Documentazione dell'infrastruttura Oracle Cloud

Uso di Policy Advisor

Utilizzare Policy Advisor per abilitare rapidamente l'hub di gestione del sistema operativo per un compartimento specifico. L'advisor definisce i gruppi di utenti, il gruppo dinamico e i criteri necessari per utilizzare l'hub di gestione del sistema operativo e la ricerca automatica e il monitoraggio delle risorse.

Nota

È necessario eseguire Policy Advisor in ogni compartimento (e compartimento figlio) che si desidera utilizzare con il servizio.

  1. Assicurarsi di disporre delle autorizzazioni riportate di seguito. Se si dispone solo delle autorizzazioni read o use, durante l'esecuzione dell'advisor verrà visualizzato un errore di autorizzazione non riuscita.

    • manage dynamic-groups in tenancy
    • manage groups in tenancy
    • manage policies in tenancy
  2. In Hub di gestione del sistema operativo, selezionare Panoramica.
  3. In Ambito elenco, selezionare il compartimento che si desidera utilizzare per l'hub di gestione del sistema operativo.
  4. Selezionare Esegui Policy Advisor.
  5. Esaminare i problemi identificati con i criteri e i gruppi correnti. Selezionare Successivo.
  6. Esaminare le azioni che il consulente intraprenderà. Selezionare Impostazione.
  7. Confermare facendo clic su Imposta.
  8. Eseguire di nuovo l'advisor in qualsiasi altro compartimento o compartimento figlio che utilizzerà il servizio.
  9. Aggiungere gli utenti ai gruppi osmh-admins e osmh-operators. Vedere Gestione dei gruppi.

Perché è stato rilevato un errore del criterio?

L'advisor criteri verifica la presenza di un set specifico di criteri e gruppi (vedere Cosa crea l'advisor criteri?). L'avvertenza A policy error was detected visualizza se i criteri e i nomi dei gruppi non corrispondono esattamente a quanto previsto dall'advisor.

Se i criteri sono già stati impostati, è possibile che i gruppi siano stati denominati e che le istruzioni dei criteri siano state definite in modo diverso da quello utilizzato dall'advisor. Se l'hub di gestione del sistema operativo funziona come previsto, è possibile ignorare la notifica di errore del criterio.

Per ulteriori informazioni, vedere Messaggi di errore di Policy Advisor.

Posso nascondere l'avvertimento?

Se il servizio è già stato impostato utilizzando gruppi e criteri personalizzati, è possibile ignorare il messaggio di problema relativo ai criteri. Selezionare Nascondi per nascondere questo messaggio nel compartimento.

Per nascondere il messaggio in tutti i compartimenti, nella pagina Panoramica selezionare Mostra impostazioni console utente.

Che cosa crea il consulente criteri?

L'advisor definisce i gruppi di utenti necessari (osmh-admins e osmh-operators), il gruppo dinamico (osmh-instances) e il criterio (osmh-policies) con le istruzioni necessarie per utilizzare l'hub di gestione del sistema operativo e le relative funzioni di individuazione e monitoraggio delle risorse.

Risorse create
Nome risorsa descrizione;
osmh-admins Gruppo di utenti per gli amministratori del servizio. Gli amministratori possono gestire tutte le risorse dell'hub di gestione del sistema operativo nel dominio corrente.
osmh-operators Gruppo di utenti per gli operatori del servizio. Gli operatori possono visualizzare ma non modificare tutte le risorse dell'hub di gestione del sistema operativo nel dominio corrente.
osmh-instances Gruppo dinamico di istanze che contiene le regole dei gruppi dinamici per le istanze OCI e on-premise o cloud di terze parti.
osmh-policies Il criterio che contiene le istruzioni del gruppo di amministratori, le istruzioni del gruppo di operatori e le istruzioni del gruppo dinamico.
Regole di corrispondenza gruppo dinamico

L'advisor crea le seguenti regole di corrispondenza dei gruppi dinamici per il gruppo dinamico osmh-instances.

Nota

Nel gruppo dinamico è incluso solo il compartimento attualmente selezionato. I gruppi dinamici non supportano l'ereditarietà del compartimento. Pertanto, è necessario eseguire di nuovo l'advisor in tutti i compartimenti figlio che si desidera includere.
Regola gruppo dinamico descrizione;
ALL {instance.compartment.id='<compartment_ocid>'} Include tutte le istanze OCI nel compartimento.
ALL {resource.type='managementagent', resource.compartment.id='<compartment_ocid>'}

Include tutte le risorse del Management Agent all'interno del compartimento. L'inclusione dell'agente consente all'hub di gestione del sistema operativo di gestire le istanze cloud on premise o di terze parti corrispondenti.
Istruzioni dei criteri per il gruppo di amministratori

L'advisor crea le istruzioni dei criteri di gruppo degli amministratori seguenti per osmh-policies, che consente agli utenti osmh-admins di gestire l'hub di gestione del sistema operativo, il Management Agent e le chiavi del Management Agent nel compartimento e nei relativi compartimenti figlio.

Istruzione criterio gruppo di amministratori descrizione;
Allow group <domain>/osmh-admins to manage osmh-family in compartment <compartment_name>

Consente al gruppo osmh-admins di gestire tutte le risorse dell'hub di gestione del sistema operativo nel compartimento e nei relativi compartimenti figlio.
Allow group <domain>/osmh-admins to manage management-agents in compartment <compartment_name>

Consente al gruppo osmh-admins di gestire i Management Agent nel compartimento e nei relativi compartimenti figlio (utilizzati solo per istanze non OCI).
Allow group <domain>/osmh-admins to manage management-agent-install-keys in compartment <compartment_name>

Consente al gruppo osmh-admins di gestire le chiavi di installazione del Management Agent nel compartimento e nei relativi compartimenti figlio (utilizzati solo per le istanze non OCI).
Allow group <domain>/osmh-admins to use appmgmt-family in compartment <compartment_name>

Consente al gruppo osmh-admins di gestire le risorse di ricerca automatica e monitoraggio delle risorse nel compartimento e nei relativi compartimenti figlio.
Allow group <domain>/osmh-admins to read metrics in compartment <compartment_name>

Consente al gruppo osmh-admins di visualizzare le metriche di ricerca automatica e monitoraggio delle risorse nel compartimento e nei relativi compartimenti figlio.
Allow group <domain>/osmh-admins to read osmh-profiles in tenancy where target.profile.compartment.id = '<tenancy_ocid>'

Creato solo se è stato selezionato il compartimento radice. Consente al gruppo osmh-admins di leggere i profili nel compartimento radice.
Allow group <domain>/osmh-admins to read osmh-software-sources in tenancy where target.softwareSource.compartment.id = '<tenancy_ocid>'

Creato solo se è stato selezionato il compartimento radice. Consente al gruppo osmh-admins di leggere le origini software nel compartimento radice.
Istruzioni criteri per il gruppo di operatori

L'advisor crea le istruzioni dei criteri del gruppo di operatori seguenti per osmh-policies che consentono agli utenti osmh-operators di visualizzare le risorse dell'hub di gestione del sistema operativo nel compartimento e nei relativi compartimenti figlio.

Istruzione criterio gruppo di operatori descrizione;
Allow group <domain>/osmh-operators to read osmh-family in compartment <compartment_name>

Consente al gruppo osmh-operators di visualizzare tutte le risorse dell'hub di gestione del sistema operativo nel compartimento e nei relativi compartimenti figlio.
Allow group <domain>/osmh-operators to use appmgmt-family in compartment <compartment_name>

Consente al gruppo osmh-operators di visualizzare le risorse di ricerca automatica e monitoraggio delle risorse nel compartimento e nei relativi compartimenti figlio.
Allow group <domain>/osmh-operators to read metrics in compartment <compartment_name>

Consente al gruppo osmh-operators di visualizzare le risorse di ricerca automatica e monitoraggio delle risorse nel compartimento e nei relativi compartimenti figlio.
Allow group <domain>/osmh-operators to read osmh-profiles in tenancy where target.profile.compartment.id = '<tenancy_ocid>'

Creato solo se è stato selezionato il compartimento radice. Consente al gruppo osmh-operators di leggere i profili nel compartimento radice.
Allow group <domain>/osmh-operators to read osmh-software-sources in tenancy where target.softwareSource.compartment.id = '<tenancy_ocid>'

Creato solo se è stato selezionato il compartimento radice. Consente al gruppo osmh-operators di leggere le origini software nel compartimento radice.
Istruzioni criteri per il gruppo dinamico

L'advisor crea le istruzioni dei criteri del gruppo dinamico riportate di seguito per osmh-policies, che consentono alle istanze gestite nel compartimento di interagire con l'hub di gestione del sistema operativo e le relative funzioni di ricerca automatica e monitoraggio delle risorse.

Istruzione criterio gruppo dinamico descrizione;
Allow dynamic-group <domain>/osmh-instances to {OSMH_MANAGED_INSTANCE_ACCESS} in compartment <compartment_name> where request.principal.id = target.managed-instance.id

Consente all'agente nelle istanze gestite di interagire con l'hub di gestione del sistema operativo
Allow dynamic-group <domain>/osmh-instances to use metrics in compartment <compartment_name> where target.metrics.namespace = 'oracle_appmgmt' Consente alle istanze gestite di caricare i dati nel servizio di monitoraggio per la funzione di ricerca automatica e monitoraggio delle risorse.
Allow dynamic-group <domain>/osmh-instances to {MGMT_AGENT_DEPLOY_PLUGIN_CREATE, MGMT_AGENT_INSPECT, MGMT_AGENT_READ} in compartment <compartment_name> Consente al Management Agent nell'istanza gestita di interagire con il servizio Management Agent per la funzione di ricerca automatica e monitoraggio delle risorse.
Allow dynamic-group <domain>/osmh-instances to {APPMGMT_MONITORED_INSTANCE_READ, APPMGMT_MONITORED_INSTANCE_ACTIVATE} in compartment <compartment_name> where request.instance.id = target.monitored-instance.id

Consente alle istanze gestite nel compartimento di abilitare automaticamente la funzione Ricerca automatica e monitoraggio delle risorse.
Allow dynamic-group <domain>/osmh-instances to {INSTANCE_READ, INSTANCE_UPDATE} in compartment <compartment_name> where request.instance.id = target.instance.id

Consente alle istanze gestite nel compartimento di abilitare automaticamente la funzione Ricerca automatica e monitoraggio delle risorse.
Allow dynamic-group <domain>/osmh-instances to {APPMGMT_WORK_REQUEST_READ, INSTANCE_AGENT_PLUGIN_INSPECT} in compartment <compartment_name>

Consente alle istanze gestite nel compartimento di abilitare automaticamente la funzione Ricerca automatica e monitoraggio delle risorse.