Documentazione dell'infrastruttura Oracle Cloud

Creazione manuale dei criteri dell'hub di gestione del sistema operativo

Per Hub di gestione del sistema operativo, è necessario identificare le risorse che il servizio può gestire e gli utenti che possono gestire tali risorse.

Per abilitare l'hub di gestione del sistema operativo, definire quanto segue:

Importante

Per abilitare la funzione Ricerca automatica e monitoraggio delle risorse, è necessario configurare i criteri oltre a quelli descritti nelle sezioni seguenti. Vedere Introduzione alla ricerca automatica e al monitoraggio delle risorse.

Puoi configurare i criteri IAM in vari modi. Nelle sezioni seguenti viene descritto come impostare le istruzioni dei criteri IAM per un gruppo di amministratori dell'hub di gestione del sistema operativo utilizzando un gruppo dinamico di risorse. Per ulteriori casi d'uso non amministratore, vedere Criteri di esempio.

Suggerimento

Invece di creare manualmente gruppi e istruzioni criteri, utilizzare Policy Advisor per abilitare rapidamente Hub di gestione del sistema operativo per un compartimento.

Gruppo utente

Creare un gruppo di utenti (ad esempio osmh-admins) o identificare un gruppo di utenti esistente per amministrare il servizio Hub di gestione del sistema operativo nella tenancy. Le istruzioni dei criteri obbligatorie, quindi concedere a questo gruppo di utenti amministratori la possibilità di gestire le risorse dell'hub di gestione del sistema operativo.

Se è necessario limitare ulteriormente l'accesso, è possibile creare ulteriori gruppi di utenti e impostare istruzioni dei criteri più restrittive per limitare l'accesso a risorse specifiche. Per i casi d'uso non di amministratore, vedere Criteri di esempio. Per ulteriori informazioni sui gruppi di utenti, vedere Gestione dei gruppi.

Gruppo dinamico

Creare un gruppo dinamico (ad esempio osmh-instances) per specificare le risorse che l'hub di gestione del sistema operativo gestirà definendo le istruzioni delle regole per le istanze OCI e on-premise o cloud di terze parti (non OCI).

È importante tenere presente quanto riportato di seguito.

Cosa fa il gruppo dinamico?

Il gruppo dinamico identifica le istanze che verranno gestite dall'hub di gestione del sistema operativo. Si aggiungono istruzioni delle regole per i compartimenti e i compartimenti figlio che contengono istanze che si desidera gestire dal servizio. Il gruppo dinamico cresce e si riduce in modo dinamico in base a queste istruzioni delle regole. Quando viene eseguito il provisioning o lo smobilizzo delle istanze, il gruppo dinamico cambia di conseguenza. Le istruzioni dei criteri necessarie concedono all'hub di gestione del sistema operativo la possibilità di accedere alle istanze all'interno del gruppo dinamico.

Per ulteriori informazioni sui gruppi dinamici, vedere Gestione dei gruppi dinamici.

Perché esistono dichiarazioni diverse per OCI e non OCI?

Ogni tipo di istanza utilizza un agente diverso che corrisponde a un oggetto risorsa diverso.

  • Le istanze OCI utilizzano l'agente Oracle Cloud (OCA), pertanto l'istruzione OCI specifica le risorse instance all'interno di un compartimento.

  • Le istanze cloud on-premise e di terze parti utilizzano Management Agent Cloud Service (MACS) in modo che l'istruzione non OCI specifichi le risorse managementagent all'interno di un compartimento. Ogni risorsa Management Agent corrisponde a un'istanza non OCI. Pertanto, includendo il Management Agent nel gruppo, si intende includere l'istanza associata.

Vedere anche Informazioni sull'agente.

Quando utilizzare ANY e ALL per un gruppo dinamico?

Prima di scrivere le istruzioni delle regole di gruppo dinamico, è importante comprendere la differenza tra ANY e ALL.

Quando si definisce un gruppo dinamico, si imposta il modo in cui il gruppo corrisponde alle regole definite all'interno del gruppo:

  • Corrispondenza con qualsiasi regola definita di seguito include risorse che corrispondono a una qualsiasi delle regole all'interno del gruppo dinamico. Selezionare questa opzione se si definisce un gruppo che include regole per più compartimenti o più tipi di istanza (ad esempio istanze OCI e non OCI). Questa impostazione indica al gruppo di includere le risorse corrispondenti alla regola 1 OPPURE alla regola 2 OPPURE alla regola 3 e così via.
  • Corrispondenza con tutte le regole definite di seguito include le risorse che corrispondono a tutte le regole all'interno del gruppo dinamico. Selezionare questa opzione quando si definisce un gruppo dinamico limitato variabile che include un solo compartimento. Questa impostazione indica al gruppo di includere le risorse che corrispondono alla regola 1 AND alla regola 2 AND alla regola 3 e così via.

Quando si definiscono singole istruzioni di regole all'interno del gruppo dinamico, è necessario impostare le condizioni per ogni istruzione:

  • Tutte le seguenti (ALL) include solo le risorse che corrispondono a tutte le condizioni della regola. Le istruzioni ALL richiedono che ogni condizione sia vera. In caso contrario, le risorse non vengono incluse per la regola.

  • Una delle seguenti opzioni (ANY) include risorse che corrispondono a una qualsiasi delle condizioni della regola.

Esempi di ANY e ALL per una singola istruzione di regola

Considerare la regola utilizzata per le istanze non OCI.

Correct usage:
ALL {resource.type='managementagent', resource.compartment.id='<compartment_ocid>'}

Quando si utilizza ALL, la regola include solo le risorse del Management Agent nel compartimento specificato. L'istruzione indica al gruppo dinamico di includere le risorse che corrispondono al tipo di Management Agent AND all'interno del compartimento specificato.

Incorrect usage. Do not use:
ANY {resource.type='managementagent', resource.compartment.id='<compartment_ocid>'}

Quando si utilizza ANY, la regola include ogni risorsa Management Agent nell'intera tenancy e ogni risorsa OCI presente nel compartimento specificato. Sebbene la dichiarazione includa le risorse necessarie per l'hub di gestione del sistema operativo, è molto ampia e in genere non preferibile.

Considerare la regola utilizzata per le istanze OCI quando si specificano più compartimenti.

Correct usage:
ANY {instance.compartment.id='<compartment_ocid>',instance.compartment.id='<child compartment_ocid>'}

Quando si utilizza ANY, la regola include ogni istanza in ciascuno dei compartimenti specificati. L'istruzione indica al gruppo dinamico di includere le istanze in <compartment_ocid> OR <child compartment_ocid>.

Incorrect usage. Do not use:
ALL {instance.compartment.id='<compartment_ocid>',instance.compartment.id='<child compartment_ocid>'}

Quando si utilizza ALL, la regola indica al gruppo dinamico di includere le istanze in <compartment_ocid> E <child compartment_ocid>. Questa regola non includerà alcuna istanza perché è impossibile che un'istanza si trovi in più compartimenti contemporaneamente. Non utilizzare ALL con un'istruzione di regola che specifica più compartimenti.

Creazione del gruppo dinamico

  1. Attenersi alla procedura per creare un gruppo dinamico o aggiornare un gruppo dinamico esistente e configurare le regole di corrispondenza come indicato di seguito.

    Suggerimento

    Riutilizza lo stesso gruppo dinamico laddove possibile tra i servizi invece di creare nuovi gruppi dinamici perché una singola risorsa può appartenere solo a un massimo di cinque gruppi dinamici.

  2. Per l'impostazione della regola di corrispondenza globale, selezionare: Corrispondenza con le regole definite di seguito.

  3. Creare istruzioni di regola per le istanze che verrà gestito da Hub di gestione del sistema operativo.

    Importante

    Le regole del gruppo dinamico non utilizzano l'ereditarietà del compartimento. È necessario specificare un'istruzione regola per ogni compartimento e compartimento figlio contenente le istanze che si desidera gestire dal servizio.

    Regola per le istanze OCI

    Aggiungere un'istruzione regola che includa ogni compartimento (e compartimento figlio) che conterrà le istanze.

    ANY {instance.compartment.id='<compartment_ocid>',instance.compartment.id='<child compartment_ocid>'}

    Questa regola includerà tutte le istanze OCI nei compartimenti specificati.

    Regola per istanze non OCI

    Aggiungere un'istruzione di regola separata per ogni compartimento (e compartimento figlio) che conterrà un Management Agent utilizzato da un'istanza.

    ALL {resource.type='managementagent', resource.compartment.id='<compartment_ocid>'}
ALL {resource.type='managementagent', resource.compartment.id='<child compartment_ocid>'}

    Ogni istruzione di regola includerà ogni risorsa Management Agent nel compartimento specificato. Ogni istanza non OCI dispone di una risorsa agente corrispondente, pertanto l'istruzione includerà le istanze non OCI nel compartimento.

  4. Selezionare Crea (in caso di creazione) o Salva (in caso di aggiornamento).

Istruzioni criteri

Creare un criterio (ad esempio osmh-policies) con istruzioni che consentono alle istanze di registrarsi con l'hub di gestione del sistema operativo e agli utenti di gestire e gestire il servizio.

Importante

Le istruzioni dei criteri utilizzano il dominio di Identity predefinito a meno che non si definisca il dominio di Identity prima del nome del gruppo o del gruppo dinamico (ad esempio, <identity_domain_name>/<dynamic_group_name>). Per ulteriori informazioni, vedere Sintassi dei criteri.
Requisiti indispensabili

Prima di creare il criterio, verificare di disporre dei seguenti elementi:

Uso di Policy Builder

La Costruzione guidata criteri fornisce modelli per i criteri comuni utilizzati per l'hub di gestione del sistema operativo. Selezionare uno use case e quindi immettere le informazioni necessarie, ad esempio il gruppo dinamico o il compartimento, per completare le istruzioni dei criteri. Vedere Scrittura di istruzioni criteri con il Builder dei criteri.

  1. Attenersi alla procedura descritta in Creazione di un criterio, annotando le eccezioni riportate di seguito.
  2. Per Casi d'uso dei criteri, selezionare Hub di gestione del sistema operativo.
  3. Per Modelli criteri comuni, selezionare uno dei criteri comuni dell'hub di gestione del sistema operativo.

Modelli di criteri comuni

La Costruzione guidata criteri fornisce i seguenti modelli di criteri comuni dell'hub di gestione del sistema operativo.

Consenti all'hub di gestione del sistema operativo di gestire le istanze nel gruppo dinamico

Tipo di accesso: consente all'agente del servizio nelle istanze gestite di interagire con l'hub di gestione del sistema operativo.

Dove creare il criterio: nel compartimento radice.

Istruzioni dei criteri: sostituire <osmh-instances> con il nome del gruppo dinamico.

Allow dynamic-group <osmh-instances> to {OSMH_MANAGED_INSTANCE_ACCESS} in tenancy where request.principal.id = target.managed-instance.id
Consenti agli utenti di gestire le risorse dell'hub di gestione del sistema operativo nella tenancy

Tipo di accesso: consente al gruppo di utenti amministratori con accesso alla tenancy di:

  • Gestire tutte le risorse dell'hub di gestione del sistema operativo nella tenancy.
  • Creare, aggiornare ed eliminare i Management Agent e installare le chiavi nella tenancy.

Dove creare il criterio: nel compartimento radice.

Istruzioni dei criteri: sostituire <osmh-admins> con il nome del gruppo di utenti.

Allow group <osmh-admins> to manage osmh-family in tenancy
Allow group <osmh-admins> to manage management-agents in tenancy
Allow group <osmh-admins> to manage management-agent-install-keys in tenancy
Consenti agli utenti di gestire le risorse dell'hub di gestione del sistema operativo in un compartimento

Tipo di accesso: consente al gruppo di utenti amministratori con accesso al compartimento di:

  • Gestire tutte le risorse dell'hub di gestione del sistema operativo in un compartimento.
  • Leggere i profili e le origini software nel compartimento radice. Ciò è necessario per replicare le origini software del fornitore e utilizzare i profili forniti dal servizio.
  • Crea, aggiorna ed elimina i Management Agent e installa le chiavi in un compartimento.

Dove creare il criterio: l'approccio più semplice consiste nell'inserire questo criterio nel compartimento radice. Se si desidera che gli utenti del singolo compartimento abbiano il controllo sulle singole istruzioni dei criteri per il proprio compartimento, vedere Allegato ai criteri.

Istruzioni dei criteri: sostituire <osmh-admins> con il nome del gruppo di utenti e <compartment> con il nome del compartimento. Utilizzare l'editor manuale per sostituire <tenancy-ocid> con l'OCID della tenancy.

Allow group <osmh-admins> to read osmh-profiles in tenancy where target.profile.compartment.id = '<tenancy-ocid>'
Allow group <osmh-admins> to read osmh-software-sources in tenancy where target.softwareSource.compartment.id = '<tenancy-ocid>'
Allow group <osmh-admins> to manage osmh-family in compartment <compartment> 
Allow group <osmh-admins> to manage management-agents in compartment <compartment>
Allow group <osmh-admins> to manage management-agent-install-keys in compartment <compartment>
Consenti agli utenti di leggere le risorse dell'hub di gestione del sistema operativo nella tenancy

Tipo di accesso: consente al gruppo di utenti operatori di leggere tutte le risorse dell'hub di gestione del sistema operativo nella tenancy.

Dove creare il criterio: nel compartimento radice.

Istruzioni dei criteri: sostituire <osmh-operators> con il nome del gruppo di utenti.

Allow group <osmh-operators> to read osmh-family in tenancy
Consenti agli utenti di leggere le risorse dell'hub di gestione del sistema operativo in un compartimento

Tipo di accesso: consente al gruppo di utenti operatori di leggere tutte le risorse dell'hub di gestione del sistema operativo in un compartimento.

Dove creare il criterio: l'approccio più semplice consiste nell'inserire questo criterio nel compartimento radice. Se si desidera che gli utenti del singolo compartimento abbiano il controllo sulle singole istruzioni dei criteri per il proprio compartimento, vedere Allegato ai criteri.

Istruzioni dei criteri: sostituire <osmh-operators> con il nome del gruppo di utenti e <compartment> con il nome del compartimento.

Allow group <osmh-operators> to read osmh-family in compartment <compartment>

Definizione manuale delle istruzioni dei criteri

Se non si utilizza la Costruzione guidata criteri, è possibile definire manualmente le istruzioni dei criteri. Creare un nuovo criterio o modificare un criterio esistente per includere le seguenti istruzioni.

Le istruzioni dei criteri riportate di seguito forniscono un esempio di come fornire agli amministratori l'accesso al servizio. Per altri casi d'uso, vedere Criteri di esempio.

Istruzioni dei criteri a livello di tenancy

Per applicare il criterio IAM richiesto a livello di tenancy, utilizzare le istruzioni dei criteri riportate di seguito.

allow dynamic-group <osmh-instances> to {OSMH_MANAGED_INSTANCE_ACCESS} in tenancy where request.principal.id = target.managed-instance.id
allow group <osmh-admins> to manage osmh-family in tenancy

Includere le istruzioni aggiuntive riportate di seguito se si gestiscono istanze cloud in locale o di terze parti. Questi non sono necessari se si gestiscono solo istanze OCI.

allow group <osmh-admins> to manage management-agents in tenancy
allow group <osmh-admins> to manage management-agent-install-keys in tenancy
Istruzioni dei criteri a livello di compartimento (se non si utilizza il livello di tenancy)

Se l'amministratore della tenancy non consente di impostare i criteri IAM a livello di tenancy, è possibile limitare l'uso delle risorse dell'hub di gestione del sistema operativo a un compartimento e ai relativi compartimenti figlio (i criteri utilizzano l'ereditarietà del compartimento). Per consentire agli utenti di replicare le origini software dei fornitori e utilizzare i profili forniti dal servizio, il gruppo di utenti richiede l'accesso in lettura ai profili e alle origini software nel compartimento radice.

Per applicare il criterio IAM a un compartimento all'interno della tenancy, utilizzare le istruzioni dei criteri riportate di seguito.

allow dynamic-group <osmh-instances> to {OSMH_MANAGED_INSTANCE_ACCESS} in compartment <compartment_name> where request.principal.id = target.managed-instance.id
allow group <osmh-admins> to manage osmh-family in compartment <compartment_name>
allow group <osmh-admins> to read osmh-profiles in tenancy where target.profile.compartment.id = '<tenancy_ocid>'
allow group <osmh-admins> to read osmh-software-sources in tenancy where target.softwareSource.compartment.id = '<tenancy_ocid>'

Includere le istruzioni aggiuntive riportate di seguito se si gestiscono istanze cloud in locale o di terze parti. Questi non sono necessari se si gestiscono solo istanze OCI.

allow group <osmh-admins> to manage management-agents in compartment <compartment_name>
allow group <osmh-admins> to manage management-agent-install-keys in compartment <compartment_name>