Oracle Cloud Infrastructure-Dokumentation

Identity and Access Management-(IAM-)Gruppen und -Policys für IAM-Benutzer erstellen

Beschreibt die Schritte zum Schreiben von Policy-Anweisungen für eine IAM-Gruppe, mit denen IAM-Benutzern der Zugriff auf Oracle Cloud Infrastructure-Ressourcen, insbesondere auf Autonomous Database-Instanzen, gestattet wird.

Eine Policy ist eine Gruppe von Anweisungen, die angeben, wer wie auf welche Ressourcen zugreifen kann. Der Zugriff kann für den gesamten Mandanten, die Datenbanken in einem Compartment oder einzelne Datenbanken erteilt werden. Das bedeutet, dass Sie eine Policy-Anweisung schreiben, die einer bestimmten Gruppe einen bestimmten Zugriffstyp für einen bestimmten Ressourcentyp in einem bestimmten Compartment erteilt.

Hinweis

Die Definition einer Policy ist erforderlich, wenn Sie für den Zugriff auf Autonomous Database IAM-Token verwenden. Eine Policy ist nicht erforderlich, wenn Sie für den Zugriff auf Autonomous Database IAM-Datenbankkennwörter verwenden.

So ermöglichen Sie es Autonomous Database, die Anmeldung von IAM-Benutzern bei der Datenbank mit IAM-Token zuzulassen:

  1. Führen Sie Oracle Cloud Infrastructure Identity and Access Management-Voraussetzungsprüfungen aus, indem Sie eine Gruppe erstellen und der Gruppe Benutzer hinzufügen.

    Erstellen Sie beispielsweise die Gruppe sales_dbusers.

    Weitere Informationen finden Sie unter Gruppen verwalten.

  2. Schreiben Sie Policy-Anweisungen, um den Zugriff auf Oracle Cloud Infrastructure-Ressourcen zu ermöglichen.
    1. Klicken Sie in der Oracle Cloud Infrastructure-Konsole auf Identität und Sicherheit.
    2. Klicken Sie unter ID und Sicherheit auf Policys.
    3. Um eine Policy zu schreiben, klicken Sie auf Policy erstellen.
    4. Geben Sie auf der Seite "Policy erstellen" einen Namen und eine Beschreibung ein.
    5. Wählen Sie auf der Seite "Policy erstellen" die Option Manuellen Editor anzeigen aus.
    6. Erstellen Sie mit Policy Builder eine Policy.

      Beispiel: So erstellen Sie eine Policy, die Benutzern in der IAM-Gruppe DBUsers den Zugriff auf Autonomous Database in ihrem Mandanten gestattet: 

      Allow group DBUsers to use autonomous-database-family in tenancy
      Beispiel: So erstellen Sie eine Policy, mit der Mitglieder der Gruppe DBUsers nur auf autonome Datenbanken in Compartment testing_compartment zugreifen können:
      allow group DBUsers to use autonomous-database-family in compartment testing_compartment
      Beispiel: So erstellen Sie eine Policy, die den Gruppenzugriff auf eine einzelne Datenbank in einem Compartment beschränkt:
      allow group DBUsers to use autonomous-database-family in compartment testing_compartment 
               where target.id = 'ocid1.autonomousdatabase.oc1.iad.aaaabbbbcccc...b5678ca'

      Weitere Informationen zu IAM-Policys für den Zugriff auf die Datenbank finden Sie unter IAM-Policy zur Autorisierung von Benutzerauthentifizierung mit Token erstellen in der Datenbanksicherheitsdokumentation.

    7. Klicken Sie auf Erstellen.

      Weitere Informationen zu Policys finden Sie unter Policys verwalten.

Hinweise zum Erstellen von Policys zur Verwendung mit IAM-Benutzern in Autonomous Database:

  • Policys können IAM-Benutzern den Zugriff auf Autonomous Database-Instanzen im gesamten Mandanten und in einem Compartment gestatten oder den Zugriff auf eine einzelne Autonomous Database-Instanz begrenzen.

  • Sie können entweder mit dem Instanz-Principal oder mit dem Ressourcen-Principal Datenbanktoken abrufen, um eine Verbindung von Ihrer Anwendung zu einer Autonomous Database-Instanz herzustellen. Wenn Sie einen Instanz-Principal oder Ressourcen-Principal verwenden, müssen Sie eine dynamische Gruppe zuordnen. Daher können Sie Instanz-Principals und Ressourcen-Principals nicht exklusiv zuordnen. Sie können sie nur über ein gemeinsam verwendetes Mapping zuordnen und müssen die Instanz oder Ressourceninstanz in eine dynamische IAM-Gruppe einfügen.

    Sie können dynamische Gruppen erstellen und dynamische Gruppen in den Policys referenzieren, die Sie für den Zugriff auf Oracle Cloud Infrastructure erstellen. Weitere Einzelheiten finden Sie unter Policys und Rollen für den Zugriff auf Ressourcen konfigurieren und Dynamische Gruppen verwalten.