Creare gruppi, gruppi dinamici e polizze

È possibile controllare il modo in cui gli utenti gestiscono le istanze di Resource Analytics nella tenancy.

In genere, è possibile creare un gruppo di utenti nella tenancy e concedere a tale gruppo i diritti per gestire il servizio in un determinato compartimento e concedere al principal risorsa dell'istanza di Resource Analytics i diritti per osservare i metadati delle risorse della tenancy.

il 1. creare un gruppo e un gruppo dinamico;

Ottenere l'OCID del compartimento scelto per l'istanza di Resource Analytics.
In questo esempio, è l'OCID di resource-analytics-compartment.
Nel dominio di Identity:
1. Creare un gruppo denominato resource-analytics-admins. Contiene gli utenti per gestire le istanze di Resource Analytics e gli allegati della tenancy, i database AI autonomi e le istanze di Analytics Cloud.
2. Aggiungere gli utenti al gruppo in base alle esigenze.
3. Creare un gruppo dinamico denominato resource-analytics-instances.
4. Aggiungere la regola seguente al gruppo dinamico in modo che corrisponda all'istanza di Resource Analytics creata successivamente nel compartimento resource-analytics-compartment:
```
all {resource.type = 'resanalyticsinstance', resource.compartment.id = '<resource-analytics-compartment-ocid>'} 
```
Per ulteriori informazioni sull'aggiunta di utenti, gruppi e gruppi dinamici ai domini nella tenancy, vedere Gestione degli utenti, Gestione dei gruppi e Gestione dei gruppi dinamici.

Per le tenancy precedenti che non supportano i domini di Identity, vedere Gestione degli utenti, Gestione dei gruppi e Gestione dei gruppi dinamici.

2. Crea polizze

Dopo aver creato il gruppo di utenti e il gruppo dinamico, è necessario fornire i diritti (autorizzazioni) a tali gruppi in modo che i membri del gruppo possano amministrare le istanze di Resource Analytics, ispezionare il set di aree sottoscritte della tenancy e osservare e segnalare i metadati per le risorse nella tenancy. L'utente fornisce i diritti ai gruppi sotto forma di criteri IAM.

I criteri IAM regolano il controllo delle risorse nelle tenancy Oracle Cloud Infrastructure (OCI). Un criterio contiene una o più istruzioni criterio.

Per creare i criteri:

La procedura ottimale consiste nell'utilizzare la Costruzione guidata criteri, che consente di creare rapidamente criteri comuni senza dover digitare manualmente le istruzioni dei criteri. Vedere Utilizzare Costruzione guidata criteri per creare criteri.
In caso contrario, è necessario creare un criterio e digitare manualmente le istruzioni dei criteri. Vedere Utilizzare l'editor manuale per creare criteri.

Per ulteriori informazioni sull'aggiunta di criteri alla tenancy, vedere Panoramica dell'utilizzo dei criteri. Per informazioni sulle tenancy meno recenti che non supportano i domini di Identity, vedere Gestione dei criteri.

Utilizzare Costruzione guidata criteri per creare criteri

Quando si utilizza il generatore di criteri per creare criteri per la tenancy, si utilizzano i modelli di criteri di Resource Analytics. Un modello di criteri include tutte le istruzioni necessarie per fornire le autorizzazioni per eseguire un task o un set di task correlati in un servizio in OCI.

Per ulteriori informazioni sulle istruzioni incluse in ciascun modello di criteri di Resource Analytics, vedere Modelli di criteri di Policy Builder. Per informazioni sulle tenancy precedenti che non supportano i domini di Identity, vedere Criteri comuni.

Creare criteri mediante Costruzione guidata criteri

Creare tre criteri utilizzando Costruzione guidata criteri:

Consenti alle istanze di Resource Analytics di gestire le risorse di Resource Analytics: consente alle istanze di Resource Analytics di gestire le risorse di Resource Analytics, inclusi i metadati delle risorse, i compartimenti, i database AI autonomi, la famiglia di reti virtuali, le richieste di lavoro delle istanze di analytics e le istanze di analytics.
Consenti agli amministratori di gestire le risorse di Resource Analytics: consentono agli amministratori di gestire le risorse di Resource Analytics, tra cui la famiglia di Resource Analytics, la famiglia di reti virtuali, i data warehouse AI autonomi e le richieste di lavoro.
Consente agli amministratori di ispezionare il set di aree sottoscritte della tenancy: consentono agli amministratori di ispezionare il set di aree sottoscritte della tenancy.

Attenersi alla procedura seguente:

Nella pagina Analisi risorse, selezionare Visualizza dettagli per visualizzare il pannello Configura prerequisiti per il primo utilizzo.
Nella sezione Crea criteri, selezionare Costruzione guidata criteri per andare alla pagina Criteri identità e sicurezza.
Selezionare Crea criterio.
1. Immettere un nome e una descrizione per il criterio, quindi selezionare il compartimento radice.
2. In Casi d'uso dei criteri, selezionare Resource Analytics.
3. In Modelli di criteri comuni selezionare Consenti alle istanze di Resource Analytics di gestire le risorse di Resource Analytics.
4. Selezionare il dominio di Identity.
5. Selezionare il gruppo dinamico resource-analytics-instances.
6. Selezionare Crea.
Nella pagina Criteri di identità e sicurezza selezionare Crea criterio.
1. Immettere un nome e una descrizione per il criterio, quindi selezionare resource-analytics-compartment o un compartimento qualsiasi sopra di esso.
2. In Casi d'uso dei criteri, selezionare Resource Analytics.
3. In Modelli di criteri comuni selezionare Consenti agli amministratori di gestire le risorse di Resource Analytics.
4. Selezionare il dominio di Identity.
5. Selezionare il gruppo resource-analytics-admins.
6. Selezionare Crea.
Nella pagina Criteri di identità e sicurezza selezionare Crea criterio.
1. Immettere un nome e una descrizione per il criterio, quindi selezionare il compartimento radice.
2. In Casi d'uso dei criteri, selezionare Resource Analytics.
3. In Modelli di criteri comuni selezionare Consenti agli amministratori di ispezionare il set di aree sottoscritte della tenancy.
4. Selezionare il dominio di Identity.
5. Selezionare il gruppo resource-analytics-admins.
6. Selezionare Crea.
Nella pagina Criteri di identità e sicurezza confermare che tutti i criteri vengono creati.

Utilizzare l'editor manuale per creare criteri

Seguire queste istruzioni se si decide di non utilizzare la Costruzione guidata criteri per creare i criteri da assegnare al gruppo di amministratori e al gruppo dinamico. I criteri vengono creati con istruzioni diverse a seconda che ci si trovi nel dominio Default o in un altro dominio:

Crea criteri per il gruppo di amministratori nel dominio predefinito
Crea criteri per il gruppo di amministratori in un dominio di Identity non predefinito
Crea criteri per l'istanza di Resource Analytics nel dominio predefinito
Crea criteri per l'istanza di Resource Analytics in un dominio di Identity non predefinito

Suggerimento

Se si desidera creare manualmente i criteri, è molto probabile che si copiino le istruzioni dei criteri elencate di seguito sia per il gruppo resource-analytics-admins che per il gruppo dinamico resource-analytics-instances. Se preferibile, è possibile combinare uno o tutti e tre i set di istruzioni dei criteri per il gruppo di amministratori e l'istanza in un singolo criterio alla radice.

Crea criteri per il gruppo di amministratori nel dominio predefinito

Seguire questa procedura solo se si utilizza il dominio Default.

Per consentire al gruppo resource-analytics-admins di amministrare le istanze di Resource Analytics, creare un criterio con le istruzioni seguenti all'interno o al di sopra del compartimento (resource-analytics-compartment) in cui si desidera creare un'istanza di Resource Analytics:

allow group resource-analytics-admins to manage resource-analytics-family in compartment resource-analytics-compartment
allow group resource-analytics-admins to use virtual-network-family in compartment resource-analytics-compartment
allow group resource-analytics-admins to manage autonomous-data-warehouses in compartment resource-analytics-compartment
allow group resource-analytics-admins to inspect work-requests in compartment resource-analytics-compartment

Per consentire al gruppo resource-analytics-admins di ispezionare il set di aree sottoscritte della tenancy, creare un criterio con le istruzioni seguenti nel compartimento radice:
```
allow group resource-analytics-admins to inspect tenancies in tenancy
```

Crea criteri per il gruppo di amministratori in un dominio di Identity non predefinito

Se la tenancy supporta i domini di Identity e il dominio di Identity del gruppo resource-analytics-admins non è Default, ma un altro nome, ad esempio MyDomain, utilizzare la sintassi del nome qualificato per fare riferimento al gruppo.

allow group 'MyDomain'/'resource-analytics-admins' to manage resource-analytics-family in compartment resource-analytics-compartment
allow group 'MyDomain'/'resource-analytics-admins' to use virtual-network-family in compartment resource-analytics-compartment
allow group 'MyDomain'/'resource-analytics-admins' to manage autonomous-data-warehouses in compartment resource-analytics-compartment
allow group 'MyDomain'/'resource-analytics-admins' to inspect work-requests in compartment resource-analytics-compartment

Per consentire al gruppo resource-analytics-admins di ispezionare il set di aree sottoscritte della tenancy, creare un criterio con le istruzioni seguenti nel compartimento radice:
```
allow group 'MyDomain'/'resource-analytics-admins' to inspect tenancies in tenancy
```

Crea criteri per l'istanza di Resource Analytics nel dominio predefinito