Oracle Cloud Infrastructure GoldenGate-Policys

Um den Zugriff auf Oracle Cloud Infrastructure GoldenGate und den Zugriffstyp der einzelnen Benutzergruppen zu kontrollieren, müssen Sie Policys erstellen.

Beispiel: Sie können eine Administratorengruppe erstellen, deren Mitglieder auf alle OCI GoldenGate-Ressourcen zugreifen können. Danach können Sie eine separate Gruppe für alle anderen Personen erstellen, die mit OCI GoldenGate arbeiten. Ferner können Sie Policys erstellen, die den Zugriff auf OCI GoldenGate-Ressourcen in verschiedenen Compartments einschränken.

Eine vollständige Liste der Oracle Cloud Infrastructure-Policys finden Sie in der Policy-Referenz.

Policys erstellen

Policys definieren, welche Aktionen Mitglieder einer Gruppe für welche Compartments ausführen können.

Mit der Oracle Cloud-Konsole können Sie Policys erstellen. Wählen Sie im Navigationsmenü der Oracle Cloud-Konsole die Option Identität und Sicherheit, Identität aus, und wählen Sie Policys aus. Für Policys gilt die folgende Syntax:

allow group <identity-domain>/<group-name> to <verb> <resource-type> in <location> where <condition>

Parameterdefinitionen lauten wie folgt:

<identity-domain>: (Optional) Wenn Sie OCI IAM für das Identitätsmanagement verwenden, nehmen Sie die Identitätsdomain der Benutzergruppe auf. Bei fehlender Angabe verwendet OCI die Standarddomain.
<group-name>: Der Name der Benutzergruppe, für die Sie Berechtigungen erteilen.
<verb>: Erteilt der Gruppe eine bestimmte Zugriffsebene für einen Ressourcentyp. Bei den Verben wird die Zugriffsebene in der Reihenfolge inspect, read, use und manage schrittweise erhöht, und die erteilten Berechtigungen sind kumulativ.

Weitere Informationen zur Beziehung zwischen Berechtigungen und Verben.
<resource-type>: Der Typ der Ressource, für den Sie einer Gruppe eine Nutzungsberechtigung erteilen. There are individual resources, such as goldengate-deployments, goldengate-pipelines, and goldengate-connections, and there are resource families, such as goldengate-family, which includes the individual resources previously mentioned.

Weitere Informationen finden Sie unter Ressourcentypen.
<location>: Hängt die Policy an ein Compartment oder einen Mandanten an. Sie können ein einzelnes Compartment oder einen Compartment-Pfad nach Name oder OCID angeben. Sie können auch tenancy angeben, um den gesamten Mandanten abzudecken.
<condition>: Optional. Eine oder mehrere Bedingungen, für die diese Policy gilt.

Weitere Informationen zur Policy-Syntax.

So erstellen Sie eine Policy

So erstellen Sie eine Policy:

Wählen Sie im Oracle Cloud-Navigationsmenü die Option Identität und Sicherheit, und wählen Sie unter "Identifizieren" die Option Policys aus.
Wählen Sie auf der Seite "Policys" die Option Policy erstellen.
Geben Sie einen Namen und eine Beschreibung für die Policy auf der Seite "Policy erstellen" ein.
Wählen Sie das Compartment aus, in dem diese Policy erstellt wird.
Im Abschnitt Policy Builder können Sie entweder
- Wählen Sie GoldenGate-Service in der Dropdown-Liste Policy-Anwendungsfall und eine allgemeine Policy-Vorlage aus, wie Erforderliche Policys, mit denen Benutzer GoldenGate-Ressourcen verwalten können.
- Wählen Sie Manuellen Editor anzeigen aus, um eine Policy-Regel im folgenden Format einzugeben:
```
allow <subject> to <verb> <resource-type> in <location> where <condition>
```
  Bedingungen sind optional. Siehe Details zu Kombinationen aus Verben und Ressourcentypen.
Tipp: Weitere Informationen finden Sie unter Minimale empfohlene Policys.
Wählen Sie Erstellen.

Weitere Informationen zu Policys finden Sie unter Funktionsweise von Policys, Policy-Syntax und Policy-Referenz.

Mindestempfehlung für Policys

Tipp:

So fügen Sie alle erforderlichen Policys mit einer allgemeinen Policy-Vorlage hinzu:

Wählen Sie unter Policy-Anwendungsfälle in der Dropdown-Liste die Option GoldenGate-Service aus.
Wählen Sie unter Vorlagen zur allgemeinen Verwendung in der Dropdown-Liste die Option Erforderliche Policys, mit denen Benutzer GoldenGate-Ressourcen verwalten können aus.

Sie benötigen Policys mindestens für Folgendes:

Das Verwenden oder Verwalten von GoldenGate-Ressourcen durch Benutzer zulassen, damit sie mit Deployments und Verbindungen arbeiten können. Beispiel:
```
allow group <identity-domain>/<group-name> to manage goldengate-family in <location>
```
Das Verwalten von Netzwerkressourcen durch Benutzer zulassen, damit sie beim Erstellen von GoldenGate-Ressourcen Compartments und Subnetze anzeigen und auswählen sowie private Endpunkte erstellen und löschen können. Beispiel:
```
allow group <identity-domain>/<group-name> to manage virtual-network-family in <location>
```
Hinweis:
- Wenn Sie ein Deployment oder eine Verbindung mit einem dedizierten Endpunkt erstellen, werden mindestens eine IP im ausgewählten Subnetz zugewiesen. Sie müssen die erforderlichen Netzwerkzugriffsberechtigungen sowohl im Subnetz als auch im Compartment des Deployments oder der Verbindung angeben, damit der Service die Netzwerkressourcen erstellen kann.
- Ebenso sind die entsprechenden Netzwerkzugriffsberechtigungen erforderlich, wenn ein Deployment oder eine Verbindung mit einem dedizierten Endpunkt gelöscht wird, damit der Service die Netzwerkressourcen löschen kann.
Optional können Sie Netzwerkressourcen mit einer Kombination aus granularen Policys noch stärker sichern. Weitere Informationen finden Sie unter Policy-Beispiele für das Sichern von Netzwerkressourcen.
Dynamische Gruppe erstellen, um Ressourcen basierend auf definierten Regeln Berechtigungen zu erteilen, sodass Ihre GoldenGate-Deployments und/oder Pipelines auf Ressourcen in Ihrem Mandanten zugreifen können. Ersetzen Sie <dynamic-group-name> durch einen Namen Ihrer Wahl. Sie können beliebig viele dynamische Gruppen erstellen, um beispielsweise Berechtigungen in Deployments über verschiedene Compartments oder Mandanten hinweg zu kontrollieren.
```
name: <dynamic-group-name>
Matching rule: ALL {resource.type = 'goldengatedeployment', resource.compartment.id = '<location>'}
```
Tipp: Die in dieser Liste aufgeführten Policys finden Sie unter <dynamic-group-name>. Wenn Sie mehr als eine dynamische Gruppe erstellen, stellen Sie sicher, dass Sie beim Hinzufügen einer der folgenden Policys auf den richtigen Namen der dynamischen Gruppe verweisen.
Wenn Sie Verbindungen mit Kennwort-Secrets verwenden, muss das Deployment, das Sie der Verbindung zuweisen, auf die Kennwort-Secrets der Verbindung zugreifen können. Stellen Sie sicher, dass Sie die Policy zu Ihrem Compartment oder Mandanten hinzufügen:
```
allow dynamic-group <identity-domain>/<dynamic-group-name> to read secret-bundles in <location>
```

Benutzern das Lesen des IAM-(Identity and Access Management-)Benutzers und der -Gruppe für Validierungen in IAM-fähigen Mandanten erlauben:

allow service goldengate to {idcs_user_viewer, domain_resources_viewer} in <location>

allow dynamic-group <identity-domain>/<dynamic-group-name> to {idcs_user_viewer, domain_resources_viewer} in <location>

Greifen Sie auf vom Kunden verwaltete Verschlüsselungsschlüssel und Kennwort-Secrets in Oracle Vault zu. Beispiel:

allow group <identity-domain>/<group-name> to manage secret-family in <location>
allow group <identity-domain>/<group-name> to use keys in <location>
allow group <identity-domain>/<group-name> to use vaults in <location>
allow dynamic-group <identity-domain>/<dynamic-group-name> to use keys in <location>
allow dynamic-group <identity-domain>/<dynamic-group-name> to use vaults in <location>
allow dynamic-group <identity-domain>/<dynamic-group-name> to read secret-bundles in <location>

Je nachdem, ob Sie die folgenden Services verwenden möchten, müssen Sie möglicherweise auch Policys für Folgendes hinzufügen:

Oracle AI-Datenbanken für Ihre Quell- und/oder Zieldatenbanken. Beispiel:

allow group <identity-domain>/<group-name> to read database-family in <location>

allow group <identity-domain>/<group-name> to read autonomous-database-family in <location>

Oracle Object Storage zum Speichern manueller und geplanter OCI GoldenGate-Backups. Beispiel:

allow group <identity-domain>/<group-name> to manage objects in <location>
allow dynamic-group <identity-domain>/<dynamic-group-name> to manage objects in <location> where target.bucket.name = '<bucket-name>'
allow group <identity-domain>/<group-name> to inspect buckets in <location>

OCI Logging, um auf Loggruppen zuzugreifen. Beispiel:

allow group <identity-domain>/<group-name> to read log-groups in <location>
allow group <identity-domain>/<group-name> to read log-content in <location>

Load Balancer, wenn Sie den öffentlichen Zugriff auf die Deployment-Konsole aktivieren:

allow group <identity-domain>/<group-name> to manage load-balancers in <location>
allow group <identity-domain>/<group-name> to manage public-ips in <location>

allow group <identity-domain>/<group-name> to manage network-security-groups in <location>
allow group <identity-domain>/<group-name> to manage vcns in <location> where ANY {request.operation = 'CreateNetworkSecurityGroup', request.operation = 'DeleteNetworkSecurityGroup'}

Arbeitsanforderungen:

allow group <identity-domain>/<group-name> to inspect work-requests in <location>

Zero Trust Packet Routing (ZPR). Nur erforderlich Wenn Sie Sicherheitsattribute zu Ihrem VCN und/oder Load Balancer hinzugefügt haben, um den Zugriff für Ihre Verbindungen und öffentlichen Deployments zu kontrollieren, fügen Sie die folgenden Policys hinzu, um öffentlichen Internettraffic zum Load Balancer und Trafficfluss zwischen dem Load Balancer und privaten Endpunkten zuzulassen:
- Wenn Sicherheitsattribute für VCN und Load Balancer hinzugefügt wurden:
```
in <vcn-sa-key>:<vcn-sa-value> VCN allow <lb-sa-key>:<lb-sa-value> endpoints to connect to <pe-sa-key>:<pe-sa-value> endpoints
in <vcn-sa-key>:<vcn-sa-value> VCN allow all-endpoints to connect to <lb-sa-key>:<lb-sa-value> endpoints
```
- Wenn Sicherheitsattribute nur für das VCN und nicht für den Load Balancer hinzugefügt wurden und sich der Load Balancer in einem öffentlichen Subnetz mit CIDR 10.0.1.0/24 befindet:
```
in <vcn-sa-key>:<vcn-sa-value> VCN allow '10.0.1.0/24' to connect to <pe-sa-key>:<pe-sa-value> endpoints
```
  Hinweis: Für andere Ressourcen, wie dedizierte Verbindungen und private Deployments, werden Sicherheitsattribute zum erstellten privaten Endpunkt hinzugefügt. Load Balancer werden nicht standardmäßig mit privaten Deployments erstellt. Daher gelten die obigen ZPR-Beispiele nicht. Möglicherweise benötigen Sie eine ZPR-Policy, da ZPR in diesem Fall den privaten Endpunkt schützt. Die genaue Richtlinie hängt von Ihrem Anwendungsfall ab.
Weitere Informationen zur ZPR-Policy-Syntax.

Die folgende Anweisung erteilt einer Gruppe die Berechtigung zum Verwalten von Tag-Namespaces und Tags für Workspaces:

allow group <identity-domain>/<group-name> to manage tag-namespaces in <location>

Um ein definiertes Tag hinzuzufügen, benötigen Sie die Berechtigung zum Verwenden des Tag-Namespace. Weitere Informationen zum Tagging finden Sie unter Ressourcentags.

Policy-Beispiele für Netzwerkressourcen

Mit der folgenden Policy können Sie Benutzern einfach Zugriff auf Netzwerkressourcen in einem Compartment erteilen:

allow group <group-name> to use virtual-network-family in compartment <compartment-name>

Alternativ können Sie mit den folgenden Policys Netzwerkressourcen mit einer höheren Granularität sichern:

Vorgang	Erforderlicher Zugriff auf zugrunde liegende Ressourcen
Privaten Endpunkt erstellen	Für das Compartment des privaten Endpunkts: VNIC erstellen (`VNIC_CREATE`) VNIC löschen (`VNIC_DELETE`) Mitglieder in einer Netzwerksicherheitsgruppe aktualisieren (`NETWORK_SECURITY_GROUP_UPDATE_MEMBERS`) Netzwerksicherheitsgruppe verknüpfen (`VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP`) Für das Subnetz-Compartment: Subnetz verknüpfen (`SUBNET_ATTACH`) Subnetz trennen (`SUBNET_DETACH`)
Privaten Endpunkt aktualisieren	Für das Compartment des privaten Endpunkts: VNIC aktualisieren (`VNIC_UPDATE`) Mitglieder in einer Netzwerksicherheitsgruppe aktualisieren (`NETWORK_SECURITY_GROUP_UPDATE_MEMBERS`) Netzwerksicherheitsgruppe verknüpfen (`VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP`)
Privaten Endpunkt löschen	Für das Compartment des privaten Endpunkts: VNIC löschen (`VNIC_DELETE`) Mitglieder in einer Netzwerksicherheitsgruppe aktualisieren (`NETWORK_SECURITY_GROUP_UPDATE_MEMBERS`) Für das Subnetz-Compartment: Subnetz trennen (`SUBNET_DETACH`)
Compartment eines privaten Endpunkts ändern	Wenn Sie von einem Compartment in ein anderes wechseln, müssen alle Berechtigungen des ursprünglichen Compartments auch im neuen Compartment vorhanden sein.

Ressourcentypen

Oracle Cloud Infrastructure GoldenGate bietet sowohl aggregierte als auch individuelle Ressourcentypen zum Schreiben von Policys.

Aggregierter Ressourcentyp Individuelle Ressourcentypen

Aggregierter Ressourcentyp	Individuelle Ressourcentypen
`goldengate-family`	`goldengate-deployments` `goldengate-deployment-backups` `goldengate-deployment-upgrades` `goldengate-connections` `goldengate-connection-assignments` `goldengate-pipelines`

goldengate-family

goldengate-deployments

goldengate-deployment-backups

goldengate-deployment-upgrades

goldengate-connections

goldengate-connection-assignments

goldengate-pipelines

Die für den aggregierten Ressourcentyp goldengate-family abgedeckten APIs decken auch die APIs für jeden individuellen Ressourcentyp ab. Beispiel:

allow group gg-admins to manage goldengate-family in compartment <compartment-name>

entspricht dem Schreiben der folgenden Policys:

allow group gg-admins to manage goldengate-deployments in compartment <compartment-name>
allow group gg-admins to manage goldengate-connections in compartment <compartment-name>
allow group gg-admins to manage goldengate-connection-assignments in compartment <compartment-name>
allow group gg-admins to manage goldengate-deployment-upgrades in compartment <compartment-name>
allow group gg-admins to manage goldengate-deployment-backups in compartment <compartment-name>
allow group gg-admins to manage goldengate-pipelines in compartment <compartment-name>

Unterstützte Variablen

Wenn Sie Bedingungen zu Ihren Policys hinzuzufügen, können Sie allgemeine oder servicespezifische Oracle Cloud Infrastructure-Variablen verwenden.

Oracle Cloud Infrastructure GoldenGate unterstützt alle allgemeinen Variablen. Weitere Informationen finden Sie unter Allgemeine Variablen für alle Anforderungen.

Details zu Kombinationen aus Verben und Ressourcentypen

Für das Erstellen einer Policy stehen in Oracle Cloud Infrastructure verschiedene Verben und Ressourcentypen zur Verfügung.

In den folgenden Tabellen werden die Berechtigungen und API-Vorgänge aufgelistet, die von jedem Verb für Oracle Cloud Infrastructure GoldenGate abgedeckt werden. Die Zugriffsebene ist kumulativ von inspect zu read zu use zu manage.

goldengate-deployments

Berechtigung	Vollständig abgedeckte APIs
INSPECT
GOLDENGATE_DEPLOYMENT_INSPECT	ListDeployments
GOLDENGATE_DEPLOYMENT_INSPECT	ListWorkRequests
READ
INSPECT +	INSPECT +
GOLDENGATE_DEPLOYMENT_READ	GetDeployment
	Arbeitsanforderungsliste abrufen
	Arbeitsanforderungsfehlerliste
	WorkRequestLogs
USE
READ +	READ +
GOLDENGATE_DEPLOYMENT_UPDATE	UpdateDeployment
	StartDeployment
	StopDeployment
	RestoreDeployment
MANAGE
USE +	USE +
GOLDENGATE_DEPLOYMENT_CREATE	CreateDeployment
GOLDENGATE_DEPLOYMENT_DELETE	DeleteDeployment
GOLDENGATE_DEPLOYMENT_MOVE	ChangeDeploymentCompartment

goldengate-connections

Berechtigung	Vollständig abgedeckte APIs
INSPECT
GOLDENGATE_CONNECTION_INSPECT	ListConnections
READ
INSPECT +	INSPECT +
GOLDENGATE_CONNECTION_READ	GetConnection
USE
READ +	READ +
GOLDENGATE_CONNECTION_UPDATE	UpdateConnection
MANAGE
USE +	USE +
GOLDENGATE_CONNECTION_CREATE	CreateConnection
GOLDENGATE_CONNECTION_DELETE	DeleteConnection
GOLDENGATE_CONNECTION_MOVE	ChangeConnectionCompartment

goldengate-Verbindungszuweisungen

Berechtigung	Vollständig abgedeckte APIs
INSPECT
GOLDENGATE_CONNECTION_ASSIGNMENT_INSPECT	ListConnectionAssignments
READ
INSPECT +	INSPECT +
GOLDENGATE_CONNECTION_ASSIGNMENT_READ	GetConnectionAssignment
USE
READ +	READ +
n/v	n/v
MANAGE
USE +	USE +
GOLDENGATE_CONNECTION_ASSIGNMENT_CREATE	Verbindungszuweisung erstellen
GOLDENGATE_CONNECTION_ASSIGNMENT_DELETE	ConnectionAssignment löschen

goldengate-deployment-backups

Berechtigung	Vollständig abgedeckte APIs
INSPECT
GOLDENGATE_DEPLOYMENT_BACKUP_INSPECT	ListDeploymentBackups
READ
INSPECT +	INSPECT +
GOLDENGATE_DEPLOYMENT_BACKUP_READ	GetDeploymentBackup
GOLDENGATE_DEPLOYMENT_BACKUP_READ	RestoreDeployment
USE
READ +	READ +
GOLDENGATE_DEPLOYMENT_BACKUP_UPDATE	UpdateDeploymentBackup
MANAGE
USE +	USE +
GOLDENGATE_DEPLOYMENT_BACKUP_CREATE	CreateDeploymentBackup
GOLDENGATE_DEPLOYMENT_BACKUP_DELETE	DeleteDeploymentBackup
GOLDENGATE_DEPLOYMENT_BACKUP_MOVE	ChangeDeploymentBackupCompartment

Für jeden API-Vorgang erforderliche Berechtigungen

Im Folgenden finden Sie eine Liste der API-Vorgänge für Oracle Cloud Infrastructure GoldenGate in logischer Reihenfolge, gruppiert nach Ressourcentyp.

Die Ressourcentypen sind goldengate-deployments, goldengate-connections und goldengate-deployment-backups.

API-Vorgang	Berechtigung
`ListDeployments`	GOLDENGATE_DEPLOYMENT_INSPECT
`CreateDeployment`	GOLDENGATE_DEPLOYMENT_CREATE
`GetDeployment`	GOLDENGATE_DEPLOYMENT_READ
`UpdateDeployment`	GOLDENGATE_DEPLOYMENT_UPDATE
`DeleteDeployment`	GOLDENGATE_DEPLOYMENT_DELETE
`StartDeployment`	GOLDENGATE_DEPLOYMENT_UPDATE
`StopDeployment`	GOLDENGATE_DEPLOYMENT_UPDATE
`RestoreDeployment`	GOLDENGATE_DEPLOYMENT_BACKUP_READ und GOLDENGATE_DEPLOYMENT_UPDATE
`ChangeDeploymentCompartment`	GOLDENGATE_DEPLOYMENT_MOVE
`UpgradeDeployment`	GOLDENGATE_DEPLOYMENT_UPDATE
`ListConnections`	GOLDENGATE_CONNECTION_INSPECT
`CreateConnection`	GOLDENGATE_CONNECTION_CREATE
`GetConnection`	GOLDENGATE_CONNECTION_READ
`UpdateConnection`	GOLDENGATE_CONNECTION_UPDATE
`DeleteConnection`	GOLDENGATE_CONNECTION_DELETE
`ChangeConnectionCompartment`	GOLDENGATE_CONNECTION_MOVE
`ListConnectionAssignments`	GOLDENGATE_CONNECTION_ASSIGNMENT_INSPECT
`CreateConnectionAssignment`	GOLDENGATE_CONNECTION_ASSIGNMENT_CREATE, GOLDENGATE_DEPLOYMENT_UPDATE, GOLDENGATE_CONNECTION_UPDATE
`GetConnectionAssignment`	GOLDENGATE_CONNECTION_ASSIGNMENT_READ
`DeleteConnectionAssignment`	GOLDENGATE_CONNECTION_ASSIGNMENT_DELETE, GOLDENGATE_DEPLOYMENT_UPDATE, GOLDENGATE_CONNECTION_UPDATE
`ListDeploymentBackups`	GOLDENGATE_DEPLOYMENT_BACKUP_INSPECT
`GetDeploymentBackup`	GOLDENGATE_DEPLOYMENT_BACKUP_READ
`CreateDeploymentBackup`	GOLDENGATE_DEPLOYMENT_BACKUP_CREATE, GOLDENGATE_DEPLOYMENT_READ
`UpdateDeploymentBackup`	GOLDENGATE_DEPLOYMENT_BACKUP_UPDATE
`CancelDeploymentBackup`	GOLDENGATE_DEPLOYMENT_BACKUP_UPDATE
`DeleteDeploymentBackup`	GOLDENGATE_DEPLOYMENT_BACKUP_DELETE
`ChangeDeploymentBackupCompartment`	GOLDENGATE_DEPLOYMENT_BACKUP_MOVE
`GetDeploymentUpgrade`	GOLDENGATE_DEPLOYMENT_UPGRADE_READ
`ListDeploymentUpgrades`	GOLDENGATE_DEPLOYMENT_UPGRADE_INSPECT
`GetWorkRequest`	GOLDENGATE_DEPLOYMENT_READ
`ListWorkRequests`	GOLDENGATE_DEPLOYMENT_INSPECT
`ListWorkRequestErrors`	GOLDENGATE_DEPLOYMENT_READ
`ListWorkRequestLogs`	GOLDENGATE_DEPLOYMENT_READ