Documentação do Oracle Cloud Infrastructure

Criar e Gerenciar Políticas com o Policy Advisor

Use o Policy Advisor para estabelecer rapidamente as permissões do OCI em recursos que permitem que eles sejam ativados para o Ops Insights. O Policy Advisor é um local centralizado no qual você pode exibir, criar, atualizar e excluir políticas necessárias para o Ops Insights.

O Policy Advisor automatiza a criação das seguintes políticas:
  • Políticas necessárias para usuários do Ops Insights (administradores e usuários somente para leitura).
  • Políticas necessárias ao serviço Ops Insights para funcionar corretamente.
  • Políticas para configurar o modo de demonstração (opcional).
Observação

As políticas any-user são políticas do controlador de recursos necessárias ao serviço Ops Insights. As políticas que contêm group {name} são exigidas pelo usuário que está tentando ativar o serviço

O Ops Insights está descontinuando as políticas do sistema principal de serviços que representam um risco de segurança a partir de 31 de agosto de 2025. Para obter mais informações, consulte: Remoção de Política do Controlador de Serviços.

Configurar Políticas de Pré-requisitos para o Ops Insights

Como administrador com a capacidade de criar políticas no compartimento raiz, siga estas etapas para configurar as políticas de pré-requisito necessárias com o Policy Advisor:
  1. Na página Visão Geral do Ops Insights, na seção Comece agora, clique em Consultor de Políticas.
  2. Na guia Acesso ao recurso, clique em Configurar para o Ops Insights. Essas políticas fornecem os pré-requisitos obrigatórios para usar o serviço Ops Insights.
  3. No painel Pré-requisitos do serviço Ops Insights, clique em + Adicionar grupo de usuários.
  4. No painel Grupos de usuários, selecione os grupos de usuários necessários, selecione Acesso do administrador ou Acesso do usuário, conforme necessário, e clique em Selecionar.
  5. No painel Pré-requisitos do serviço Ops Insights, selecione os compartimentos que os grupos de usuários podem acessar e clique em Visualizar e aplicar alterações.
  6. No painel Concluir pré-requisitos, revise as instruções de política a serem aplicadas e clique em Aplicar.
  7. Quando as políticas de pré-requisito são aplicadas, uma marca de seleção verde é exibida. Clique em Fechar.

Configurar e Gerenciar Políticas para Serviços do Ops Insights

Com o Policy Advisor, você pode conceder e modificar as políticas necessárias para tipos específicos de telemetria e recursos que precisam ser analisados com o Ops Insights de seu ambiente, tanto para o grupo de usuários que executará essa ação quanto para o próprio serviço.

Veja a seguir uma lista de telemetria e tipos de recursos cujas políticas podem ser gerenciadas no Policy Advisor:
  • Bancos de Dados
    • Autonomous AI Databases na OCI
    • Bancos de dados bare metal, VM e Exa-DB na OCI
    • Bancos de Dados Externos (via telemetria):
      • Bancos de dados gerenciados do Enterprise Manager
      • Bancos de dados gerenciados do OCI Management Agent
    • Bancos de dados MySQL
      • Sistemas de Banco de Dados MySQL HeatWave
      • Sistemas MySQL Database Externos
  • Instâncias de computação e hosts
    • Calcula instâncias no OCI
    • Hosts externos (via telemetria):
      • Hosts gerenciados do Enterprise Manager
      • Hosts gerenciados do OCI Management Agent
  • Exadata
    • Gerenciamento de custos do Exadata
    • Sistemas Exadata (telemetria via Enterprise Manager)
    • Serviço de Banco de Dados Exadata em Infraestrutura Dedicada (ExaDB-D)
  • Relatórios informativos
Para configurar as políticas específicas, primeiro certifique-se de que os buckets necessários tenham sido criados nos compartimentos a serem usados e siga estas etapas:
  1. Na página Visão Geral do Ops Insights, na seção Comece agora, clique em Consultor de Políticas.
  2. Na guia Acesso ao recurso, selecione o serviço que você deseja configurar e clique em Configurar.
  3. No painel pré-requisitos de serviço:
    • Clique em + Adicionar grupo de usuários e selecione os grupos necessários. Para remover um grupo de usuários, clique no menu Ações do grupo e selecione Remover.
    • Selecione os compartimentos que os grupos de usuários podem acessar. Para remover um compartimento, clique em X desse compartimento.
    • Marque ou desmarque outros recursos, como buckets ou vaults de banco de dados, conforme necessário.

    Clique em Visualizar e aplicar alterações.

  4. No painel Concluir pré-requisitos, revise as instruções de política a serem excluídas e aplicadas e clique em Aplicar.
  5. Quando as políticas de pré-requisito são aplicadas, uma marca de seleção verde é exibida. Clique em Fechar.

Remoção de Política Principal do Serviço

É a melhor prática da Oracle que um serviço da OCI nunca deve acessar o recurso da OCI de um cliente usando um controlador de serviços, pois isso apresenta um risco potencial de segurança. O Ops Insights está descontinuando as políticas do sistema principal de serviços que representam um risco de segurança a partir de 31 de agosto de 2025.

Se forem detectadas políticas obsoletas, o Policy Advisor exibirá um banner na parte superior da página que exige uma atualização de política para o novo formato CRISP; para atualizar as políticas obsoletas existentes, clique em Atualizar políticas de pré-requisitos. Ícones adicionais de Aviso aparecem ao lado dos grupos de políticas individuais que contêm instruções obsoletas, e a opção Configurar é desativada para todos os grupos que contêm instruções obsoletas até que os upgrades de política sejam executados.

Políticas do Ops Insight que você precisa gravar em sua tenancy:
Política Principal do Serviço Obsoleta Nova Política
allow service operations-insights to read secret-family in compartment ABC where target.vault.id = 'Vault OCID' allow any-user to read secret-family in tenancy where ALL{request.principal.type='opsidatabaseinsight', target.vault.id = 'Vault OCID'}
allow service operations-insights to read autonomous-database-family in compartment XYZ where {request.operation='GenerateAutonomousDatabaseWallet'} allow any-user to read autonomous-database-family in compartment XYZ where ALL{request.principal.type='opsidatabaseinsight', request.operation='GenerateAutonomousDatabaseWallet'}