Documentação do Oracle Cloud Infrastructure

Criando Manualmente Políticas do OS Management Hub

Para o OS Management Hub, você deve identificar quais recursos o serviço pode gerenciar e quais usuários podem gerenciar esses recursos.

Para ativar o OS Management Hub, defina o seguinte:

Importante

Para ativar o recurso Descoberta e Monitoramento de Recursos, configure políticas além das descritas nas seções a seguir. Consulte Introdução à Descoberta e Monitoramento de Recursos.

Você pode configurar políticas do serviço IAM de várias maneiras. As seções a seguir descrevem como definir as instruções de política do serviço IAM para um grupo de administradores do OS Management Hub usando um grupo dinâmico de recursos. Consulte Exemplo de Políticas para obter casos de uso não administrativos adicionais.

Dica

Em vez de criar manualmente grupos e instruções de política, use o consultor de política para ativar rapidamente o OS Management Hub para um compartimento.

Grupo de Usuários

Crie um grupo de usuários (como osmh-admins) ou identifique um grupo de usuários existente para administrar o serviço OS Management Hub na tenancy. Em seguida, as instruções de política necessárias concedem a esse grupo de usuários administradores a capacidade de gerenciar recursos do OS Management Hub.

Se precisar restringir ainda mais o acesso, você poderá criar grupos de usuários adicionais e definir instruções de política mais restritivas para limitar o acesso a recursos específicos. Consulte Exemplo de Políticas para casos de uso que não sejam do administrador. Para obter informações sobre grupos de usuários, consulte Gerenciando Grupos.

Grupo Dinâmico

Crie um grupo dinâmico (como osmh-instances) para especificar OS recursos que o OS Management Hub gerenciará definindo instruções de regra para OCI e instâncias de nuvem locais ou de terceiros (não OCI).

Certifique-se de entender o seguinte:

O que o grupo dinâmico faz?

O grupo dinâmico identifica as instâncias que o OS Management Hub gerenciará. Você adiciona instruções de regra para os compartimentos e compartimentos secundários que contêm instâncias que você deseja que sejam gerenciadas pelo serviço. O grupo dinâmico aumenta e diminui dinamicamente com base nessas instruções de regra. À medida que as instâncias são provisionadas ou desativadas, o grupo dinâmico é alterado de acordo. Em seguida, as instruções de política obrigatórias concedem ao OS Management Hub a capacidade de acessar as instâncias dentro do grupo dinâmico.

Para obter mais informações sobre grupos dinâmicos, consulte Gerenciando Grupos Dinâmicos.

Por que há declarações diferentes para OCI e não OCI?

Cada tipo de instância usa um agente diferente que corresponde a um objeto de recurso diferente.

  • As instâncias do OCI usam o Oracle Cloud Agent (OCA) para que a instrução do OCI especifique recursos instance em um compartimento.

  • As instâncias locais e de nuvem de terceiros usam o Management Agent Cloud Service (MACS) para que a instrução não OCI especifique recursos managementagent em um compartimento. Cada recurso do Management Agent corresponde a uma instância que não é do OCI. Portanto, ao incluir o Agente de Gerenciamento no grupo, você está incluindo a instância associada.

Consulte também Noções Básicas sobre o Agente.

Quando usar ANY e ALL para um grupo dinâmico?

Antes de escrever instruções de regras de grupo dinâmico, é importante entender a diferença entre ANY e ALL.

Ao definir um grupo dinâmico, você define como o grupo corresponde às regras definidas no grupo:

  • Corresponder qualquer regra definida a seguir inclui recursos que correspondem a qualquer uma das regras do grupo dinâmico. Selecione esta opção se estiver definindo um grupo que inclua regras para vários compartimentos ou vários tipos de instância (como instâncias do OCI e não OCI). Essa configuração instrui o grupo a incluir recursos que correspondam à regra 1 OU regra 2 OU regra 3, e assim por diante.
  • Corresponder todas as regras definidas a seguir inclui recursos que correspondem a todas as regras do grupo dinâmico. Selecione esta opção ao definir um grupo dinâmico restrito que inclua apenas um compartimento. Essa configuração instrui o grupo a incluir recursos que correspondam à regra 1 E à regra 2 E à regra 3, e assim por diante.

Ao definir instruções de regra individuais dentro do grupo dinâmico, você define as condições para cada instrução:

  • Todos os seguintes (ALL) incluem apenas recursos que correspondem a todas as condições na regra. As instruções ALL requerem que cada condição seja verdadeira. Caso contrário, os recursos não serão incluídos na regra.

  • Qualquer um dos seguintes (ANY) inclui recursos que correspondem a qualquer uma das condições da regra.

Exemplos de ANY e ALL para uma instrução de regras individual

Considere a regra usada para instâncias que não são do OCI.

Correct usage:
ALL {resource.type='managementagent', resource.compartment.id='<compartment_ocid>'}

Ao usar ALL, a regra inclui apenas recursos do Management Agent no compartimento especificado. A instrução instrui o grupo dinâmico a incluir recursos que correspondam ao tipo de agente de gerenciamento E estejam dentro do compartimento especificado.

Incorrect usage. Do not use:
ANY {resource.type='managementagent', resource.compartment.id='<compartment_ocid>'}

Ao usar ANY, a regra inclui todos os recursos do Management Agent na tenancy inteira e todos os recursos do OCI presentes no compartimento especificado. Embora a instrução inclua OS recursos necessários para o OS Management Hub, ela é muito ampla e geralmente não é preferível.

Considere a regra usada para instâncias do OCI ao especificar vários compartimentos.

Correct usage:
ANY {instance.compartment.id='<compartment_ocid>',instance.compartment.id='<child compartment_ocid>'}

Ao usar o ANY, a regra inclui cada instância em cada um dos compartimentos especificados. A instrução informa ao grupo dinâmico para incluir instâncias em <compartment_ocid> OU <child compartment_ocid>.

Incorrect usage. Do not use:
ALL {instance.compartment.id='<compartment_ocid>',instance.compartment.id='<child compartment_ocid>'}

Ao usar ALL, a regra informa ao grupo dinâmico para incluir instâncias que estão em <compartment_ocid> E <child compartment_ocid>. Essa regra não incluirá instâncias porque é impossível que uma instância esteja em mais de um compartimento ao mesmo tempo. Não use ALL com uma instrução de regra que especifique vários compartimentos.

Criando o grupo dinâmico

  1. Siga as etapas para criar um grupo dinâmico ou atualizar um grupo dinâmico existente e configurar as regras de correspondência da seguinte forma.

    Dica

    Reutilize o mesmo grupo dinâmico sempre que possível entre serviços, em vez de criar novos grupos dinâmicos, porque um único recurso só pode pertencer a um máximo de cinco grupos dinâmicos.

  2. Para a definição de regra de correspondência geral, selecione: Corresponder a quaisquer regras definidas abaixo.

  3. Crie instruções de regra para as instâncias que o OS Management Hub gerenciará.

    Importante

    As regras de grupo dinâmico não usam herança de compartimento. Especifique uma instrução de regra para cada compartimento e compartimento filho que contenha instâncias que você deseja que sejam gerenciadas pelo serviço.

    Regra para instâncias do OCI

    Adicione uma instrução de regra que inclua cada compartimento (e compartimento filho) que conterá instâncias.

    ANY {instance.compartment.id='<compartment_ocid>',instance.compartment.id='<child compartment_ocid>'}

    Essa regra incluirá todas as instâncias do OCI nos compartimentos especificados.

    Regra para instâncias que não são do OCI

    Adicione uma instrução de regra separada para cada compartimento (e compartimento filho) que conterá um Agente de Gerenciamento usado por uma instância.

    ALL {resource.type='managementagent', resource.compartment.id='<compartment_ocid>'}
ALL {resource.type='managementagent', resource.compartment.id='<child compartment_ocid>'}

    Cada instrução de regra incluirá todos os recursos do Management Agent no compartimento especificado. Cada instância não OCI tem um recurso de agente correspondente e, portanto, a instrução incluirá as instâncias não OCI no compartimento.

  4. Selecione Criar (se estiver criando) ou Salvar (se estiver atualizando).

Instruções da Política

Crie uma política (como osmh-policies) com instruções que permitam que as instâncias se registrem no OS Management Hub e que OS usuários gerenciem e operem o serviço.

Importante

As instruções de política usam o domínio de identidades padrão, a menos que você defina o domínio de identidades antes do nome do grupo ou do grupo dinâmico (por exemplo, <identity_domain_name>/<dynamic_group_name>). Para obter mais informações, consulte Sintaxe de Política.
Pré-requisitos:

Antes de criar a política, certifique-se de ter o seguinte:

Usando o Policy Builder

O construtor de políticas fornece modelos para políticas comuns usadas para o OS Management Hub. Selecione um caso de uso e preencha as informações necessárias, como grupo dinâmico ou compartimento, para concluir as instruções de política. Consulte Criando Instruções de Política com o Policy Builder.

  1. Siga as etapas em Criando uma Política, observando as exceções a seguir.
  2. Para Casos de uso da política, selecione OS Management Hub.
  3. Para Modelos de política comuns, selecione uma das políticas comuns do OS Management Hub.

Modelos de Política Comuns

O construtor de políticas fornece OS seguintes modelos de política comuns do OS Management Hub.

Permitir que o OS Management Hub gerencie instâncias no grupo dinâmico

Tipo de acesso: Permite que o agente de serviço nas instâncias gerenciadas interaja com o OS Management Hub.

Onde criar a política: No compartimento raiz.

Instruções de política: Substitua <osmh-instances> pelo nome do grupo dinâmico.

Allow dynamic-group <osmh-instances> to {OSMH_MANAGED_INSTANCE_ACCESS} in tenancy where request.principal.id = target.managed-instance.id
Permitir que OS usuários gerenciem recursos do OS Management Hub na tenancy

Tipo de acesso: Permite que o grupo de usuários administradores com acesso à tenancy:

  • Gerencie todos OS recursos do OS Management Hub na tenancy.
  • Crie, atualize e exclua Management Agents e instale chaves na tenancy.

Onde criar a política: No compartimento raiz.

Instruções de política: Substitua <osmh-admins> pelo nome do grupo de usuários.

Allow group <osmh-admins> to manage osmh-family in tenancy
Allow group <osmh-admins> to manage management-agents in tenancy
Allow group <osmh-admins> to manage management-agent-install-keys in tenancy
Permitir que OS usuários gerenciem recursos do OS Management Hub em um compartimento

Tipo de acesso: Permite que o grupo de usuários administradores com acesso ao compartimento:

  • Gerencie todos OS recursos do OS Management Hub em um compartimento.
  • Leia perfis e origens de software no compartimento raiz. Isso é necessário para replicar as origens de software do fornecedor e usar perfis fornecidos pelo serviço.
  • Crie, atualize e exclua Management Agents e instale chaves em um compartimento.

Onde criar a política: O método mais fácil é colocar essa política no compartimento raiz. Se você quiser que os usuários do compartimento individual tenham controle sobre as instruções de política individuais de seu compartimento, consulte Anexação de Políticas.

Instruções de política: Substitua <osmh-admins> pelo nome do grupo de usuários e <compartment> pelo nome do compartimento. Use o editor manual para substituir <tenancy-ocid> pelo OCID da sua tenancy.

Allow group <osmh-admins> to read osmh-profiles in tenancy where target.profile.compartment.id = '<tenancy-ocid>'
Allow group <osmh-admins> to read osmh-software-sources in tenancy where target.softwareSource.compartment.id = '<tenancy-ocid>'
Allow group <osmh-admins> to manage osmh-family in compartment <compartment> 
Allow group <osmh-admins> to manage management-agents in compartment <compartment>
Allow group <osmh-admins> to manage management-agent-install-keys in compartment <compartment>
Permitir que OS usuários leiam OS recursos do OS Management Hub na tenancy

Tipo de acesso: Permite que o grupo de usuários do operador leia todos OS recursos do OS Management Hub na tenancy.

Onde criar a política: No compartimento raiz.

Instruções de política: Substitua <osmh-operators> pelo nome do grupo de usuários.

Allow group <osmh-operators> to read osmh-family in tenancy
Permitir que OS usuários leiam OS recursos do OS Management Hub em um compartimento

Tipo de acesso: Permite que o grupo de usuários do operador leia todos OS recursos do OS Management Hub em um compartimento.

Onde criar a política: O método mais fácil é colocar essa política no compartimento raiz. Se você quiser que os usuários do compartimento individual tenham controle sobre as instruções de política individuais de seu compartimento, consulte Anexação de Políticas.

Instruções de política: Substitua <osmh-operators> pelo nome do grupo de usuários e <compartment> pelo nome do compartimento.

Allow group <osmh-operators> to read osmh-family in compartment <compartment>

Definindo Manualmente as Instruções de Política

Se não estiver usando o criador de políticas, você poderá definir manualmente as instruções de política. Crie uma nova política ou modifique uma política existente para incluir as seguintes instruções de política.

As instruções de política a seguir fornecem um exemplo de como fornecer aos administradores acesso ao serviço. Para outros casos de uso, consulte Exemplos de Políticas.

Instruções da política no nível da tenancy

Para aplicar a política de IAM necessária no nível da tenancy, use as seguintes instruções de política:

allow dynamic-group <osmh-instances> to {OSMH_MANAGED_INSTANCE_ACCESS} in tenancy where request.principal.id = target.managed-instance.id
allow group <osmh-admins> to manage osmh-family in tenancy

Inclua as seguintes instruções adicionais se estiver gerenciando instâncias de nuvem de terceiros ou on-premises. Isso não será necessário se você gerenciar apenas instâncias do OCI.

allow group <osmh-admins> to manage management-agents in tenancy
allow group <osmh-admins> to manage management-agent-install-keys in tenancy
Instruções de política no nível do compartimento (se não estiverem usando o nível da tenancy)

Se o administrador da tenancy não permitir a definição de políticas do IAM no nível da tenancy, você poderá restringir o uso de recursos do OS Management Hub a um compartimento e seus compartimentos secundários (as políticas usam herança de compartimento). Para permitir que os usuários repliquem origens de software do fornecedor e usem perfis fornecidos pelo serviço, o grupo de usuários requer acesso de leitura a perfis e origens de software no compartimento raiz.

Para aplicar a política do serviço IAM a um compartimento dentro da tenancy, use as seguintes instruções de política:

allow dynamic-group <osmh-instances> to {OSMH_MANAGED_INSTANCE_ACCESS} in compartment <compartment_name> where request.principal.id = target.managed-instance.id
allow group <osmh-admins> to manage osmh-family in compartment <compartment_name>
allow group <osmh-admins> to read osmh-profiles in tenancy where target.profile.compartment.id = '<tenancy_ocid>'
allow group <osmh-admins> to read osmh-software-sources in tenancy where target.softwareSource.compartment.id = '<tenancy_ocid>'

Inclua as seguintes instruções adicionais se estiver gerenciando instâncias de nuvem de terceiros ou on-premises. Isso não será necessário se você gerenciar apenas instâncias do OCI.

allow group <osmh-admins> to manage management-agents in compartment <compartment_name>
allow group <osmh-admins> to manage management-agent-install-keys in compartment <compartment_name>