Documentation Oracle Cloud Infrastructure

Créer et gérer des stratégies à l'aide de Policy Advisor

Utilisez Policy Advisor pour établir rapidement des droits d'accès OCI sur les ressources qui leur permettent d'être activées pour Ops Insights. Policy Advisor est un emplacement centralisé dans lequel vous pouvez visualiser, créer, mettre à jour et supprimer les stratégies requises pour Ops Insights.

Policy Advisor automatise la création des stratégies suivantes :
  • Stratégies requises par les utilisateurs d'Ops Insights (administrateurs et utilisateurs en lecture seule).
  • Stratégies requises par le service Ops Insights pour fonctionner correctement.
  • Stratégies pour configurer le mode démo (facultatif).
Remarque

Les stratégies any-user sont des stratégies de principal de ressource requises par le service Ops Insights. Les stratégies contenant group {name} sont requises par l'utilisateur qui tente d'activer le service

Ops Insights est en phase d'abandon des stratégies système principales de service qui représentent un risque de sécurité à partir du 31 août 2025. Pour plus d'informations, voir : Suppression de la stratégie de principal de service.

Configuration des stratégies de prérequis pour Ops Insights

En tant qu'administrateur ayant la possibilité de créer des stratégies dans le compartiment racine, procédez comme suit pour configurer les stratégies prérequises requises avec Policy Advisor :
  1. Sur la page Aperçu des analyses des opérations, en haut à droite, cliquez sur Policy Advisor. Cette opération lance l'assistant Policy Advisor.
  2. Sous Accès à la ressource, cliquez sur le bouton Configurer pour les analyses des opérations. Ces stratégies fournissent les prérequis nécessaires à l'utilisation du service Ops Insights.
  3. Dans la fenêtre Prérequis du service Ops Insights, sélectionnez les groupes d'utilisateurs qui doivent accéder aux stratégies de prérequis. Cliquez sur + Ajouter un groupe d'utilisateurs. Cochez tous les groupes requis et cochez si l'accès administrateur ou l'accès utilisateur est requis. Lorsque vous avez terminé, cliquez sur Sélectionner.
  4. Dans la fenêtre des prérequis du service Ops Insights, vous voyez désormais les groupes d'utilisateurs et le niveau d'accès que vous avez configurés. A droite de cette table, sélectionnez les compartiments auxquels le groupe d'utilisateurs peut accéder. Une fois tous les compartiments ajoutés, cliquez sur Prévisualiser et appliquer les modifications.
  5. La fenêtre Terminer les prérequis vous permet d'afficher un aperçu des instructions de stratégie qui seront appliquées, puis de cliquer sur Suivant pour les appliquer.
  6. Une fois les stratégies de prérequis appliquées, une coche verte apparaît. Pour terminer, cliquez sur Fermer. Les stratégies de prérequis ont été appliquées.

Configuration et gestion des stratégies pour les services Ops Insights

Policy Advisor vous permet d'accorder et de modifier les stratégies nécessaires pour un type de télémétrie et des types de ressource spécifiques qui doivent être analysés avec Ops Insights à partir de votre environnement, à la fois pour le groupe d'utilisateurs qui effectuera cette action et pour le service lui-même.

Voici la liste des types de télémétrie et de ressource dont les stratégies peuvent être gérées à partir de Policy Advisor :
  • Bases de données
    • Bases de données autonomes sur OCI
    • Bases de données Bare Metal, de machine virtuelle et Exa-DB sur OCI
    • Bases de données externes (via la télémétrie) :
      • Bases de données gérées par Enterprise Manager
      • Bases de données gérées par l'agent de gestion OCI
    • Bases de données MySQL
      • HeatWave Systèmes MySQL Database
      • Systèmes MySQL Database externes
  • Instances et hôtes de calcul
    • Calcule les instances dans OCI
    • Hôtes externes (via la télémétrie) :
      • Hôtes gérés Enterprise Manager
      • Hôtes gérés par l'agent de gestion OCI
  • Exadata
    • Systèmes Exadata (télémétrie via Enterprise Manager)
    • Exadata Database Service on Dedicated Infrastructure (ExaDB-D)
  • Rapports sur les actualités
Pour configurer les stratégies spécifiques, assurez-vous d'abord que les buckets nécessaires ont été créés dans les compartiments à utiliser, puis procédez comme suit :
  1. Sur la page Aperçu des analyses des opérations, en haut à droite, cliquez sur Policy Advisor. Cette opération lance l'assistant Policy Advisor.
  2. Sous l'onglet Accès aux ressources, vous pouvez voir les noms des services qui nécessitent l'application de stratégies pour que les analyses d'opérations fonctionnent. Sélectionnez le service à modifier, puis cliquez sur le bouton Configurer.
  3. Dans la fenêtre Prérequis du service Ops Insights, sélectionnez les groupes d'utilisateurs dont l'accès aux stratégies doit être modifié
    1. Pour ajouter des groupes d'utilisateurs, cliquez sur + Ajouter un groupe d'utilisateurs. Cochez tous les groupes requis et cochez si l'accès administrateur ou l'accès utilisateur est requis. Lorsque vous avez terminé, cliquez sur Sélectionner.
    2. Pour enlever des groupes d'utilisateurs, sélectionnez les trois points à droite d'un groupe d'utilisateurs auquel vous avez accès, puis sélectionnez Enlever. Cette action l'enlèvera de la table.
  4. Dans la fenêtre des prérequis de service sélectionnée, vous verrez désormais les groupes d'utilisateurs et le niveau d'accès que vous avez configurés. A droite de ce tableau, sélectionnez les compartiments auxquels les groupes d'utilisateurs peuvent accéder et qui sont visibles.
    1. Pour ajouter des compartiments, cliquez sur la zone de texte et sélectionnez les compartiments appropriés.
    2. Pour enlever des compartiments, cliquez sur la croix (X) à droite de chaque compartiment.
    Lorsque tous les compartiments ont été modifiés, cliquez sur Prévisualiser et appliquer les modifications.
  5. La fenêtre Complete Prerequisites vous permet d'afficher un aperçu des instructions de stratégie qui seront appliquées, indiquant les premières instructions à supprimer et les instructions de stratégie qui seront appliquées. Cliquez sur Suivant pour les appliquer.
  6. Une fois les stratégies de prérequis appliquées, une coche verte apparaît. Pour terminer, cliquez sur Fermer. Les stratégies de prérequis ont été appliquées.

Suppression de stratégie de principal de service

La meilleure pratique d'Oracle est qu'un service OCI ne doit jamais accéder à la ressource OCI d'un client à l'aide d'un principal de service, car cela introduit un risque de sécurité potentiel. Ops Insights est en phase d'abandon des stratégies système de principal de service qui représentent un risque de sécurité à partir du 31 août 2025.

Si des stratégies en phase d'abandon sont détectées, Policy Advisor affiche une bannière en haut de la page nécessitant une mise à jour de stratégie vers le nouveau format CRISP. Pour mettre à jour les stratégies en phase d'abandon existantes, cliquez sur le bouton Mettre à jour les stratégies de prérequis. Des icônes Avertissement supplémentaires apparaissent en regard des groupes de stratégies individuels contenant des instructions en phase d'abandon. Le bouton Configurer est désactivé pour tous les groupes contenant des instructions en phase d'abandon tant que les mises à niveau de stratégie n'ont pas été effectuées.

Stratégies Ops Insight que vous devez écrire dans votre location :
Politique de principal de service en phase d'abandon Nouvelle stratégie
allow service operations-insights to read secret-family in compartment ABC where target.vault.id = 'Vault OCID' allow any-user to read secret-family in tenancy where ALL{request.principal.type='opsidatabaseinsight', target.vault.id = 'Vault OCID'}
allow service operations-insights to read autonomous-database-family in compartment XYZ where {request.operation='GenerateAutonomousDatabaseWallet'} allow any-user to read autonomous-database-family in compartment XYZ where ALL{request.principal.type='opsidatabaseinsight', request.operation='GenerateAutonomousDatabaseWallet'}
allow group <group name> to inspect ons-topic in compartment <compartment-name>

allow service operations-insights to use ons-topic in tenancy

 allow any-user to use ons-topics in compartment {compartment} where ALL{request.principal.type='opsinewsreport'}