Documentação do Oracle Cloud Infrastructure

Usando o Policy Advisor

Use o consultor de política para ativar rapidamente o OS Management Hub para um compartimento específico. O consultor define OS grupos de usuários necessários, o grupo dinâmico e as políticas necessárias para usar o OS Management Hub e a Descoberta e Monitoramento de Recursos.

Importante

O consultor de política só está disponível em OC1.
Observação

Você deve executar o consultor de política em cada compartimento (e compartimento filho) que deseja usar com o serviço.

  1. Verifique se você tem as permissões a seguir. Se você tiver apenas permissões read ou use, receberá um erro de falha de autorização ao executar o consultor.

    • manage dynamic-groups in tenancy
    • manage groups in tenancy
    • manage policies in tenancy
  2. Em Hub do OS Management, selecione Visão Geral.
  3. Em Escopo da Lista, selecione o compartimento que você deseja usar para o OS Management Hub.
  4. Selecione Executar Policy Advisor.
  5. Revise os problemas identificados com as políticas e grupos atuais. Selecione Próximo.
  6. Revise as ações que o consultor tomará. Selecione Configurar.
  7. Confirme clicando em Configurar.
  8. Execute novamente o consultor em qualquer outro compartimento ou compartimento filho que usará o serviço.
  9. Adicione usuários ao grupo osmh-admins e osmh-operators. Consulte Gerenciando Grupos.

Por que um erro de política foi detectado?

O consultor de política verifica um conjunto específico de políticas e grupos (consulte O que o consultor de política cria?). A advertência A policy error was detected será exibida se os nomes de políticas e grupos não corresponderem exatamente ao que o consultor espera.

Se você já tiver configurado políticas, talvez tenha nomeado seus grupos e definido suas instruções de política de maneira diferente do que o consultor usa. Se o OS Management Hub estiver funcionando conforme esperado, você poderá ignorar o aviso de erro da política.

Para obter mais informações, consulte Mensagens de erro do Policy Advisor.

Posso esconder o aviso?

Se você já tiver configurado o serviço usando seus próprios grupos e políticas, poderá ignorar a mensagem de problema da política. Selecione Ocultar para ocultar esta mensagem no compartimento.

Para ocultar a mensagem em todos os compartimentos, na página Visão Geral, selecione Mostrar definições da console do usuário.

O que o consultor de políticas cria?

O consultor define OS grupos de usuários necessários (osmh-admins e osmh-operators), o grupo dinâmico (osmh-instances) e a política (osmh-policies) com as instruções necessárias para usar o OS Management Hub e seus recursos de Descoberta e Monitoramento de Recursos.

Recursos criados
Nome do Recurso Descrição:
osmh-admins O grupo de usuários para administradores do serviço. OS administradores podem gerenciar todos OS recursos do OS Management Hub no domínio atual.
osmh-operators O grupo de usuários para operadores do serviço. OS operadores podem exibir, mas não modificar, todos OS recursos do OS Management Hub no domínio atual.
osmh-instances O grupo dinâmico de instâncias que contém as regras de grupo dinâmico para instâncias OCI e on-premises ou de nuvem de terceiros.
osmh-policies A política que contém as instruções de grupo administrador, as instruções de grupo operador e as instruções de grupo dinâmico.
Regras de correspondência de grupo dinâmico

O supervisor cria as regras de correspondência de grupo dinâmico a seguir para o grupo dinâmico osmh-instances.

Observação

Somente o compartimento selecionado no momento é incluído no grupo dinâmico. Os grupos dinâmicos não suportam herança de compartimento. Portanto, você deve executar novamente o consultor em qualquer compartimento filho que deseja incluir.
Regra de grupo dinâmico Descrição:
ALL {instance.compartment.id='<compartment_ocid>'} Inclui todas as instâncias do OCI no compartimento.
ALL {resource.type='managementagent', resource.compartment.id='<compartment_ocid>'}

Inclui todos os recursos do Management Agent dentro do compartimento. A inclusão do agente permite que o OS Management Hub gerencie as instâncias de nuvem de terceiros ou on-premises correspondentes.
Instruções de política para o grupo de administradores

O consultor cria as seguintes instruções de política de grupo de administradores para osmh-policies, que permitem aos usuários osmh-admins gerenciar o OS Management Hub, o Management Agent e as Chaves do Management Agent no compartimento e seus compartimentos filhos.

Instrução de política do grupo de administradores Descrição:
Allow group <domain>/osmh-admins to manage osmh-family in compartment <compartment_name>

Permite que o grupo osmh-admins gerencie todos OS recursos do OS Management Hub no compartimento e seus compartimentos filhos.
Allow group <domain>/osmh-admins to manage management-agents in compartment <compartment_name>

Permite que o grupo osmh-admins gerencie Management Agents no compartimento e seus compartimentos secundários (usados somente para instâncias que não sejam do OCI).
Allow group <domain>/osmh-admins to manage management-agent-install-keys in compartment <compartment_name>

Permite que o grupo osmh-admins gerencie chaves de instalação do Management Agent no compartimento e seus compartimentos filhos (usados apenas para instâncias que não sejam do OCI).
Allow group <domain>/osmh-admins to use appmgmt-family in compartment <compartment_name>

Permite que o grupo osmh-admins gerencie recursos de Descoberta e Monitoramento de Recursos no compartimento e em seus compartimentos filhos.
Allow group <domain>/osmh-admins to read metrics in compartment <compartment_name>

Permite que o grupo osmh-admins exiba métricas de Descoberta e Monitoramento de Recursos no compartimento e em seus compartimentos filhos.
Allow group <domain>/osmh-admins to read osmh-profiles in tenancy where target.profile.compartment.id = '<tenancy_ocid>'

Somente criado se você tiver selecionado o compartimento raiz. Permite que o grupo osmh-admins leia perfis no compartimento raiz.
Allow group <domain>/osmh-admins to read osmh-software-sources in tenancy where target.softwareSource.compartment.id = '<tenancy_ocid>'

Somente criado se você tiver selecionado o compartimento raiz. Permite que o grupo osmh-admins leia origens de software no compartimento raiz.
Instruções de política para o grupo de operadores

O consultor cria as seguintes instruções de política de grupo de operadores para osmh-policies, que permite aos usuários osmh-operators exibir recursos do OS Management Hub no compartimento e seus compartimentos filhos.

Instrução de política do grupo de operadores Descrição:
Allow group <domain>/osmh-operators to read osmh-family in compartment <compartment_name>

Permite que o grupo osmh-operators exiba todos OS recursos do OS Management Hub no compartimento e seus compartimentos filhos.
Allow group <domain>/osmh-operators to use appmgmt-family in compartment <compartment_name>

Permite que o grupo osmh-operators exiba recursos de Descoberta e Monitoramento de Recursos no compartimento e em seus compartimentos filhos.
Allow group <domain>/osmh-operators to read metrics in compartment <compartment_name>

Permite que o grupo osmh-operators exiba recursos de Descoberta e Monitoramento de Recursos no compartimento e em seus compartimentos filhos.
Allow group <domain>/osmh-operators to read osmh-profiles in tenancy where target.profile.compartment.id = '<tenancy_ocid>'

Somente criado se você tiver selecionado o compartimento raiz. Permite que o grupo osmh-operators leia perfis no compartimento raiz.
Allow group <domain>/osmh-operators to read osmh-software-sources in tenancy where target.softwareSource.compartment.id = '<tenancy_ocid>'

Somente criado se você tiver selecionado o compartimento raiz. Permite que o grupo osmh-operators leia origens de software no compartimento raiz.
Declarações de política para o grupo dinâmico

O consultor cria as seguintes instruções de política de grupo dinâmico para osmh-policies, que permite que instâncias gerenciadas no compartimento interajam com o OS Management Hub e seus recursos de Descoberta e Monitoramento de Recursos.

Instrução de política de grupo dinâmico Descrição:
Allow dynamic-group <domain>/osmh-instances to {OSMH_MANAGED_INSTANCE_ACCESS} in compartment <compartment_name> where request.principal.id = target.managed-instance.id

Permite que o agente nas instâncias gerenciadas interaja com o OS Management Hub
Allow dynamic-group <domain>/osmh-instances to use metrics in compartment <compartment_name> where target.metrics.namespace = 'oracle_appmgmt' Permita que as instâncias gerenciadas façam upload de dados para o serviço Monitoring do recurso Descoberta e Monitoramento de Recursos.
Allow dynamic-group <domain>/osmh-instances to {MGMT_AGENT_DEPLOY_PLUGIN_CREATE, MGMT_AGENT_INSPECT, MGMT_AGENT_READ} in compartment <compartment_name> Permite que o agente de gerenciamento na instância gerenciada interaja com o serviço Management Agent para o recurso Descoberta e Monitoramento de Recursos.
Allow dynamic-group <domain>/osmh-instances to {APPMGMT_MONITORED_INSTANCE_READ, APPMGMT_MONITORED_INSTANCE_ACTIVATE} in compartment <compartment_name> where request.instance.id = target.monitored-instance.id

Permite que instâncias gerenciadas no compartimento ativem automaticamente o recurso Descoberta e Monitoramento de Recursos.
Allow dynamic-group <domain>/osmh-instances to {INSTANCE_READ, INSTANCE_UPDATE} in compartment <compartment_name> where request.instance.id = target.instance.id

Permite que instâncias gerenciadas no compartimento ativem automaticamente o recurso Descoberta e Monitoramento de Recursos.
Allow dynamic-group <domain>/osmh-instances to {APPMGMT_WORK_REQUEST_READ, INSTANCE_AGENT_PLUGIN_INSPECT} in compartment <compartment_name>

Permite que instâncias gerenciadas no compartimento ativem automaticamente o recurso Descoberta e Monitoramento de Recursos.