Configurazione di Memorizzazione oggetti OCI

È necessaria una sottoscrizione separata a Memorizzazione oggetti OCI per poter usare questa funzione. Si noti che un gruppo è un contenitore logico per la memorizzazione di oggetti in Memorizzazione oggetti OCI. Nel contesto di Account Reconciliation, gli allegati sono considerati oggetti.

I passaggi di alto livello in Memorizzazione di oggetti OCI vengono elencati di seguito:

  1. Creare un gruppo in Memorizzazione oggetti OCI per memorizzare gli allegati di Account Reconciliation. Per istruzioni, fare riferimento alla sezione Creazione di un gruppo .

    Note:

    È possibile creare un gruppo in un compartimento esistente o creare un nuovo compartimento per gli allegati di Account Reconciliation.

    Ecco un esempio di come configurare un gruppo.


    Configurazione della memorizzazione oggetti

    Per consentire l'esecuzione dei test del gruppo e semplificare il passaggio tra ambiente di test e ambiente di produzione, è consigliabile creare due cartelle all'interno del gruppo, una per l'ambiente di test e una per l'ambiente di produzione. Ad esempio, se si crea un gruppo denominato account_rec_data per archiviare gli allegati, creare le cartelle test e prod all'interno di questo gruppo. Durante la fase di implementazione, utilizzare la cartella test specificando l'URL del gruppo come <bucket_url>/test. Quando si passa all'ambiente di produzione, passare la configurazione del gruppo a <bucket_url>/prod. Successivamente, la cartella test può essere eliminata senza alcun impatto sull'ambiente di produzione.

  2. Assicurarsi che per il gruppo sia disabilitata la gestione automatica dei livelli. Fare riferimento alla sezione Gestione automatica dei livelli per un gruppo di memorizzazione degli oggetti.
  3. È necessario mantenere le Regole dei criteri del ciclo di vita come sono Memorizzazione oggetti OCI. Non modificarle.
  4. Facoltativo: le regole di conservazione in Memorizzazione oggetti OCI si attengono ai requisiti di audit dell'azienda (ad esempio da cinque a sette anni).

  5. In Oracle Cloud Infrastructure (OCI) è necessario creare un utente per Account Reconciliation e concedergli almeno l'accesso in lettura e scrittura, ma non l'accesso per l'eliminazione. Si può trattare di un utente di Gestione accessi identità (IAM) o di un utente federato.

    Si consiglia di creare un utente separato per accedere alla Memorizzazione oggetti per Account Reconciliation. A questo utente dovranno essere concessi i privilegi per accedere al gruppo della memorizzazione degli allegati e per gestire gli oggetti del gruppo.

  6. È necessario creare un gruppo per l'assegnazione dei criteri.

    L'accesso alla Memorizzazione oggetti è gestito dai criteri di Gestione accessi identità (IAM). I criteri comuni per la memorizzazione degli oggetti sono disponibili in https://docs.oracle.com/en-us/iaas/Content/Identity/Concepts/commonpolicies.htm#write-objects-to-buckets

    Per creare criteri IAM, fare riferimento alla guida https://docs.oracle.com/en-us/iaas/Content/Identity/Concepts/policygetstarted.htm

    Di seguito è riportato un esempio del criterio richiesto.

    • Allow group ArcsAttachmentWriters to read buckets in compartment ABC

    • Allow group ArcsAttachmentWriters to manage objects in compartment ABC where all {target.bucket.name='ArcsAttachments', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}

  7. È necessario creare un token di autorizzazione per l'utente. Per informazioni dettagliate, fare riferimento a https://docs.oracle.com/en-us/iaas/Content/Identity/Tasks/managingcredentials.htm#Working

    Note:

    Il token di autorizzazione non viene visualizzato dopo la sua creazione. Si consiglia pertanto di annotarlo perché verrà utilizzato in seguito nel processo di configurazione.
  8. Una volta creato il gruppo e un utente, è necessario configurare Memorizzazione oggetti OCI in Account Reconciliation in modo che la connessione venga realizzata usando l'URL di gruppo e il nome utente e la password. Vedere Configurazione della Memorizzazione oggetti OCI in Account Reconciliation.

Esempi: configurazione dei criteri

Quando si crea un criterio, assicurarsi di selezionare il compartimento o la tenancy in cui è memorizzato il bucket. Ad esempio, se il bucket viene creato nel compartimento ABC, anche il criterio deve essere inserito nel compartimento ABC.

Bucket nella tenancy Radice, utente creato nel provider di identità federato

Se il bucket si trova nella tenancy Radice, si sta utilizzando un gruppo e l'utente viene creato nel provider di identità federato, il formato del criterio deve essere il seguente:

Allow group 'OracleIdentityCloudService'/'GROUP_NAME' to read buckets in tenancy
Allow group 'OracleIdentityCloudService'/'GROUP_NAME' to manage objects in tenancy where all {target.bucket.name='BUCKET_NAME', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}

Ad esempio, se il nome del gruppo è arcs_attachments e il nome del bucket è arcs_bucket:

Allow group 'OracleIdentityCloudService'/'arcs_attachments' to read buckets in tenancy
Allow group 'OracleIdentityCloudService'/'arcs_attachments' to manage objects in tenancy where all {target.bucket.name='arcs_bucket', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}

Bucket nella tenancy Radice, gruppo regolare (provider di identità non federato) e utente

Se il bucket si trova nella tenancy Radice e si utilizza un gruppo e un utente regolari (provider di identità non federato), il formato del criterio deve essere il seguente:

Allow group GROUP_NAME to read buckets in tenancy
Allow group GROUP_NAME to manage objects in tenancy where all {target.bucket.name='BUCKET_NAME', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}

Ad esempio, se il nome del gruppo è arcs_attachments e il nome del bucket è arcs_bucket:

Allow group arcs_attachments to read buckets in tenancy
Allow group arcs_attachments to manage objects in tenancy where all {target.bucket.name='arcs_bucket', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}

Bucket a livello di compartimento, gruppo e utente creati nel provider di identità federato

Se il bucket si trova a livello di compartimento e si utilizzano un gruppo e un utente creati nel provider di identità federato, il formato del criterio deve essere il seguente:

Allow group 'OracleIdentityCloudService'/'GROUP_NAME' to read buckets in compartment COMPARTMENT_NAME
Allow group 'OracleIdentityCloudService'/'GROUP_NAME' to manage objects in compartment COMPARTMENT_NAME where all {target.bucket.name='BUCKET_NAME', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}

Ad esempio, se il nome del gruppo è arcs_attachments e il nome del bucket è arcs_compartment:

Allow group 'OracleIdentityCloudService'/arcs_attachments' to read buckets in compartment ABC
Allow group 'OracleIdentityCloudService'/arcs_attachments' to manage objects in compartment arcs_compartment where all {target.bucket.name='arcs_bucket', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}

Bucket a livello di compartimento e gruppo e utente regolari (provider di identità non federati)

Se il bucketsi trova a livello di compartimento e si utilizzano un gruppo e un utente regolari (provider di identità non federato), il formato del criterio deve essere il seguente:

Allow group GROUP_NAME to read buckets in compartment COMPARTMENT_NAME
Allow group GROUP_NAME to manage objects in compartment COMPARTMENT_NAME where all {target.bucket.name='BUCKET_NAME', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}

Ad esempio, se il nome del gruppo è arcs_attachments e il nome del bucket è arcs_compartment:

Allow group arcs_attachments to read buckets in compartment arcs_compartment
Allow group arcs_attachments to manage objects in compartment arcs_compartment where all {target.bucket.name='arcs_bucket', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}