設定 OCI Object Storage

若要使用此功能,必須另外訂閱 OCI Object Storage。請注意,「分組」是 OCI Object Storage 中用來儲存物件的邏輯容器。在 Account Reconciliation 的環境定義中,您的附件會被視為物件。

以下列出 OCI Object Storage 中的概要步驟:

  1. OCI Object Storage 中建立分組以保存您的科目調節附件。如需指示,請參閱建立分組

    Note:

    您可以在現有區間中建立分組,或建立科目調節附件的新區間。

    以下是設定「分組」的範例。


    物件儲存組態

    為了讓您測試對分組的存取權,並且順利從測試環境切換至生產環境,建議您在分組中建立兩個資料夾 – 一個資料夾用於測試環境,另一個資料夾用於生產環境。例如,您可以建立名為 account_rec_data 的分組以儲存您的附件,在此分組中建立 testprod 兩個資料夾。在實作階段期間,將分組 URL 指定為 <bucket_url>/test 以使用 test 資料夾。當移至生產環境時,將分組組態切換為 <bucket_url>/prod。之後便可刪除 test 資料夾,不會對生產環境造成任何影響。

  2. 確認已停用分組的自動分層。請參閱管理物件儲存分組的自動分層
  3. 您必須將生命週期原則維持與 OCI Object Storage 中相同。請勿予以變更。

  4. 選擇性:OCI Object Storage 中的保留規則會遵循您公司的稽核需求 (例如五到七年)。

  5. Oracle Cloud Infrastructure (OCI) 中,您必須為科目調節建立使用者,並至少將「讀取」與「寫入」存取權授與該使用者,但請不要授與「刪除」存取權。使用者可以是 Identity and Access Management (IAM) 使用者或聯合使用者。

    建議建立個別的使用者來存取科目調節的物件儲存。此使用者必須獲授與存取附件儲存分組以及管理分組中物件的權限。

  6. 您需要建立群組來指派原則。

    物件儲存存取權是透過 Identity and Access Management (IAM) 原則所管理。您可以在下列位置找到通用物件儲存原則:https://docs.oracle.com/en-us/iaas/Content/Identity/Concepts/commonpolicies.htm#write-objects-to-buckets

    若要建立 IAM 原則,請參閱本指南 https://docs.oracle.com/en-us/iaas/Content/Identity/Concepts/policygetstarted.htm

    以下是所需原則範例。

    • Allow group ArcsAttachmentWriters to read buckets in compartment ABC

    • Allow group ArcsAttachmentWriters to manage objects in compartment ABC where all {target.bucket.name='ArcsAttachments', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}

  7. 必須建立使用者的授權憑證。如需詳細資料,請參閱 https://docs.oracle.com/en-us/iaas/Content/Identity/Tasks/managingcredentials.htm#Working

    Note:

    授權憑證在建立之後就不會顯示,因此請記下憑證,稍後將會在組態程序中用到它。
  8. 建立「分組」並建立使用者之後,您必須在 Account Reconciliation 中設定 OCI Object Storage,以便使用分組 URL使用者名稱密碼來進行連線。請參閱在 Account Reconciliation 中設定 OCI Object Storage

範例:設定原則

建立原則時,請確保您選取儲存分組的區間或租用戶。例如,如果您的分組是在區間 ABC 中建立,則原則也必須放在區間 ABC 中。

分組位於根租用戶,且使用者是在聯合身分提供者中建立

如果您的分組位於根租用戶,您使用的是群組,且使用者是在聯合身分提供者中建立,則原則格式必須如下:

Allow group 'OracleIdentityCloudService'/'GROUP_NAME' to read buckets in tenancy
Allow group 'OracleIdentityCloudService'/'GROUP_NAME' to manage objects in tenancy where all {target.bucket.name='BUCKET_NAME', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}

例如,群組名稱為 arcs_attachments 且分組名稱為 arcs_bucket 時:

Allow group 'OracleIdentityCloudService'/'arcs_attachments' to read buckets in tenancy
Allow group 'OracleIdentityCloudService'/'arcs_attachments' to manage objects in tenancy where all {target.bucket.name='arcs_bucket', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}

分組位於根租用戶,一般 (非聯合身分提供者) 群組和使用者

如果您的分組位於根租用戶,且您使用的是一般 (非聯合身分提供者) 群組和使用者,則原則格式必須如下:

Allow group GROUP_NAME to read buckets in tenancy
Allow group GROUP_NAME to manage objects in tenancy where all {target.bucket.name='BUCKET_NAME', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}

例如,群組名稱為 arcs_attachments 且分組名稱為 arcs_bucket 時:

Allow group arcs_attachments to read buckets in tenancy
Allow group arcs_attachments to manage objects in tenancy where all {target.bucket.name='arcs_bucket', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}

分組位於區間層級,且群組和使用者是在聯合身分提供者中建立

如果您的分組位於區間層級,且您使用的是在聯合身分提供者中建立的群組和使用者,則原則格式必須如下:

Allow group 'OracleIdentityCloudService'/'GROUP_NAME' to read buckets in compartment COMPARTMENT_NAME
Allow group 'OracleIdentityCloudService'/'GROUP_NAME' to manage objects in compartment COMPARTMENT_NAME where all {target.bucket.name='BUCKET_NAME', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}

例如,群組名稱為 arcs_attachments 且區間名稱為 arcs_compartment 時:

Allow group 'OracleIdentityCloudService'/arcs_attachments' to read buckets in compartment ABC
Allow group 'OracleIdentityCloudService'/arcs_attachments' to manage objects in compartment arcs_compartment where all {target.bucket.name='arcs_bucket', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}

分組位於區間層級中,一般 (非聯合身分提供者) 群組和使用者

如果您的分組位於區間層級,且您使用的是一般 (非聯合身分提供者) 群組和使用者,則原則格式必須如下:

Allow group GROUP_NAME to read buckets in compartment COMPARTMENT_NAME
Allow group GROUP_NAME to manage objects in compartment COMPARTMENT_NAME where all {target.bucket.name='BUCKET_NAME', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}

例如,群組名稱為 arcs_attachments 且區間名稱為 arcs_compartment 時:

Allow group arcs_attachments to read buckets in compartment arcs_compartment
Allow group arcs_attachments to manage objects in compartment arcs_compartment where all {target.bucket.name='arcs_bucket', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}