Documentation Oracle Cloud Infrastructure

Création de stratégies à l'aide de la console

Il est fortement recommandé de toujours utiliser Policy Advisor lors de la configuration de stratégies afin de garantir la facilité d'utilisation et une configuration appropriée. Toutefois, si votre environnement nécessite un contrôle d'accès plus approfondi ou l'octroi manuel des stratégies elles-mêmes, ces opérations peuvent être effectuées à l'aide de la console.

Remarque

Les stratégies any-user sont des stratégies de principal de ressource dont le service Ops Insights a besoin. Les stratégies contenant group opsi-admins sont requises par l'utilisateur qui tente d'activer le service

Ops Insights est en phase d'abandon des stratégies système principales de service qui représentent un risque de sécurité à partir du 31 août 2025. Pour plus d'informations, voir : Suppression de la stratégie de principal de service.

Créer des stratégies administrateur

Les utilisateurs ne peuvent se servir d'Ops Insights que si leur groupe dispose des droits d'accès requis. Pour autoriser l'administrateur opsiadmin à activer/désactiver Ops Insights sur l'ensemble des ressources et à accéder à toutes les données d'analyse, vous devez créer une stratégie d'identité accordant des droits d'accès au groupe d'utilisateurs opsi-admin.
Remarque

Toutes les stratégies peuvent être écrites au niveau du compartiment, à l'exception de l'entrepôt Ops Insights/du hub de référentiel AWR qui requiert le niveau racine/location.
  1. Connectez-vous à la console en tant qu'administrateur de la location. Ouvrez le menu de navigation et, sous Gestion et administration, accédez à Identité et cliquez sur Stratégies.
  2. Utilisez les instructions de création d'une stratégie et attribuez un nom explicite à la stratégie. Par exemple, opsi-admin-policy.
  3. Ajoutez l'instruction de stratégie suivante pour autoriser le groupe à activer/désactiver Ops Insights ou, pour créer/activer/désactiver un hôte d'agent de gestion ou une base de données gérée par Enterprise Manager, ou pour mettre à jour/ajouter des balises à toutes les ressources Ops Insights. Par exemple, si votre groupe d'administrateurs est appelé groupe opsi-admin et que vous souhaitez ajouter cette stratégie au niveau de la location, ajoutez les éléments suivants : 
    Allow group opsi-admins to manage opsi-family in tenancy
Allow group opsi-admins to manage management-dashboard-family in tenancy
    Les stratégies peuvent également être créées au niveau du compartiment.

    Pour plus de détails sur les stratégies d'utilisation des tableaux de bord, reportez-vous également à Détails du tableau de bord de gestion.

  4. Selon les ressources que vous allez activer, ajoutez les stratégies suivantes :
    Activation Stratégies Détails
    Bases de données autonomes - fonctionnalités de base Allow group opsi-admins to use autonomous-database-family in tenancy Les fonctionnalités de base incluent Capacity Planning.
    Bases de données autonomes - fonctionnalités complètes Allow group opsi-admins to use autonomous-database-family in tenancy

    Allow group opsi-admins to manage virtual-network-family in tenancy

    Allow group opsi-admins to read secret-family in tenancy

    Allow group opsi-admins to read secret-family in tenancy

    Allow any-user to read secret-family in tenancy where ALL{ target.vault.id = 'mydbVault', request.principal.type = 'opsidatabaseinsight'}

    Allow any-user to read autonomous-database-family in tenancy where ALL{request.operation='GenerateAutonomousDatabaseWallet'}

    Les fonctionnalités complètes incluent actuellement SQL Explorer et ADDM Spotlight.

    L'accès au réseau virtuel est nécessaire dans le cadre de la création de la connexion inverse de l'adresse privée.

    L'accès à la famille de clés secrètes est requis pour lire le mot de passe utilisateur de base de données à partir d'OCI Vault afin d'exécuter des collectes de données sur la base de données.

    L'autorisation de génération de portefeuille est nécessaire pour la connexion via mTLS à la base de données.

    Reportez-vous également à Activation des bases de données autonomes et prise en charge complète des fonctionnalités.

    Remarque

    Ops Insights dispose de stratégies système de principal de service en phase d'abandon. Pour plus d'informations, reportez-vous à Suppression de stratégie de principal de service.
    Bases de données autonomes sur Exadata Cloud@Customer

    Allow group opsi-admins to use database-family in compartment ExaCCadbCompartment

    Allow group opsi-admins to manage management-agents in compartment ExaCCadbCompartment

    Allow group opsi-admins to manage management-agents-named-credentials in compartment ExaCCadbCompartment

    Allow group opsi-admins to read secret-family in compartment ExaCCadbCompartment where any { target.vault.id = '{groupVaultId}' }

    Allow any-user to read database-family in compartment {compartment1} where ALL { request.principal.type = 'opsidatabaseinsight' }

    Allow any-user to read database-family in tenancy where ALL { request.principal.type = 'managementagent', request.operation = 'GenerateAutonomousDatabaseWallet' }

    Allow any-user to read secret-family in tenancy where ALL { request.principal.type = 'managementagent', target.vault.id = '{vaultId}' }

    		 L'accès à Ops Insights se fait via un agent de gestion qui a besoin d'accéder au mot de passe de base de données dans le coffre ainsi qu'au portefeuille Autonomous Database si mTLS est utilisé.

    Un accès à la famille de bases de données et à la famille de bases de données autonomes est requis pour garantir la disponibilité de données de configuration à jour dans Ops Insights.
    Bases de données Bare Metal, de machines virtuelles et ExaDB-D

    Allow group opsi-admins to use database-family in tenancy

    Allow group opsi-admins to manage virtual-network-family in tenancy

    Allow group opsi-admins to read secret-family in tenancy

    Allow any-user to read secret-family in tenancy where ALL{ target.vault.id = 'mydbVault', request.principal.type = 'opsidatabaseinsight'}

    		 L'accès à Ops Insights se fait via une adresse privée.

    L'accès au réseau virtuel est nécessaire dans le cadre de la création de la connexion inverse de l'adresse privée.

    L'accès à la famille de clés secrètes est requis pour lire le mot de passe utilisateur de base de données à partir d'OCI Vault afin d'exécuter des collectes de données sur la base de données.

    Remarque

    Ops Insights dispose de stratégies système de principal de service en phase d'abandon. Pour plus d'informations, reportez-vous à Suppression de stratégie de principal de service.
    Bases de données Exadata Database Service on Cloud@Customer Allow group opsi-admins to read database-family in compartment ExaCCdbCompartment

    Allow group opsi-admins to read dbmgmt-family in compartment ExaCCdbCompartment

    Allow group opsi-admins to read secret-family in compartment SecretCompartment where any { target.vault.id = 'VaultOCID' }

    Allow any-user to read database-family in tenancy where ALL { request.principal.type = 'opsiexadatainsight' }

    Allow group opsi-admins to manage management-agents in compartment AgentCompartment

    		 L'accès à Ops Insights se fait via l'agent de gestion.

    L'accès à la famille de bases de données est requis pour garantir la disponibilité des données de configuration à jour dans Ops Insights.

    L'accès à la famille de clés secrètes est requis pour lire le mot de passe utilisateur de base de données à partir d'OCI Vault afin d'exécuter des collectes de données sur la base de données.
    Exadata Database Service (avec ADB) sur une infrastructure dédiée

    Allow group opsi-admins to use database-family in compartment ExaDBdbCompartment

    Allow group opsi-admins to use autonomous-database-family in compartment ExaDSdbCompartment

    Allow group opsi-admins to manage virtual-network-family in compartment ExaDBdbCompartment

    Allow group opsi-admins to read secret-family in compartment ExaDSdbCompartment where any { target.vault.id = '{groupVaultId}' }

    Allow any-user to read database-family in compartment SecretCompartment where ALL { request.principal.type = 'opsiexadatainsight' }

    Allow any-user to read autonomous-database-family in compartment ExaDBdbCompartment where ALL { request.principal.type = 'opsidatabaseinsight' }

    Allow any-user to read database-family in tenancy where ALL { request.principal.type = 'opsidatabaseinsight', request.operation = 'GenerateAutonomousDatabaseWallet' }

    Allow any-user to read secret-family in tenancy where ALL { request.principal.type = 'opsidatabaseinsight', target.vault.id = '{vaultId}' }

    		 L'accès à Ops Insights se fait via une adresse privée.

    Un accès à la famille de bases de données et à la famille de bases de données autonomes est requis pour garantir la disponibilité de données de configuration à jour dans Ops Insights.

    Pour l'intégration d'un système ExaDB-D complet avec des clusters de machines virtuelles Autonomous.
    Exadata Database Service (avec ADB) sur Cloud@Customer

    Allow group opsi-admins to use database-family in compartment ExaCCadbCompartment

    Allow group opsi-admins to use autonomous-database-family in compartment ExaCCadbCompartment

    Allow group opsi-admins to manage management-agents in compartment AgentCompartment

    Allow group opsi-admins to manage management-agents-named-credentials in compartment AgentCompartmentt

    Allow group opsi-admins to read secret-family in compartment SecretCompartment} where any { target.vault.id = '{groupVaultId}' }

    Allow any-user to read database-family in compartment {compartment1} where ALL { request.principal.type = 'opsiexadatainsight' }

    Allow any-user to read autonomous-database-family in compartment ExaCCadbCompartment where ALL { request.principal.type = 'opsidatabaseinsight' }

    Allow any-user to read database-family in tenancy where ALL { request.principal.type = 'managementagent', request.operation = 'GenerateAutonomousDatabaseWallet' }

    Allow any-user to read secret-family in tenancy where ALL { request.principal.type = 'managementagent', target.vault.id = '{vaultId}' }

    		 L'accès à Ops Insights se fait via un agent de gestion qui a besoin d'accéder au mot de passe de base de données dans le coffre ainsi qu'au portefeuille Autonomous Database si une connexion mTLS est utilisée.

    Un accès à la famille de bases de données et à la famille de bases de données autonomes est requis pour garantir la disponibilité de données de configuration à jour dans Ops Insights.

    Pour l'intégration du système ExaDB-C@C complet avec des clusters de machines virtuelles Autonomous.
    Bases de données externes, hôtes et systèmes de production à l'aide d'Oracle Enterprise Manager

    Allow dynamic-group opsienterprisemanagerbridge to read object-family in compartment MyBucketCompartment where ANY (target.bucket.name='embridge-bucket')

    Allow group opsi-admins to inspect object-family in tenancy

    		 Enterprise Manager est une solution de gestion Oracle sur site qui peut s'intégrer aux services OCI et partager des données. Vous devez créer un groupe dynamique pour accéder aux données d'un compartiment Object Storage, par exemple : ALL {resource.type='opsienterprisemanagerbridge'}

    Si vous activez des bases de données gérées par Enterprise Manager (bases de données et hôtes), consultez les détails complets des stratégies sous Ajout de cibles Enterprise Manager.

    Bases de données et hôtes externes utilisant l'agent de gestion OCI

    Allow group opsi-admins to use external-database-family in tenancy

    Allow group opsi-admins to manage management-agent-install-keys in tenancy

    		 Toutes les ressources en dehors d'OCI, telles que les bases de données sur site qui ne sont pas gérées par Enterprise Manager, requièrent un agent de gestion. Si vous voulez activer les bases de données gérées à l'aide d'un agent de gestion, reportez-vous également à Stratégies d'agent de gestion.
    HeatWave Systèmes MySQL Database Allow group opsi-admins to manage mysql-family in tenancy Ops Insights prend uniquement en charge l'instance principale. Les instances de basculement et les répliques en lecture seule ne sont pas prises en charge actuellement.
    Systèmes MySQL Database externes Allow group opsi-admins to read secret-family in tenancy

    Allow group opsi-admins to read management-agents in tenancy

    Allow group opsi-admins to use dbmgmt-mysql-family in compartment {dbSystemCompartment}

    Allow any-user to read secret-family in tenancy where ALL { request.principal.type = 'opsidatabaseinsight', target.vault.id = 'mydbVault' }

    		 Systèmes de base de données MySQL externes déployés sur site et connectés à une ressource dans le service Database Management.
    Instances OCI Compute

    Allow group opsi-admins to manage management-agents in tenancy

    Allow group opsi-admins to manage instance-family in tenancy

    Allow group opsi-admins to read instance-agent-plugins in tenancy

    Allow any-user to use instance-family in compartment OCICompartment where ALL { request.principal.type = 'opsihostinsight' }

    Allow any-user to read instance-family in compartment OCICompartment where ALL { request.principal.type = 'opsihostinsight' }

    Allow any-user to manage management-agents in compartment OCICompartment where ALL { request.principal.type = 'opsihostinsight' }

    		 Ces instances peuvent être activées à l'aide d'agents de gestion. Reportez-vous également aux stratégies spéciales sous Déploiement d'agents de gestion sur des instances de calcul.
    Hub de référentiel AWR (données de performances du référentiel AWR Oracle Database) ADB-S : Allow dynamic-group OPSI_AWR_Hub_Dynamic_Group to manage opsi-awr-hub-sources in tenancy

    Bases de données ADB-D et externes : Allow group opsi-admins to use opsi-awr-hub-sources in tenancy

    Stratégie héritée : Allow opsi-admins to manage opsi-family in tenancy

    Des stratégies supplémentaires sont requises lorsque vous créez un hub de référentiel AWR. Vous pouvez les ajouter via le processus de création guidée.

    Pour obtenir des détails complets, reportez-vous à Analyse des données de performances du référentiel AWR.

    Exadata Warehouse N/A Exadata Warehouse est un référentiel de données provenant de systèmes Oracle Engineered Systems sur site et basés sur le cloud surveillés par Enterprise Manager. Reportez-vous à Entrepôt Exadata.
    Rapports sur les actualités Allow any-user to use ons-topics in compartment NewsReportsDBs where ALL{request.principal.type='opsinewsreport'} Le rapport d'actualité génère des rapports par courriel hebdomadaires sur votre parc surveillé par OPSI à l'aide d'ONS (Oracle Notification Services). Voir : Rapports sur les actualités.
  5. Cliquez sur Créer.

Création de stratégies de non-administrateur

Les utilisateurs ne peuvent se servir d'Ops Insights que si leur groupe dispose des droits d'accès requis. Pour permettre à l'utilisateur opsiuser d'activer/de désactiver les analyses des opérations uniquement sur les bases de données autonomes de sa location, vous devez créer une stratégie d'identité accordant des droits d'accès de groupe appropriés à l'utilisateur opsi-users.

  1. Connectez-vous à la console en tant qu'administrateur de location et accédez à Gouvernance et administration, puis à Identité et cliquez sur Stratégies.
  2. Utilisez les instructions de Procédure de création d'une stratégie et attribuez un nom explicite à la stratégie. Par exemple, opsi-user-policy.
  3. Ajoutez une instruction de stratégie pour autoriser le groupe à activer ou à désactiver Ops Insights. Par exemple, pour le groupe opsi-users, ajoutez ce qui suit :
    Allow group opsi-users to use opsi-family in tenancy
Allow group opsi-users to read management-dashboard-family in tenancy
  4. Cliquez sur Créer.

Pour obtenir un accès de contrôle détaillé aux analyses Ops, reportez-vous à Détails des analyses Ops.

Suppression de stratégie de principal de service

La meilleure pratique d'Oracle est qu'un service OCI ne doit jamais accéder à la ressource OCI d'un client à l'aide d'un principal de service, car cela introduit un risque de sécurité potentiel. Ops Insights est en phase d'abandon des stratégies système de principal de service qui représentent un risque de sécurité à partir du 31 août 2025.

Si des stratégies en phase d'abandon sont détectées, Policy Advisor affiche une bannière en haut de la page nécessitant une mise à jour de stratégie vers le nouveau format CRISP. Pour mettre à jour les stratégies en phase d'abandon existantes, cliquez sur le bouton Mettre à jour les stratégies de prérequis. Des icônes Avertissement supplémentaires apparaissent en regard des groupes de stratégies individuels contenant des instructions en phase d'abandon. Le bouton Configurer est désactivé pour tous les groupes contenant des instructions en phase d'abandon tant que les mises à niveau de stratégie n'ont pas été effectuées.

Si vous créez et utilisez des stratégies manuellement à l'aide de la console, les stratégies de principal de service suivantes doivent être modifiées dans votre environnement :
Politique de principal de service en phase d'abandon Nouvelle stratégie
Allow service operations-insights to read secret-family in compartment ABC where target.vault.id = 'Vault OCID' Allow any-user to read secret-family in tenancy where ALL{request.principal.type='opsidatabaseinsight', target.vault.id = 'Vault OCID'}
Allow service operations-insights to read autonomous-database-family in compartment XYZ where {request.operation='GenerateAutonomousDatabaseWallet'} Allow any-user to read autonomous-database-family in compartment XYZ where ALL{request.principal.type='opsidatabaseinsight', request.operation='GenerateAutonomousDatabaseWallet'}
Allow group <group name> to inspect ons-topic in compartment <compartment-name>

Allow service operations-insights to use ons-topic in tenancy

 Allow any-user to use ons-topics in compartment {compartment} where ALL{request.principal.type='opsinewsreport'}