Documentação do Oracle Cloud Infrastructure

Criar e Gerenciar Políticas com o Policy Advisor

Use o Policy Advisor para estabelecer rapidamente as permissões do OCI em recursos que permitem que eles sejam ativados para o Ops Insights. O Policy Advisor é um local centralizado no qual você pode exibir, criar, atualizar e excluir políticas necessárias para o Ops Insights.

O Policy Advisor automatiza a criação das seguintes políticas:
  • Políticas necessárias para usuários do Ops Insights (administradores e usuários somente para leitura).
  • Políticas necessárias ao serviço Ops Insights para funcionar corretamente.
  • Políticas para configurar o modo de demonstração (opcional).
Observação

As políticas any-user são políticas do controlador de recursos necessárias ao serviço Ops Insights. As políticas que contêm group {name} são exigidas pelo usuário que está tentando ativar o serviço

O Ops Insights está descontinuando as políticas do sistema principal de serviços que representam um risco de segurança a partir de 31 de agosto de 2025. Para obter mais informações, consulte: Remoção de Política do Controlador de Serviços.

Configurar Políticas de Pré-requisitos para o Ops Insights

Como administrador com a capacidade de criar políticas no compartimento raiz, siga estas etapas para configurar as políticas de pré-requisito necessárias com o Policy Advisor:
  1. Na página Visão Geral do Ops Insights, no canto superior direito, clique em Policy Advisor. Isso iniciará o assistente do Policy Advisor.
  2. No Acesso ao recurso, clique no botão Configurar do Ops Insights. Essas políticas fornecerão os pré-requisitos necessários para usar o serviço Ops Insights.
  3. Na janela de pré-requisitos do serviço Ops Insights, selecione os grupos de usuários que precisam acessar as políticas de pré-requisitos e clique em + Adicionar grupo de usuários. Marque todos os grupos obrigatórios e marque se Acesso do administrador ou Acesso do usuário é obrigatório. Quando concluir, clique em Selecionar.
  4. Na janela de pré-requisitos do serviço Ops Insights, você verá agora os grupos de usuários e o nível de acesso que configurou. À direita desta tabela, selecione os Compartimentos que o grupo de usuários pode acessar. Quando todos os compartimentos tiverem sido adicionados, clique em Visualizar e aplicar alterações.
  5. A janela Concluir Pré-requisitos permite que você visualize as instruções de política que serão aplicadas. Clique em Próximo para aplicá-las.
  6. Depois que as políticas de pré-requisito tiverem sido aplicadas, uma marca de seleção verde será exibida. Para finalizar, clique em Fechar. As políticas de pré-requisito foram aplicadas.

Configurar e Gerenciar Políticas para Serviços do Ops Insights

Com o Policy Advisor, você pode conceder e modificar as políticas necessárias para tipos específicos de telemetria e recursos que precisam ser analisados com o Ops Insights de seu ambiente, tanto para o grupo de usuários que executará essa ação quanto para o próprio serviço.

Veja a seguir uma lista de telemetria e tipos de recursos cujas políticas podem ser gerenciadas no Policy Advisor:
  • Bancos de Dados
    • Autonomous AI Databases na OCI
    • Bancos de dados bare metal, VM e Exa-DB na OCI
    • Bancos de Dados Externos (via telemetria):
      • Bancos de dados gerenciados do Enterprise Manager
      • Bancos de dados gerenciados do OCI Management Agent
    • Bancos de dados MySQL
      • Sistemas de Banco de Dados MySQL HeatWave
      • Sistemas MySQL Database Externos
  • Instâncias de computação e hosts
    • Calcula instâncias no OCI
    • Hosts externos (via telemetria):
      • Hosts gerenciados do Enterprise Manager
      • Hosts gerenciados do OCI Management Agent
  • Exadata
    • Gerenciamento de custos do Exadata
    • Sistemas Exadata (telemetria via Enterprise Manager)
    • Serviço de Banco de Dados Exadata em Infraestrutura Dedicada (ExaDB-D)
  • Relatórios informativos
Para configurar as políticas específicas, primeiro certifique-se de que os buckets necessários tenham sido criados nos compartimentos a serem usados e siga estas etapas:
  1. Na página Visão Geral do Ops Insights, no canto superior direito, clique em Policy Advisor. Isso iniciará o assistente do Policy Advisor.
  2. Na guia Acesso ao recurso, você verá os nomes dos serviços que exigem a aplicação de políticas para que o Ops Insights funcione. Selecione o serviço que deseja editar e clique no botão Configurar.
  3. Na janela de pré-requisitos do serviço Ops Insights, selecione os grupos de usuários que precisam ter seu acesso à política modificado
    1. Para adicionar grupos de usuários, clique em + Adicionar grupo de usuários. Marque todos os grupos obrigatórios e marque se Acesso do administrador ou Acesso do usuário é obrigatório. Quando concluir, clique em Selecionar.
    2. Para remover grupos de usuários, selecione os três pontos à direita de um grupo de usuários que tenha acesso e selecione Remover. Isso o removerá da tabela.
  4. Na janela de pré-requisitos de serviço selecionada, você verá os grupos de usuários e o nível de acesso que configurou. À direita desta tabela, selecione os Compartimentos que os grupos de usuários podem acessar.
    1. Para adicionar compartimentos, clique na caixa de texto e selecione os compartimentos apropriados.
    2. Para remover compartimentos, clique no X à direita de cada compartimento.
    Quando todos os compartimentos tiverem sido modificados, clique em Visualizar e aplicar alterações.
  5. A janela Concluir Pré-requisitos permite visualizar as instruções de política que serão aplicadas, mostrando as primeiras instruções a serem excluídas e as instruções de política que serão aplicadas. Clique em Próximo para aplicá-las.
  6. Depois que as políticas de pré-requisito tiverem sido aplicadas, uma marca de seleção verde será exibida. Para finalizar, clique em Fechar. As políticas de pré-requisito foram aplicadas.

Remoção de Política Principal do Serviço

É a melhor prática da Oracle que um serviço da OCI nunca deve acessar o recurso da OCI de um cliente usando um controlador de serviços, pois isso apresenta um risco potencial de segurança. O Ops Insights está descontinuando as políticas do sistema principal de serviços que representam um risco de segurança a partir de 31 de agosto de 2025.

Se forem detectadas políticas obsoletas, o Policy Advisor exibirá um banner na parte superior da página que exige uma atualização de política para o novo formato CRISP; para atualizar as políticas obsoletas existentes, clique no botão Atualizar políticas de pré-requisitos. Ícones adicionais de Aviso aparecem ao lado dos grupos de políticas individuais que contêm instruções obsoletas, e o botão Configurar será desativado para todos os grupos que contêm instruções obsoletas até que os upgrades de política sejam executados.

Políticas do Ops Insight que você precisa gravar em sua tenancy:
Política Principal do Serviço Obsoleta Nova Política
allow service operations-insights to read secret-family in compartment ABC where target.vault.id = 'Vault OCID' allow any-user to read secret-family in tenancy where ALL{request.principal.type='opsidatabaseinsight', target.vault.id = 'Vault OCID'}
allow service operations-insights to read autonomous-database-family in compartment XYZ where {request.operation='GenerateAutonomousDatabaseWallet'} allow any-user to read autonomous-database-family in compartment XYZ where ALL{request.principal.type='opsidatabaseinsight', request.operation='GenerateAutonomousDatabaseWallet'}