Documentazione dell'infrastruttura Oracle Cloud

Creare criteri mediante la console

Si consiglia di utilizzare sempre Policy Advisor durante l'impostazione dei criteri per garantire facilità d'uso e configurazione corretta. Tuttavia, se l'ambiente in uso richiede un controllo dell'accesso più approfondito o la concessione manuale dei criteri, è possibile eseguire queste operazioni utilizzando la console.

Nota

I criteri any-user sono criteri dei principal delle risorse necessari al servizio Ops Insights. I criteri contenenti group opsi-admins sono richiesti dall'utente che tenta di abilitare il servizio

Ops Insights non è più valido per i criteri di sistema dei principal del servizio che rappresentano un rischio per la sicurezza a partire dal 31 agosto 2025. Per ulteriori informazioni, vedere: Rimozione dei criteri del principal del servizio.

Crea criteri amministratore

Gli utenti possono utilizzare Ops Insights solo se al proprio gruppo sono state concesse le autorizzazioni necessarie. Per consentire all'amministratore opsiadmin di abilitare/disabilitare Ops Insights sulla propria flotta completa di risorse e l'accesso a tutti i dati di analitica, è necessario creare un criterio di identità per concedere le autorizzazioni del gruppo di utenti opsi-admin.
Nota

Tutti i criteri possono essere scritti a livello di ambito compartimento, ad eccezione del warehouse di Ops Insights/hub AWR che richiede il livello radice/tenancy.
  1. Accedere alla console come amministratore della tenancy, aprire il menu di navigazione e, in Governance e amministrazione, andare a Identità e fare clic su Criteri.
  2. Utilizzare le istruzioni create a policy e assegnare al criterio un nome significativo. Ad esempio, opsi-admin-policy.
  3. Aggiungere la seguente istruzione dei criteri per consentire al gruppo di abilitare/disabilitare Ops Insights o creare/abilitare/disabilitare un host Management Agent o un database gestito da Enterprise Manager oppure aggiornare/aggiungere tag a tutte le risorse Ops Insights. Ad esempio, se il gruppo di amministratori è denominato gruppo opsi-admin e si desidera aggiungere questo criterio a livello di tenancy, aggiungere quanto segue: 
    Allow group opsi-admins to manage opsi-family in tenancy
Allow group opsi-admins to manage management-dashboard-family in tenancy
    Tenere presente che i criteri possono essere creati anche a livello di compartimento.

    Per ulteriori dettagli sui criteri per l'utilizzo dei dashboard, vedere anche Dettagli per il dashboard di gestione.

  4. A seconda delle risorse che si desidera abilitare, aggiungere i criteri riportati di seguito.
    In fase di abilitazione Criteri Dettagli
    Autonomous Databases - Funzioni di base Allow group opsi-admins to use autonomous-database-family in tenancy Le funzioni di base includono Capacity Planning.
    Autonomous Databases - Funzioni complete Allow group opsi-admins to use autonomous-database-family in tenancy

    Allow group opsi-admins to manage virtual-network-family in tenancy

    Allow group opsi-admins to read secret-family in tenancy

    Allow group opsi-admins to read secret-family in tenancy

    Allow any-user to read secret-family in tenancy where ALL{ target.vault.id = 'mydbVault', request.principal.type = 'opsidatabaseinsight'}

    Allow any-user to read autonomous-database-family in tenancy where ALL{request.operation='GenerateAutonomousDatabaseWallet'}

    Le funzioni complete attualmente includono SQL Explorer e ADDM Spotlight.

    L'accesso alla rete virtuale è necessario nell'ambito della creazione della connessione inversa dell'endpoint privato.

    L'accesso alla famiglia di segreti è necessario per leggere la password utente del database dal vault OCI per eseguire le raccolte dati nel database.

    Per la connessione tramite mTLS al database è necessaria l'autorizzazione di generazione del wallet.

    Vedere anche Abilita database autonomi e supporto completo delle funzionalità.

    Nota

    Ops Insights non ha più valido i criteri del sistema dei principal del servizio. Per ulteriori informazioni, vedere: Rimozione del criterio principal del servizio
    Database autonomi su Exadata Cloud@Customer

    Allow group opsi-admins to use database-family in compartment ExaCCadbCompartment

    Allow group opsi-admins to manage management-agents in compartment ExaCCadbCompartment

    Allow group opsi-admins to manage management-agents-named-credentials in compartment ExaCCadbCompartment

    Allow group opsi-admins to read secret-family in compartment ExaCCadbCompartment where any { target.vault.id = '{groupVaultId}' }

    Allow any-user to read database-family in compartment {compartment1} where ALL { request.principal.type = 'opsidatabaseinsight' }

    Allow any-user to read database-family in tenancy where ALL { request.principal.type = 'managementagent', request.operation = 'GenerateAutonomousDatabaseWallet' }

    Allow any-user to read secret-family in tenancy where ALL { request.principal.type = 'managementagent', target.vault.id = '{vaultId}' }

    		 L'accesso a Ops Insights viene eseguito tramite Management Agent, che deve accedere alla password del database nel vault, nonché al wallet di Autonomous Database se si utilizza mTLS.

    L'accesso alla famiglia di database e alla famiglia di database autonomi è necessario per garantire che i dati di configurazione aggiornati siano disponibili all'interno di Ops Insights.
    Bare Metal, VM e database ExaDB-D

    Allow group opsi-admins to use database-family in tenancy

    Allow group opsi-admins to manage virtual-network-family in tenancy

    Allow group opsi-admins to read secret-family in tenancy

    Allow any-user to read secret-family in tenancy where ALL{ target.vault.id = 'mydbVault', request.principal.type = 'opsidatabaseinsight'}

    		 L'accesso a Ops Insights avviene tramite endpoint privato.

    L'accesso alla rete virtuale è necessario nell'ambito della creazione della connessione inversa dell'endpoint privato.

    L'accesso alla famiglia di segreti è necessario per leggere la password utente del database dal vault OCI per eseguire le raccolte dati nel database.

    Nota

    Ops Insights non ha più valido i criteri del sistema dei principal del servizio. Per ulteriori informazioni, vedere: Rimozione del criterio principal del servizio
    Database Exadata Database Service on Cloud@Customer Allow group opsi-admins to read database-family in compartment ExaCCdbCompartment

    Allow group opsi-admins to read dbmgmt-family in compartment ExaCCdbCompartment

    Allow group opsi-admins to read secret-family in compartment SecretCompartment where any { target.vault.id = 'VaultOCID' }

    Allow any-user to read database-family in tenancy where ALL { request.principal.type = 'opsiexadatainsight' }

    Allow group opsi-admins to manage management-agents in compartment AgentCompartment

    		 L'accesso a Ops Insights avviene tramite Management Agent.

    L'accesso alla famiglia di database è necessario per garantire che i dati di configurazione aggiornati siano disponibili in Ops Insights.

    L'accesso alla famiglia di segreti è necessario per leggere la password utente del database dal vault OCI per eseguire le raccolte dati nel database.
    Exadata Database Service (con ADB) su infrastruttura dedicata

    Allow group opsi-admins to use database-family in compartment ExaDBdbCompartment

    Allow group opsi-admins to use autonomous-database-family in compartment ExaDSdbCompartment

    Allow group opsi-admins to manage virtual-network-family in compartment ExaDBdbCompartment

    Allow group opsi-admins to read secret-family in compartment ExaDSdbCompartment where any { target.vault.id = '{groupVaultId}' }

    Allow any-user to read database-family in compartment SecretCompartment where ALL { request.principal.type = 'opsiexadatainsight' }

    Allow any-user to read autonomous-database-family in compartment ExaDBdbCompartment where ALL { request.principal.type = 'opsidatabaseinsight' }

    Allow any-user to read database-family in tenancy where ALL { request.principal.type = 'opsidatabaseinsight', request.operation = 'GenerateAutonomousDatabaseWallet' }

    Allow any-user to read secret-family in tenancy where ALL { request.principal.type = 'opsidatabaseinsight', target.vault.id = '{vaultId}' }

    		 L'accesso a Ops Insights avviene tramite endpoint privato.

    L'accesso alla famiglia di database e alla famiglia di database autonomi è necessario per garantire che i dati di configurazione aggiornati siano disponibili all'interno di Ops Insights.

    Per l'onboarding di un sistema ExaDB-D completo con cluster VM Autonomous.
    Exadata Database Service (con ADB) su Cloud@Customer

    Allow group opsi-admins to use database-family in compartment ExaCCadbCompartment

    Allow group opsi-admins to use autonomous-database-family in compartment ExaCCadbCompartment

    Allow group opsi-admins to manage management-agents in compartment AgentCompartment

    Allow group opsi-admins to manage management-agents-named-credentials in compartment AgentCompartmentt

    Allow group opsi-admins to read secret-family in compartment SecretCompartment} where any { target.vault.id = '{groupVaultId}' }

    Allow any-user to read database-family in compartment {compartment1} where ALL { request.principal.type = 'opsiexadatainsight' }

    Allow any-user to read autonomous-database-family in compartment ExaCCadbCompartment where ALL { request.principal.type = 'opsidatabaseinsight' }

    Allow any-user to read database-family in tenancy where ALL { request.principal.type = 'managementagent', request.operation = 'GenerateAutonomousDatabaseWallet' }

    Allow any-user to read secret-family in tenancy where ALL { request.principal.type = 'managementagent', target.vault.id = '{vaultId}' }

    		 L'accesso a Ops Insights viene eseguito tramite Management Agent, che deve accedere alla password del database nel vault, nonché al wallet di Autonomous Database se viene utilizzata una connessione mTLS.

    L'accesso alla famiglia di database e alla famiglia di database autonomi è necessario per garantire che i dati di configurazione aggiornati siano disponibili all'interno di Ops Insights.

    Per l'inserimento del sistema ExaDB-C@C completo con cluster VM Autonomous.
    Database esterni, host e sistemi ingegnerizzati che utilizzano Oracle Enterprise Manager

    Allow dynamic-group opsienterprisemanagerbridge to read object-family in compartment MyBucketCompartment where ANY (target.bucket.name='embridge-bucket')

    Allow group opsi-admins to inspect object-family in tenancy

    		 Enterprise Manager è una soluzione di gestione Oracle on-premise in grado di integrarsi con i servizi OCI e condividere i dati. È necessario creare un gruppo dinamico per accedere ai dati in un compartimento di storage degli oggetti, ad esempio: ALL {resource.type='opsienterprisemanagerbridge'}

    Se si desidera abilitare i database gestiti da Enterprise Manager (database e host), vedere i dettagli completi dei criteri nella sezione Aggiunta di destinazioni di Enterprise Manager.

    Database e host esterni che utilizzano il Management Agent OCI

    Allow group opsi-admins to use external-database-family in tenancy

    Allow group opsi-admins to manage management-agent-install-keys in tenancy

    		 Qualsiasi risorsa esterna a OCI, ad esempio i database in locale non gestiti da Enterprise Manager, richiederà un Management Agent. Se si abilitano i database gestiti mediante un Management Agent, vedere anche Criteri di Management Agent.
    HeatWave Sistemi MySQL Database Allow group opsi-admins to manage mysql-family in tenancy Ops Insights supporta solo l'istanza primaria. Le istanze di failover e le repliche di sola lettura non sono attualmente supportate.
    Sistemi MySQL Database esterni Allow group opsi-admins to read secret-family in tenancy

    Allow group opsi-admins to read management-agents in tenancy

    Allow group opsi-admins to use dbmgmt-mysql-family in compartment {dbSystemCompartment}

    Allow any-user to read secret-family in tenancy where ALL { request.principal.type = 'opsidatabaseinsight', target.vault.id = 'mydbVault' }

    		 Sistemi di database MySQL esterni distribuiti on premise e connessi a una risorsa nel servizio Gestione database.
    Istanze di OCI Compute

    Allow group opsi-admins to manage management-agents in tenancy

    Allow group opsi-admins to manage instance-family in tenancy

    Allow group opsi-admins to read instance-agent-plugins in tenancy

    Allow any-user to use instance-family in compartment OCICompartment where ALL { request.principal.type = 'opsihostinsight' }

    Allow any-user to read instance-family in compartment OCICompartment where ALL { request.principal.type = 'opsihostinsight' }

    Allow any-user to manage management-agents in compartment OCICompartment where ALL { request.principal.type = 'opsihostinsight' }

    		 Queste istanze possono essere abilitate mediante i Management Agent. Vedere anche i criteri speciali nella sezione Distribuisci Management Agent nelle istanze di computazione.
    Hub AWR (dati sulle prestazioni del repository dei carichi di lavoro automatici di Oracle Database) ADB-S: Allow dynamic-group OPSI_AWR_Hub_Dynamic_Group to manage opsi-awr-hub-sources in tenancy

    Database ADB-D ed esterni: Allow group opsi-admins to use opsi-awr-hub-sources in tenancy

    Informativa sulla privacy: Allow opsi-admins to manage opsi-family in tenancy

    Tenere presente che quando si crea un hub AWR sono necessari criteri aggiuntivi. È possibile aggiungerli tramite il processo di creazione guidata.

    Per i dettagli completi, vedere Analizza dati sulle prestazioni del repository AWR (Automatic Workload Repository).

    Exadata Warehouse N/A Exadata Warehouse è un repository di dati da sistemi ingegnerizzati Oracle on-premise e basati sul cloud monitorati da Enterprise Manager. Vedere Exadata Warehouse.
    Report novità Allow any-user to use ons-topics in compartment NewsReportsDBs where ALL{request.principal.type='opsinewsreport'} Il report novità genera report e-mail settimanali sulla flotta monitorata da OPSI utilizzando ONS (Oracle Notification Services). Vedere: Report novità.
  5. Fare clic su Crea.

Crea criteri non amministratore

Gli utenti possono utilizzare Ops Insights solo se al proprio gruppo sono state concesse le autorizzazioni necessarie. Per consentire all'utente opsiuser di abilitare/disabilitare Ops Insights solo su Autonomous Database all'interno della propria tenancy, è necessario creare un criterio di identità per concedere all'utente opsi-users le autorizzazioni di gruppo appropriate.

  1. Eseguire il login alla console come amministratore della tenancy, quindi andare a Governance e amministrazione, quindi a Identità e fare clic su Criteri.
  2. Utilizzare le istruzioni Per creare un criterio e assegnare al criterio un nome significativo. Ad esempio, opsi-user-policy.
  3. Aggiungere un'istruzione criterio per consentire al gruppo di abilitare/disabilitare Ops Insights. Ad esempio, per il gruppo opsi-users, aggiungere quanto segue:
    Allow group opsi-users to use opsi-family in tenancy
Allow group opsi-users to read management-dashboard-family in tenancy
  4. Fare clic su Crea.

Per un controllo più dettagliato dell'accesso a Ops Insights, vedere Dettagli per Ops Insights.

Rimozione dei criteri del principal del servizio

È la best practice di Oracle che un servizio OCI non dovrebbe mai accedere alla risorsa OCI di un cliente utilizzando un principal del servizio, poiché ciò introduce potenziali rischi per la sicurezza. Ops Insights non è più valido per i principali criteri di sistema dei servizi che rappresentano un rischio per la sicurezza a partire dal 31 agosto 2025.

Se vengono rilevati criteri non più validi, Policy Advisor visualizzerà un banner nella parte superiore della pagina che richiede l'aggiornamento di un criterio al nuovo formato CRISP. Per aggiornare i criteri non più validi esistenti, fare clic sul pulsante Aggiorna criteri prerequisiti. Le icone di avvertenza aggiuntive vengono visualizzate accanto ai singoli gruppi di criteri contenenti istruzioni non più valide e il pulsante Configura verrà disabilitato per tutti i gruppi contenenti istruzioni non più valide fino a quando non verranno eseguiti gli aggiornamenti dei criteri.

Se si stanno creando e lavorando sui criteri manualmente utilizzando la console, è necessario modificare nell'ambiente in uso i criteri dei principal del servizio riportati di seguito.
Criterio principal servizio non più valido Nuovo criterio
Allow service operations-insights to read secret-family in compartment ABC where target.vault.id = 'Vault OCID' Allow any-user to read secret-family in tenancy where ALL{request.principal.type='opsidatabaseinsight', target.vault.id = 'Vault OCID'}
Allow service operations-insights to read autonomous-database-family in compartment XYZ where {request.operation='GenerateAutonomousDatabaseWallet'} Allow any-user to read autonomous-database-family in compartment XYZ where ALL{request.principal.type='opsidatabaseinsight', request.operation='GenerateAutonomousDatabaseWallet'}
Allow group <group name> to inspect ons-topic in compartment <compartment-name>

Allow service operations-insights to use ons-topic in tenancy

 Allow any-user to use ons-topics in compartment {compartment} where ALL{request.principal.type='opsinewsreport'}