Criteri di Oracle Cloud Migrations Service
Per utilizzare il servizio di migrazione sono necessari i criteri del servizio Oracle Cloud Migrations.
Di seguito è riportata la sintassi di un criterio.
allow <subject> to <verb> <resource-type> in <location> where <conditions>
Per dettagli completi, vedere Sintassi dei criteri. Per ulteriori informazioni sulla creazione dei criteri, vedere funzionamento dei criteri, Riferimento ai criteri e Dettagli dei criteri per lo storage degli oggetti.
Per creare criteri utilizzando la console, vedere le istruzioni.
Builder di criteri
Oracle Cloud Migrations supporta Policy Builder. La Costruzione guidata criteri nella console cloud consente di creare rapidamente criteri comuni senza dover digitare manualmente le istruzioni dei criteri. Per creare criteri utilizzando la Costruzione guidata criteri, vedere Scrittura di istruzioni criteri con Costruzione guidata criteri.
In Policy Builder, selezionare i casi d'uso dei criteri per Oracle Cloud Migrations. Per la creazione dei criteri di servizio sono disponibili i modelli criteri predefiniti riportati di seguito.
Criteri migrazione
Gruppi dinamici e criteri IAM per il servizio di migrazione.
- Creare gruppi dinamici per il servizio di migrazione. È possibile assegnare al gruppo dinamico il nome
MigrationDynamicGroup
, ad esempio, e sostituirecompartmentOCID
con l'OCID del compartimento di migrazione:ALL {resource.type = 'ocmmigration', resource.compartment.id = '<migration_compartment_ocid>'}
Per ulteriori informazioni sui gruppi dinamici, incluse le autorizzazioni necessarie per crearli, vedere Gestione dei gruppi dinamici e Scrittura dei criteri per i gruppi dinamici.
- Creare tutti i criteri IAM riportati di seguito per consentire al servizio di migrazione di leggere o gestire le risorse OCI nei compartimenti specifici o nella tenancy in uso:
Allow dynamic-group MigrationDynamicGroup to manage instance-family in compartment <migration_compartment_name> Allow dynamic-group MigrationDynamicGroup to manage compute-image-capability-schema in compartment <migration_compartment_name> Allow dynamic-group MigrationDynamicGroup to manage virtual-network-family in compartment <migration_compartment_name> Allow dynamic-group MigrationDynamicGroup to manage volume-family in compartment <migration_compartment_name> Allow dynamic-group MigrationDynamicGroup to manage object-family in compartment <migration_compartment_name> Allow dynamic-group MigrationDynamicGroup to read ocb-inventory in tenancy Allow dynamic-group MigrationDynamicGroup to read ocb-inventory-asset in compartment <migration_compartment_name> Allow dynamic-group MigrationDynamicGroup to {OCB_CONNECTOR_READ, OCB_CONNECTOR_DATA_READ, OCB_ASSET_SOURCE_READ, OCB_ASSET_SOURCE_CONNECTOR_DATA_UPDATE } in compartment <migration_compartment_name> Allow dynamic-group MigrationDynamicGroup to {INSTANCE_IMAGE_INSPECT, INSTANCE_IMAGE_READ} in tenancy Allow dynamic-group MigrationDynamicGroup to {INSTANCE_INSPECT} in tenancy where any {request.operation='ListShapes'} Allow dynamic-group MigrationDynamicGroup to {DEDICATED_VM_HOST_READ} in tenancy where any {request.operation='GetDedicatedVmHost'} Allow dynamic-group MigrationDynamicGroup to {CAPACITY_RESERVATION_READ} in tenancy where any {request.operation='GetComputeCapacityReservation'} Allow dynamic-group MigrationDynamicGroup to {ORGANIZATIONS_SUBSCRIPTION_INSPECT} in tenancy where any {request.operation='ListSubscriptions'} Allow dynamic-group MigrationDynamicGroup to read rate-cards in tenancy Allow dynamic-group MigrationDynamicGroup to read metrics in tenancy where target.metrics.namespace='ocb_asset' Allow dynamic-group MigrationDynamicGroup to read tag-namespaces in tenancy Allow dynamic-group MigrationDynamicGroup to use tag-namespaces in tenancy where target.tag-namespace.name='CloudMigrations'
Criteri di ricerca automatica
Gruppo dinamico e criterio IAM per il servizio di ricerca automatica.
Creazione di un gruppo dinamico
Creare un gruppo dinamico per il servizio di ricerca automatica. È possibile assegnare un nome al gruppo dinamico, ad esempio DiscoveryDynamicGroup
.
ALL { resource.type = 'ocbassetsource' }
Creazione di un criterio IAM
Creare il criterio IAM seguente per concedere al servizio di ricerca automatica le autorizzazioni necessarie per eseguire le migrazioni.
Allow dynamic-group DiscoveryDynamicGroup to inspect compartments in compartment <migration_compartment_name>
Allow dynamic-group DiscoveryDynamicGroup to read ocb-environments in compartment <migration_compartment_name>
Allow dynamic-group DiscoveryDynamicGroup to read ocb-agents in compartment <migration_compartment_name>
Allow dynamic-group DiscoveryDynamicGroup to read ocb-inventory in tenancy
Allow dynamic-group DiscoveryDynamicGroup to manage ocb-inventory-asset in compartment <migration_compartment_name>
Allow dynamic-group DiscoveryDynamicGroup to {TENANCY_INSPECT} in tenancy
Per ulteriori informazioni sui gruppi dinamici, incluse le autorizzazioni necessarie per crearli, vedere Gestione dei gruppi dinamici e Scrittura dei criteri per i gruppi dinamici.
Criteri agente remoto
Creare i gruppi dinamici e i criteri IAM riportati di seguito per l'agente remoto.
- Creare gruppi dinamici per l'agente remoto. È possibile assegnare un nome al gruppo dinamico, ad esempio
RemoteAgentDynamicGroup
:ALL {resource.type = 'ocbagent'}
Per ulteriori informazioni sui gruppi dinamici, incluse le autorizzazioni necessarie per crearli, vedere Gestione dei gruppi dinamici e Scrittura dei criteri per i gruppi dinamici.
- Creare tutti i criteri IAM riportati di seguito per consentire all'agente remoto di utilizzare, leggere o gestire le risorse OCI in compartimenti specifici o nella tenancy:
Define tenancy OCB-SERVICE as <ocb_service_tenancy_ocid_for_realm> Endorse dynamic-group RemoteAgentDynamicGroup to { OBJECT_CREATE } in tenancy OCB-SERVICE Allow dynamic-group RemoteAgentDynamicGroup to manage buckets in compartment <migration_compartment_name> Allow dynamic-group RemoteAgentDynamicGroup to manage object-family in compartment <migration_compartment_name> Allow dynamic-group RemoteAgentDynamicGroup to {OCM_REPLICATION_TASK_READ, OCM_REPLICATION_TASK_UPDATE} in compartment <migration_compartment_name> Allow dynamic-group RemoteAgentDynamicGroup to use ocb-asset-source-connectors in compartment <migration_compartment_name> Allow dynamic-group RemoteAgentDynamicGroup to use ocb-connectors in compartment <migration_compartment_name> Allow dynamic-group RemoteAgentDynamicGroup to manage ocb-inventory in tenancy Allow dynamic-group RemoteAgentDynamicGroup to manage ocb-inventory-asset in compartment <migration_compartment_name> Allow dynamic-group RemoteAgentDynamicGroup to read secret-family in compartment <migrationsecret_compartment_name> Allow dynamic-group RemoteAgentDynamicGroup to use metrics in compartment <migration_compartment_name> where target.metrics.namespace='ocb_asset' Allow dynamic-group RemoteAgentDynamicGroup to { OCM_CONNECTOR_INSPECT, OCM_ASSET_SOURCE_READ, OCM_ASSET_SOURCE_CONNECTION_PUSH } in compartment <migration_compartment_name> Allow dynamic-group RemoteAgentDynamicGroup to { OCB_AGENT_INSPECT, OCB_AGENT_SYNC, OCB_AGENT_READ, OCB_AGENT_DEPENDENCY_INSPECT, OCB_AGENT_DEPENDENCY_READ, OCB_AGENT_KEY_UPDATE, OCB_AGENT_TASK_READ, OCB_AGENT_ASSET_SOURCES_INSPECT, OCB_AGENT_TASK_UPDATE, OCB_AGENT_UPDATE_COMMAND_CREATE } in compartment <migration_compartment_name> Allow dynamic-group RemoteAgentDynamicGroup to { OCB_ASSET_SOURCE_INSPECT, OCB_ASSET_SOURCE_READ, OCB_ASSET_SOURCE_ASSET_HANDLES_PUSH, OCB_ASSET_SOURCE_CONNECTION_PUSH } in compartment <migration_compartment_name>
Il valore
ocb_service_tenancy_ocid_for_realm
per il realm OC1 è il seguente:ocid1.tenancy.oc1..aaaaaaaahr2xcduf4knzkzhkzt442t66bpqt3aazss6cy2ll6x4xj3ci7tiq
.
Se la tenancy si trova in un realm diverso da OC1, contattare il Supporto Oracle per l'OCID della tenancy del servizio corretto.
Criteri plugin di ricerca automatica
Gruppi dinamici e criteri IAM per il plugin di ricerca automatica.
- Creare gruppi dinamici per il plugin di ricerca automatica. È possibile assegnare un nome al gruppo dinamico, ad esempio
DiscoveryPluginDynamicGroup
:ALL {resource.type = 'ocbagent'}
Per ulteriori informazioni sui gruppi dinamici, incluse le autorizzazioni necessarie per crearli, vedere Gestione dei gruppi dinamici e Scrittura dei criteri per i gruppi dinamici.
- Creare tutti i criteri IAM riportati di seguito per consentire al plugin di ricerca automatica di utilizzare, leggere o gestire le risorse in compartimenti specifici o nella tenancy in uso:
Allow dynamic-group DiscoveryPluginDynamicGroup to use ocb-connectors in compartment <migration_compartment_name> Allow dynamic-group DiscoveryPluginDynamicGroup to use ocb-asset-source-connectors in compartment <migration_compartment_name> Allow dynamic-group DiscoveryPluginDynamicGroup to read ocb-inventory in tenancy Allow dynamic-group DiscoveryPluginDynamicGroup to manage ocb-inventory-asset in compartment <migration_compartment_name> Allow dynamic-group DiscoveryPluginDynamicGroup to read secret-family in compartment <migrationsecret_compartment_name> Allow dynamic-group DiscoveryPluginDynamicGroup to use metrics in compartment <migration_compartment_name> where target.metrics.namespace='ocb_asset'
Criteri plugin di replica
Gruppi dinamici e criteri IAM per il plugin di replica.
- Creare gruppi dinamici per il plugin di replica. È possibile assegnare un nome al gruppo dinamico, ad esempio
ReplicationPluginDynamicGroup
:ALL {resource.type = 'ocbagent'}
Per ulteriori informazioni sui gruppi dinamici, incluse le autorizzazioni necessarie per crearli, vedere Gestione dei gruppi dinamici e Scrittura dei criteri per i gruppi dinamici.
- Creare i criteri IAM seguenti in compartimenti specifici o nella tenancy per il plugin di replica per inviare snapshot a OCI Object Storage e chiamare le API di replica del servizio di migrazione:
Allow dynamic-group ReplicationPluginDynamicGroup to { OCM_REPLICATION_TASK_INSPECT, OCM_REPLICATION_TASK_READ, OCM_REPLICATION_TASK_UPDATE, OCM_CONNECTOR_INSPECT, OCM_ASSET_SOURCE_READ, OCM_ASSET_SOURCE_CONNECTION_PUSH } in compartment <migration_compartment_name> Allow dynamic-group ReplicationPluginDynamicGroup to { BUCKET_INSPECT, BUCKET_READ, OBJECTSTORAGE_NAMESPACE_READ, OBJECT_CREATE, OBJECT_DELETE, OBJECT_INSPECT, OBJECT_OVERWRITE, OBJECT_READ } in compartment <migration_compartment_name> where all {target.bucket.name='<REPLICATION_SNAPSHOTS_BUCKET>'} Allow dynamic-group ReplicationPluginDynamicGroup to read secret-family in compartment <migrationsecret_compartment_name> Allow dynamic-group ReplicationPluginDynamicGroup to use metrics in compartment <migration_compartment_name> where target.metrics.namespace='ocb_asset' Allow dynamic-group ReplicationPluginDynamicGroup to {OCB_AGENT_INSPECT, OCB_AGENT_SYNC, OCB_AGENT_READ, OCB_AGENT_DEPENDENCY_INSPECT, OCB_AGENT_DEPENDENCY_READ, OCB_AGENT_KEY_UPDATE, OCB_AGENT_TASK_READ, OCB_AGENT_ASSET_SOURCES_INSPECT, OCB_AGENT_TASK_UPDATE} in tenancy Allow dynamic-group ReplicationPluginDynamicGroup to use ocb-connectors in compartment <migration_compartment_name> Allow dynamic-group ReplicationPluginDynamicGroup to use ocb-asset-source-connectors in compartment <migration_compartment_name> Allow dynamic-group ReplicationPluginDynamicGroup to read ocb-inventory in tenancy Allow dynamic-group ReplicationPluginDynamicGroup to read ocb-inventory-asset in compartment <migration_compartment_name>
Criteri agente di idratazione
Gruppi dinamici e criteri IAM per l'agente di idratazione.
- Creare gruppi dinamici per l'agente di idratazione. È possibile assegnare al gruppo dinamico il nome
HydrationAgentDynamicGroup
, ad esempio, e sostituirecompartmentOCID
con l'OCID del compartimento di migrazione:ALL {instance.compartment.id = '<migration_compartment_ocid>'}
Per ulteriori informazioni sui gruppi dinamici, incluse le autorizzazioni necessarie per crearli, vedere Gestione dei gruppi dinamici e Scrittura dei criteri per i gruppi dinamici.
- Creare i criteri IAM seguenti in compartimenti specifici o nella tenancy per fornire le autorizzazioni all'agente di idratazione per estrarre gli snapshot dallo storage degli oggetti OCI e chiamare le API di idratazione del servizio di migrazione:
Define tenancy OCM-SERVICE AS <ocm_service_tenancy_ocid_for_realm> Endorse dynamic-group HydrationAgentDynamicGroup to { OBJECT_CREATE } in tenancy OCM-SERVICE where all { target.bucket.name = 'tenancy_ocid' } Allow dynamic-group HydrationAgentDynamicGroup to {OCM_HYDRATION_AGENT_TASK_INSPECT, OCM_HYDRATION_AGENT_TASK_UPDATE, OCM_HYDRATION_AGENT_REPORT_STATUS} in compartment <migration_compartment_name> Allow dynamic-group HydrationAgentDynamicGroup to read objects in compartment <migration_compartment_name>
Il valore
ocm_service_tenancy_ocid_for_realm
per il realm OC1 è il seguente: ocid1.tenancy.oc1..aaaaaaaartv6j5muce2s4djz7rvfn2vwceq3cnue33d72isntnlfmi7huv7q
.
Se la tenancy si trova in un realm diverso da OC1, contattare il Supporto Oracle per l'OCID della tenancy del servizio corretto.