Documentation Oracle Cloud Infrastructure

Créer et gérer des stratégies à l'aide de Policy Advisor

Utilisez la fonction de conseil de stratégie pour définir rapidement les droits d'accès OCI sur les ressources afin de les activer pour Ops Insights. Policy Advisor est un emplacement centralisé dans lequel vous pouvez visualiser, créer, mettre à jour et supprimer les stratégies requises pour Ops Insights.

Policy Advisor automatise la création des stratégies suivantes :
  • Stratégies requises par les utilisateurs d'Ops Insights (administrateurs et utilisateurs en lecture seule).
  • Stratégies dont le service Ops Insights a besoin pour fonctionner correctement.
  • Stratégies de configuration du mode démo (facultatif).
Remarque

Les stratégies any-user sont des stratégies de principal de ressource dont le service Ops Insights a besoin. Les stratégies contenant group {name} sont requises par l'utilisateur qui tente d'activer le service

Ops Insights est en phase d'abandon des stratégies système principales de service qui représentent un risque de sécurité à partir du 31 août 2025. Pour plus d'informations, voir : Suppression de la stratégie de principal de service.

Configuration des stratégies prérequises pour Ops Insights

En tant qu'administrateur autorisé à créer des stratégies dans le compartiment racine, procédez comme suit pour configurer les stratégies prérequises requises avec Policy Advisor :
  1. Sur la page Aperçu d'Ops Insights, en haut à droite, cliquez sur Conseiller en matière de stratégies. L'assistant Policy Advisor s'ouvre.
  2. Sous Accès aux ressources, cliquez sur le bouton Configurer pour Ops Insights. Ces stratégies fournissent les prérequis nécessaires à l'utilisation du service Ops Insights.
  3. Dans la fenêtre des prérequis du service Ops Insights, sélectionnez les groupes d'utilisateurs qui doivent accéder aux stratégies de prérequis, puis cliquez sur + Ajouter un groupe d'utilisateurs. Cochez tous les groupes requis et indiquez si l'accès administrateur ou l'accès utilisateur est requis. Lorsque vous avez terminé, cliquez sur Sélectionner.
  4. Dans la fenêtre des prérequis du service Ops Insights, vous pouvez désormais voir les groupes d'utilisateurs et le niveau d'accès que vous avez configurés. A droite de ce tableau, sélectionnez les compartiments auxquels le groupe d'utilisateurs peut accéder. Une fois tous les compartiments ajoutés, cliquez sur Aperçu et appliquer les modifications.
  5. La fenêtre Prérequis complets vous permet d'afficher un aperçu des instructions de stratégie qui seront appliquées, puis de cliquer sur Suivant pour les appliquer.
  6. Une fois les stratégies prérequises appliquées, une coche verte apparaît. Pour terminer, cliquez sur Fermer. Les stratégies prérequises ont été appliquées.

Configuration et gestion des stratégies pour les services Ops Insights

Avec Policy Advisor, vous pouvez accorder et modifier les stratégies nécessaires pour des types de télémétrie et de ressource spécifiques qui doivent être analysés avec Ops Insights à partir de votre environnement, à la fois pour le groupe d'utilisateurs qui effectuera cette action et pour le service lui-même.

Voici la liste des types de télémétrie et de ressource dont les stratégies peuvent être gérées à partir de Policy Advisor :
  • Bases de données
    • Bases de données d'IA autonomes sur OCI
    • Bases de données Bare Metal, de machine virtuelle et ExaDB sur OCI
    • Bases de données externes (via la télémétrie) :
      • Bases de données gérées par Enterprise Manager
      • Bases de données gérées par OCI Management Agent
    • Bases de données MySQL
      • Systèmes de bases de données MySQL HeatWave
      • Systèmes externes de MySQL Database
  • Instances et hôtes de calcul
    • Calcule les instances sur OCI
    • Hôtes externes (via télémétrie) :
      • Hôtes gérés Enterprise Manager
      • Hôtes gérés par OCI Management Agent
  • Exadata
    • Gestion des coûts Exadata
    • Systèmes Exadata (télémétrie via Enterprise Manager)
    • Exadata Database Service on Dedicated Infrastructure (ExaDB-D)
  • Rapports sur les actualités
Pour configurer des stratégies spécifiques, assurez-vous d'abord que les buckets nécessaires ont été créés dans les compartiments à utiliser, puis procédez comme suit :
  1. Sur la page Aperçu d'Ops Insights, en haut à droite, cliquez sur Conseiller en matière de stratégies. L'assistant Policy Advisor s'ouvre.
  2. Sous l'onglet Accès aux ressources, vous voyez les noms des services qui nécessitent l'application de stratégies pour qu'Ops Insights fonctionne. Sélectionnez le service à modifier et cliquez sur le bouton Configurer.
  3. Dans la fenêtre des prérequis du service Ops Insights, sélectionnez les groupes d'utilisateurs dont l'accès à la stratégie doit être modifié
    1. Pour ajouter des groupes d'utilisateurs, cliquez sur + Ajouter un groupe d'utilisateurs. Cochez tous les groupes requis et indiquez si l'accès administrateur ou l'accès utilisateur est requis. Lorsque vous avez terminé, cliquez sur Sélectionner.
    2. Pour enlever des groupes d'utilisateurs, sélectionnez les trois points situés à droite d'un groupe d'utilisateurs disposant d'un accès et sélectionnez Enlever, ce qui l'enlèvera de la table.
  4. Dans la fenêtre des prérequis de service sélectionnés, vous pouvez désormais voir les groupes d'utilisateurs et le niveau d'accès que vous avez configurés. A droite de ce tableau, sélectionnez les compartiments auxquels les groupes d'utilisateurs peuvent accéder.
    1. Pour ajouter des compartiments, cliquez sur la zone de texte et sélectionnez les compartiments appropriés.
    2. Pour enlever des compartiments, cliquez sur le X à droite de chaque compartiment.
    Une fois tous les compartiments modifiés, cliquez sur Aperçu et appliquer les modifications.
  5. La fenêtre Complete Prerequisites vous permet de prévisualiser les instructions de stratégie qui seront appliquées, en affichant les premières instructions à supprimer et les instructions de stratégie qui seront appliquées. Cliquez sur Suivant pour appliquer les éléments.
  6. Une fois les stratégies prérequises appliquées, une coche verte apparaît. Pour terminer, cliquez sur Fermer. Les stratégies prérequises ont été appliquées.

Suppression de la stratégie de principal de service

La meilleure pratique d'Oracle est qu'un service OCI ne doit jamais accéder à la ressource OCI d'un client à l'aide d'un principal de service, car cela introduit un risque potentiel de sécurité. Ops Insights est en phase d'abandon des stratégies système principales de service qui représentent un risque de sécurité à partir du 31 août 2025.

Si des stratégies en phase d'abandon sont détectées, Policy Advisor affiche une bannière en haut de la page nécessitant une mise à jour de stratégie vers le nouveau format CRISP. Pour mettre à jour les stratégies en phase d'abandon existantes, cliquez sur le bouton Mettre à jour les stratégies de prérequis. D'autres icônes d'avertissement s'affichent en regard des groupes de stratégies contenant des instructions en phase d'abandon. Le bouton Configurer est désactivé pour tous les groupes contenant des instructions en phase d'abandon jusqu'à ce que les mises à niveau de stratégie aient été effectuées.

Stratégies Ops Insight que vous devez écrire dans votre location :
Stratégie de principal de service en phase d'abandon Nouvelle police
allow service operations-insights to read secret-family in compartment ABC where target.vault.id = 'Vault OCID' allow any-user to read secret-family in tenancy where ALL{request.principal.type='opsidatabaseinsight', target.vault.id = 'Vault OCID'}
allow service operations-insights to read autonomous-database-family in compartment XYZ where {request.operation='GenerateAutonomousDatabaseWallet'} allow any-user to read autonomous-database-family in compartment XYZ where ALL{request.principal.type='opsidatabaseinsight', request.operation='GenerateAutonomousDatabaseWallet'}