Documentazione dell'infrastruttura Oracle Cloud

Creare e gestire i criteri con Policy Advisor

Utilizzare Policy Advisor per stabilire rapidamente le autorizzazioni OCI sulle risorse che ne consentono l'abilitazione per Ops Insights. Policy Advisor è una posizione centralizzata in cui è possibile visualizzare, creare, aggiornare ed eliminare i criteri necessari per Ops Insights.

Policy Advisor automatizza la creazione dei criteri seguenti:
  • Criteri necessari per gli utenti di Ops Insights (sia amministratori che utenti di sola lettura).
  • Criteri necessari al funzionamento del servizio Ops Insights.
  • Criteri per impostare la modalità demo (facoltativo).
Nota

I criteri any-user sono criteri dei principal delle risorse necessari al servizio Ops Insights. I criteri contenenti group {name} sono richiesti dall'utente che tenta di abilitare il servizio

Ops Insights non è più valido per i criteri di sistema dei principal del servizio che rappresentano un rischio per la sicurezza a partire dal 31 agosto 2025. Per ulteriori informazioni, vedere: Rimozione dei criteri del principal del servizio.

Impostare i criteri dei prerequisiti per Ops Insights

Un amministratore con la possibilità di creare criteri nel compartimento radice, effettuare le operazioni riportate di seguito per impostare i criteri dei prerequisiti necessari con Policy Advisor.
  1. Nella pagina Panoramica di Ops Insights, in alto a destra, fare clic su Policy Advisor. Verrà avviata la procedura guidata Policy Advisor.
  2. In Accesso alle risorse fare clic sul pulsante Configura per Ops Insights. Questi criteri forniranno i prerequisiti necessari per utilizzare il servizio Ops Insights.
  3. Nella finestra Prerequisiti del servizio Ops Insights selezionare i gruppi di utenti che devono accedere ai criteri dei prerequisiti, fare clic su + Aggiungi gruppo di utenti. Selezionare tutti i gruppi richiesti e contrassegnare se è necessario l'accesso amministratore o l'accesso utente. Al termine, fare clic su Seleziona.
  4. Nella finestra Prerequisiti del servizio Ops Insights ora verranno visualizzati i gruppi di utenti e il livello di accesso configurati. A destra di questa tabella selezionare i compartimenti a cui il gruppo di utenti può accedere. Dopo aver aggiunto tutti i compartimenti, fare clic su Anteprima e applicazione delle modifiche.
  5. La finestra Completa prerequisiti consente di visualizzare in anteprima le istruzioni dei criteri che verranno applicate, quindi fare clic su Successivo per applicarle.
  6. Una volta applicati i criteri dei prerequisiti, verrà visualizzato un segno di spunta verde, per terminare fare clic su Chiudi. I criteri dei prerequisiti sono stati applicati.

Impostazione e gestione dei criteri per i servizi Ops Insights

Policy Advisor consente di concedere e modificare i criteri necessari per tipi di telemetria e risorse specifici che devono essere analizzati con Ops Insights dall'ambiente in uso, sia per il gruppo di utenti che eseguirà questa azione che per il servizio stesso.

Di seguito è riportata una lista di tipi di telemetria e risorse i cui criteri possono essere gestiti da Policy Advisor.
  • Database
    • Database AI autonomi su OCI
    • Database Bare Metal, VM ed Exa-DB su OCI
    • Database esterni (tramite telemetria):
      • Database gestiti da Enterprise Manager
      • Database gestiti da Management Agent OCI
    • Database MySQL
      • Sistemi del database MySQL HeatWave
      • Sistemi di MySQL Database esterni
  • Istanze e host di computazione
    • Calcola le istanze su OCI
    • Host esterni (tramite telemetria):
      • Host gestiti da Enterprise Manager
      • Host gestiti da Management Agent OCI
  • Exadata
    • Gestione dei costi di Exadata
    • Sistemi Exadata (telemetria tramite Enterprise Manager)
    • Exadata Database Service on Dedicated Infrastructure (ExaDB-D)
  • Report novità
Per impostare i criteri specifici, assicurarsi innanzitutto che i bucket necessari siano stati creati nei compartimenti da utilizzare, quindi effettuare le operazioni riportate di seguito.
  1. Nella pagina Panoramica di Ops Insights, in alto a destra, fare clic su Policy Advisor. Verrà avviata la procedura guidata Policy Advisor.
  2. Nella scheda Accesso alle risorse vengono visualizzati i nomi dei servizi che richiedono l'applicazione di criteri affinché Ops Insights funzioni. Selezionare il servizio da modificare e fare clic sul pulsante Configura.
  3. Nella finestra Prerequisiti del servizio Ops Insights selezionare i gruppi di utenti per i quali è necessario modificare l'accesso ai criteri
    1. Per aggiungere gruppi di utenti, fare clic su + Aggiungi gruppo di utenti. Selezionare tutti i gruppi richiesti e contrassegnare se è necessario l'accesso amministratore o l'accesso utente. Al termine, fare clic su Seleziona.
    2. Per rimuovere i gruppi di utenti, selezionare i tre punti a destra di un gruppo di utenti che dispone dell'accesso e selezionare Rimuovi, che verrà rimosso dalla tabella.
  4. Nella finestra Prerequisiti di servizio selezionata verranno visualizzati i gruppi di utenti e il livello di accesso configurati. A destra di questa tabella, selezionare che i compartimenti ai quali possono accedere i gruppi di utenti siano visibili.
    1. Per aggiungere compartimenti, fare clic sulla casella di testo e selezionare i compartimenti appropriati.
    2. Per rimuovere i compartimenti, fare clic sulla X a destra di ciascun compartimento.
    Dopo aver modificato tutti i compartimenti, fare clic su Anteprima e applicazione delle modifiche.
  5. La finestra Completa prerequisiti consente di visualizzare in anteprima le istruzioni dei criteri che verranno applicate, mostrando le prime istruzioni da eliminare e le istruzioni dei criteri che verranno applicate. Fare clic su Successivo per applicarli.
  6. Una volta applicati i criteri dei prerequisiti, verrà visualizzato un segno di spunta verde, per terminare fare clic su Chiudi. I criteri dei prerequisiti sono stati applicati.

Rimozione criterio principal servizio

È una best practice di Oracle che un servizio OCI non dovrebbe mai accedere alla risorsa OCI di un cliente utilizzando un principal del servizio, in quanto questo introduce potenziali rischi per la sicurezza. Ops Insights non è più valido per i criteri di sistema dei principal del servizio che rappresentano un rischio per la sicurezza a partire dal 31 agosto 2025.

Se vengono rilevati criteri non più validi, Policy Advisor visualizzerà un banner nella parte superiore della pagina che richiede un aggiornamento dei criteri nel nuovo formato CRISP; per aggiornare i criteri non più validi esistenti, fare clic sul pulsante Aggiorna criteri prerequisiti. Le icone Avvertenza aggiuntive vengono visualizzate accanto ai singoli gruppi di criteri contenenti istruzioni non più valide e il pulsante Configura verrà disabilitato per tutti i gruppi contenenti istruzioni non più valide fino a quando non saranno stati eseguiti gli aggiornamenti dei criteri.

Criteri di Ops Insight da scrivere nella tenancy:
Criterio principal servizio non più valido Nuovo criterio
allow service operations-insights to read secret-family in compartment ABC where target.vault.id = 'Vault OCID' allow any-user to read secret-family in tenancy where ALL{request.principal.type='opsidatabaseinsight', target.vault.id = 'Vault OCID'}
allow service operations-insights to read autonomous-database-family in compartment XYZ where {request.operation='GenerateAutonomousDatabaseWallet'} allow any-user to read autonomous-database-family in compartment XYZ where ALL{request.principal.type='opsidatabaseinsight', request.operation='GenerateAutonomousDatabaseWallet'}