Políticas e permissões do OCC

Crie políticas do serviço IAM para controlar quem tem acesso aos dados de solicitação de métrica e capacidade do OCC e para controlar o tipo de acesso de cada grupo de usuários.

Para dados de métrica no OCC, não há como restringir o acesso com base nos IDs de recurso. Você pode usar o nome da família control-center-family e o tipo de recurso control-center-metrics para restringir o acesso aos dados de métrica em geral.

Você pode usar o nome da família control-center-capacity-management-family e os tipos de recursos control-center-availability-catalogs e control-center-capacity-requests para restringir o acesso ao Gerenciamento de Capacidade.

Consulte a seção Exemplos de Política para obter detalhes.

Os usuários do grupo Administrators têm acesso a todos os recursos do OCC e dados de métrica. Crie políticas para que os usuários tenham os direitos necessários aos dados de métrica do OCC.

Se você não estiver familiarizado com políticas de IAM, consulte Introdução a Políticas.

Para obter uma lista completa das políticas do Oracle Cloud Infrastructure, consulte referência de política.

Esta seção explica os seguintes tópicos:

Para usar o OCC, crie uma política que conceda as permissões a seguir ao usuário ou aos grupos que interagem com o serviço adequadamente.

Tipos de Recursos e Permissões

Lista de tipos de recursos do Centro de Controle e permissões associadas.

Para atribuir permissões a todos os recursos de monitoramento de métricas do OCC, use o tipo de agregação control-center-family.

Para criar uma solicitação de capacidade, você precisa da permissão control-center-capacity-management-family.

A tabela a seguir lista todos os recursos no OCC:


Nome da Família	Recursos do Membro	Ação Designada ao Usuário
`control-center-family`	`control-center-metrics` `control-center-demand-signals`	Inclui todas as métricas do Centro de Controle e quaisquer recursos futuros de membros em uma família.
`control-center-capacity-management-family`	`control-center-availability-catalogs` `control-center-capacity-requests`	Inclui todo o gerenciamento de capacidade do Centro de Controle e quaisquer recursos futuros do membro em uma família.

Uma política que usa <verb> control-center-familyé igual a gravar uma política com uma instrução <verb> <resource-type> separada para cada um dos tipos de recursos individuais.


Tipo de Recurso	Permissões	Ação Designada ao Usuário
`control-center-metrics`	`CONTROL_CENTER_METRICS_INSPECT` `CONTROL_CENTER_METRICS_READ`	Leia namespaces de métricas do OCC, nomes de métricas e valores de métricas.
`control-center-availability-catalogs`	`CONTROL_CENTER_AVAILABILITY_CATALOG_INSPECT` `CONTROL_CENTER_AVAILABILITY_CATALOG_READ`	Leia e exporte catálogos e disponibilidades de disponibilidade.
`control-center-capacity-requests`	`CONTROL_CENTER_CAPACITY_REQUEST_CREATE` `CONTROL_CENTER_CAPACITY_REQUEST_DELETE` `CONTROL_CENTER_CAPACITY_REQUEST_UPDATE` `CONTROL_CENTER_CAPACITY_REQUEST_INSPECT` `CONTROL_CENTER_CAPACITY_REQUEST_READ`	Crie, leia, atualize e exclua solicitações de capacidade.
`control-center-demand-signals`	`CONTROL_CENTER_DEMAND_SIGNAL_CREATE` `CONTROL_CENTER_DEMAND_SIGNAL_DELETE` `CONTROL_CENTER_DEMAND_SIGNAL_UPDATE` `CONTROL_CENTER_DEMAND_SIGNAL_INSPECT` `CONTROL_CENTER_DEMAND_SIGNAL_READ`	Adicionar, ler, atualizar e excluir a quantidade de demanda de recursos em solicitações de capacidade.

Variáveis Compatíveis

Você pode usar variáveis para adicionar condições a uma política.

O OCI Control Center suporta as seguintes variáveis:

Entidade: Oracle Cloud Identifier (OCID)
String: Texto de formato livre.
Lista: Lista de Entidade ou String.

Consulte Variáveis Gerais para Todas as Solicitações.

As variáveis são minúsculas e separadas por hífen. Por exemplo, target.tag-namespace.name, target.display-name. Aqui name deve ser exclusivo e display-name é a descrição.

As variáveis obrigatórias são fornecidas pelo serviço OCI Control Center para cada solicitação. As variáveis automáticas são fornecidas pelo mecanismo de autorização (local de serviço com o SDK para um thick client ou no plano de dados de Identidade para um thin client).


Variáveis Obrigatórias	Tipo	Descrição
`target.compartment.id`	Entidade (OCID)	O OCID do recurso principal da solicitação.
`request.operation`	String	O ID da operação (por exemplo, `GetUser`) para a solicitação.
`target.resource.kind`	String	O nome do tipo do recurso principal da solicitação.


Variáveis Automáticas	Tipo	Descrição
`request.user.id`	Entidade (OCID)	O OCID do usuário solicitante.
`request.groups.id`	Lista de entidades (OCIDs)	Os OCIDs dos grupos em que o usuário solicitação se encontra.
`target.compartment.name`	String	O nome do compartimento especificado em `target.compartment.id`.
`target.tenant.id`	Entidade (OCID)	O OCID do ID do tenant de destino.


Variáveis Dinâmicas	Tipo	Descrição:
`request.principal.group.tag.<tagNS>.<tagKey>`	String	O valor de cada tag em um grupo do qual o controlador é membro.
`request.principal.compartment.tag.<tagNS>.<tagKey>`	String	O valor de cada tag no compartimento que contém o controlador.
`target.resource.tag.<tagNS>.<tagKey>`	String	O valor de cada tag no recurso de destino. (Computado com base no tagSlug fornecido pelo serviço em cada solicitação.)
`target.resource.compartment.tag.<tagNS>.<tagKey>`	String	O valor de cada tag no compartimento que contém o recurso de destino. (Computado com base no tagSlug fornecido pelo serviço em cada solicitação.)

Veja uma lista de origens disponíveis para as variáveis:

Solicitação: Vem da entrada da solicitação.
Derivado: Vem da solicitação.
Armazenado: Vem do serviço, entrada retida.
Calculado: Calculado com base nos dados do serviço.

Detalhes para Combinações de Verbo + Tipo de Recurso

Identifique as permissões e operações de API abrangidas por cada verbo para recursos do Control Center.

O nível de acesso é cumulativo conforme você vai de inspect a read a use a manage. Um sinal de mais (+) em uma célula da tabela indica acesso incremental quando comparado à célula anterior, no extra indica nenhum acesso incremental.

Para obter informações sobre como conceder acesso, consulte Permissões.

métricas do centro de controle

Esta tabela lista as permissões e operações de API abrangidas por cada verbo, para o recurso control-center-metrics.


Verbs	Permissões	APIs Cobertas	Descrição
`inspect`	`CONTROL_CENTER_METRICS_INSPECT`	`ListNamespaces` `ListMetricProperties`	As métricas são agrupadas em namespaces. Liste todos os namespaces. Obtenha a lista de métricas em um namespace específico.
`read`	`inspect+` `CONTROL_CENTER_METRICS_READ`	`inspect+` `RequestSummarizedMetricData`	Obtenha dados (valores) para uma métrica em um namespace específico.
`use`	`read+`	`no extra`
`manage`	`use+`	`no extra`

centro de controle-disponibilidade-catálogos

Esta tabela lista as permissões e operações de API abrangidas por cada verbo, para o recurso control-center-availability-catalogs.


Verbos	Permissões	APIs Abrangidas	Descrição:
`inspect`	`CONTROL_CENTER_AVAILABILITY_CATALOG_INSPECT`	`ListOccAvailabilityCatalogs`	Lista todos os catálogos de disponibilidade.
`read`	`inspect+` `CONTROL_CENTER_AVAILABILITY_CATALOG_READ`	`inspect+` `GetOccAvailabilityCatalog` `GetOccAvailabilityCatalogContent` `ListOccAvailabilities`	Obtenha os detalhes do catálogo de disponibilidade. Retorna o conteúdo binário do catálogo de disponibilidade. Liste as disponibilidades em um catálogo de disponibilidade.

solicitação de capacidade do centro de controle

Esta tabela lista as permissões e operações de API abrangidas por cada verbo, para o recurso control-center-capacity-requests.


Verbos	Permissões	APIs Abrangidas	Descrição:
`inspect`	`CONTROL_CENTER_CAPACITY_REQUEST_INSPECT`	`ListOccCapacityRequests`	Lista todas as solicitações de capacidade.
`read`	`inspect+` `CONTROL_CENTER_CAPACITY_REQUEST_READ`	`inspect+` `GetOccCapacityRequest`	Obter detalhes sobre a solicitação de capacidade.
`use`	`read+` `CONTROL_CENTER_CAPACITY_REQUEST_UPDATE`	`read+` `UpdateOccCapacityRequest`	Atualize a solicitação de capacidade.
`manage`	`use+` `CONTROL_CENTER_CAPACITY_REQUEST_CREATE` `CONTROL_CENTER_CAPACITY_REQUEST_DELETE`	`use+` `CreateOccCapacityRequest` `DeleteOccCapacityRequest`	Crie uma solicitação de capacidade. Exclua um recurso de solicitação de capacidade.

centro de controle-sinais de demanda

Esta tabela lista as permissões e operações de API abrangidas por cada verbo, para o recurso control-center-demand-signals.


Verbos	Permissões	APIs Cobertas	Descrição
`inspect`	`CONTROL_CENTER_DEMAND_SIGNALS_INSPECT`	`ListOccDemandSignals`	Lista todos os recursos em uma solicitação de capacidade.
`read`	`inspect+` `CONTROL_CENTER_DEMAND_SIGNALS_READ`	`inspect+` `GetOccDemandSignal`	Obtenha detalhes sobre os recursos em uma solicitação de capacidade.
`use`	`read+` `CONTROL_CENTER_DEMAND_SIGNALS_UPDATE`	`read+` `UpdateOccDemandSignal` `PatchOccDemandSignal`	Atualize o nome de uma solicitação de capacidade. Edite a quantidade de demanda de recursos em uma solicitação de capacidade.
`manage`	`use+` `CONTROL_CENTER_DEMAND_SIGNALS_CREATE` `CONTROL_CENTER_DEMAND_SIGNALS_DELETE`	`use+` `CreateOccDemandSignal` `DeleteOccDemandSignal`	Adicione um recurso em uma solicitação de capacidade. Exclua um recurso em uma solicitação de capacidade.

Permissões Exigidas para cada Operação de API

A tabela a seguir lista as operações de API em ordem lógica.

Para obter mais informações, consulte Permissões.


Operação de API	Permissões Obrigatórias para Usar a Operação
`ListNamespaces`	`CONTROL_CENTER_METRICS_INSPECT`
`ListMetricProperties`	`CONTROL_CENTER_METRICS_INSPECT`
`RequestSummarizedMetricData`	`CONTROL_CENTER_METRICS_READ`
`ListOccAvailabilityCatalogs`	`CONTROL_CENTER_AVAILABILITY_CATALOG_INSPECT`
`GetOccAvailabilityCatalog`	`CONTROL_CENTER_AVAILABILITY_CATALOG_READ`
`GetOccAvailabilityCatalogContent`	`CONTROL_CENTER_AVAILABILITY_CATALOG_READ`
`ListOccAvailabilities`	`CONTROL_CENTER_AVAILABILITY_CATALOG_READ`
`CreateOccCapacityRequest`	`CONTROL_CENTER_CAPACITY_REQUEST_CREATE`
`DeleteOccCapacityRequest`	`CONTROL_CENTER_CAPACITY_REQUEST_DELETE`
`UpdateOccCapacityRequest`	`CONTROL_CENTER_CAPACITY_REQUEST_UPDATE`
`ListOccCapacityRequests`	`CONTROL_CENTER_CAPACITY_REQUEST_INSPECT`
`GetOccCapacityRequest`	`CONTROL_CENTER_CAPACITY_REQUEST_READ`
`CreateOccDemandSignal`	`CONTROL_CENTER_DEMAND_SIGNAL_CREATE`
`DeleteOccDemandSignal`	`CONTROL_CENTER_DEMAND_SIGNAL_DELETE`
`PatchOccDemandSignal`	`CONTROL_CENTER_DEMAND_SIGNAL_UPDATE`
`UpdateOccDemandSignal`	`CONTROL_CENTER_DEMAND_SIGNAL_UPDATE`
`ListOccDemandSignals`	`CONTROL_CENTER_DEMAND_SIGNAL_INSPECT`
`GetOccDemandSignal`	`CONTROL_CENTER_DEMAND_SIGNAL_READ`

Criando uma Política

Veja como criar uma política na Console:

Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Políticas.
Na página Políticas, clique em Criar Política.
No painel Criar Política, informe um nome, uma descrição para a política e especifique o compartimento no qual você deseja criar a política.
Em Policy Builder, clique na opção Mostrar editor manual para ativar o editor.

Informe uma regra de política no formato especificado. Consulte exemplos de política em Políticas e Permissões do OCC.
Clique em Criar.

Para obter instruções sobre como criar e gerenciar políticas usando a Console ou a API, consulte Gerenciando Políticas.

Para obter uma lista completa de todas as políticas do Oracle Cloud Infrastructure, consulte Referência de Política e Políticas Comuns.

Exemplos de Política

As políticas do OCC são necessárias para exibir os dados da métrica do OCC.

Para obter instruções sobre como criar políticas usando a Console, consulte Criando uma Política.

Para obter mais detalhes sobre a sintaxe, consulte Sintaxe de Política.

São fornecidos os seguintes exemplos de política:

Permite que o grupo liste métricas e leia dados de métricas.

Allow group <group name> to use control-center-metrics in tenancy

Permite que o grupo gerencie solicitações de capacidade.

Allow group customeradmin to manage control-center-capacity-request in tenancy

Políticas Familiares OCC

Crie esta política em sua tenancy, para permitir que um usuário ou leia todas as métricas no OCC:

Allow <user> to read control-center-family in tenancy

Políticas de Admissão do OCC Capacity Management

Crie as políticas a seguir em sua tenancy para usar as funcionalidades de gerenciamento de capacidade.

allow group <group-name> to manage control-center-capacity-requests in tenancy

allow group <group-name> to read control-center-availability-catalogs in tenancy

define tenancy operator as ocid1.tenancy.oc1..aaaaaaaagkbzgg6lpzrf47xzy4rjoxg4de6ncfiq2rncmjiujvy2hjgxvziqy

define group ccm-operators as ocid1.group.oc1..aaaaaaaay7y5a5tifmzcaa6ucaljuxyf5qvoghcn2lk4l3gxzvmiow7xaa6q

admit group ccm-operators of tenancy operator to use control-center-capacity-requests in tenancy

Aqui <group-name> está qualquer grupo de usuários na tenancy do cliente usado para gerenciamento de capacidade. As políticas relacionadas à tenancy do operador e ao grupo de operadores ccm permitem que os operadores do OCI trabalhem nas solicitações de capacidade criadas pelos clientes.

Documentação do Oracle Cloud Infrastructure