Il criterio IAM OCI utilizza il concetto di accettazione e approvazione per abilitare l'accesso cross-tenancy. Se si desidera concedere l'autorizzazione per le istanze di computazione della tenancy di origine (VendorA) per accedere a Log Analytics della tenancy di destinazione (CompanyABC), gli amministratori di entrambe le tenancy devono creare criteri IAM come indicato di seguito.

1. Impostare il principal e il gruppo dinamico dell'istanza nella tenancy di origine (VendorA):

   La funzionalità Principal istanza consente di effettuare chiamate di servizio da un'istanza. Le istanze di OCI Compute sono autorizzate a interagire con le API OCI creando un gruppo dinamico delle istanze di computazione e un criterio che autorizza le operazioni che le istanze possono eseguire.

   Creare un gruppo dinamico, ad esempio oci_la_dg, per autorizzare le istanze nei compartimenti con le autorizzazioni definite nei criteri.

   Any {instance.compartment.id = 'ocid1.compartment.oc1..aaaaabcd',instance.compartment.id = 'ocid1.compartment.oc1..aaaaadef'}

2. Creare un criterio nella tenancy di origine (VendorA):

   Define tenancy CompanyABC as ocid1.tenancy.oc1..aaaaaaaaabc
   Endorse dynamic-group oci_la_dg to manage loganalytics-features-family in tenancy CompanyABC
   Endorse dynamic-group oci_la_dg to manage loganalytics-resources-family in tenancy CompanyABC
   Endorse dynamic-group oci_la_dg to manage management-dashboard-family in tenancy CompanyABC
   Endorse dynamic-group oci_la_dg to read compartments in tenancy CompanyABC

3. Creare un criterio nella tenancy di destinazione (CompanyABC):

   Define tenancy VendorA as ocid1.tenancy.oc1..aaaaavendora
   Define dynamic-group oci_la_dg as ocid1.dynamicgroup.oc1..aaaaaaaavendora
   Admit dynamic-group oci_la_dg of tenancy VendorA to manage loganalytics-features-family in tenancy
   Admit dynamic-group oci_la_dg of tenancy VendorA to manage loganalytics-resources-family in tenancy
   Admit dynamic-group oci_la_dg of tenancy VendorA to manage management-dashboard-family in tenancy 
   Admit dynamic-group oci_la_dg of tenancy VendorA to read compartments in tenancy

4. Verificare che ora sia possibile eseguire le API Log Analytics dalle istanze a cui erano state concesse le autorizzazioni.

Per informazioni sulle istruzioni Endorse, Admit e Define, vedere Documentazione sullo storage degli oggetti. Oltre ai gruppi dinamici, queste istruzioni possono essere applicate anche ai gruppi.