Impostare le istanze di computazione per accedere a Log Analytics tra tenancy
Il criterio IAM OCI utilizza il concetto di accettazione e approvazione per abilitare l'accesso cross-tenancy. Se si desidera concedere l'autorizzazione per le istanze di computazione della tenancy di origine (VendorA) per accedere a Log Analytics della tenancy di destinazione (CompanyABC), gli amministratori di entrambe le tenancy devono creare criteri IAM come indicato di seguito.
-
Impostare il principal e il gruppo dinamico dell'istanza nella tenancy di origine (VendorA):
La funzionalità Principal istanza consente di effettuare chiamate di servizio da un'istanza. Le istanze di OCI Compute sono autorizzate a interagire con le API OCI creando un gruppo dinamico delle istanze di computazione e un criterio che autorizza le operazioni che le istanze possono eseguire.
Creare un gruppo dinamico, ad esempio oci_la_dg, per autorizzare le istanze nei compartimenti con le autorizzazioni definite nei criteri.
Any {instance.compartment.id = 'ocid1.compartment.oc1..aaaaabcd',instance.compartment.id = 'ocid1.compartment.oc1..aaaaadef'}
-
Creare un criterio nella tenancy di origine (VendorA):
Define tenancy CompanyABC as ocid1.tenancy.oc1..aaaaaaaaabc Endorse dynamic-group oci_la_dg to manage loganalytics-features-family in tenancy CompanyABC Endorse dynamic-group oci_la_dg to manage loganalytics-resources-family in tenancy CompanyABC Endorse dynamic-group oci_la_dg to manage management-dashboard-family in tenancy CompanyABC Endorse dynamic-group oci_la_dg to read compartments in tenancy CompanyABC
-
Creare un criterio nella tenancy di destinazione (CompanyABC):
Define tenancy VendorA as ocid1.tenancy.oc1..aaaaavendora Define dynamic-group oci_la_dg as ocid1.dynamicgroup.oc1..aaaaaaaavendora Admit dynamic-group oci_la_dg of tenancy VendorA to manage loganalytics-features-family in tenancy Admit dynamic-group oci_la_dg of tenancy VendorA to manage loganalytics-resources-family in tenancy Admit dynamic-group oci_la_dg of tenancy VendorA to manage management-dashboard-family in tenancy Admit dynamic-group oci_la_dg of tenancy VendorA to read compartments in tenancy
-
Verificare che ora sia possibile eseguire le API Log Analytics dalle istanze a cui erano state concesse le autorizzazioni.
Per informazioni sulle istruzioni Endorse
, Admit
e Define
, vedere Documentazione sullo storage degli oggetti. Oltre ai gruppi dinamici, queste istruzioni possono essere applicate anche ai gruppi.