Configuración de OCI Object Storage

Se necesita una suscripción independiente a OCI Object Storage para poder usar esta función. Tenga en cuenta que un depósito es un contenedor lógico en OCI Object Storage donde se almacenan objetos. En el contexto de Conciliación de cuentas, sus datos adjuntos se consideran objetos.

Aquí se muestran los pasos de nivel superior en OCI Object Storage:

1. Cree un depósito en OCI Object Storage para almacenar los datos adjuntos de Account Reconciliation. Para obtener instrucciones, consulte Creación de un cubo .

   Note:

   Puede crear un depósito en un compartimento existente o crear un compartimento nuevo para los datos adjuntos de Account Reconciliation.

   A continuación se muestra un ejemplo de la configuración de un depósito.

   
   
   

   Para poder probar el acceso al cubo y moverse sin problemas de un entorno de prueba a un entorno de producción, se recomienda crear dos carpetas en el cubo: una para el entorno de prueba y otra para el entorno de producción. Si, por ejemplo, crea un cubo con el nombre account_rec_data para almacenar los archivos adjuntos, cree las carpetas test (prueba) y prod (producción) en el cubo. Durante la fase de implementación, utilice la carpeta test especificando la URL del cubo como <URL_cubo>/test. Cuando pase al entorno de producción, cambie la configuración del cubo a <URL_cubo>/prod. La carpeta test se puede suprimir más adelante sin que afecte al entorno de producción.

2. Asegúrese de que la opción Asignación automática de niveles esté desactivada para el depósito. Consulte Gestión de la asignación automática de niveles en un cubo de Object Storage.
3. Debe mantener las reglas de las políticas de ciclo de vida tal cual en OCI Object Storage. No cambie esto.

4. Opcional: Las reglas de retención de OCI Object Storage respetan los requisitos de auditoría de su compañía (por ejemplo, entre cinco y siete años).

5. En Oracle Cloud Infrastructure (OCI), debe crear un usuario para Account Reconciliation y otorgar a ese usuario al menos acceso READ y WRITE, pero no acceso DELETE. El usuario puede ser de Identity and Access Management (IAM) o un usuario federado.

   Recomendamos crear un usuario independiente para acceder a Object Storage para Account Reconciliation. Es necesario conceder privilegios a este usuario para acceder al cubo de almacenamiento de datos adjuntos y administrar objetos en el depósito.

6. Debe crear un grupo para asignar políticas.

   El acceso a Object Storage se administra a través de políticas de Identity and Access Management (IAM). Las políticas de almacenamiento de objetos comunes pueden encontrarse en https://docs.oracle.com/es-ww/iaas/Content/Identity/Concepts/commonpolicies.htm#write-objects-to-buckets

   Para crear políticas de IAM, consulte esta guía https://docs.oracle.com/es-ww/iaas/Content/Identity/Concepts/policygetstarted.htm

   A continuación se muestra un ejemplo de la política que se requiere.

   • Permitir al grupo ArcsAttachmentWriters leer cubos en el compartimento ABC

   • Permitir al grupo ArcsAttachmentWriters gestionar objetos en el compartimento ABC si todos {target.bucket.name='ArcsAttachments', cualquier {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}

7. Se debe crear un token de autenticación para el usuario. Para obtener información detallada, consulte https://docs.oracle.com/es-ww/iaas/Content/Identity/Tasks/managingcredentials.htm#Working

   Note:

   El token de autenticación no se mostrará después de que haya sido creado, así que anótelo, ya que es necesario más adelante en el proceso de configuración.
8. Una vez que haya creado el depósito y el usuario, tendrá que configurar OCI Object Storage en Conciliación de cuentas para que la conexión se realice con la URL de depósito, así como el nombre de usuario y la contraseña. Consulte Configuración de OCI Object Storage en Conciliación de cuentas.

Allow group 'OracleIdentityCloudService'/'GROUP_NAME' to read buckets in tenancy
Allow group 'OracleIdentityCloudService'/'GROUP_NAME' to manage objects in tenancy where all {target.bucket.name='BUCKET_NAME', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}

Allow group 'OracleIdentityCloudService'/'arcs_attachments' to read buckets in tenancy
Allow group 'OracleIdentityCloudService'/'arcs_attachments' to manage objects in tenancy where all {target.bucket.name='arcs_bucket', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}

Depósito en el arrendamiento raíz, grupo normal (proveedor de identidades no federado) y usuario

Si el depósito está en el arrendamiento raíz y está utilizando un grupo y usuario normales (proveedor de identidades no federado), el formato de la política debe ser el siguiente:

Allow group GROUP_NAME to read buckets in tenancy
Allow group GROUP_NAME to manage objects in tenancy where all {target.bucket.name='BUCKET_NAME', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}

Por ejemplo, si el nombre del grupo es arcs_attachments y el nombre del depósito es arcs_bucket:

Allow group arcs_attachments to read buckets in tenancy
Allow group arcs_attachments to manage objects in tenancy where all {target.bucket.name='arcs_bucket', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}

Depósito en el nivel de compartimento y grupo y usuario creados en un proveedor de identidades federado

Si el depósito está en el nivel de compartimento y está utilizando un grupo y un usuario creados en el proveedor de identidades federado, el formato de la política debe ser el siguiente:

Allow group 'OracleIdentityCloudService'/'GROUP_NAME' to read buckets in compartment COMPARTMENT_NAME
Allow group 'OracleIdentityCloudService'/'GROUP_NAME' to manage objects in compartment COMPARTMENT_NAME where all {target.bucket.name='BUCKET_NAME', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}

Por ejemplo, si el nombre del grupo es arcs_attachments y el nombre del compartimento es arcs_compartment:

Allow group 'OracleIdentityCloudService'/arcs_attachments' to read buckets in compartment ABC
Allow group 'OracleIdentityCloudService'/arcs_attachments' to manage objects in compartment arcs_compartment where all {target.bucket.name='arcs_bucket', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}

Depósito en el nivel de compartimento y grupo y usuario normales (proveedor de identidades no federado)

Si el depósito está en el nivel de compartimento y está utilizando un grupo y usuario normales (proveedor de identidades no federado), el formato de la política debe ser el siguiente:

Allow group GROUP_NAME to read buckets in compartment COMPARTMENT_NAME
Allow group GROUP_NAME to manage objects in compartment COMPARTMENT_NAME where all {target.bucket.name='BUCKET_NAME', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}

Por ejemplo, si el nombre del grupo es arcs_attachments y el nombre del compartimento es arcs_compartment:

Allow group arcs_attachments to read buckets in compartment arcs_compartment
Allow group arcs_attachments to manage objects in compartment arcs_compartment where all {target.bucket.name='arcs_bucket', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}