Criar e Gerenciar Políticas com o Policy Advisor
Use o Policy Advisor para estabelecer rapidamente permissões do OCI em recursos que permitem que elas sejam ativadas para o Ops Insights. O Policy Advisor é um local centralizado onde você pode exibir, criar, atualizar e excluir políticas necessárias para o Ops Insights.
- Políticas necessárias para usuários do Ops Insights (administradores e usuários somente leitura).
- Políticas necessárias para que o serviço Ops Insights funcione corretamente.
- Políticas para configurar o modo de demonstração (opcional).
As políticas
any-user
são políticas do controlador de recursos necessárias para o serviço Ops Insights. As políticas que contêm group {name}
são obrigatórias pelo usuário que está tentando ativar o serviço
O Ops Insights está descontinuando as políticas do sistema principal de serviços que representam um risco de segurança a partir de 31 de agosto de 2025. Para obter mais informações, consulte: Remoção de Política do Controlador de Serviços.
Configurar Políticas de Pré-requisitos para o Ops Insights
- Na página Visão Geral do Ops Insights, no canto superior direito, clique em Policy Advisor. Isso iniciará o assistente do Policy Advisor.
- Em Acesso ao recurso, clique no botão Configurar para Insights do Ops. Essas políticas fornecerão os pré-requisitos necessários para usar o serviço Ops Insights.
- Na janela de pré-requisitos do serviço Ops Insights, selecione os grupos de usuários que precisam acessar as políticas de pré-requisito e clique em + Adicionar grupo de usuários. Marque todos os grupos necessários e marque se Acesso do administrador ou Acesso do usuário é obrigatório. Ao concluir, clique em Selecionar.
- Na janela de pré-requisitos do serviço Ops Insights, agora você verá os grupos de usuários e o nível de acesso configurados. À direita desta tabela, selecione os Compartimentos que o grupo de usuários pode acessar. Quando todos os compartimentos tiverem sido adicionados, clique em Visualizar e aplicar alterações.
- A janela Concluir Pré-requisitos permite visualizar as instruções de política que serão aplicadas. Clique em Próximo para aplicá-las.
- Depois que as políticas de pré-requisito forem aplicadas, uma marca de seleção verde será exibida. Para finalizar, clique em Fechar. As políticas de pré-requisito foram aplicadas.
Configurar e Gerenciar Políticas para Serviços do Ops Insights
Com o Policy Advisor, você pode conceder e modificar as políticas necessárias para tipos específicos de telemetria e tipos de recursos que precisam ser analisados com o Ops Insights do seu ambiente, tanto para o grupo de usuários que executará essa ação quanto para o próprio serviço.
- Bancos de Dados
- Bancos de dados autônomos no OCI
- Bancos de dados bare metal, VM e Exa-DB no OCI
- Bancos de Dados Externos (via telemetria):
- Bancos de dados gerenciados pelo Enterprise Manager
- Bancos de dados gerenciados do OCI Management Agent
- Bancos de dados MySQL
- HeatWave Sistemas MySQL Database
- Sistemas MySQL Database Externos
- Instâncias de computação e hosts
- Computa instâncias no OCI
- Hosts externos (via telemetria):
- Hosts gerenciados do Enterprise Manager
- Hosts gerenciados do OCI Management Agent
- Exadata
- Sistemas Exadata (telemetria via Enterprise Manager)
- Serviço de Banco de Dados Exadata em Infraestrutura Dedicada (ExaDB-D)
- Relatórios informativos
- Na página Visão Geral do Ops Insights, no canto superior direito, clique em Policy Advisor. Isso iniciará o assistente do Policy Advisor.
- Na guia Acesso a recursos, você verá os nomes dos serviços que exigem que as políticas sejam aplicadas para que o Ops Insights funcione. Selecione o serviço que você deseja editar e clique no botão Configurar.
- Na janela de pré-requisitos do serviço Ops Insights, selecione os grupos de usuários que precisam ter seu acesso à política modificado
- Para adicionar grupos de usuários, clique em + Adicionar grupo de usuários. Marque todos os grupos necessários e marque se Acesso do administrador ou Acesso do usuário é obrigatório. Ao concluir, clique em Selecionar.
- Para remover grupos de usuários, selecione os três pontos à direita de um grupo de usuários que tem acesso e selecione Remover. Isso o removerá da tabela.
- Na janela de pré-requisitos de serviço selecionada, agora você verá os grupos de usuários e o nível de acesso configurados. À direita desta tabela, selecione os Compartimentos que os grupos de usuários podem acessar estão visíveis.
- Para adicionar compartimentos, clique na caixa de texto e selecione os compartimentos apropriados.
- Para remover compartimentos, clique no X à direita de cada compartimento.
- A janela Concluir Pré-requisitos permite visualizar as instruções de política que serão aplicadas, mostrando as primeiras instruções a serem excluídas e as instruções de política que serão aplicadas. Clique em Próximo para aplicá-los.
- Depois que as políticas de pré-requisito forem aplicadas, uma marca de seleção verde será exibida. Para finalizar, clique em Fechar. As políticas de pré-requisito foram aplicadas.
Remoção da Política do Controlador de Serviços
É prática recomendada da Oracle que um serviço OCI nunca acesse o recurso OCI de um cliente usando um controlador de serviços, pois isso apresenta um risco potencial de segurança. O Ops Insights está descontinuando as políticas do sistema do controlador de serviços que representam um risco de segurança a partir de 31 de agosto de 2025.Se forem detectadas políticas obsoletas, o Policy Advisor exibirá um banner na parte superior da página que exige uma atualização de política para o novo formato CRISP; para atualizar as políticas obsoletas existentes, clique no botão Atualizar políticas de pré-requisitos. Os ícones adicionais de Advertência são exibidos ao lado dos grupos de políticas individuais que contêm instruções obsoletas, e o botão Configurar será desativado para todos os grupos que contêm instruções obsoletas até que os upgrades de política sejam executados.
Política Principal de Serviço Obsoleta | Nova Política |
---|---|
allow service operations-insights to read secret-family in compartment ABC where target.vault.id = 'Vault OCID' |
allow any-user to read secret-family in tenancy where ALL{request.principal.type='opsidatabaseinsight', target.vault.id = 'Vault OCID'} |
allow service operations-insights to read autonomous-database-family in compartment XYZ where {request.operation='GenerateAutonomousDatabaseWallet'} |
allow any-user to read autonomous-database-family in compartment XYZ where ALL{request.principal.type='opsidatabaseinsight', request.operation='GenerateAutonomousDatabaseWallet'} |
allow group <group name> to inspect ons-topic in compartment <compartment-name>
|
allow any-user to use ons-topics in compartment {compartment} where ALL{request.principal.type='opsinewsreport'} |