Criar e Gerenciar Políticas com o Policy Advisor

Use o Policy Advisor para estabelecer rapidamente permissões do OCI em recursos que permitem que elas sejam ativadas para o Ops Insights. O Policy Advisor é um local centralizado onde você pode exibir, criar, atualizar e excluir políticas necessárias para o Ops Insights.

O Policy Advisor automatiza a criação das seguintes políticas:
  • Políticas necessárias para usuários do Ops Insights (administradores e usuários somente leitura).
  • Políticas necessárias para que o serviço Ops Insights funcione corretamente.
  • Políticas para configurar o modo de demonstração (opcional).
Observação

As políticas any-user são políticas do controlador de recursos necessárias para o serviço Ops Insights. As políticas que contêm group {name} são obrigatórias pelo usuário que está tentando ativar o serviço

O Ops Insights está descontinuando as políticas do sistema principal de serviços que representam um risco de segurança a partir de 31 de agosto de 2025. Para obter mais informações, consulte: Remoção de Política do Controlador de Serviços.

Configurar Políticas de Pré-requisitos para o Ops Insights

Como administrador com a capacidade de criar políticas no compartimento raiz, siga estas etapas para configurar as políticas de pré-requisito necessárias com o Policy Advisor:
  1. Na página Visão Geral do Ops Insights, no canto superior direito, clique em Policy Advisor. Isso iniciará o assistente do Policy Advisor.
  2. Em Acesso ao recurso, clique no botão Configurar para Insights do Ops. Essas políticas fornecerão os pré-requisitos necessários para usar o serviço Ops Insights.
  3. Na janela de pré-requisitos do serviço Ops Insights, selecione os grupos de usuários que precisam acessar as políticas de pré-requisito e clique em + Adicionar grupo de usuários. Marque todos os grupos necessários e marque se Acesso do administrador ou Acesso do usuário é obrigatório. Ao concluir, clique em Selecionar.
  4. Na janela de pré-requisitos do serviço Ops Insights, agora você verá os grupos de usuários e o nível de acesso configurados. À direita desta tabela, selecione os Compartimentos que o grupo de usuários pode acessar. Quando todos os compartimentos tiverem sido adicionados, clique em Visualizar e aplicar alterações.
  5. A janela Concluir Pré-requisitos permite visualizar as instruções de política que serão aplicadas. Clique em Próximo para aplicá-las.
  6. Depois que as políticas de pré-requisito forem aplicadas, uma marca de seleção verde será exibida. Para finalizar, clique em Fechar. As políticas de pré-requisito foram aplicadas.

Configurar e Gerenciar Políticas para Serviços do Ops Insights

Com o Policy Advisor, você pode conceder e modificar as políticas necessárias para tipos específicos de telemetria e tipos de recursos que precisam ser analisados com o Ops Insights do seu ambiente, tanto para o grupo de usuários que executará essa ação quanto para o próprio serviço.

Veja a seguir uma lista de tipos de telemetria e recursos cujas políticas podem ser gerenciadas no Policy Advisor:
  • Bancos de Dados
    • Bancos de dados autônomos no OCI
    • Bancos de dados bare metal, VM e Exa-DB no OCI
    • Bancos de Dados Externos (via telemetria):
      • Bancos de dados gerenciados pelo Enterprise Manager
      • Bancos de dados gerenciados do OCI Management Agent
    • Bancos de dados MySQL
      • HeatWave Sistemas MySQL Database
      • Sistemas MySQL Database Externos
  • Instâncias de computação e hosts
    • Computa instâncias no OCI
    • Hosts externos (via telemetria):
      • Hosts gerenciados do Enterprise Manager
      • Hosts gerenciados do OCI Management Agent
  • Exadata
    • Sistemas Exadata (telemetria via Enterprise Manager)
    • Serviço de Banco de Dados Exadata em Infraestrutura Dedicada (ExaDB-D)
  • Relatórios informativos
Para configurar as políticas específicas, primeiro certifique-se de que os buckets necessários tenham sido criados nos compartimentos a serem usados e siga estas etapas:
  1. Na página Visão Geral do Ops Insights, no canto superior direito, clique em Policy Advisor. Isso iniciará o assistente do Policy Advisor.
  2. Na guia Acesso a recursos, você verá os nomes dos serviços que exigem que as políticas sejam aplicadas para que o Ops Insights funcione. Selecione o serviço que você deseja editar e clique no botão Configurar.
  3. Na janela de pré-requisitos do serviço Ops Insights, selecione os grupos de usuários que precisam ter seu acesso à política modificado
    1. Para adicionar grupos de usuários, clique em + Adicionar grupo de usuários. Marque todos os grupos necessários e marque se Acesso do administrador ou Acesso do usuário é obrigatório. Ao concluir, clique em Selecionar.
    2. Para remover grupos de usuários, selecione os três pontos à direita de um grupo de usuários que tem acesso e selecione Remover. Isso o removerá da tabela.
  4. Na janela de pré-requisitos de serviço selecionada, agora você verá os grupos de usuários e o nível de acesso configurados. À direita desta tabela, selecione os Compartimentos que os grupos de usuários podem acessar estão visíveis.
    1. Para adicionar compartimentos, clique na caixa de texto e selecione os compartimentos apropriados.
    2. Para remover compartimentos, clique no X à direita de cada compartimento.
    Quando todos os compartimentos tiverem sido modificados, clique em Visualizar e aplicar alterações.
  5. A janela Concluir Pré-requisitos permite visualizar as instruções de política que serão aplicadas, mostrando as primeiras instruções a serem excluídas e as instruções de política que serão aplicadas. Clique em Próximo para aplicá-los.
  6. Depois que as políticas de pré-requisito forem aplicadas, uma marca de seleção verde será exibida. Para finalizar, clique em Fechar. As políticas de pré-requisito foram aplicadas.

Remoção da Política do Controlador de Serviços

É prática recomendada da Oracle que um serviço OCI nunca acesse o recurso OCI de um cliente usando um controlador de serviços, pois isso apresenta um risco potencial de segurança. O Ops Insights está descontinuando as políticas do sistema do controlador de serviços que representam um risco de segurança a partir de 31 de agosto de 2025.

Se forem detectadas políticas obsoletas, o Policy Advisor exibirá um banner na parte superior da página que exige uma atualização de política para o novo formato CRISP; para atualizar as políticas obsoletas existentes, clique no botão Atualizar políticas de pré-requisitos. Os ícones adicionais de Advertência são exibidos ao lado dos grupos de políticas individuais que contêm instruções obsoletas, e o botão Configurar será desativado para todos os grupos que contêm instruções obsoletas até que os upgrades de política sejam executados.

Políticas do Ops Insight que você precisa gravar em sua tenancy:
Política Principal de Serviço Obsoleta Nova Política
allow service operations-insights to read secret-family in compartment ABC where target.vault.id = 'Vault OCID' allow any-user to read secret-family in tenancy where ALL{request.principal.type='opsidatabaseinsight', target.vault.id = 'Vault OCID'}
allow service operations-insights to read autonomous-database-family in compartment XYZ where {request.operation='GenerateAutonomousDatabaseWallet'} allow any-user to read autonomous-database-family in compartment XYZ where ALL{request.principal.type='opsidatabaseinsight', request.operation='GenerateAutonomousDatabaseWallet'}
allow group <group name> to inspect ons-topic in compartment <compartment-name>

allow service operations-insights to use ons-topic in tenancy

allow any-user to use ons-topics in compartment {compartment} where ALL{request.principal.type='opsinewsreport'}