Création manuelle de stratégies OS Management Hub
Pour OS Management Hub, vous devez identifier les ressources que le service peut gérer et les utilisateurs qui peuvent les gérer.
Pour activer OS Management Hub, définissez les éléments suivants :
Pour activer la fonctionnalité Repérage et surveillance des ressources, vous devez configurer des stratégies en plus de celles décrites dans les sections suivantes. Reportez-vous à Initiation à la surveillance et au repérage des ressources.
Vous pouvez configurer des stratégies IAM de différentes manières. Les sections suivantes expliquent comment définir les instructions de stratégie IAM pour un groupe d'administrateurs OS Management Hub à l'aide d'un groupe dynamique de ressources. Reportez-vous à Exemples de stratégie pour connaître d'autres cas d'emploi non administrateur.
Au lieu de créer manuellement des groupes et des instructions de stratégie, utilisez la fonction de conseil sur les stratégies pour activer rapidement OS Management Hub pour un compartiment.
Groupe d'utilisateurs
Créez un groupe d'utilisateurs (par exemple, osmh-admins
) ou identifiez un groupe d'utilisateurs existant pour administrer le service OS Management Hub dans la location. Les instructions de stratégie requises permettent ensuite à ce groupe d'administrateurs de gérer les ressources OS Management Hub.
Si vous devez restreindre davantage l'accès, vous pouvez créer des groupes d'utilisateurs supplémentaires et définir des instructions de stratégie plus restrictives pour limiter l'accès à des ressources spécifiques. Reportez-vous à Exemples de stratégie pour connaître les cas d'emploi de non-administrateur. Pour plus d'informations sur les groupes d'utilisateurs, reportez-vous à Gestion des groupes.
Groupe dynamique
Créez un groupe dynamique (tel que osmh-instances
) pour indiquer les ressources gérées par OS Management Hub en définissant des instructions de règle pour OCI et les instances cloud sur site ou tiers (non OCI).
Veillez à bien comprendre les points suivants :
Le groupe dynamique identifie les instances qu'OS Management Hub va gérer. Vous ajoutez des instructions de règle pour les compartiments et les compartiments enfant qui contiennent les instances que vous souhaitez gérer par le service. Le groupe dynamique augmente et diminue dynamiquement en fonction de ces instructions de règle. A mesure que les instances sont provisionnées ou retirées, le groupe dynamique change en conséquence. Les instructions de stratégie requises permettent ensuite à OS Management Hub d'accéder aux instances du groupe dynamique.
Pour plus d'informations sur les groupes dynamiques, reportez-vous à Gestion des groupes dynamiques.
Chaque type d'instance utilise un agent différent qui correspond à un objet de ressource différent.
-
Les instances OCI utilisent l'agent Oracle Cloud (OCA), de sorte que l'instruction OCI indique les ressources
instance
dans un compartiment. -
Les instances sur site et cloud tierces utilisent Management Agent Cloud Service (MACS), de sorte que l'instruction non OCI indique les ressources
managementagent
dans un compartiment. Chaque ressource d'agent de gestion correspond à une instance non OCI. Par conséquent, en incluant l'agent OMA dans le groupe, vous incluez l'instance associée.
Reportez-vous également à Présentation de l'agent.
Avant d'écrire des instructions de règle de groupe dynamique, il est important de comprendre la différence entre ANY et ALL.
Lorsque vous définissez un groupe dynamique, vous définissez la façon dont le groupe correspond aux règles définies au sein du groupe :
- Mettre en correspondance les règles définies ci-dessous inclut les ressources qui correspondent à l'une des règles du groupe dynamique. Sélectionnez cette option si vous définissez un groupe qui inclut des règles pour plusieurs compartiments ou plusieurs types d'instance (tels que les instances OCI et non OCI). Ce paramètre indique au groupe d'inclure les ressources correspondant à la règle 1 OU à la règle 2 OU à la règle 3, etc.
- Mettre en correspondance toutes les règles définies ci-dessous inclut les ressources qui correspondent à toutes les règles du groupe dynamique. Sélectionnez cette option lors de la définition d'un groupe dynamique variable étroit qui inclut un seul compartiment. Ce paramètre indique au groupe d'inclure les ressources correspondant à la règle 1 ET à la règle 2 ET à la règle 3, etc.
Lorsque vous définissez des instructions de règle individuelles dans le groupe dynamique, vous définissez les conditions de chaque instruction :
-
L'option Tous les éléments suivants (
ALL
) inclut uniquement les ressources qui correspondent à toutes les conditions de la règle. Les instructionsALL
exigent que chaque condition soit vérifiée. Sinon, les ressources ne sont pas incluses pour la règle. -
L'option Un des éléments suivants (
ANY
) inclut les ressources qui correspondent à l'une des conditions de la règle.
- Exemples ANY et ALL pour une instruction de règle individuelle
-
Prenons la règle utilisée pour les instances non OCI.
Correct usage: ALL {resource.type='managementagent', resource.compartment.id='<compartment_ocid>'}
Lorsque vous utilisez
ALL
, la règle inclut uniquement les ressources d'agent de gestion dans le compartiment indiqué. L'instruction indique au groupe dynamique d'inclure les ressources qui correspondent au type d'agent de gestion ET se trouvent dans le compartiment indiqué.Incorrect usage. Do not use: ANY {resource.type='managementagent', resource.compartment.id='<compartment_ocid>'}
Lorsque vous utilisez
ANY
, la règle inclut toutes les ressources d'agent de gestion de la location complète et toutes les ressources OCI présentes dans le compartiment indiqué. Bien que l'instruction contienne les ressources nécessaires pour OS Management Hub, elle est très large et n'est généralement pas préférable.Tenez compte de la règle utilisée pour les instances OCI lors de la spécification de plusieurs compartiments.
Correct usage: ANY {instance.compartment.id='<compartment_ocid>',instance.compartment.id='<child compartment_ocid>'}
Lorsque vous utilisez
ANY
, la règle inclut chaque instance dans chacun des compartiments indiqués. L'instruction indique au groupe dynamique d'inclure des instances dans <compartment_ocid> OU <child compartment_ocid>.Incorrect usage. Do not use: ALL {instance.compartment.id='<compartment_ocid>',instance.compartment.id='<child compartment_ocid>'}
Lorsque vous utilisez
ALL
, la règle indique au groupe dynamique d'inclure les instances qui se trouvent dans <compartment_ocid> ET <child compartment_ocid>. Cette règle n'inclut aucune instance car il est impossible qu'une instance se trouve dans plusieurs compartiments à la fois. N'utilisez pasALL
avec une instruction de règle qui indique plusieurs compartiments.
Création du groupe dynamique
-
Suivez les étapes pour créer un groupe dynamique ou mettre à jour un groupe dynamique existant et configurez les règles de mise en correspondance comme suit.
Conseil
Réutilisez le même groupe dynamique dans la mesure du possible entre les services au lieu de créer de nouveaux groupes dynamiques car une seule ressource ne peut appartenir qu'à cinq groupes dynamiques au maximum.
-
Pour le paramètre de règle de mise en correspondance globale, sélectionnez : Mettre en correspondance toutes les règles définies ci-dessous.
-
Créez des instructions de règle pour les instances qu'OS Management Hub va gérer.
Important
Les règles de groupe dynamique n'utilisent pas l'héritage de compartiment. Vous devez indiquer une instruction de règle pour chaque compartiment et compartiment enfant contenant les instances que vous voulez gérer par le service.
- Règle pour les instances OCI
-
Ajoutez une instruction de règle qui inclut chaque compartiment (et compartiment enfant) qui contiendra des instances.
ANY {instance.compartment.id='<compartment_ocid>',instance.compartment.id='<child compartment_ocid>'}
Cette règle inclura toutes les instances OCI dans les compartiments indiqués.
- Règle pour les instances non OCI
-
Ajoutez une instruction de règle séparée pour chaque compartiment (et compartiment enfant) qui contiendra un agent de gestion utilisé par une instance.
ALL {resource.type='managementagent', resource.compartment.id='<compartment_ocid>'} ALL {resource.type='managementagent', resource.compartment.id='<child compartment_ocid>'}
Chaque instruction de règle inclut chaque ressource d'agent de gestion dans le compartiment indiqué. Chaque instance non OCI dispose d'une ressource d'agent correspondante. Par conséquent, l'instruction inclut les instances non OCI dans le compartiment.
- Sélectionnez Créer (en cas de création) ou Enregistrer (en cas de mise à jour).
Instructions de stratégie
Créez une stratégie (telle que osmh-policies
) avec des instructions qui permettent aux instances de s'inscrire auprès d'OS Management Hub et aux utilisateurs de gérer et d'exploiter le service.
Les instructions de stratégie utilisent le domaine d'identité par défaut, sauf si vous définissez le domaine d'identité avant le nom du groupe ou du groupe dynamique (par exemple,
<identity_domain_name>/<dynamic_group_name>
). Pour plus d'informations, reportez-vous à Syntaxe de stratégie. - Prérequis
-
Avant de créer la stratégie, assurez-vous que vous disposez des éléments suivants :
- Groupe d'utilisateurs (<osmh-admins> ou <osmh-operators> dans les exemples)
- Groupe dynamique (<osmh-instances> dans les exemples)
Utiliser le générateur de stratégies
Le générateur de stratégies fournit des modèles pour les stratégies courantes utilisées pour OS Management Hub. Sélectionnez un cas d'emploi, puis renseignez les informations requises, telles que le groupe dynamique ou le compartiment, pour exécuter les instructions de stratégie. Reportez-vous à Ecriture d'instructions de stratégie à l'aide du générateur de stratégies.
- Suivez les étapes de la section Creating a Policy, en notant les exceptions suivantes.
- Pour Cas d'emploi de stratégie, sélectionnez OS Management Hub.
- Pour Modèles de stratégie communs, sélectionnez l'une des stratégies communes OS Management Hub.
Modèles de stratégie courante
Le générateur de stratégies fournit les modèles de stratégie communs OS Management Hub suivants.
Type d'accès : permet à l'agent de service sur les instances gérées d'interagir avec OS Management Hub.
Emplacement de création de la stratégie : dans le compartiment racine.
Instructions de stratégie : remplacez <osmh-instances>
par le nom du groupe dynamique.
Allow dynamic-group <osmh-instances> to {OSMH_MANAGED_INSTANCE_ACCESS} in tenancy where request.principal.id = target.managed-instance.id
Type d'accès : autorise le groupe d'administrateurs avec accès à la location à :
- Gérez toutes les ressources OS Management Hub de la location.
- Créez, mettez à jour et supprimez des agents de gestion, et installez des clés dans la location.
Emplacement de création de la stratégie : dans le compartiment racine.
Instructions de stratégie : remplacez <osmh-admins>
par le nom du groupe d'utilisateurs.
Allow group <osmh-admins> to manage osmh-family in tenancy
Allow group <osmh-admins> to manage management-agents in tenancy
Allow group <osmh-admins> to manage management-agent-install-keys in tenancy
Type d'accès : autorise le groupe d'administrateurs disposant d'un accès de compartiment à :
- Gérez toutes les ressources OS Management Hub d'un compartiment.
- Lisez les profils et les sources logicielles dans le compartiment racine. Cette opération est nécessaire pour répliquer les sources logicielles du fournisseur et utiliser les profils fournis par le service.
- Créez, mettez à jour et supprimez des agents de gestion, et installez des clés dans un compartiment.
Emplacement de création de la stratégie : l'approche la plus simple consiste à placer cette stratégie dans le compartiment racine. Si vous voulez que les utilisateurs du compartiment individuel contrôlent les instructions de stratégie individuelles pour leur compartiment, reportez-vous à Attachement de stratégie.
Instructions de stratégie : remplacez <osmh-admins>
par le nom du groupe d'utilisateurs et <compartment>
par le nom du compartiment. Utilisez l'éditeur manuel pour remplacer <tenancy-ocid>
par l'OCID de votre location.
Allow group <osmh-admins> to read osmh-profiles in tenancy where target.profile.compartment.id = '<tenancy-ocid>'
Allow group <osmh-admins> to read osmh-software-sources in tenancy where target.softwareSource.compartment.id = '<tenancy-ocid>'
Allow group <osmh-admins> to manage osmh-family in compartment <compartment>
Allow group <osmh-admins> to manage management-agents in compartment <compartment>
Allow group <osmh-admins> to manage management-agent-install-keys in compartment <compartment>
Type d'accès : permet au groupe d'utilisateurs opérateur de lire toutes les ressources OS Management Hub de la location.
Emplacement de création de la stratégie : dans le compartiment racine.
Instructions de stratégie : remplacez <osmh-operators>
par le nom du groupe d'utilisateurs.
Allow group <osmh-operators> to read osmh-family in tenancy
Type d'accès : permet au groupe d'utilisateurs opérateur de lire toutes les ressources OS Management Hub d'un compartiment.
Emplacement de création de la stratégie : l'approche la plus simple consiste à placer cette stratégie dans le compartiment racine. Si vous voulez que les utilisateurs du compartiment individuel contrôlent les instructions de stratégie individuelles pour leur compartiment, reportez-vous à Attachement de stratégie.
Instructions de stratégie : remplacez <osmh-operators>
par le nom du groupe d'utilisateurs et <compartment>
par le nom du compartiment.
Allow group <osmh-operators> to read osmh-family in compartment <compartment>
Définition manuelle des instructions de stratégie
Si vous n'utilisez pas le générateur de stratégies, vous pouvez définir manuellement les instructions de stratégie. Créez une stratégie ou modifiez une stratégie existante pour inclure les instructions de stratégie suivantes.
Les instructions de stratégie suivantes fournissent un exemple de la manière dont les administrateurs peuvent accéder au service. Pour consulter d'autres cas d'emploi, reportez-vous à Exemples de stratégie.
- Instructions de stratégie au niveau de la location
-
Pour appliquer la stratégie IAM requise au niveau de la location, utilisez les instructions de stratégie suivantes :
allow dynamic-group <osmh-instances> to {OSMH_MANAGED_INSTANCE_ACCESS} in tenancy where request.principal.id = target.managed-instance.id allow group <osmh-admins> to manage osmh-family in tenancy
Incluez les instructions supplémentaires suivantes si vous gérez des instances sur site ou cloud tiers. Elles ne sont pas obligatoires si vous gérez uniquement des instances OCI.
allow group <osmh-admins> to manage management-agents in tenancy allow group <osmh-admins> to manage management-agent-install-keys in tenancy
- Instructions de stratégie au niveau du compartiment (si elles n'utilisent pas le niveau de la location)
-
Si l'administrateur de location n'autorise pas la définition de stratégies IAM au niveau de la location, vous pouvez limiter l'utilisation des ressources OS Management Hub à un compartiment et à ses compartiments enfant (les stratégies utilisent l'héritage de compartiment). Pour permettre aux utilisateurs de répliquer des sources logicielles de fournisseur et d'utiliser des profils fournis par le service, le groupe d'utilisateurs a besoin d'un accès en lecture aux profils et aux sources logicielles dans le compartiment racine.
Pour appliquer la stratégie IAM à un compartiment de la location, utilisez les instructions de stratégie suivantes :
allow dynamic-group <osmh-instances> to {OSMH_MANAGED_INSTANCE_ACCESS} in compartment <compartment_name> where request.principal.id = target.managed-instance.id allow group <osmh-admins> to manage osmh-family in compartment <compartment_name> allow group <osmh-admins> to read osmh-profiles in tenancy where target.profile.compartment.id = '<tenancy_ocid>' allow group <osmh-admins> to read osmh-software-sources in tenancy where target.softwareSource.compartment.id = '<tenancy_ocid>'
Incluez les instructions supplémentaires suivantes si vous gérez des instances sur site ou cloud tiers. Elles ne sont pas obligatoires si vous gérez uniquement des instances OCI.
allow group <osmh-admins> to manage management-agents in compartment <compartment_name> allow group <osmh-admins> to manage management-agent-install-keys in compartment <compartment_name>