La stratégie OCI IAM utilise le concept d'admission et d'endorse pour activer l'accès inter-locations. Si vous voulez accorder des droits d'accès aux instances de calcul de la location source (VendorA) pour accéder à Logging Analytics de la location de destination (CompanyABC), les administrateurs des deux locations doivent créer des stratégies IAM comme suit.

1. Configurez le principal d'instance et le groupe dynamique dans la location source (VendorA) :

   La fonctionnalité de principaux d'instance vous permet d'effectuer des appels de service à partir d'une instance. Les instances de calcul OCI sont autorisées à interagir avec les API OCI en créant un groupe dynamique des instances de calcul et une stratégie qui autorise les opérations que les instances peuvent effectuer.

   Créez un groupe dynamique, par exemple oci_la_dg, pour autoriser les instances dans les compartiments avec les droits d'accès définis dans les stratégies.

   Any {instance.compartment.id = 'ocid1.compartment.oc1..aaaaabcd',instance.compartment.id = 'ocid1.compartment.oc1..aaaaadef'}

2. Créer une stratégie dans la location source (VendorA) :

   Define tenancy CompanyABC as ocid1.tenancy.oc1..aaaaaaaaabc
   Endorse dynamic-group oci_la_dg to manage loganalytics-features-family in tenancy CompanyABC
   Endorse dynamic-group oci_la_dg to manage loganalytics-resources-family in tenancy CompanyABC
   Endorse dynamic-group oci_la_dg to manage management-dashboard-family in tenancy CompanyABC
   Endorse dynamic-group oci_la_dg to read compartments in tenancy CompanyABC

3. Créer une stratégie dans la location de destination (CompanyABC) :

   Define tenancy VendorA as ocid1.tenancy.oc1..aaaaavendora
   Define dynamic-group oci_la_dg as ocid1.dynamicgroup.oc1..aaaaaaaavendora
   Admit dynamic-group oci_la_dg of tenancy VendorA to manage loganalytics-features-family in tenancy
   Admit dynamic-group oci_la_dg of tenancy VendorA to manage loganalytics-resources-family in tenancy
   Admit dynamic-group oci_la_dg of tenancy VendorA to manage management-dashboard-family in tenancy 
   Admit dynamic-group oci_la_dg of tenancy VendorA to read compartments in tenancy

4. Vérifiez que vous pouvez désormais exécuter les API Logging Analytics à partir des instances auxquelles des droits d'accès ont été accordés.

Pour plus d'informations sur les instructions Endorse, Admit et Define, reportez-vous à Documentation Object Storage. Outre les groupes dynamiques, ces instructions peuvent également être appliquées à des groupes.