Usando o Policy Advisor
Use o consultor de política para ativar rapidamente o OS Management Hub para um compartimento específico. O consultor define OS grupos de usuários necessários, o grupo dinâmico e as políticas necessárias para usar o OS Management Hub e a Descoberta e Monitoramento de Recursos.
O consultor de política só está disponível em OC1.
Você deve executar o consultor de política em cada compartimento (e compartimento filho) que deseja usar com o serviço.
-
Verifique se você tem as permissões a seguir. Se você tiver apenas permissões
read
ouuse
, receberá um erro de falha de autorização ao executar o consultor.manage dynamic-groups in tenancy
manage groups in tenancy
manage policies in tenancy
- Visão Geral.
- Em Escopo da Lista, selecione o compartimento que você deseja usar para o OS Management Hub.
- Selecione Executar Policy Advisor.
- Revise os problemas identificados com as políticas e grupos atuais. Selecione Próximo.
- Revise as ações que o consultor tomará. Selecione Configurar.
- Confirme clicando em Configurar.
- Execute novamente o consultor em qualquer outro compartimento ou compartimento filho que usará o serviço.
- Adicione usuários ao grupo
osmh-admins
eosmh-operators
. Consulte Gerenciando Grupos.
Por que um erro de política foi detectado?
O consultor de política verifica um conjunto específico de políticas e grupos (consulte O que o consultor de política cria?). A advertência A policy error was detected
será exibida se os nomes de políticas e grupos não corresponderem exatamente ao que o consultor espera.
Se você já tiver configurado políticas, talvez tenha nomeado seus grupos e definido suas instruções de política de maneira diferente do que o consultor usa. Se o OS Management Hub estiver funcionando conforme esperado, você poderá ignorar o aviso de erro da política.
Para obter mais informações, consulte Mensagens de erro do Policy Advisor.
Posso esconder o aviso?
Se você já tiver configurado o serviço usando seus próprios grupos e políticas, poderá ignorar a mensagem de problema da política. Selecione Ocultar para ocultar esta mensagem no compartimento.
Para ocultar a mensagem em todos os compartimentos, na página Visão Geral, selecione Mostrar definições da console do usuário.
O que o consultor de políticas cria?
O consultor define OS grupos de usuários necessários (osmh-admins
e osmh-operators
), o grupo dinâmico (osmh-instances
) e a política (osmh-policies
) com as instruções necessárias para usar o OS Management Hub e seus recursos de Descoberta e Monitoramento de Recursos.
- Recursos criados
-
Nome do Recurso Descrição: osmh-admins
O grupo de usuários para administradores do serviço. OS administradores podem gerenciar todos OS recursos do OS Management Hub no domínio atual. osmh-operators
O grupo de usuários para operadores do serviço. OS operadores podem exibir, mas não modificar, todos OS recursos do OS Management Hub no domínio atual. osmh-instances
O grupo dinâmico de instâncias que contém as regras de grupo dinâmico para instâncias OCI e on-premises ou de nuvem de terceiros. osmh-policies
A política que contém as instruções de grupo administrador, as instruções de grupo operador e as instruções de grupo dinâmico. - Regras de correspondência de grupo dinâmico
-
O supervisor cria as regras de correspondência de grupo dinâmico a seguir para o grupo dinâmico
osmh-instances
.Observação
Somente o compartimento selecionado no momento é incluído no grupo dinâmico. Os grupos dinâmicos não suportam herança de compartimento. Portanto, você deve executar novamente o consultor em qualquer compartimento filho que deseja incluir.Regra de grupo dinâmico Descrição: ALL {instance.compartment.id='<compartment_ocid>'}
Inclui todas as instâncias do OCI no compartimento. ALL {resource.type='managementagent', resource.compartment.id='<compartment_ocid>'}
Inclui todos os recursos do Management Agent dentro do compartimento. A inclusão do agente permite que o OS Management Hub gerencie as instâncias de nuvem de terceiros ou on-premises correspondentes.
- Instruções de política para o grupo de administradores
-
O consultor cria as seguintes instruções de política de grupo de administradores para
osmh-policies
, que permitem aos usuáriososmh-admins
gerenciar o OS Management Hub, o Management Agent e as Chaves do Management Agent no compartimento e seus compartimentos filhos.Instrução de política do grupo de administradores Descrição: Allow group <domain>/osmh-admins to manage osmh-family in compartment <compartment_name>
Permite que o grupo
osmh-admins
gerencie todos OS recursos do OS Management Hub no compartimento e seus compartimentos filhos.Allow group <domain>/osmh-admins to manage management-agents in compartment <compartment_name>
Permite que o grupo
osmh-admins
gerencie Management Agents no compartimento e seus compartimentos secundários (usados somente para instâncias que não sejam do OCI).Allow group <domain>/osmh-admins to manage management-agent-install-keys in compartment <compartment_name>
Permite que o grupo
osmh-admins
gerencie chaves de instalação do Management Agent no compartimento e seus compartimentos filhos (usados apenas para instâncias que não sejam do OCI).Allow group <domain>/osmh-admins to use appmgmt-family in compartment <compartment_name>
Permite que o grupo
osmh-admins
gerencie recursos de Descoberta e Monitoramento de Recursos no compartimento e em seus compartimentos filhos.Allow group <domain>/osmh-admins to read metrics in compartment <compartment_name>
Permite que o grupo
osmh-admins
exiba métricas de Descoberta e Monitoramento de Recursos no compartimento e em seus compartimentos filhos.Allow group <domain>/osmh-admins to read osmh-profiles in tenancy where target.profile.compartment.id = '<tenancy_ocid>'
Somente criado se você tiver selecionado o compartimento raiz. Permite que o grupo
osmh-admins
leia perfis no compartimento raiz.Allow group <domain>/osmh-admins to read osmh-software-sources in tenancy where target.softwareSource.compartment.id = '<tenancy_ocid>'
Somente criado se você tiver selecionado o compartimento raiz. Permite que o grupo
osmh-admins
leia origens de software no compartimento raiz. - Instruções de política para o grupo de operadores
-
O consultor cria as seguintes instruções de política de grupo de operadores para
osmh-policies
, que permite aos usuáriososmh-operators
exibir recursos do OS Management Hub no compartimento e seus compartimentos filhos.Instrução de política do grupo de operadores Descrição: Allow group <domain>/osmh-operators to read osmh-family in compartment <compartment_name>
Permite que o grupo
osmh-operators
exiba todos OS recursos do OS Management Hub no compartimento e seus compartimentos filhos.Allow group <domain>/osmh-operators to use appmgmt-family in compartment <compartment_name>
Permite que o grupo
osmh-operators
exiba recursos de Descoberta e Monitoramento de Recursos no compartimento e em seus compartimentos filhos.Allow group <domain>/osmh-operators to read metrics in compartment <compartment_name>
Permite que o grupo
osmh-operators
exiba recursos de Descoberta e Monitoramento de Recursos no compartimento e em seus compartimentos filhos.Allow group <domain>/osmh-operators to read osmh-profiles in tenancy where target.profile.compartment.id = '<tenancy_ocid>'
Somente criado se você tiver selecionado o compartimento raiz. Permite que o grupo
osmh-operators
leia perfis no compartimento raiz.Allow group <domain>/osmh-operators to read osmh-software-sources in tenancy where target.softwareSource.compartment.id = '<tenancy_ocid>'
Somente criado se você tiver selecionado o compartimento raiz. Permite que o grupo
osmh-operators
leia origens de software no compartimento raiz. - Declarações de política para o grupo dinâmico
-
O consultor cria as seguintes instruções de política de grupo dinâmico para
osmh-policies
, que permite que instâncias gerenciadas no compartimento interajam com o OS Management Hub e seus recursos de Descoberta e Monitoramento de Recursos.Instrução de política de grupo dinâmico Descrição: Allow dynamic-group <domain>/osmh-instances to {OSMH_MANAGED_INSTANCE_ACCESS} in compartment <compartment_name> where request.principal.id = target.managed-instance.id
Permite que o agente nas instâncias gerenciadas interaja com o OS Management Hub
Allow dynamic-group <domain>/osmh-instances to use metrics in compartment <compartment_name> where target.metrics.namespace = 'oracle_appmgmt'
Permita que as instâncias gerenciadas façam upload de dados para o serviço Monitoring do recurso Descoberta e Monitoramento de Recursos. Allow dynamic-group <domain>/osmh-instances to {MGMT_AGENT_DEPLOY_PLUGIN_CREATE, MGMT_AGENT_INSPECT, MGMT_AGENT_READ} in compartment <compartment_name>
Permite que o agente de gerenciamento na instância gerenciada interaja com o serviço Management Agent para o recurso Descoberta e Monitoramento de Recursos. Allow dynamic-group <domain>/osmh-instances to {APPMGMT_MONITORED_INSTANCE_READ, APPMGMT_MONITORED_INSTANCE_ACTIVATE} in compartment <compartment_name> where request.instance.id = target.monitored-instance.id
Permite que instâncias gerenciadas no compartimento ativem automaticamente o recurso Descoberta e Monitoramento de Recursos.
Allow dynamic-group <domain>/osmh-instances to {INSTANCE_READ, INSTANCE_UPDATE} in compartment <compartment_name> where request.instance.id = target.instance.id
Permite que instâncias gerenciadas no compartimento ativem automaticamente o recurso Descoberta e Monitoramento de Recursos.
Allow dynamic-group <domain>/osmh-instances to {APPMGMT_WORK_REQUEST_READ, INSTANCE_AGENT_PLUGIN_INSPECT} in compartment <compartment_name>
Permite que instâncias gerenciadas no compartimento ativem automaticamente o recurso Descoberta e Monitoramento de Recursos.