Criar Grupos e Políticas Obrigatórias do IAM

Você pode criar uma política que permita solicitar e gerenciar seus dispositivos Roving Edge Infrastructure usando a Console do Oracle Cloud. Esta tarefa usa o modelo Criar Política na Console do Oracle Cloud.

1. Abra o menu de navegação e selecione Identidade e Segurança. Em Identity, selecione Policies.

2. Selecione Criar Política. A caixa de diálogo Criar Política é exibida.

3. Preencha os campos obrigatórios conforme descrito em Criando uma Política.

4. Use o Criador de Política e selecione Permitir que os Usuários Criem e Gerenciem Dispositivos Roving Edge em Modelos de Política Comuns.

5. Para autoprovisionamento, adicione a seguinte política ao modelo:

   allow dynamic-group roving-edge-devices to manage rover-family in tenancy

6. Siga as instruções exibidas no Criador de Políticas para configurar seus grupos de políticas.

7. Selecione Criar. Suas alterações entrarão em vigor normalmente dentro de 10 segundos.

Use a seguinte sintaxe para permitir que seus grupos de usuários acessem recursos do Roving Edge Infrastructure em sua tenancy:

allow group <admin_user_group> to manage rover-family in tenancy

allow group <admin_user_group> to manage rover-nodes in tenancy

em que <admin_user_group> é um grupo criado para gerenciar administradores do Roving Edge Infrastructure.

Você também pode restringir esse acesso a compartimentos. Por exemplo, se você quiser permitir que um grupo de usuários gerencie todos os recursos do Roving Edge Infrastructure no compartimento "finance" do Oracle Cloud Infrastructure, use o seguinte:

allow group rover-admins to manage rover-family in compartment finance

allow group rover-admins to manage rover-nodes in compartment finance

Esta seção descreve as etapas necessárias para permitir que o dispositivo Roving Edge Infrastructure execute a sincronização de dados enquanto o dispositivo estiver em sua posse.

Cada nó de dispositivo do Roving Edge Infrastructure funciona como recurso no Oracle Cloud Infrastructure, exigindo permissão para ler/gravar buckets nos compartimentos dentro da tenancy para tarefas de sincronização de dados.

Use um grupo dinâmico para representar todos os recursos de nó do Roving Edge em sua tenancy. Consulte Gerenciando Grupos Dinâmicos para obter mais informações sobre como criar grupos dinâmicos.

allow dynamic-group OracleIdentityCloudService/roving-edge-devices to manage rover-family in tenancy

Crie um grupo dinâmico chamado roving-edge-devices com as regras de correspondência abaixo:

All {resource.type='rovernode'}

Permitir que esse grupo dinâmico leia e grave uma política nos buckets, por exemplo:

allow dynamic-group roving-edge-devices to manage object-family in tenancy

Conceder acesso de grupo dinâmico ao namespace do serviço Object Storage

allow dynamic-group roving-edge-devices to manage objectstorage-namespaces in tenancy

Defina uma política para conceder ao serviço Roving Edge Infrastructure acesso de leitura aos seus buckets. Essa política de acesso de leitura permite a geração de um arquivo de manifesto que contém as informações sobre os objetos que você deseja sincronizar com seus dispositivos Roving Edge Infrastructure.

allow service rover to read object-family in tenancy
allow service rover to manage objectstorage-namespaces in tenancy

Usando o grupo dinâmico roving-edge-devices criado anteriormente em dynamic-group for Object Storage access, conceda ao grupo dinâmico permissões de gerenciamento para ativar o autoprovisionamento do dispositivo no local.

allow dynamic-group roving-edge-devices to manage rover-family in tenancy

Para permitir que pacotes de upgrade desconectados sejam entregues à sua tenancy, siga estas instruções.

Conceda ao objeto solicitante permissões de criação e substituição para o bucket de destino:

allow group <group_name> to manage object-family in compartment <compartment_name>

Conceda ao serviço Object Storage na região para gerenciar os buckets da sua tenancy:

allow service objectstorage-<region_identifier> to manage object-family in tenancy

Você também pode criar permissões mais restritas usando o seguinte exemplo:

allow service objectstorage-<region_identifier> to manage object-family in compartment <compartment-name>
where any {request.permission='OBJECT_READ', request.permission='OBJECT_INSPECT', request.permission='OBJECT_CREATE',
request.permission='OBJECT_OVERWRITE', request.permission='OBJECT_DELETE'}

Consulte Regiões e Domínios de Disponibilidade para obter uma lista de identificadores de região.

Esta seção descreve as etapas necessárias para permitir que os administradores criem autoridades de certificação e permitam que o dispositivo Roving Edge Infrastructure acesse recursos de gerenciamento de certificados no Oracle Cloud Infrastructure Cloud.

Crie uma política para que os administradores de segurança criem o vault e a chave mestra:

Allow group <security-admin-group> to manage vaults in tenancy
Allow group <security-admin-group> to manage keys in tenancy

Crie uma política para os administradores de segurança usarem a autoridade de certificação:

Allow group <security-admin-group> to use certificate-authority-family in tenancy
Allow group <security-admin-group> to use key-delegate in tenancy

Crie um grupo dinâmico chamado certificate-authority-dynamic-group com as regras de correspondência:

all {resource.type='certificateauthority'}

Crie uma política para a autoridade de certificação usar chaves:

Allow dynamic-group certificate-authority-dynamic-group to use keys in compartment <compartment_name>

Crie uma política para dispositivos Roving Edge Infrastructure para usar a autoridade de certificação e gerenciar certificados:

Allow dynamic-group roving-edge-devices to manage leaf-certificate-family in tenancy
Allow dynamic-group roving-edge-devices to use certificate-authority-family in tenancy

Crie uma política para nós do Roving Edge Infrastructure para extrair e atualizar suas configurações de certificado:

Allow dynamic-group roving-edge-devices to use rover-family in tenancy

O grupo rover-admins está definido para ser o administrador dos recursos do Roving Edge Infrastructure:

allow group rover-admins to manage rover-family in tenancy
allow group rover-admins to manage rover-nodes in tenancy

Permitir que o Roving Edge Infrastructure anexe cargas de trabalho:

allow service rover to read object-family in tenancy
allow service rover to manage objectstorage-namespaces in tenancy

Permitir acesso do Roving Edge Infrastructure ao Object Storage:

allow dynamic-group roving-edge-devices to manage object-family in tenancy
allow dynamic-group roving-edge-devices to manage objectstorage-namespaces in tenancy

Permita que o grupo dinâmico de nós do Roving Edge seja autoprovisionado e gerencie suas configurações de certificado:

allow dynamic-group roving-edge-devices to manage rover-family in tenancy

(Opcional) Ative a entrega do pacote de upgrade desconectado:

allow group rover-admins to read object-family in tenancy
allow dynamic-group roving-edge-devices to manage object-family in tenancy

(Opcional) Ative o gerenciamento de certificados:

allow group CertificateAdmins to manage vaults in tenancy
allow group CertificateAdmins to manage keys in tenancy
allow group CertificateAdmins to manage certificate-authority-family in tenancy
allow group CertificateAdmins to use key-delegate in tenancy
allow group rover-admins to read certificate-authority-family in tenancy
allow dynamic-group certificate-authority-dynamic-group to use keys in tenancy
allow dynamic-group roving-edge-devices to manage leaf-certificate-family in tenancy
allow dynamic-group roving-edge-devices to use certificate-authority-family in tenancy

O que vem a seguir?

Se estiver solicitando um dispositivo, consulte uma das seguintes seções com base no tipo de dispositivo:

• Criando e Enviando um Nó para Dispositivos de Computação, GPU e Armazenamento
• Criando um Nó Ultra do Roving Edge