Se necesita una suscripción independiente a OCI Object Storage para poder usar esta función. Tenga en cuenta que un depósito es un contenedor lógico en OCI Object Storage donde se almacenan objetos. En el contexto de Conciliación de cuentas, sus datos adjuntos se consideran objetos.
Aquí se muestran los pasos de nivel superior en OCI Object Storage:
Note:
Puede crear un depósito en un compartimento existente o crear un compartimento nuevo para los datos adjuntos de Account Reconciliation.A continuación se muestra un ejemplo de la configuración de un depósito.
Para poder probar el acceso al cubo y moverse sin problemas de un entorno de prueba a un entorno de producción, se recomienda crear dos carpetas en el cubo: una para el entorno de prueba y otra para el entorno de producción. Si, por ejemplo, crea un cubo con el nombre account_rec_data
para almacenar los archivos adjuntos, cree las carpetas test
(prueba) y prod
(producción) en el cubo. Durante la fase de implementación, utilice la carpeta test
especificando la URL del cubo como <URL_cubo>
/test
. Cuando pase al entorno de producción, cambie la configuración del cubo a <URL_cubo>
/prod
. La carpeta test
se puede suprimir más adelante sin que afecte al entorno de producción.
Opcional: Las reglas de retención de OCI Object Storage respetan los requisitos de auditoría de su compañía (por ejemplo, entre cinco y siete años).
Recomendamos crear un usuario independiente para acceder a Object Storage para Account Reconciliation. Es necesario conceder privilegios a este usuario para acceder al cubo de almacenamiento de datos adjuntos y administrar objetos en el depósito.
Debe crear un grupo para asignar políticas.
El acceso a Object Storage se administra a través de políticas de Identity and Access Management (IAM). Las políticas de almacenamiento de objetos comunes pueden encontrarse en https://docs.oracle.com/es-ww/iaas/Content/Identity/Concepts/commonpolicies.htm#write-objects-to-buckets
Para crear políticas de IAM, consulte esta guía https://docs.oracle.com/es-ww/iaas/Content/Identity/Concepts/policygetstarted.htm
A continuación se muestra un ejemplo de la política que se requiere.
Permitir al grupo ArcsAttachmentWriters leer cubos en el compartimento ABC
Permitir al grupo ArcsAttachmentWriters gestionar objetos en el compartimento ABC si todos {target.bucket.name='ArcsAttachments', cualquier {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}
Note:
El token de autenticación no se mostrará después de que haya sido creado, así que anótelo, ya que es necesario más adelante en el proceso de configuración.Ejemplos: configuración de políticas
A la hora de crear una política, asegúrese de seleccionar el compartimento o el arrendamiento en el que se almacena el depósito. Por ejemplo, si el depósito se crea en el compartimento ABC, la política también se debe ubicar en el compartimento ABC.
Depósito en el arrendamiento raíz y usuario creado en el proveedor de identidades federado
Si el depósito está en el arrendamiento raíz, está utilizando un grupo y el usuario se crea en el proveedor de identidades federado, el formato de la política debe ser el siguiente:
Allow group 'OracleIdentityCloudService'/'GROUP_NAME' to read buckets in tenancy Allow group 'OracleIdentityCloudService'/'GROUP_NAME' to manage objects in tenancy where all {target.bucket.name='BUCKET_NAME', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}
Por ejemplo, si el nombre del grupo es arcs_attachments y el nombre del depósito es arcs_bucket:
Allow group 'OracleIdentityCloudService'/'arcs_attachments' to read buckets in tenancy Allow group 'OracleIdentityCloudService'/'arcs_attachments' to manage objects in tenancy where all {target.bucket.name='arcs_bucket', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}
Depósito en el arrendamiento raíz, grupo normal (proveedor de identidades no federado) y usuario
Si el depósito está en el arrendamiento raíz y está utilizando un grupo y usuario normales (proveedor de identidades no federado), el formato de la política debe ser el siguiente:
Allow group GROUP_NAME to read buckets in tenancy Allow group GROUP_NAME to manage objects in tenancy where all {target.bucket.name='BUCKET_NAME', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}
Por ejemplo, si el nombre del grupo es arcs_attachments y el nombre del depósito es arcs_bucket:
Allow group arcs_attachments to read buckets in tenancy Allow group arcs_attachments to manage objects in tenancy where all {target.bucket.name='arcs_bucket', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}
Depósito en el nivel de compartimento y grupo y usuario creados en un proveedor de identidades federado
Si el depósito está en el nivel de compartimento y está utilizando un grupo y un usuario creados en el proveedor de identidades federado, el formato de la política debe ser el siguiente:
Allow group 'OracleIdentityCloudService'/'GROUP_NAME' to read buckets in compartment COMPARTMENT_NAME Allow group 'OracleIdentityCloudService'/'GROUP_NAME' to manage objects in compartment COMPARTMENT_NAME where all {target.bucket.name='BUCKET_NAME', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}
Por ejemplo, si el nombre del grupo es arcs_attachments y el nombre del compartimento es arcs_compartment:
Allow group 'OracleIdentityCloudService'/arcs_attachments' to read buckets in compartment ABC Allow group 'OracleIdentityCloudService'/arcs_attachments' to manage objects in compartment arcs_compartment where all {target.bucket.name='arcs_bucket', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}
Depósito en el nivel de compartimento y grupo y usuario normales (proveedor de identidades no federado)
Si el depósito está en el nivel de compartimento y está utilizando un grupo y usuario normales (proveedor de identidades no federado), el formato de la política debe ser el siguiente:
Allow group GROUP_NAME to read buckets in compartment COMPARTMENT_NAME Allow group GROUP_NAME to manage objects in compartment COMPARTMENT_NAME where all {target.bucket.name='BUCKET_NAME', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}
Por ejemplo, si el nombre del grupo es arcs_attachments y el nombre del compartimento es arcs_compartment:
Allow group arcs_attachments to read buckets in compartment arcs_compartment Allow group arcs_attachments to manage objects in compartment arcs_compartment where all {target.bucket.name='arcs_bucket', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}