Documentazione di Oracle Cloud Infrastructure

Crea gruppi e criteri IAM obbligatori

Scopri come impostare gruppi e criteri per abilitare l'amministrazione e le funzionalità di Roving Edge.

Creazione di un criterio per l'ordine dei dispositivi Roving Edge

Puoi creare un criterio che ti consenta di ordinare e gestire i dispositivi dell'infrastruttura Roving Edge utilizzando la console di Oracle Cloud. Questo task utilizza il modello Crea criterio nella console di Oracle Cloud.

  1. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità selezionare Criteri.

  2. Selezionare Crea criterio. Viene visualizzata la finestra di dialogo Crea criterio.

  3. Completare i campi obbligatori come descritto nella sezione Creazione di un criterio.

  4. Utilizzare Costruzione guidata criteri e selezionare Consenti agli utenti di creare e gestire i dispositivi Roving Edge in Modelli di criteri comuni.

  5. Per il provisioning automatico, aggiungere al modello il criterio seguente:

    allow dynamic-group roving-edge-devices to manage rover-family in tenancy

  6. Per configurare i gruppi di criteri, attenersi alle istruzioni visualizzate in Costruzione guidata criteri.

  7. Selezionare Crea. Le modifiche diventano effettive in genere entro 10 secondi.

Consentire l'accesso alle risorse dell'infrastruttura Roving Edge in OCI

Utilizzare la sintassi seguente per consentire ai gruppi di utenti di accedere alle risorse dell'infrastruttura Roving Edge nella tenancy:

allow group <admin_user_group> to manage rover-family in tenancy
allow group <admin_user_group> to manage rover-nodes in tenancy

dove <admin_user_group> è un gruppo creato per gestire gli amministratori dell'infrastruttura Roving Edge.

È inoltre possibile limitare questo accesso ai compartimenti. Ad esempio, se si desidera consentire a un gruppo di utenti di gestire tutte le risorse dell'infrastruttura Roving Edge nel compartimento "finance" in Oracle Cloud Infrastructure, utilizzare quanto segue:

allow group rover-admins to manage rover-family in compartment finance
allow group rover-admins to manage rover-nodes in compartment finance

Accesso allo storage degli oggetti dei dispositivi dell'infrastruttura Roving Edge

Questa sezione descrive i passi necessari per consentire al dispositivo dell'infrastruttura Roving Edge di eseguire la sincronizzazione dei dati mentre il dispositivo è in proprio possesso.

Ogni nodo dispositivo dell'infrastruttura Roving Edge funge da risorsa in Oracle Cloud Infrastructure, richiedendo l'autorizzazione per leggere/scrivere i bucket nei compartimenti all'interno della tenancy per i task di sincronizzazione dei dati.

Utilizzare un gruppo dinamico per rappresentare tutte le risorse del nodo Roving Edge nella tenancy. Per ulteriori informazioni sulla creazione di gruppi dinamici, vedere Gestione dei gruppi dinamici.

Nota

Tutti i nomi dei gruppi dinamici devono corrispondere esattamente a quanto specificato nelle istruzioni dei criteri. Per i nomi dei gruppi dinamici e le istruzioni dei criteri viene fatta distinzione tra maiuscole e minuscole.
Nota

Se il gruppo dinamico appartiene a un dominio di Identity non predefinito, ad esempio Oracle Identity Cloud Service, e il gruppo dinamico viene creato in tale dominio, è necessario anteporre al nome del gruppo dinamico il nome del dominio in tutte le istruzioni dei criteri per i gruppi dinamici. Ad esempio:

allow dynamic-group OracleIdentityCloudService/roving-edge-devices to manage rover-family in tenancy

Creare un gruppo dinamico denominato roving-edge-devices con le regole di corrispondenza riportate di seguito.

All {resource.type='rovernode'}

Concedere a questo gruppo dinamico un criterio da leggere e scrivere nei bucket, ad esempio:

allow dynamic-group roving-edge-devices to manage object-family in tenancy

Concedere l'accesso al gruppo dinamico allo spazio di nomi dello storage degli oggetti

allow dynamic-group roving-edge-devices to manage objectstorage-namespaces in tenancy

Impostare un criterio per concedere al servizio di infrastruttura Roving Edge l'accesso in lettura ai bucket. Questo criterio di accesso in lettura consente la generazione di un file manifesto contenente le informazioni sugli oggetti che si desidera sincronizzare con i dispositivi dell'infrastruttura Roving Edge. 

allow service rover to read object-family in tenancy
allow service rover to manage objectstorage-namespaces in tenancy
Nota

È possibile limitare l'accesso a un compartimento. Assicurarsi di concedere l'accesso in lettura a tutti i compartimenti associati a tutti i bucket del carico di lavoro. Ad esempio, se si disponevano di due bucket, uno nel compartimento "finance" e l'altro nel compartimento "accounts", è necessario impostare questo criterio per entrambi i compartimenti.

Consentire il provisioning automatico dei dispositivi dell'infrastruttura Roving Edge

Utilizzando il gruppo dinamico roving-edge-devices creato in precedenza in dynamic-group per l'accesso allo storage degli oggetti, concedere al gruppo dinamico le autorizzazioni di gestione per abilitare il provisioning automatico del dispositivo in loco.

allow dynamic-group roving-edge-devices to manage rover-family in tenancy

Abilitazione della consegna del bundle di aggiornamento disconnesso (facoltativo)

Per abilitare la consegna dei bundle di upgrade disconnessi alla tenancy, attenersi alle istruzioni riportate di seguito.

Concedere le autorizzazioni di creazione e sovrascrittura dell'oggetto richiedente al bucket di destinazione:

allow group <group_name> to manage object-family in compartment <compartment_name>

Concedere al servizio di storage degli oggetti nell'area per gestire i bucket nella tenancy:

allow service objectstorage-<region_identifier> to manage object-family in tenancy

È inoltre possibile creare autorizzazioni più limitate utilizzando l'esempio riportato di seguito.

allow service objectstorage-<region_identifier> to manage object-family in compartment <compartment-name>
where any {request.permission='OBJECT_READ', request.permission='OBJECT_INSPECT', request.permission='OBJECT_CREATE',
request.permission='OBJECT_OVERWRITE', request.permission='OBJECT_DELETE'}

Per un elenco degli identificativi delle aree, vedere Aree e domini di disponibilità.

Abilitazione della gestione dei certificati (facoltativo)

Questa sezione descrive i passi necessari per consentire agli amministratori di creare autorità di certificazione e consentire al dispositivo dell'infrastruttura Roving Edge di accedere alle risorse di gestione dei certificati in Oracle Cloud Infrastructure Cloud.

Creare un criterio per consentire agli amministratori della sicurezza di creare il vault e la chiave master:

Allow group <security-admin-group> to manage vaults in tenancy
Allow group <security-admin-group> to manage keys in tenancy

Creare un criterio che consenta agli amministratori della sicurezza di utilizzare l'autorità di certificazione:

Allow group <security-admin-group> to use certificate-authority-family in tenancy
Allow group <security-admin-group> to use key-delegate in tenancy

Creare un gruppo dinamico denominato certificate-authority-dynamic-group con le regole di corrispondenza: 

all {resource.type='certificateauthority'}

Creare un criterio che consenta all'autorità di certificazione di utilizzare le chiavi:

Allow dynamic-group certificate-authority-dynamic-group to use keys in compartment <compartment_name>

Creare un criterio per i dispositivi dell'infrastruttura Roving Edge in modo che utilizzino l'autorità di certificazione e gestiscano i certificati:

Allow dynamic-group roving-edge-devices to manage leaf-certificate-family in tenancy
Allow dynamic-group roving-edge-devices to use certificate-authority-family in tenancy

Creare un criterio per i nodi dell'infrastruttura Roving Edge per recuperare e aggiornare le configurazioni dei certificati:

Allow dynamic-group roving-edge-devices to use rover-family in tenancy
Nota

Se è stato creato il criterio di provisioning automatico descritto in Consentire l'autoprovisioning dei dispositivi dell'infrastruttura Roving Edge, non creare questo criterio. La politica di auto-approvazione soddisfa questo requisito.

Esempi di criteri

Il gruppo rover-admins è definito come amministratore delle risorse dell'infrastruttura Roving Edge:

allow group rover-admins to manage rover-family in tenancy
allow group rover-admins to manage rover-nodes in tenancy

Consenti all'infrastruttura Roving Edge di collegare i carichi di lavoro:

allow service rover to read object-family in tenancy
allow service rover to manage objectstorage-namespaces in tenancy

Consenti l'accesso dell'infrastruttura Roving Edge allo storage degli oggetti:

allow dynamic-group roving-edge-devices to manage object-family in tenancy
allow dynamic-group roving-edge-devices to manage objectstorage-namespaces in tenancy

Consente di eseguire il provisioning automatico del gruppo dinamico di nodi Roving Edge e di gestirne le configurazioni di certificato:

allow dynamic-group roving-edge-devices to manage rover-family in tenancy

(Facoltativo) Abilitare la consegna del bundle di upgrade disconnesso:

allow group rover-admins to read object-family in tenancy
allow dynamic-group roving-edge-devices to manage object-family in tenancy

(Facoltativo) Abilitare la gestione dei certificati:

allow group CertificateAdmins to manage vaults in tenancy
allow group CertificateAdmins to manage keys in tenancy
allow group CertificateAdmins to manage certificate-authority-family in tenancy
allow group CertificateAdmins to use key-delegate in tenancy
allow group rover-admins to read certificate-authority-family in tenancy
allow dynamic-group certificate-authority-dynamic-group to use keys in tenancy
allow dynamic-group roving-edge-devices to manage leaf-certificate-family in tenancy
allow dynamic-group roving-edge-devices to use certificate-authority-family in tenancy

Operazioni successive?

Se si richiede un dispositivo, vedere una delle seguenti sezioni in base al tipo di dispositivo: