Impostare le istanze di computazione per accedere a Log Analytics tra tenancy

Potrebbe essere necessario concedere l'accesso a un fornitore di terze parti per gestire e monitorare i log per un CompanyABC. In questo documento viene descritto come impostare l'accesso se il fornitore desidera utilizzare CLI o SDK dalle istanze di computazione nella tenancy VendorA per accedere a Log Analytics di CompanyABC.

Il criterio IAM OCI utilizza il concetto di accettazione e approvazione per abilitare l'accesso cross-tenancy. Se si desidera concedere l'autorizzazione per le istanze di computazione della tenancy di origine (VendorA) per accedere a Log Analytics della tenancy di destinazione (CompanyABC), gli amministratori di entrambe le tenancy devono creare criteri IAM come indicato di seguito.

1. Imposta principal istanza e gruppo dinamico nella tenancy di origine (VendorA):

   La funzionalità principal delle istanze consente di effettuare chiamate di servizio da un'istanza. Le istanze di computazione OCI sono autorizzate a interagire con le API OCI creando un gruppo dinamico delle istanze di computazione e un criterio che autorizza le operazioni che le istanze possono eseguire.

   Creare un gruppo dinamico, ad esempio oci_la_dg, per autorizzare le istanze nei compartimenti con le autorizzazioni definite nei criteri.

   Any {instance.compartment.id = 'ocid1.compartment.oc1..aaaaabcd',instance.compartment.id = 'ocid1.compartment.oc1..aaaaadef'}

2. Creare un criterio nella tenancy di origine (VendorA):

   Define tenancy CompanyABC as ocid1.tenancy.oc1..aaaaaaaaabc
   Endorse dynamic-group oci_la_dg to manage loganalytics-features-family in tenancy CompanyABC
   Endorse dynamic-group oci_la_dg to manage loganalytics-resources-family in tenancy CompanyABC
   Endorse dynamic-group oci_la_dg to manage management-dashboard-family in tenancy CompanyABC
   Endorse dynamic-group oci_la_dg to read compartments in tenancy CompanyABC

3. Creare un criterio nella tenancy di destinazione (CompanyABC):

   Define tenancy VendorA as ocid1.tenancy.oc1..aaaaavendora
   Define dynamic-group oci_la_dg as ocid1.dynamicgroup.oc1..aaaaaaaavendora
   Admit dynamic-group oci_la_dg of tenancy VendorA to manage loganalytics-features-family in tenancy
   Admit dynamic-group oci_la_dg of tenancy VendorA to manage loganalytics-resources-family in tenancy
   Admit dynamic-group oci_la_dg of tenancy VendorA to manage management-dashboard-family in tenancy 
   Admit dynamic-group oci_la_dg of tenancy VendorA to read compartments in tenancy

4. Verificare che ora sia possibile eseguire le API Log Analytics dalle istanze a cui erano state concesse le autorizzazioni.

Per informazioni sulle istruzioni Endorse, Admit e Define, vedere Documentazione sullo storage degli oggetti. Oltre ai gruppi dinamici, queste istruzioni possono essere applicate anche ai gruppi.