È necessaria una sottoscrizione separata a Memorizzazione oggetti OCI per poter usare questa funzione. Si noti che un gruppo è un contenitore logico per la memorizzazione di oggetti in Memorizzazione oggetti OCI. Nel contesto di Account Reconciliation, gli allegati sono considerati oggetti.
I passaggi di alto livello in Memorizzazione di oggetti OCI vengono elencati di seguito:
Note:
È possibile creare un gruppo in un compartimento esistente o creare un nuovo compartimento per gli allegati di Account Reconciliation.Ecco un esempio di come configurare un gruppo.
Per consentire l'esecuzione dei test del gruppo e semplificare il passaggio tra ambiente di test e ambiente di produzione, è consigliabile creare due cartelle all'interno del gruppo, una per l'ambiente di test e una per l'ambiente di produzione. Ad esempio, se si crea un gruppo denominato account_rec_data
per archiviare gli allegati, creare le cartelle test
e prod
all'interno di questo gruppo. Durante la fase di implementazione, utilizzare la cartella test
specificando l'URL del gruppo come <bucket_url>
/test
. Quando si passa all'ambiente di produzione, passare la configurazione del gruppo a <bucket_url>
/prod
. Successivamente, la cartella test
può essere eliminata senza alcun impatto sull'ambiente di produzione.
Facoltativo: le regole di conservazione in Memorizzazione oggetti OCI si attengono ai requisiti di audit dell'azienda (ad esempio da cinque a sette anni).
Si consiglia di creare un utente separato per accedere alla Memorizzazione oggetti per Account Reconciliation. A questo utente dovranno essere concessi i privilegi per accedere al gruppo della memorizzazione degli allegati e per gestire gli oggetti del gruppo.
È necessario creare un gruppo per l'assegnazione dei criteri.
L'accesso alla Memorizzazione oggetti è gestito dai criteri di Gestione accessi identità (IAM). I criteri comuni per la memorizzazione degli oggetti sono disponibili in https://docs.oracle.com/en-us/iaas/Content/Identity/Concepts/commonpolicies.htm#write-objects-to-buckets
Per creare criteri IAM, fare riferimento alla guida https://docs.oracle.com/en-us/iaas/Content/Identity/Concepts/policygetstarted.htm
Di seguito è riportato un esempio del criterio richiesto.
Allow group ArcsAttachmentWriters to read buckets in compartment ABC
Allow group ArcsAttachmentWriters to manage objects in compartment ABC where all {target.bucket.name='ArcsAttachments', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}
Note:
Il token di autorizzazione non viene visualizzato dopo la sua creazione. Si consiglia pertanto di annotarlo perché verrà utilizzato in seguito nel processo di configurazione.Esempi: configurazione dei criteri
Quando si crea un criterio, assicurarsi di selezionare il compartimento o la tenancy in cui è memorizzato il bucket. Ad esempio, se il bucket viene creato nel compartimento ABC, anche il criterio deve essere inserito nel compartimento ABC.
Bucket nella tenancy Radice, utente creato nel provider di identità federato
Se il bucket si trova nella tenancy Radice, si sta utilizzando un gruppo e l'utente viene creato nel provider di identità federato, il formato del criterio deve essere il seguente:
Allow group 'OracleIdentityCloudService'/'GROUP_NAME' to read buckets in tenancy Allow group 'OracleIdentityCloudService'/'GROUP_NAME' to manage objects in tenancy where all {target.bucket.name='BUCKET_NAME', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}
Ad esempio, se il nome del gruppo è arcs_attachments e il nome del bucket è arcs_bucket:
Allow group 'OracleIdentityCloudService'/'arcs_attachments' to read buckets in tenancy Allow group 'OracleIdentityCloudService'/'arcs_attachments' to manage objects in tenancy where all {target.bucket.name='arcs_bucket', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}
Bucket nella tenancy Radice, gruppo regolare (provider di identità non federato) e utente
Se il bucket si trova nella tenancy Radice e si utilizza un gruppo e un utente regolari (provider di identità non federato), il formato del criterio deve essere il seguente:
Allow group GROUP_NAME to read buckets in tenancy Allow group GROUP_NAME to manage objects in tenancy where all {target.bucket.name='BUCKET_NAME', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}
Ad esempio, se il nome del gruppo è arcs_attachments e il nome del bucket è arcs_bucket:
Allow group arcs_attachments to read buckets in tenancy Allow group arcs_attachments to manage objects in tenancy where all {target.bucket.name='arcs_bucket', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}
Bucket a livello di compartimento, gruppo e utente creati nel provider di identità federato
Se il bucket si trova a livello di compartimento e si utilizzano un gruppo e un utente creati nel provider di identità federato, il formato del criterio deve essere il seguente:
Allow group 'OracleIdentityCloudService'/'GROUP_NAME' to read buckets in compartment COMPARTMENT_NAME Allow group 'OracleIdentityCloudService'/'GROUP_NAME' to manage objects in compartment COMPARTMENT_NAME where all {target.bucket.name='BUCKET_NAME', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}
Ad esempio, se il nome del gruppo è arcs_attachments e il nome del bucket è arcs_compartment:
Allow group 'OracleIdentityCloudService'/arcs_attachments' to read buckets in compartment ABC Allow group 'OracleIdentityCloudService'/arcs_attachments' to manage objects in compartment arcs_compartment where all {target.bucket.name='arcs_bucket', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}
Bucket a livello di compartimento e gruppo e utente regolari (provider di identità non federati)
Se il bucketsi trova a livello di compartimento e si utilizzano un gruppo e un utente regolari (provider di identità non federato), il formato del criterio deve essere il seguente:
Allow group GROUP_NAME to read buckets in compartment COMPARTMENT_NAME Allow group GROUP_NAME to manage objects in compartment COMPARTMENT_NAME where all {target.bucket.name='BUCKET_NAME', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}
Ad esempio, se il nome del gruppo è arcs_attachments e il nome del bucket è arcs_compartment:
Allow group arcs_attachments to read buckets in compartment arcs_compartment Allow group arcs_attachments to manage objects in compartment arcs_compartment where all {target.bucket.name='arcs_bucket', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}