Criteri di Oracle Cloud Migrations Service

Per utilizzare il servizio di migrazione sono necessari i criteri del servizio Oracle Cloud Migrations.

Di seguito è riportata la sintassi di un criterio.

allow <subject> to <verb> <resource-type> in <location> where <conditions>

Per dettagli completi, vedere Sintassi dei criteri. Per ulteriori informazioni sulla creazione dei criteri, vedere funzionamento dei criteri, Riferimento ai criteri e Dettagli dei criteri per lo storage degli oggetti.

Per creare criteri utilizzando la console, vedere le istruzioni.

Builder di criteri

Oracle Cloud Migrations supporta Policy Builder. La Costruzione guidata criteri nella console cloud consente di creare rapidamente criteri comuni senza dover digitare manualmente le istruzioni dei criteri. Per creare criteri utilizzando la Costruzione guidata criteri, vedere Scrittura di istruzioni criteri con Costruzione guidata criteri.

In Policy Builder, selezionare i casi d'uso dei criteri per Oracle Cloud Migrations. Per la creazione dei criteri di servizio sono disponibili i modelli criteri predefiniti riportati di seguito.

Criteri migrazione

Gruppi dinamici e criteri IAM per il servizio di migrazione.

  • Creare gruppi dinamici per il servizio di migrazione. È possibile assegnare al gruppo dinamico il nome MigrationDynamicGroup, ad esempio, e sostituire compartmentOCID con l'OCID del compartimento di migrazione:
    ALL {resource.type = 'ocmmigration', resource.compartment.id = '<migration_compartment_ocid>'}

    Per ulteriori informazioni sui gruppi dinamici, incluse le autorizzazioni necessarie per crearli, vedere Gestione dei gruppi dinamici e Scrittura dei criteri per i gruppi dinamici.

  • Creare tutti i criteri IAM riportati di seguito per consentire al servizio di migrazione di leggere o gestire le risorse OCI nei compartimenti specifici o nella tenancy in uso:
    Allow dynamic-group MigrationDynamicGroup to manage instance-family in compartment <migration_compartment_name>
    Allow dynamic-group MigrationDynamicGroup to manage compute-image-capability-schema in compartment <migration_compartment_name>
    Allow dynamic-group MigrationDynamicGroup to manage virtual-network-family in compartment <migration_compartment_name>
    Allow dynamic-group MigrationDynamicGroup to manage volume-family in compartment <migration_compartment_name>
    Allow dynamic-group MigrationDynamicGroup to manage object-family in compartment <migration_compartment_name>
    Allow dynamic-group MigrationDynamicGroup to read ocb-inventory in tenancy
    Allow dynamic-group MigrationDynamicGroup to read ocb-inventory-asset in compartment <migration_compartment_name>
    Allow dynamic-group MigrationDynamicGroup to {OCB_CONNECTOR_READ, OCB_CONNECTOR_DATA_READ, OCB_ASSET_SOURCE_READ, OCB_ASSET_SOURCE_CONNECTOR_DATA_UPDATE } in compartment <migration_compartment_name>
    Allow dynamic-group MigrationDynamicGroup to {INSTANCE_IMAGE_INSPECT, INSTANCE_IMAGE_READ} in tenancy
    Allow dynamic-group MigrationDynamicGroup to {INSTANCE_INSPECT} in tenancy where any {request.operation='ListShapes'}
    Allow dynamic-group MigrationDynamicGroup to {DEDICATED_VM_HOST_READ} in tenancy where any {request.operation='GetDedicatedVmHost'}
    Allow dynamic-group MigrationDynamicGroup to {CAPACITY_RESERVATION_READ} in tenancy where any {request.operation='GetComputeCapacityReservation'}
    Allow dynamic-group MigrationDynamicGroup to {ORGANIZATIONS_SUBSCRIPTION_INSPECT} in tenancy where any {request.operation='ListSubscriptions'}
    Allow dynamic-group MigrationDynamicGroup to read rate-cards in tenancy
    Allow dynamic-group MigrationDynamicGroup to read metrics in tenancy where target.metrics.namespace='ocb_asset'
    Allow dynamic-group MigrationDynamicGroup to read tag-namespaces in tenancy
    Allow dynamic-group MigrationDynamicGroup to use tag-namespaces in tenancy where target.tag-namespace.name='CloudMigrations'

Criteri di ricerca automatica

Gruppo dinamico e criterio IAM per il servizio di ricerca automatica.

Creazione di un gruppo dinamico

Creare un gruppo dinamico per il servizio di ricerca automatica. È possibile assegnare un nome al gruppo dinamico, ad esempio DiscoveryDynamicGroup.

ALL { resource.type = 'ocbassetsource' }

Creazione di un criterio IAM

Creare il criterio IAM seguente per concedere al servizio di ricerca automatica le autorizzazioni necessarie per eseguire le migrazioni.

Allow dynamic-group DiscoveryDynamicGroup to inspect compartments in compartment <migration_compartment_name>
Allow dynamic-group DiscoveryDynamicGroup to read ocb-environments in compartment <migration_compartment_name>
Allow dynamic-group DiscoveryDynamicGroup to read ocb-agents in compartment <migration_compartment_name>
Allow dynamic-group DiscoveryDynamicGroup to read ocb-inventory in tenancy
Allow dynamic-group DiscoveryDynamicGroup to manage ocb-inventory-asset in compartment <migration_compartment_name>
Allow dynamic-group DiscoveryDynamicGroup to {TENANCY_INSPECT} in tenancy

Per ulteriori informazioni sui gruppi dinamici, incluse le autorizzazioni necessarie per crearli, vedere Gestione dei gruppi dinamici e Scrittura dei criteri per i gruppi dinamici.

Criteri agente remoto

Creare i gruppi dinamici e i criteri IAM riportati di seguito per l'agente remoto.

  • Creare gruppi dinamici per l'agente remoto. È possibile assegnare un nome al gruppo dinamico, ad esempio RemoteAgentDynamicGroup:
    ALL {resource.type = 'ocbagent'}

    Per ulteriori informazioni sui gruppi dinamici, incluse le autorizzazioni necessarie per crearli, vedere Gestione dei gruppi dinamici e Scrittura dei criteri per i gruppi dinamici.

  • Creare tutti i criteri IAM riportati di seguito per consentire all'agente remoto di utilizzare, leggere o gestire le risorse OCI in compartimenti specifici o nella tenancy:
    Define tenancy OCB-SERVICE as <ocb_service_tenancy_ocid_for_realm>
    Endorse dynamic-group RemoteAgentDynamicGroup to { OBJECT_CREATE } in tenancy OCB-SERVICE
    Allow dynamic-group RemoteAgentDynamicGroup to manage buckets in compartment <migration_compartment_name>
    Allow dynamic-group RemoteAgentDynamicGroup to manage object-family in compartment <migration_compartment_name>
    Allow dynamic-group RemoteAgentDynamicGroup to {OCM_REPLICATION_TASK_READ, OCM_REPLICATION_TASK_UPDATE} in compartment <migration_compartment_name>
    Allow dynamic-group RemoteAgentDynamicGroup to use ocb-asset-source-connectors in compartment <migration_compartment_name>
    Allow dynamic-group RemoteAgentDynamicGroup to use ocb-connectors in compartment <migration_compartment_name>
    Allow dynamic-group RemoteAgentDynamicGroup to manage ocb-inventory in tenancy
    Allow dynamic-group RemoteAgentDynamicGroup to manage ocb-inventory-asset in compartment <migration_compartment_name>
    Allow dynamic-group RemoteAgentDynamicGroup to read secret-family in compartment <migrationsecret_compartment_name>
    Allow dynamic-group RemoteAgentDynamicGroup to use metrics in compartment <migration_compartment_name> where target.metrics.namespace='ocb_asset'
    Allow dynamic-group RemoteAgentDynamicGroup to { OCM_CONNECTOR_INSPECT, OCM_ASSET_SOURCE_READ, OCM_ASSET_SOURCE_CONNECTION_PUSH } in compartment <migration_compartment_name>
    Allow dynamic-group RemoteAgentDynamicGroup to { OCB_AGENT_INSPECT, OCB_AGENT_SYNC, OCB_AGENT_READ, OCB_AGENT_DEPENDENCY_INSPECT, OCB_AGENT_DEPENDENCY_READ, OCB_AGENT_KEY_UPDATE, OCB_AGENT_TASK_READ, OCB_AGENT_ASSET_SOURCES_INSPECT, OCB_AGENT_TASK_UPDATE, OCB_AGENT_UPDATE_COMMAND_CREATE } in compartment <migration_compartment_name>
    Allow dynamic-group RemoteAgentDynamicGroup to { OCB_ASSET_SOURCE_INSPECT, OCB_ASSET_SOURCE_READ, OCB_ASSET_SOURCE_ASSET_HANDLES_PUSH, OCB_ASSET_SOURCE_CONNECTION_PUSH } in compartment <migration_compartment_name>
Nota

Il valore ocb_service_tenancy_ocid_for_realm per il realm OC1 è il seguente:ocid1.tenancy.oc1..aaaaaaaahr2xcduf4knzkzhkzt442t66bpqt3aazss6cy2ll6x4xj3ci7tiq.

Se la tenancy si trova in un realm diverso da OC1, contattare il Supporto Oracle per l'OCID della tenancy del servizio corretto.

Criteri plugin di ricerca automatica

Gruppi dinamici e criteri IAM per il plugin di ricerca automatica.

  • Creare gruppi dinamici per il plugin di ricerca automatica. È possibile assegnare un nome al gruppo dinamico, ad esempio DiscoveryPluginDynamicGroup:
    ALL {resource.type = 'ocbagent'}

    Per ulteriori informazioni sui gruppi dinamici, incluse le autorizzazioni necessarie per crearli, vedere Gestione dei gruppi dinamici e Scrittura dei criteri per i gruppi dinamici.

  • Creare tutti i criteri IAM riportati di seguito per consentire al plugin di ricerca automatica di utilizzare, leggere o gestire le risorse in compartimenti specifici o nella tenancy in uso:
    Allow dynamic-group DiscoveryPluginDynamicGroup to use ocb-connectors in compartment <migration_compartment_name>
    Allow dynamic-group DiscoveryPluginDynamicGroup to use ocb-asset-source-connectors in compartment <migration_compartment_name>
    Allow dynamic-group DiscoveryPluginDynamicGroup to read ocb-inventory in tenancy
    Allow dynamic-group DiscoveryPluginDynamicGroup to manage ocb-inventory-asset in compartment <migration_compartment_name>
    Allow dynamic-group DiscoveryPluginDynamicGroup to read secret-family in compartment <migrationsecret_compartment_name>
    Allow dynamic-group DiscoveryPluginDynamicGroup to use metrics in compartment <migration_compartment_name> where target.metrics.namespace='ocb_asset'

Criteri plugin di replica

Gruppi dinamici e criteri IAM per il plugin di replica.

  • Creare gruppi dinamici per il plugin di replica. È possibile assegnare un nome al gruppo dinamico, ad esempio ReplicationPluginDynamicGroup:
    ALL {resource.type = 'ocbagent'}

    Per ulteriori informazioni sui gruppi dinamici, incluse le autorizzazioni necessarie per crearli, vedere Gestione dei gruppi dinamici e Scrittura dei criteri per i gruppi dinamici.

  • Creare i criteri IAM seguenti in compartimenti specifici o nella tenancy per il plugin di replica per inviare snapshot a OCI Object Storage e chiamare le API di replica del servizio di migrazione:
    Allow dynamic-group ReplicationPluginDynamicGroup to { OCM_REPLICATION_TASK_INSPECT, OCM_REPLICATION_TASK_READ, OCM_REPLICATION_TASK_UPDATE, OCM_CONNECTOR_INSPECT, OCM_ASSET_SOURCE_READ, OCM_ASSET_SOURCE_CONNECTION_PUSH } in compartment <migration_compartment_name>
    Allow dynamic-group ReplicationPluginDynamicGroup to { BUCKET_INSPECT, BUCKET_READ, OBJECTSTORAGE_NAMESPACE_READ, OBJECT_CREATE, OBJECT_DELETE, OBJECT_INSPECT, OBJECT_OVERWRITE, OBJECT_READ } in compartment <migration_compartment_name> where all {target.bucket.name='<REPLICATION_SNAPSHOTS_BUCKET>'}
    Allow dynamic-group ReplicationPluginDynamicGroup to read secret-family in compartment <migrationsecret_compartment_name>
    Allow dynamic-group ReplicationPluginDynamicGroup to use metrics in compartment <migration_compartment_name> where target.metrics.namespace='ocb_asset'
    Allow dynamic-group ReplicationPluginDynamicGroup to {OCB_AGENT_INSPECT, OCB_AGENT_SYNC, OCB_AGENT_READ, OCB_AGENT_DEPENDENCY_INSPECT, OCB_AGENT_DEPENDENCY_READ, OCB_AGENT_KEY_UPDATE, OCB_AGENT_TASK_READ, OCB_AGENT_ASSET_SOURCES_INSPECT, OCB_AGENT_TASK_UPDATE} in tenancy
    Allow dynamic-group ReplicationPluginDynamicGroup to use ocb-connectors in compartment <migration_compartment_name>
    Allow dynamic-group ReplicationPluginDynamicGroup to use ocb-asset-source-connectors in compartment <migration_compartment_name>
    Allow dynamic-group ReplicationPluginDynamicGroup to read ocb-inventory in tenancy
    Allow dynamic-group ReplicationPluginDynamicGroup to read ocb-inventory-asset in compartment <migration_compartment_name>

Criteri agente di idratazione

Gruppi dinamici e criteri IAM per l'agente di idratazione.

  • Creare gruppi dinamici per l'agente di idratazione. È possibile assegnare al gruppo dinamico il nome HydrationAgentDynamicGroup, ad esempio, e sostituire compartmentOCID con l'OCID del compartimento di migrazione:
    ALL {instance.compartment.id = '<migration_compartment_ocid>'}

    Per ulteriori informazioni sui gruppi dinamici, incluse le autorizzazioni necessarie per crearli, vedere Gestione dei gruppi dinamici e Scrittura dei criteri per i gruppi dinamici.

  • Creare i criteri IAM seguenti in compartimenti specifici o nella tenancy per fornire le autorizzazioni all'agente di idratazione per estrarre gli snapshot dallo storage degli oggetti OCI e chiamare le API di idratazione del servizio di migrazione:
    Define tenancy OCM-SERVICE AS <ocm_service_tenancy_ocid_for_realm>     
    Endorse dynamic-group HydrationAgentDynamicGroup to { OBJECT_CREATE } in tenancy OCM-SERVICE where all { target.bucket.name = 'tenancy_ocid' }
    Allow dynamic-group HydrationAgentDynamicGroup to {OCM_HYDRATION_AGENT_TASK_INSPECT, OCM_HYDRATION_AGENT_TASK_UPDATE, OCM_HYDRATION_AGENT_REPORT_STATUS} in compartment <migration_compartment_name>
    Allow dynamic-group HydrationAgentDynamicGroup to read objects in compartment <migration_compartment_name>
Nota

Il valore ocm_service_tenancy_ocid_for_realm per il realm OC1 è il seguente: ocid1.tenancy.oc1..aaaaaaaartv6j5muce2s4djz7rvfn2vwceq3cnue33d72isntnlfmi7huv7q.

Se la tenancy si trova in un realm diverso da OC1, contattare il Supporto Oracle per l'OCID della tenancy del servizio corretto.