest`	`CONTROL_CENTER_CAPACITY_REQUEST_READ`
`CreateOccDemandSignal`	`CONTROL_CENTER_DEMAND_SIGNAL_CREATE`
`DeleteOccDemandSignal`	`CONTROL_CENTER_DEMAND_SIGNAL_DELETE`
`PatchOccDemandSignal`	`CONTROL_CENTER_DEMAND_SIGNAL_UPDATE`
`UpdateOccDemandSignal`	`CONTROL_CENTER_DEMAND_SIGNAL_UPDATE`
`ListOccDemandSignals`	`CONTROL_CENTER_DEMAND_SIGNAL_INSPECT`
`GetOccDemandSignal`	`CONTROL_CENTER_DEMAND_SIGNAL_READ`

Création d'une stratégie

Pour créer une stratégie dans la console, procédez comme suit :

Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Stratégies.
Sur la page Stratégies, cliquez sur Créer une stratégie.
Dans le panneau Créer une stratégie, saisissez le nom et la description de la stratégie, puis indiquez le compartiment dans lequel créer la stratégie.
Sous Générateur de stratégies, cliquez sur le bouton à bascule Afficher l'éditeur manuel pour activer l'éditeur.

Entrez une règle de stratégie dans le format indiqué. Reportez-vous à des exemples de stratégie dans Stratégies et droits d'accès OCC.
Cliquez sur Créer.

Pour savoir comment créer et gérer des stratégies à l'aide de la console ou de l'API, reportez-vous à Gestion des stratégies.

Pour obtenir la liste complète de toutes les stratégies dans Oracle Cloud Infrastructure, reportez-vous à Référence de stratégie et à Stratégies courantes.

Exemples de stratégie

Les stratégies OCC sont requises pour afficher les données de mesure OCC.

Pour obtenir des instructions sur la création de stratégies à l'aide de la console, reportez-vous à Création d'une stratégie.

Pour plus de détails sur la syntaxe, reportez-vous à Syntaxe de stratégie.

Les exemples de stratégie suivants sont fournis :

Permet au groupe de répertorier les mesures et de lire les données de mesure.

Allow group <group name> to use control-center-metrics in tenancy

Permet au groupe de gérer les demandes de capacité.

Allow group customeradmin to manage control-center-capacity-request in tenancy

OCC - Politiques familiales

Créez cette stratégie dans votre location, pour autoriser un utilisateur ou pour lire toutes les mesures dans OCC :

Allow <user> to read control-center-family in tenancy

OCC - Stratégies d'intégration de la gestion des capacités

Créez les stratégies suivantes dans votre location pour utiliser les fonctionnalités de gestion de la capacité.

allow group <group-name> to manage control-center-capacity-requests in tenancy

allow group <group-name> to read control-center-availability-catalogs in tenancy

define tenancy operator as ocid1.tenancy.oc1..aaaaaaaagkbzgg6lpzrf47xzy4rjoxg4de6ncfiq2rncmjiujvy2hjgxvziqy

define group ccm-operators as ocid1.group.oc1..aaaaaaaay7y5a5tifmzcaa6ucaljuxyf5qvoghcn2lk4l3gxzvmiow7xaa6q

admit group ccm-operators of tenancy operator to use control-center-capacity-requests in tenancy

Ici, <group-name> correspond à tout groupe d'utilisateurs de la location client utilisé pour la gestion de la capacité. Les stratégies liées à la location d'opérateur et au groupe ccm-operators permettent aux opérateurs OCI de traiter les demandes de capacité créées par les clients.

Documentation Oracle Cloud Infrastructure