Criar Políticas de Administrador

1. Faça log-in na Console como administrador da tenancy. Abra o menu de navegação e, em Governança e Administração, vá para Identidade e clique em Políticas.
2. Use as instruções em criar uma política e dê à política um nome significativo. Por exemplo, opsi-admin-policy.
3. Adicione a instrução de política a seguir para Permitir que o grupo ative/desative o Ops Insights ou para criar/ativar/desativar um host do Management Agent ou um banco de dados gerenciado pelo Enterprise Manager ou para atualizar/adicionar tags a todos os recursos do Ops Insights. Por exemplo, se seu grupo de administradores for chamado de grupo opsi-admin e você quiser adicionar essa política no nível de tenancy, adicione o seguinte:

   Allow group opsi-admins to manage opsi-family in tenancy
   Allow group opsi-admins to manage management-dashboard-family in tenancy

   Observe que as políticas também podem ser criadas no nível do compartimento.

   Consulte também Detalhes do Painel de Controle de Gerenciamento para obter mais detalhes sobre políticas para usar Painéis de Controle.

4. Dependendo de quais recursos você ativará, adicione as seguintes políticas:

   Ativando	Políticas	Detalhes
   Autonomous Databases - recursos básicos	Allow group opsi-admins to use autonomous-database-family in tenancy	Os recursos básicos incluem o Capacity Planning.
   Autonomous Databases - recursos completos	Allow group opsi-admins to use autonomous-database-family in tenancy Allow group opsi-admins to manage virtual-network-family in tenancy Allow group opsi-admins to read secret-family in tenancy Allow group opsi-admins to read secret-family in tenancy Allow any-user to read secret-family in tenancy where ALL{ target.vault.id = 'mydbVault', request.principal.type = 'opsidatabaseinsight'} Allow any-user to read autonomous-database-family in tenancy where ALL{request.operation='GenerateAutonomousDatabaseWallet'}	Atualmente, todos os recursos incluem o SQL Explorer e o ADDM Spotlight. O acesso à rede virtual é necessário como parte da criação da conexão reversa do ponto final privado. O acesso à família de segredos é necessário para ler a senha do usuário do banco de dados do OCI vault para executar coletas de dados no banco de dados. A permissão de geração de wallet é necessária para estabelecer conexão por meio de mTLS com o banco de dados. Consulte também Ativar Autonomous Databases e Suporte a Recursos Completos. Observação O Ops Insights tornou obsoletas as políticas do sistema do controlador de serviços. Para obter mais informações, consulte: Remoção da Política do Controlador de Serviços
   Bancos de Dados Bare Metal, VMs e ExaDB-D	Allow group opsi-admins to use database-family in tenancy Allow group opsi-admins to manage virtual-network-family in tenancy Allow group opsi-admins to read secret-family in tenancy Allow any-user to read secret-family in tenancy where ALL{ target.vault.id = 'mydbVault', request.principal.type = 'opsidatabaseinsight'}	O acesso ao Ops Insights é por meio de ponto final privado. O acesso à rede virtual é necessário como parte da criação da conexão reversa do ponto final privado. O acesso à família de segredos é necessário para ler a senha do usuário do banco de dados do OCI vault para executar coletas de dados no banco de dados. Observação O Ops Insights tornou obsoletas as políticas do sistema do controlador de serviços. Para obter mais informações, consulte: Remoção da Política do Controlador de Serviços
   ExaC@C Bancos de Dados	Allow group {name} to read database-family in compartment {compartment} Allow group {name} to read dbmgmt-family in compartment {compartment} Allow group {group} to read secret-family in compartment {compartment} where any { target.vault.id = 'VaultOCID' } Allow any-user to read database-family in tenancy where ALL { request.principal.type = 'opsiexadatainsight' } Allow group {group} to manage management-agents in compartment {agentCompartment}	O acesso ao Ops Insights é feito por meio do Management Agent. O acesso à família de bancos de dados é necessário para garantir que os dados de configuração atualizados estejam disponíveis no Ops Insights. O acesso à família de segredos é necessário para ler a senha do usuário do banco de dados do OCI vault para executar coletas de dados no banco de dados.
   Bancos de dados externos, hosts e Sistemas Projetados usando o Oracle Enterprise Manager	Allow dynamic-group opsienterprisemanagerbridge to read object-family in compartment MyBucketCompartment where ANY (target.bucket.name='embridge-bucket') Allow group opsi-admins to inspect object-family in tenancy	O Enterprise Manager é uma solução de gerenciamento local da Oracle que pode se integrar aos serviços da OCI e compartilhar dados. Você precisa criar um grupo dinâmico para acessar os dados em um compartimento do serviço Object Storage, por exemplo: ALL {resource.type='opsienterprisemanagerbridge'} Se você estiver ativando bancos de dados gerenciados pelo Enterprise Manager (bancos de dados e hosts), consulte os detalhes completos das políticas em: Adicionando Alvos do Enterprise Manager.
   Bancos de dados e hosts externos usando o OCI Management Agent	Allow group opsi-admins to use external-database-family in tenancy Allow group opsi-admins to manage management-agent-install-keys in tenancy	Quaisquer recursos fora do OCI, como bancos de dados locais que não são gerenciados pelo Enterprise Manager, exigirão um Management Agent. Se você ativar bancos de dados gerenciados usando um Agente de Gerenciamento, consulte também políticas do agente de gerenciamento.
   HeatWave Sistemas MySQL Database	Allow group <User Group> to manage mysql-family in tenancy	Ops Insights só suporta a instância principal. Instâncias de failover e réplicas somente leitura não são suportadas no momento.
   Sistemas MySQL Database Externos	Allow group opsi-admins to read secret-family in tenancy Allow group opsi-admins to read management-agents in tenancy Allow group opsi-admins to use dbmgmt-mysql-family in compartment {dbSystemCompartment} Allow any-user to read secret-family in tenancy where ALL { request.principal.type = 'opsidatabaseinsight', target.vault.id = 'mydbVault' }	Sistemas de banco de dados MySQL externos implantados on-premise e conectados a um recurso no serviço Database Management.
   Instâncias de Computação do OCI	Allow group opsi-admins to manage management-agents in tenancy Allow group opsi-admins to manage instance-family in tenancy Allow group opsi-admins to read instance-agent-plugins in tenancy Allow any-user to use instance-family in compartment {compartment} where ALL { request.principal.type = 'opsihostinsight' } Allow any-user to read instance-family in compartment {compartment} where ALL { request.principal.type = 'opsihostinsight' } Allow any-user to manage management-agents in compartment {compartment} where ALL { request.principal.type = 'opsihostinsight' }	Essas instâncias podem ser ativadas usando Management Agents. Consulte também as políticas especiais em Disponibilizar Agentes de Gerenciamento em Instâncias do Serviço Compute.
   Hub do AWR (dados de desempenho do Repositório de Carga de Trabalho Automática do Oracle Database)	ADB-S: Allow dynamic-group OPSI_AWR_Hub_Dynamic_Group to manage opsi-awr-hub-sources in tenancy ADB-D e bancos de dados externos: Allow group <User Group> to use opsi-awr-hub-sources in tenancy Política legada: Allow opsi-admins to manage opsi-family in tenancy	Observe que há políticas adicionais necessárias quando você cria um Hub do AWR. Você pode adicioná-los por meio do processo de criação guiado. Para obter detalhes completos, consulte Analisar Dados de Desempenho do Repositório de Carga de Trabalho Automática (AWR).
   Exadata Warehouse	N/D	O Exadata Warehouse é um repositório de dados dos Oracle Engineered Systems locais e baseados na nuvem monitorados pelo Enterprise Manager. Consulte Exadata Warehouse.
   Relatórios informativos	Allow any-user to use ons-topics in compartment {compartment} where ALL{request.principal.type='opsinewsreport'}	O relatório de notícias gera relatórios semanais por e-mail sobre sua frota monitorada pelo OPSI usando o ONS (Oracle Notification Services). Consulte: Relatórios de Notícias.

5. Clique em Criar.

Criar Políticas Não Administrativas

Os usuários só poderão usar o Ops Insights se o grupo tiver recebido as permissões necessárias. Para permitir que o usuário opsiuser ative/desative o Ops Insights apenas em Autonomous Databases em sua tenancy, crie uma política de identidade para conceder as permissões de grupo apropriadas ao usuário opsi-users.

1. Faça log-in na Console como o administrador da tenancy e navegue até Governança e Administração, em seguida, Identidade e clique em Políticas.
2. Use as instruções Para criar uma política e dê à política um nome relevante. Por exemplo, opsi-user-policy.
3. Adicione uma instrução de política para Permitir que o grupo ative/desative o Ops Insights. Por exemplo, para o grupo opsi-users, adicione o seguinte:

   Allow group opsi-users to use opsi-family in tenancy
   Allow group opsi-users to read management-dashboard-family in tenancy

4. Clique em Criar.

Para obter acesso de controle mais detalhado ao Ops Insights, consulte Detalhes do Ops Insights.

Remoção da Política do Controlador de Serviços

É prática recomendada da Oracle que um serviço OCI nunca acesse o recurso OCI de um cliente usando um controlador de serviços, pois isso apresenta um risco potencial de segurança. O Ops Insights está descontinuando as políticas do sistema do controlador de serviços que representam um risco de segurança a partir de 31 de agosto de 2025.

Se forem detectadas políticas obsoletas, o Policy Advisor exibirá um banner na parte superior da página que exige uma atualização de política para o novo formato CRISP; para atualizar as políticas obsoletas existentes, clique no botão Atualizar políticas de pré-requisitos. Os ícones adicionais de Advertência são exibidos ao lado dos grupos de políticas individuais que contêm instruções obsoletas, e o botão Configurar será desativado para todos os grupos que contêm instruções obsoletas até que os upgrades de política sejam executados.