Documentazione dell'infrastruttura Oracle Cloud

Creare e gestire i criteri con Policy Advisor

Utilizzare Policy Advisor per stabilire rapidamente le autorizzazioni OCI per le risorse che consentono loro di essere abilitate per Ops Insights. Policy Advisor è una posizione centralizzata in cui è possibile visualizzare, creare, aggiornare ed eliminare i criteri necessari per Ops Insights.

Policy Advisor automatizza la creazione dei criteri seguenti:
  • Criteri necessari per gli utenti di Ops Insights (sia per gli amministratori che per gli utenti di sola lettura).
  • Criteri necessari per il corretto funzionamento del servizio Ops Insights.
  • Criteri per l'impostazione della modalità demo (facoltativo).
Nota

I criteri any-user sono i criteri dei principal delle risorse necessari per il servizio Ops Insights. I criteri contenenti group {name} sono richiesti dall'utente che tenta di abilitare il servizio

Ops Insights non è più valido per i criteri di sistema dei principal del servizio che rappresentano un rischio per la sicurezza a partire dal 31 agosto 2025. Per ulteriori informazioni, vedere: Rimozione dei criteri del principal del servizio.

Impostazione dei criteri dei prerequisiti per Ops Insights

Gli amministratori che possono creare criteri nel compartimento radice devono attenersi alla procedura riportata di seguito per impostare i criteri dei prerequisiti necessari con Policy Advisor.
  1. Nella pagina Panoramica di Ops Insights, in alto a destra fare clic su Policy Advisor. Verrà avviata la procedura guidata di Policy Advisor.
  2. Nella sezione Accesso alle risorse fare clic sul pulsante Configura per Ops Insights. Questi criteri forniranno i prerequisiti necessari per utilizzare il servizio Ops Insights.
  3. Nella finestra dei prerequisiti del servizio Ops Insights selezionare i gruppi di utenti che devono accedere ai criteri dei prerequisiti, fare clic su + Aggiungi gruppo di utenti. Selezionare tutti i gruppi richiesti e selezionare se è necessario l'accesso amministratore o l'accesso utente. Al termine, fare clic su Seleziona.
  4. Nella finestra dei prerequisiti del servizio Ops Insights verranno visualizzati i gruppi di utenti e il livello di accesso configurati. A destra di questa tabella, selezionare i compartimenti ai quali il gruppo di utenti può accedere. Dopo aver aggiunto tutti i compartimenti, fare clic su Anteprima e applicazione delle modifiche.
  5. La finestra Completa prerequisiti consente di visualizzare in anteprima le istruzioni dei criteri che verranno applicate, quindi fare clic su Avanti per applicarle.
  6. Una volta applicati i criteri dei prerequisiti, verrà visualizzato un segno di spunta verde. Per terminare, fare clic su Chiudi. I criteri dei prerequisiti sono stati applicati.

Impostazione e gestione dei criteri per i servizi Ops Insights

Policy Advisor consente di concedere e modificare i criteri necessari per tipi di telemetria specifici e tipi di risorse che devono essere analizzati con Ops Insights dall'ambiente in uso, sia per il gruppo di utenti che eseguirà questa azione sia per il servizio stesso.

Di seguito è riportata una lista di telemetria e tipi di risorsa i cui criteri possono essere gestiti da Policy Advisor.
  • Database
    • Autonomous Database su OCI
    • Database Bare Metal, VM ed Exa-DB su OCI
    • Database esterni (tramite telemetria):
      • Database gestiti da Enterprise Manager
      • Database gestiti da OCI Management Agent
    • Database MySQL
      • HeatWave Sistemi MySQL Database
      • Sistemi MySQL Database esterni
  • Istanze e host di computazione
    • Istanze di calcolo in OCI
    • Host esterni (tramite telemetria):
      • Host gestiti da Enterprise Manager
      • Host gestiti da OCI Management Agent
  • Exadata
    • Sistemi Exadata (telemetria tramite Enterprise Manager)
    • Exadata Database Service on Dedicated Infrastructure (ExaDB-D)
  • Report novità
Per impostare i criteri specifici, assicurarsi innanzitutto che i bucket necessari siano stati creati nei compartimenti da utilizzare e attenersi alla procedura riportata di seguito.
  1. Nella pagina Panoramica di Ops Insights, in alto a destra fare clic su Policy Advisor. Verrà avviata la procedura guidata di Policy Advisor.
  2. Nella scheda Accesso alle risorse verranno visualizzati i nomi dei servizi che richiedono l'applicazione di criteri per il funzionamento di Ops Insights. Selezionare il servizio che si desidera modificare e fare clic sul pulsante Configura.
  3. Nella finestra Prerequisiti del servizio Ops Insights selezionare i gruppi di utenti per i quali è necessario modificare l'accesso ai criteri
    1. Per aggiungere gruppi di utenti, fare clic su + Aggiungi gruppo di utenti. Selezionare tutti i gruppi richiesti e selezionare se è necessario l'accesso amministratore o l'accesso utente. Al termine, fare clic su Seleziona.
    2. Per rimuovere i gruppi di utenti, selezionare i tre punti a destra di un gruppo di utenti a cui è consentito l'accesso e selezionare Rimuovi, in questo modo verrà rimosso dalla tabella.
  4. Nella finestra dei prerequisiti del servizio selezionata verranno visualizzati i gruppi di utenti e il livello di accesso configurati. A destra di questa tabella, selezionare i compartimenti ai quali possono accedere i gruppi di utenti.
    1. Per aggiungere compartimenti, fare clic sulla casella di testo e selezionare i compartimenti appropriati.
    2. Per rimuovere i compartimenti, fare clic sulla X a destra di ciascun compartimento.
    Dopo aver modificato tutti i compartimenti, fare clic su Anteprima e applicazione delle modifiche.
  5. La finestra Completa prerequisiti consente di visualizzare in anteprima le istruzioni dei criteri che verranno applicate, mostrando le prime istruzioni da eliminare e le istruzioni dei criteri che verranno applicate. Fare clic su Successivo per applicarli.
  6. Una volta applicati i criteri dei prerequisiti, verrà visualizzato un segno di spunta verde. Per terminare, fare clic su Chiudi. I criteri dei prerequisiti sono stati applicati.

Rimozione dei criteri del principal del servizio

È la best practice di Oracle che un servizio OCI non dovrebbe mai accedere alla risorsa OCI di un cliente utilizzando un principal del servizio, poiché ciò introduce potenziali rischi per la sicurezza. Ops Insights non è più valido per i principali criteri di sistema dei servizi che rappresentano un rischio per la sicurezza a partire dal 31 agosto 2025.

Se vengono rilevati criteri non più validi, Policy Advisor visualizzerà un banner nella parte superiore della pagina che richiede l'aggiornamento di un criterio al nuovo formato CRISP. Per aggiornare i criteri non più validi esistenti, fare clic sul pulsante Aggiorna criteri prerequisiti. Le icone di avvertenza aggiuntive vengono visualizzate accanto ai singoli gruppi di criteri contenenti istruzioni non più valide e il pulsante Configura verrà disabilitato per tutti i gruppi contenenti istruzioni non più valide fino a quando non verranno eseguiti gli aggiornamenti dei criteri.

Criteri di Ops Insight da scrivere nella tenancy:
Criterio principal servizio non più valido Nuovo criterio
allow service operations-insights to read secret-family in compartment ABC where target.vault.id = 'Vault OCID' allow any-user to read secret-family in tenancy where ALL{request.principal.type='opsidatabaseinsight', target.vault.id = 'Vault OCID'}
allow service operations-insights to read autonomous-database-family in compartment XYZ where {request.operation='GenerateAutonomousDatabaseWallet'} allow any-user to read autonomous-database-family in compartment XYZ where ALL{request.principal.type='opsidatabaseinsight', request.operation='GenerateAutonomousDatabaseWallet'}
allow group <group name> to inspect ons-topic in compartment <compartment-name>

allow service operations-insights to use ons-topic in tenancy

 allow any-user to use ons-topics in compartment {compartment} where ALL{request.principal.type='opsinewsreport'}