Documentação do Oracle Cloud Infrastructure

Configurar Instâncias de Computação para Acessar o Log Analytics entre Tenancies

Talvez você precise conceder acesso a um fornecedor de terceiros para gerenciar e monitorar logs de um CompanyABC. Este documento explica como configurar o acesso se o fornecedor quiser usar a CLI ou o SDK das instâncias de computação na tenancy VendorA para acessar o Log Analytics do CompanyABC.

A política do OCI IAM usa o conceito de admit e endorse para permitir acesso entre tenancies. Se você quiser conceder permissão para que instâncias de computação da tenancy de origem (VendorA) acessem o Log Analytics da tenancy de destino (CompanyABC), os administradores de ambas as tenancies deverão criar políticas do IAM conforme abaixo.

  1. Configurar o controlador de instâncias e o grupo dinâmico na tenancy de origem (VendorA):

    O recurso de controladores de instâncias permite que você faça chamadas de serviço de uma instância. As instâncias de computação do OCI estão autorizadas a interagir com APIs do OCI criando um grupo dinâmico das instâncias de computação e uma política que autoriza quais operações as instâncias podem executar.

    Crie um grupo dinâmico, por exemplo, oci_la_dg, para autorizar as instâncias nos compartimentos com as permissões definidas nas políticas. 

    Any {instance.compartment.id = 'ocid1.compartment.oc1..aaaaabcd',instance.compartment.id = 'ocid1.compartment.oc1..aaaaadef'}

  2. Criar política na tenancy de origem (VendorA): 

    Define tenancy CompanyABC as ocid1.tenancy.oc1..aaaaaaaaabc
Endorse dynamic-group oci_la_dg to manage loganalytics-features-family in tenancy CompanyABC
Endorse dynamic-group oci_la_dg to manage loganalytics-resources-family in tenancy CompanyABC
Endorse dynamic-group oci_la_dg to manage management-dashboard-family in tenancy CompanyABC
Endorse dynamic-group oci_la_dg to read compartments in tenancy CompanyABC

  3. Criar política na tenancy de destino (CompanyABC): 

    Define tenancy VendorA as ocid1.tenancy.oc1..aaaaavendora
Define dynamic-group oci_la_dg as ocid1.dynamicgroup.oc1..aaaaaaaavendora
Admit dynamic-group oci_la_dg of tenancy VendorA to manage loganalytics-features-family in tenancy
Admit dynamic-group oci_la_dg of tenancy VendorA to manage loganalytics-resources-family in tenancy
Admit dynamic-group oci_la_dg of tenancy VendorA to manage management-dashboard-family in tenancy 
Admit dynamic-group oci_la_dg of tenancy VendorA to read compartments in tenancy

  4. Verifique se agora você pode executar APIs do Log Analytics nas instâncias que receberam permissões.

Para obter informações sobre instruções Endorse, Admit e Define, consulte Documentação do Serviço Object Storage. Além de grupos dinâmicos, essas instruções também podem ser aplicadas a grupos.