A política do OCI IAM usa o conceito de admissão e fornecedor para permitir o acesso entre tenancies. Se você quiser conceder permissão para instâncias de computação da tenancy de origem (VendorA) para acessar o Logging Analytics da tenancy de destino (CompanyABC), os administradores das duas tenancies deverão criar políticas do serviço IAM conforme abaixo.

1. Configure o controlador de instâncias e o grupo dinâmico na tenancy de origem (VendorA):

   O recurso de controladores de instâncias permite que você faça chamadas de serviço de uma instância. As instâncias de computação do OCI estão autorizadas a interagir com APIs do OCI criando um grupo dinâmico das instâncias de computação e uma política que autoriza quais operações as instâncias podem executar.

   Crie um grupo dinâmico, por exemplo, oci_la_dg, para autorizar as instâncias nos compartimentos com as permissões definidas nas políticas.

   Any {instance.compartment.id = 'ocid1.compartment.oc1..aaaaabcd',instance.compartment.id = 'ocid1.compartment.oc1..aaaaadef'}

2. Criar política na tenancy de origem (VendorA):

   Define tenancy CompanyABC as ocid1.tenancy.oc1..aaaaaaaaabc
   Endorse dynamic-group oci_la_dg to manage loganalytics-features-family in tenancy CompanyABC
   Endorse dynamic-group oci_la_dg to manage loganalytics-resources-family in tenancy CompanyABC
   Endorse dynamic-group oci_la_dg to manage management-dashboard-family in tenancy CompanyABC
   Endorse dynamic-group oci_la_dg to read compartments in tenancy CompanyABC

3. Criar política na tenancy de destino (CompanyABC):

   Define tenancy VendorA as ocid1.tenancy.oc1..aaaaavendora
   Define dynamic-group oci_la_dg as ocid1.dynamicgroup.oc1..aaaaaaaavendora
   Admit dynamic-group oci_la_dg of tenancy VendorA to manage loganalytics-features-family in tenancy
   Admit dynamic-group oci_la_dg of tenancy VendorA to manage loganalytics-resources-family in tenancy
   Admit dynamic-group oci_la_dg of tenancy VendorA to manage management-dashboard-family in tenancy 
   Admit dynamic-group oci_la_dg of tenancy VendorA to read compartments in tenancy

4. Verifique se agora você pode executar APIs do Logging Analytics nas instâncias às quais foram concedidas permissões.

Para obter informações sobre instruções Endorse, Admit e Define, consulte Documentação do Serviço Object Storage. Além de grupos dinâmicos, essas instruções também podem ser aplicadas a grupos.