Criteri e autorizzazioni OCC

Crea criteri IAM per controllare chi ha accesso ai dati delle metriche OCC e delle richieste di capacità e per controllare il tipo di accesso per ogni gruppo di utenti.

Per i dati delle metriche in OCC, non è possibile limitare l'accesso in base agli ID risorsa. È possibile utilizzare il nome della famiglia control-center-family e il tipo di risorsa control-center-metrics per limitare l'accesso ai dati complessivi della metrica.

È possibile utilizzare la famiglia di nomi di famiglia control-center-capacity-management-family e i tipi di risorsa control-center-availability-catalogs e control-center-capacity-requests per limitare l'accesso a Capacity Management.

Per i dettagli, vedere la sezione Esempi di criteri.

Gli utenti del gruppo Administrators hanno accesso a tutte le risorse OCC e ai dati delle metriche. Creare criteri per consentire agli utenti di disporre dei diritti necessari per i dati della metrica OCC.

Se non conosci i criteri IAM, consulta la Guida introduttiva ai criteri.

Per un elenco completo dei criteri di Oracle Cloud Infrastructure, consulta il riferimento ai criteri.

Questa sezione illustra gli argomenti riportati di seguito.

Per utilizzare OCC, creare un criterio che conceda le seguenti autorizzazioni agli utenti o ai gruppi che interagiscono di conseguenza con il servizio.

Tipi e autorizzazioni risorsa

Lista dei tipi di risorsa del centro di controllo e delle autorizzazioni associate.

Per assegnare le autorizzazioni a tutte le risorse di monitoraggio delle metriche OCC, utilizzare il tipo di aggregazione Control-center-family.

Per creare una richiesta di capacità, è necessario disporre dell'autorizzazione control-center-capacity-management-family.

Nella tabella seguente sono elencate tutte le risorse in OCC:


Nome famiglia	Risorse membro	Azione assegnata all'utente
`control-center-family`	`control-center-metrics` `control-center-demand-signals`	Include tutte le metriche del Control Center e le eventuali risorse membro future in un'unica famiglia.
`control-center-capacity-management-family`	`control-center-availability-catalogs` `control-center-capacity-requests`	Include tutta la gestione della capacità del Control Center e tutte le risorse dei membri futuri in un'unica famiglia.

Un criterio che utilizza <verb> control-center-family equivale alla scrittura di un criterio con un'istruzione <verb> <resource-type> separata per ciascuno dei singoli tipi di risorsa.


Tipo di risorsa	Autorizzazioni	Azione assegnata all'utente
`control-center-metrics`	`CONTROL_CENTER_METRICS_INSPECT` `CONTROL_CENTER_METRICS_READ`	Leggere gli spazi di nomi delle metriche OCC, i nomi delle metriche e i valori delle metriche.
`control-center-availability-catalogs`	`CONTROL_CENTER_AVAILABILITY_CATALOG_INSPECT` `CONTROL_CENTER_AVAILABILITY_CATALOG_READ`	Leggere ed esportare i cataloghi di disponibilità e le disponibilità.
`control-center-capacity-requests`	`CONTROL_CENTER_CAPACITY_REQUEST_CREATE` `CONTROL_CENTER_CAPACITY_REQUEST_DELETE` `CONTROL_CENTER_CAPACITY_REQUEST_UPDATE` `CONTROL_CENTER_CAPACITY_REQUEST_INSPECT` `CONTROL_CENTER_CAPACITY_REQUEST_READ`	Crea, aggiorna ed elimina le richieste di capacità.
`control-center-demand-signals`	`CONTROL_CENTER_DEMAND_SIGNAL_CREATE` `CONTROL_CENTER_DEMAND_SIGNAL_DELETE` `CONTROL_CENTER_DEMAND_SIGNAL_UPDATE` `CONTROL_CENTER_DEMAND_SIGNAL_INSPECT` `CONTROL_CENTER_DEMAND_SIGNAL_READ`	Aggiungere, leggere, aggiornare ed eliminare la quantità domanda di risorse nelle richieste di capacità.

Variabili supportate

È possibile utilizzare variabili per aggiungere condizioni a un criterio.

OCI Control Center supporta le variabili riportate di seguito.

Entità: identificativo Oracle Cloud (OCID)
Stringa: testo in formato libero.
Elenco: lista di entità o stringa.

Vedere Variabili generali per tutte le richieste.

Le variabili sono minuscole e separate da trattini. Ad esempio, target.tag-namespace.name, target.display-name. name deve essere univoco e display-name è la descrizione.

Le variabili richieste vengono fornite dal servizio OCI Control Center per ogni richiesta. Le variabili automatiche vengono fornite dal motore di autorizzazione (servizio locale con l'SDK per un client di grandi dimensioni o sul piano dati di Identity per un thin client).


Variabili richieste	Digitare	Descrizione
`target.compartment.id`	Entità (OCID)	OCID della risorsa primaria per la richiesta.
`request.operation`	Stringa	ID dell'operazione (ad esempio, `GetUser`) per la richiesta.
`target.resource.kind`	Stringa	Nome del tipo della risorsa primaria per la richiesta.


Variabili automatiche	Digitare	Descrizione
`request.user.id`	Entità (OCID)	OCID dell'utente richiedente.
`request.groups.id`	Elenco di entità (OCID)	OCID dei gruppi in cui si trova l'utente richiedente.
`target.compartment.name`	Stringa	Il nome del compartimento specificato in `target.compartment.id`.
`target.tenant.id`	Entità (OCID)	OCID dell'ID tenant di destinazione.


Variabili dinamiche	Digitare	Descrizione
`request.principal.group.tag.<tagNS>.<tagKey>`	Stringa	Il valore di ogni tag in un gruppo di cui il principal è membro.
`request.principal.compartment.tag.<tagNS>.<tagKey>`	Stringa	Il valore di ogni tag nel compartimento che contiene il principal.
`target.resource.tag.<tagNS>.<tagKey>`	Stringa	Il valore di ogni tag nella risorsa di destinazione. (Calcolato sulla base di tagSlug fornito dal servizio su ogni richiesta.)
`target.resource.compartment.tag.<tagNS>.<tagKey>`	Stringa	Il valore di ogni tag nel compartimento che contiene la risorsa di destinazione. (Calcolato sulla base di tagSlug fornito dal servizio su ogni richiesta.)

Di seguito è riportato un elenco delle origini disponibili per le variabili.

Richiesta: viene dall'input della richiesta.
Derivato: viene dalla richiesta.
Memorizzato: viene dal servizio e l'input conservato.
Calcolato: viene calcolato in base ai dati del servizio.

Dettagli per le combinazioni verbo-tipo di risorsa

Identificare le autorizzazioni e le operazioni API coperte da ciascun verbo per le risorse del Control Center.

Il livello di accesso è cumulativo quando si passa da inspect a read a use a manage. Un segno più (+) in una cella di tabella indica l'accesso incrementale rispetto alla cella precedente, no extra indica l'assenza di accesso incrementale.

Per informazioni sulla concessione dell'accesso, vedere Autorizzazioni.

control-center-metrics

In questa tabella sono elencate le autorizzazioni e le operazioni API coperte da ciascun verbo per la risorsa control-center-metrics.


Verbi	Autorizzazioni	API coperte	descrizione;
`inspect`	`CONTROL_CENTER_METRICS_INSPECT`	`ListNamespaces` `ListMetricProperties`	Le metriche sono raggruppate in spazi di nomi. Elencare tutti gli spazi di nomi. Recupera la lista di metriche in uno spazio di nomi specifico.
`read`	`inspect+` `CONTROL_CENTER_METRICS_READ`	`inspect+` `RequestSummarizedMetricData`	Recupera i dati (valori) per una metrica in uno spazio di nomi specifico.
`use`	`read+`	`no extra`
`manage`	`use+`	`no extra`

catalogo-disponibilità-centro-controllo

In questa tabella sono elencate le autorizzazioni e le operazioni API coperte da ciascun verbo per la risorsa control-center-availability-catalogs.


Verbi	Autorizzazioni	API coperte	descrizione;
`inspect`	`CONTROL_CENTER_AVAILABILITY_CATALOG_INSPECT`	`ListOccAvailabilityCatalogs`	Elenca tutti i cataloghi di disponibilità.
`read`	`inspect+` `CONTROL_CENTER_AVAILABILITY_CATALOG_READ`	`inspect+` `GetOccAvailabilityCatalog` `GetOccAvailabilityCatalogContent` `ListOccAvailabilities`	Ottenere i dettagli del catalogo disponibilità. Restituisce il contenuto binario del catalogo di disponibilità. Elenca le disponibilità in un catalogo delle disponibilità.

centri di controllo-capacità-richieste

In questa tabella sono elencate le autorizzazioni e le operazioni API coperte da ciascun verbo per la risorsa control-center-capacity-requests.


Verbi	Autorizzazioni	API coperte	descrizione;
`inspect`	`CONTROL_CENTER_CAPACITY_REQUEST_INSPECT`	`ListOccCapacityRequests`	Elenca tutte le richieste di capacità.
`read`	`inspect+` `CONTROL_CENTER_CAPACITY_REQUEST_READ`	`inspect+` `GetOccCapacityRequest`	Recupera i dettagli sulla richiesta di capacità.
`use`	`read+` `CONTROL_CENTER_CAPACITY_REQUEST_UPDATE`	`read+` `UpdateOccCapacityRequest`	Aggiornare la richiesta di capacità.
`manage`	`use+` `CONTROL_CENTER_CAPACITY_REQUEST_CREATE` `CONTROL_CENTER_CAPACITY_REQUEST_DELETE`	`use+` `CreateOccCapacityRequest` `DeleteOccCapacityRequest`	Creare una richiesta di capacità. Elimina una risorsa richiesta capacità.

segnali control-center-demand

In questa tabella sono elencate le autorizzazioni e le operazioni API coperte da ciascun verbo per la risorsa control-center-demand-signals.


Verbi	Autorizzazioni	API coperte	Descrizione
`inspect`	`CONTROL_CENTER_DEMAND_SIGNALS_INSPECT`	`ListOccDemandSignals`	Elenca tutte le risorse in una richiesta di capacità.
`read`	`inspect+` `CONTROL_CENTER_DEMAND_SIGNALS_READ`	`inspect+` `GetOccDemandSignal`	Ottieni dettagli sulle risorse in una richiesta di capacità.
`use`	`read+` `CONTROL_CENTER_DEMAND_SIGNALS_UPDATE`	`read+` `UpdateOccDemandSignal` `PatchOccDemandSignal`	Aggiornare il nome di una richiesta di capacità. Modifica la quantità domanda di risorse in una richiesta di capacità.
`manage`	`use+` `CONTROL_CENTER_DEMAND_SIGNALS_CREATE` `CONTROL_CENTER_DEMAND_SIGNALS_DELETE`	`use+` `CreateOccDemandSignal` `DeleteOccDemandSignal`	Aggiungere una risorsa in una richiesta di capacità. Eliminare una risorsa in una richiesta di capacità.

Autorizzazioni necessarie per ogni operazione API

Nella tabella seguente sono elencate le operazioni API in ordine logico.

Per ulteriori informazioni, vedere Autorizzazioni.


Operazione API	Autorizzazioni necessarie per utilizzare l'operazione
`ListNamespaces`	`CONTROL_CENTER_METRICS_INSPECT`
`ListMetricProperties`	`CONTROL_CENTER_METRICS_INSPECT`
`RequestSummarizedMetricData`	`CONTROL_CENTER_METRICS_READ`
`ListOccAvailabilityCatalogs`	`CONTROL_CENTER_AVAILABILITY_CATALOG_INSPECT`
`GetOccAvailabilityCatalog`	`CONTROL_CENTER_AVAILABILITY_CATALOG_READ`
`GetOccAvailabilityCatalogContent`	`CONTROL_CENTER_AVAILABILITY_CATALOG_READ`
`ListOccAvailabilities`	`CONTROL_CENTER_AVAILABILITY_CATALOG_READ`
`CreateOccCapacityRequest`	`CONTROL_CENTER_CAPACITY_REQUEST_CREATE`
`DeleteOccCapacityRequest`	`CONTROL_CENTER_CAPACITY_REQUEST_DELETE`
`UpdateOccCapacityRequest`	`CONTROL_CENTER_CAPACITY_REQUEST_UPDATE`
`ListOccCapacityRequests`	`CONTROL_CENTER_CAPACITY_REQUEST_INSPECT`
`GetOccCapacityRequest`	`CONTROL_CENTER_CAPACITY_REQUEST_READ`
`CreateOccDemandSignal`	`CONTROL_CENTER_DEMAND_SIGNAL_CREATE`
`DeleteOccDemandSignal`	`CONTROL_CENTER_DEMAND_SIGNAL_DELETE`
`PatchOccDemandSignal`	`CONTROL_CENTER_DEMAND_SIGNAL_UPDATE`
`UpdateOccDemandSignal`	`CONTROL_CENTER_DEMAND_SIGNAL_UPDATE`
`ListOccDemandSignals`	`CONTROL_CENTER_DEMAND_SIGNAL_INSPECT`
`GetOccDemandSignal`	`CONTROL_CENTER_DEMAND_SIGNAL_READ`

Creazione di un criterio

Di seguito viene descritto come creare un criterio nella console.

Aprire il menu di navigazione e fare clic su Identità e sicurezza. In Identità fare clic su Criteri.
Nella pagina Criteri fare clic su Crea criterio.
Nel pannello Crea criterio immettere un nome, una descrizione per il criterio e specificare il compartimento in cui si desidera creare il criterio.
In Costruzione guidata criteri, fare clic sullo switch Mostra editor manuale per abilitare l'editor.

Immettere una regola dei criteri nel formato specificato. Vedere gli esempi di criteri in Criteri e autorizzazioni OCC.
Fare clic su Crea.

Per istruzioni su come creare e gestire i criteri mediante la console o l'API, vedere Gestione dei criteri.

Per un elenco completo di tutti i criteri in Oracle Cloud Infrastructure, consulta il riferimento ai criteri e i criteri comuni.

Esempi di criteri

I criteri OCC sono necessari per la visualizzazione dei dati delle metriche OCC.

Per istruzioni sulla creazione dei criteri mediante la console, vedere Creazione di un criterio.

Per ulteriori dettagli sulla sintassi, vedere Sintassi dei criteri.

Vengono forniti i seguenti esempi di criteri:

Consente al gruppo di elencare le metriche e leggere i dati delle metriche.

Allow group <group name> to use control-center-metrics in tenancy

Consente al gruppo di gestire le richieste di capacità.

Allow group customeradmin to manage control-center-capacity-request in tenancy

Polizze familiari OCC

Creare questo criterio nella tenancy per consentire a un utente o per leggere tutte le metriche in OCC:

Allow <user> to read control-center-family in tenancy

Criteri di onboarding gestione capacità OCC

Creare i criteri riportati di seguito nella tenancy per utilizzare le funzionalità di gestione della capacità.

allow group <group-name> to manage control-center-capacity-requests in tenancy

allow group <group-name> to read control-center-availability-catalogs in tenancy

define tenancy operator as ocid1.tenancy.oc1..aaaaaaaagkbzgg6lpzrf47xzy4rjoxg4de6ncfiq2rncmjiujvy2hjgxvziqy

define group ccm-operators as ocid1.group.oc1..aaaaaaaay7y5a5tifmzcaa6ucaljuxyf5qvoghcn2lk4l3gxzvmiow7xaa6q

admit group ccm-operators of tenancy operator to use control-center-capacity-requests in tenancy

<group-name> indica qualsiasi gruppo di utenti nella tenancy del cliente utilizzato per la gestione della capacità. I criteri correlati alla tenancy dell'operatore e al gruppo di operatori ccm consentono agli operatori OCI di lavorare sulle richieste di capacità create dai clienti.

Documentazione di Oracle Cloud Infrastructure