Documentation Oracle Cloud Infrastructure

Créer des groupes, des groupes dynamiques et des stratégies

Vous pouvez contrôler la façon dont les utilisateurs gèrent les instances de Resource Analytics dans votre location.

En général, vous créez un groupe d'utilisateurs dans la location et lui accordez les droits de gestion du service dans un compartiment particulier, et vous accordez au principal de ressource de votre instance Resource Analytics les droits d'observation des métadonnées de ressource de votre location.

1, Création de groupe et de groupe dynamique

  1. Obtenez l'OCID du compartiment que vous avez choisi pour votre instance Resource Analytics.
    Dans cet exemple, il s'agit de l'OCID resource-analytics-compartment.
  2. Dans votre domaine d'identité :
    1. Créez un groupe nommé resource-analytics-admins. Il contient les utilisateurs chargés de gérer les instances Resource Analytics et les pièces jointes de location, les bases de données Autonomous AI et les instances Analytics Cloud.
    2. Ajoutez des utilisateurs au groupe, le cas échéant.
    3. Créez un groupe dynamique nommé resource-analytics-instances.
    4. Ajoutez la règle suivante au groupe dynamique pour qu'elle corresponde à l'instance Resource Analytics que vous avez créée dans le compartiment resource-analytics-compartment :
      all {resource.type = 'resanalyticsinstance', resource.compartment.id = '<resource-analytics-compartment-ocid>'}

    Pour plus d'informations sur l'ajout d'utilisateurs, de groupes et de groupes dynamiques aux domaines de votre location, reportez-vous à Gestion des utilisateurs, à Gestion des groupes et à Gestion des groupes dynamiques.

    Pour les anciennes locations ne prenant pas en charge les domaines d'identité, reportez-vous à Gestion des utilisateurs, à Gestion des groupes et à Gestion des groupes dynamiques.

2. Créer des règles

Après avoir créé le groupe d'utilisateurs et le groupe dynamique, vous devez fournir des droits (autorisations) à ces groupes afin que les membres du groupe puissent administrer les instances Resource Analytics, inspecter l'ensemble des régions abonnées de la location, et observer et signaler les métadonnées pour les ressources de la location. Vous fournissez des droits aux groupes sous la forme de stratégies IAM.

Les stratégies IAM régissent le contrôle des ressources dans les locations Oracle Cloud Infrastructure (OCI). Une stratégie contient des instructions de stratégie.

Pour créer des stratégies, procédez comme suit :

Pour plus d'informations sur l'ajout de stratégies à la location, reportez-vous à Présentation de l'utilisation des stratégies. Pour les anciennes locations qui ne prennent pas en charge les domaines d'identité, reportez-vous à Gestion des stratégies.

Utiliser le générateur de stratégies pour créer des stratégies

Lorsque vous utilisez le générateur de stratégies pour créer des stratégies pour votre location, vous tirez parti des modèles de stratégie Resource Analytics. Un modèle de stratégie inclut toutes les instructions nécessaires pour fournir les droits d'accès permettant d'effectuer une tâche ou un ensemble de tâches associées dans un service d'OCI.

Pour plus d'informations sur les instructions incluses dans chaque modèle de stratégie Resource Analytics, reportez-vous à Modèles de stratégie de générateur de stratégies. Pour les anciennes locations qui ne prennent pas en charge les domaines d'identité, reportez-vous à Stratégies courantes.

Créer des stratégies à l'aide du générateur de stratégies

Créez trois stratégies à l'aide du générateur de stratégies :
  • Autoriser les instances Resource Analytics à gérer les ressources Resource Analytics : permet aux instances Resource Analytics de gérer les ressources Resource Analytics, notamment les métadonnées de ressource, les compartiments, les bases de données d'IA autonomes, la famille de réseaux virtuels, les demandes de travail d'instance d'analyse et les instances d'analyse.
  • Autoriser les administrateurs à gérer les ressources Resource Analytics : permet aux administrateurs de gérer les ressources Resource Analytics, notamment la famille Resource Analytics, la famille de réseaux virtuels, les entrepôts de données d'IA autonomes et les demandes de travail.
  • Autoriser les administrateurs à inspecter l'ensemble de régions abonnées de la location : autoriser les administrateurs à inspecter l'ensemble de régions abonnées de la location.

Suivez les étapes ci-après :

  1. Sur la page Analyse des ressources, sélectionnez Afficher les détails pour afficher le panneau Configurer les prérequis pour la première utilisation.
  2. Dans la section Créer des stratégies, sélectionnez Générateur de stratégies pour accéder à la page Stratégies Identité et sécurité.
  3. Sélectionnez Créer une stratégie.
    1. Entrez le nom et la description de la stratégie, puis sélectionnez le compartiment racine.
    2. Dans Cas d'utilisation de stratégie, sélectionnez Analyse des ressources.
    3. Dans Modèles de stratégie commune, sélectionnez Autoriser les instances Resource Analytics à gérer les ressources Resource Analytics.
    4. Sélectionnez votre domaine d'identité.
    5. Sélectionnez le groupe dynamique resource-analytics-instances.
    6. Sélectionnez Create (Créer).
  4. Sur la page Stratégies Identité et sécurité, sélectionnez Créer une stratégie.
    1. Entrez le nom et la description de la stratégie, puis sélectionnez resource-analytics-compartment ou tout compartiment au-dessus.
    2. Dans Cas d'utilisation de stratégie, sélectionnez Analyse des ressources.
    3. Dans Modèles de stratégie commune, sélectionnez Autoriser les administrateurs à gérer les ressources Resource Analytics.
    4. Sélectionnez votre domaine d'identité.
    5. Sélectionnez le groupe resource-analytics-admins.
    6. Sélectionnez Create (Créer).
  5. Sur la page Stratégies Identité et sécurité, sélectionnez Créer une stratégie.
    1. Entrez le nom et la description de la stratégie, puis sélectionnez le compartiment racine.
    2. Dans Cas d'utilisation de stratégie, sélectionnez Analyse des ressources.
    3. Dans Modèles de stratégie commune, sélectionnez Autoriser les administrateurs à inspecter l'ensemble de régions abonnées de la location.
    4. Sélectionnez votre domaine d'identité.
    5. Sélectionnez le groupe resource-analytics-admins.
    6. Sélectionnez Create (Créer).
  6. Sur la page Stratégies d'identité et de sécurité, vérifiez que toutes les stratégies sont créées.

Utilisation de l'éditeur manuel pour créer des stratégies

Suivez ces instructions si vous décidez de ne pas utiliser le générateur de stratégies pour créer les stratégies à affecter au groupe d'administrateurs et au groupe dynamique. Vous créez les stratégies avec des instructions différentes selon que vous êtes dans le domaine Default ou un autre domaine :

Conseil

Si vous allez créer manuellement vos stratégies, vous allez probablement copier les instructions de stratégie répertoriées ci-dessous pour le groupe resource-analytics-admins et le groupe dynamique resource-analytics-instances. Si vous préférez, vous pouvez combiner les trois ensembles d'instructions de stratégie pour le groupe d'administrateurs et l'instance en une seule stratégie à la racine.

Création de stratégies pour le groupe d'administrateurs dans le domaine par défaut

Suivez ces étapes uniquement si vous utilisez le domaine Default.
  1. Pour permettre au groupe resource-analytics-admins d'administrer des instances Resource Analytics, créez une stratégie avec les instructions suivantes au niveau du compartiment (resource-analytics-compartment) dans lequel créer une instance Resource Analytics :
    allow group resource-analytics-admins to manage resource-analytics-family in compartment resource-analytics-compartment
allow group resource-analytics-admins to use virtual-network-family in compartment resource-analytics-compartment
allow group resource-analytics-admins to manage autonomous-data-warehouses in compartment resource-analytics-compartment
allow group resource-analytics-admins to inspect work-requests in compartment resource-analytics-compartment
  2. Pour permettre au groupe resource-analytics-admins d'inspecter l'ensemble de régions abonnées de la location, créez une stratégie avec les instructions suivantes au niveau du compartiment racine : 
    allow group resource-analytics-admins to inspect tenancies in tenancy

Création de stratégies pour le groupe d'administrateurs dans un domaine d'identité autre que par défaut

Si la location prend en charge les domaines d'identité et que le domaine d'identité du groupe resource-analytics-admins n'est pas Default, mais un autre nom, tel que MyDomain, utilisez la syntaxe de nom qualifié pour faire référence au groupe.
  1. Pour permettre au groupe resource-analytics-admins d'administrer des instances Resource Analytics, créez une stratégie avec les instructions suivantes au niveau du compartiment (resource-analytics-compartment) dans lequel créer une instance Resource Analytics :
    allow group 'MyDomain'/'resource-analytics-admins' to manage resource-analytics-family in compartment resource-analytics-compartment
allow group 'MyDomain'/'resource-analytics-admins' to use virtual-network-family in compartment resource-analytics-compartment
allow group 'MyDomain'/'resource-analytics-admins' to manage autonomous-data-warehouses in compartment resource-analytics-compartment
allow group 'MyDomain'/'resource-analytics-admins' to inspect work-requests in compartment resource-analytics-compartment
  2. Pour permettre au groupe resource-analytics-admins d'inspecter l'ensemble de régions abonnées de la location, créez une stratégie avec les instructions suivantes au niveau du compartiment racine : 
    allow group 'MyDomain'/'resource-analytics-admins' to inspect tenancies in tenancy

Création de stratégies pour l'instance Resource Analytics dans le domaine par défaut

Suivez ces étapes uniquement si vous utilisez le domaine Default.
Pour permettre au groupe dynamique resource-analytics-instances d'observer et de générer des rapports sur les métadonnées des ressources de votre location, créez une stratégie avec les instructions suivantes au niveau du compartiment racine :
allow dynamic-group resource-analytics-instances to read resource-metadata in tenancy
allow dynamic-group resource-analytics-instances to read compartments in tenancy
allow dynamic-group resource-analytics-instances to read autonomous-databases in compartment resource-analytics-compartment
allow dynamic-group resource-analytics-instances to use virtual-network-family in compartment resource-analytics-compartment
allow dynamic-group resource-analytics-instances to read analytics-instance-work-requests in compartment resource-analytics-compartment
allow dynamic-group resource-analytics-instances to manage analytics-instances in compartment resource-analytics-compartment

Création de stratégies pour l'instance Resource Analytics dans un domaine d'identité non par défaut

Si votre location prend en charge les domaines d'identité et que le domaine d'identité du groupe dynamique resource-analytics-instances n'est pas Default, mais un autre nom, tel que MyDomain, utilisez la syntaxe de nom qualifié pour faire référence à votre groupe dynamique.
Pour permettre au groupe dynamique resource-analytics-instances d'observer et de générer des rapports sur les métadonnées des ressources de votre location, créez une stratégie avec les instructions suivantes au niveau du compartiment racine :
allow dynamic-group 'MyDomain'/'resource-analytics-instances' to read resource-metadata in tenancy
allow dynamic-group 'MyDomain'/'resource-analytics-instances' to read compartments in tenancy
allow dynamic-group 'MyDomain'/'resource-analytics-instances' to read autonomous-databases in compartment resource-analytics-compartment
allow dynamic-group 'MyDomain'/'resource-analytics-instances' to use virtual-network-family in compartment resource-analytics-compartment
allow dynamic-group 'MyDomain'/'resource-analytics-instances' to read analytics-instance-work-requests in compartment resource-analytics-compartment
allow dynamic-group 'MyDomain'/'resource-analytics-instances' to manage analytics-instances in compartment resource-analytics-compartment