Documentation Oracle Cloud Infrastructure

Utiliser Policy Advisor

Utilisez la fonction de conseil sur les stratégies pour activer rapidement OS Management Hub pour un compartiment spécifique. La fonction de conseil définit les groupes d'utilisateurs, les groupes dynamiques et les stratégies nécessaires à l'utilisation d'OS Management Hub et de la surveillance et du repérage des ressources.

Important

La fonction de conseil sur les stratégies n'est disponible que dans OC1.
Remarque

Vous devez exécuter la fonction de conseil sur les stratégies dans chaque compartiment (et compartiment enfant) à utiliser avec le service.

  1. Vérifiez que vous disposez des droits d'accès suivants. Si vous disposez uniquement des droits d'accès read ou use, vous obtenez une erreur d'échec d'autorisation lors de l'exécution de la fonction de conseil.

    • manage dynamic-groups in tenancy
    • manage groups in tenancy
    • manage policies in tenancy
  2. Sous OS Management Hub, sélectionnez Présentation.
  3. Sous Portée de la liste, sélectionnez le compartiment à utiliser pour OS Management Hub.
  4. Sélectionnez Exécuter Policy Advisor.
  5. Passez en revue les problèmes identifiés avec les politiques et les groupes actuels. Sélectionnez Suivant.
  6. Examinez les actions que le conseiller effectuera. Sélectionnez Configuration.
  7. Confirmez l'opération en cliquant sur Configurer.
  8. Réexécutez la fonction de conseil dans tous les autres compartiments ou compartiments enfant qui utiliseront le service.
  9. Ajoutez des utilisateurs au groupe osmh-admins et osmh-operators. Reportez-vous à Gestion des groupes.

Pourquoi une erreur de stratégie a-t-elle été détectée ?

La fonction de conseil sur les stratégies recherche un ensemble spécifique de stratégies et de groupes (reportez-vous à Création de la fonction de conseil sur les stratégies). L'avertissement A policy error was detected apparaît si les noms des stratégies et des groupes ne correspondent pas exactement à ce que la fonction de conseil attend.

Si vous avez déjà configuré des stratégies, vous avez peut-être nommé vos groupes et défini vos instructions de stratégie différemment de ce que la fonction de conseil utilise. Si OS Management Hub fonctionne comme prévu, vous pouvez ignorer l'avis d'erreur de stratégie.

Pour plus d'informations, reportez-vous à Messages d'erreur Policy Advisor.

Puis-je cacher l'avertissement ?

Si vous avez déjà configuré le service à l'aide de vos propres groupes et stratégies, vous pouvez ignorer le message de problème de stratégie. Sélectionnez Masquer pour masquer ce message dans le compartiment.

Pour masquer le message dans tous les compartiments, sur la page Présentation, sélectionnez Afficher les paramètres de la console utilisateur.

Que crée Policy Advisor ?

La fonction de conseil définit les groupes d'utilisateurs nécessaires (osmh-admins et osmh-operators), le groupe dynamique (osmh-instances) et la stratégie (osmh-policies) avec les instructions requises pour utiliser OS Management Hub et ses fonctionnalités de repérage et de surveillance des ressources.

Ressources créées
Nom de ressource Description
osmh-admins Groupe d'utilisateurs pour les administrateurs du service. Les administrateurs peuvent gérer toutes les ressources OS Management Hub dans le domaine en cours.
osmh-operators Groupe d'utilisateurs pour les opérateurs du service. Les opérateurs peuvent afficher mais pas modifier toutes les ressources OS Management Hub dans le domaine en cours.
osmh-instances Groupe dynamique d'instances contenant les règles de groupe dynamique pour les instances OCI et sur site ou cloud tiers.
osmh-policies Stratégie contenant les instructions de groupe d'administrateurs, les instructions de groupe d'opérateurs et les instructions de groupe dynamique.
Règles de mise en correspondance de groupe dynamique

La fonction de conseil crée les règles de mise en correspondance de groupe dynamique suivantes pour le groupe dynamique osmh-instances.

Remarque

Seul le compartiment actuellement sélectionné est inclus dans le groupe dynamique. Les groupes dynamiques ne prennent pas en charge l'héritage de compartiment. Par conséquent, vous devez exécuter la fonction de conseil dans tous les compartiments enfant que vous souhaitez inclure.
Règle de groupe dynamique Description
ALL {instance.compartment.id='<compartment_ocid>'} Inclut toutes les instances OCI du compartiment.
ALL {resource.type='managementagent', resource.compartment.id='<compartment_ocid>'}

Inclut toutes les ressources d'agent de gestion du compartiment. L'inclusion de l'agent permet à OS Management Hub de gérer les instances cloud sur site ou tiers correspondantes.
Instructions de stratégie pour le groupe d'administrateurs

La fonction de conseil crée les instructions de stratégie de groupe d'administrateurs suivantes pour osmh-policies, ce qui permet aux utilisateurs osmh-admins de gérer les clés d'agent de gestion, d'agent de gestion et OS Management Hub dans le compartiment et ses compartiments enfant.

Instruction de stratégie de groupe d'administrateurs Description
Allow group <domain>/osmh-admins to manage osmh-family in compartment <compartment_name>

Permet au groupe osmh-admins de gérer toutes les ressources OS Management Hub dans le compartiment et ses compartiments enfant.
Allow group <domain>/osmh-admins to manage management-agents in compartment <compartment_name>

Permet au groupe osmh-admins de gérer les agents de gestion dans le compartiment et ses compartiments enfant (utilisés pour les instances non OCI uniquement).
Allow group <domain>/osmh-admins to manage management-agent-install-keys in compartment <compartment_name>

Permet au groupe osmh-admins de gérer les clés d'installation de l'agent OMA dans le compartiment et ses compartiments enfant (utilisés pour les instances non OCI uniquement).
Allow group <domain>/osmh-admins to use appmgmt-family in compartment <compartment_name>

Permet au groupe osmh-admins de gérer les ressources de repérage et de surveillance des ressources dans le compartiment et ses compartiments enfant.
Allow group <domain>/osmh-admins to read metrics in compartment <compartment_name>

Permet au groupe osmh-admins de visualiser les mesures de surveillance et de repérage des ressources dans le compartiment et ses compartiments enfant.
Allow group <domain>/osmh-admins to read osmh-profiles in tenancy where target.profile.compartment.id = '<tenancy_ocid>'

Créé uniquement si vous avez sélectionné le compartiment racine. Permet au groupe osmh-admins de lire les profils dans le compartiment racine.
Allow group <domain>/osmh-admins to read osmh-software-sources in tenancy where target.softwareSource.compartment.id = '<tenancy_ocid>'

Créé uniquement si vous avez sélectionné le compartiment racine. Permet au groupe osmh-admins de lire les sources logicielles dans le compartiment racine.
Instructions de stratégie pour le groupe d'opérateurs

La fonction de conseil crée les instructions de stratégie de groupe d'opérateurs suivantes pour osmh-policies, ce qui permet aux utilisateurs osmh-operators de visualiser les ressources OS Management Hub dans le compartiment et ses compartiments enfant.

Instruction de stratégie de groupe d'opérateurs Description
Allow group <domain>/osmh-operators to read osmh-family in compartment <compartment_name>

Permet au groupe osmh-operators d'afficher toutes les ressources OS Management Hub du compartiment et de ses compartiments enfant.
Allow group <domain>/osmh-operators to use appmgmt-family in compartment <compartment_name>

Permet au groupe osmh-operators de visualiser les ressources de repérage et de surveillance des ressources dans le compartiment et ses compartiments enfant.
Allow group <domain>/osmh-operators to read metrics in compartment <compartment_name>

Permet au groupe osmh-operators de visualiser les ressources de repérage et de surveillance des ressources dans le compartiment et ses compartiments enfant.
Allow group <domain>/osmh-operators to read osmh-profiles in tenancy where target.profile.compartment.id = '<tenancy_ocid>'

Créé uniquement si vous avez sélectionné le compartiment racine. Permet au groupe osmh-operators de lire les profils dans le compartiment racine.
Allow group <domain>/osmh-operators to read osmh-software-sources in tenancy where target.softwareSource.compartment.id = '<tenancy_ocid>'

Créé uniquement si vous avez sélectionné le compartiment racine. Permet au groupe osmh-operators de lire les sources logicielles dans le compartiment racine.
Instructions de stratégie pour le groupe dynamique

La fonction de conseil crée les instructions de stratégie de groupe dynamique suivantes pour osmh-policies, ce qui permet aux instances gérées du compartiment d'interagir avec OS Management Hub et ses fonctionnalités de surveillance et de repérage des ressources.

Instruction de stratégie de groupe dynamique Description
Allow dynamic-group <domain>/osmh-instances to {OSMH_MANAGED_INSTANCE_ACCESS} in compartment <compartment_name> where request.principal.id = target.managed-instance.id

Permet à l'agent sur les instances gérées d'interagir avec OS Management Hub
Allow dynamic-group <domain>/osmh-instances to use metrics in compartment <compartment_name> where target.metrics.namespace = 'oracle_appmgmt' Autorisez les instances gérées à télécharger des données vers le service Monitoring pour la fonctionnalité Surveillance et repérage des ressources.
Allow dynamic-group <domain>/osmh-instances to {MGMT_AGENT_DEPLOY_PLUGIN_CREATE, MGMT_AGENT_INSPECT, MGMT_AGENT_READ} in compartment <compartment_name> Permet à l'agent de gestion de l'instance gérée d'interagir avec le service Management Agent pour la fonctionnalité Surveillance et repérage des ressources.
Allow dynamic-group <domain>/osmh-instances to {APPMGMT_MONITORED_INSTANCE_READ, APPMGMT_MONITORED_INSTANCE_ACTIVATE} in compartment <compartment_name> where request.instance.id = target.monitored-instance.id

Permet aux instances gérées du compartiment d'activer automatiquement la fonctionnalité Surveillance et repérage des ressources.
Allow dynamic-group <domain>/osmh-instances to {INSTANCE_READ, INSTANCE_UPDATE} in compartment <compartment_name> where request.instance.id = target.instance.id

Permet aux instances gérées du compartiment d'activer automatiquement la fonctionnalité Surveillance et repérage des ressources.
Allow dynamic-group <domain>/osmh-instances to {APPMGMT_WORK_REQUEST_READ, INSTANCE_AGENT_PLUGIN_INSPECT} in compartment <compartment_name>

Permet aux instances gérées du compartiment d'activer automatiquement la fonctionnalité Surveillance et repérage des ressources.