Oracle Cloud Infrastructure GoldenGate-Policys
Sie müssen Policys erstellen, um den Zugriff auf Oracle Cloud Infrastructure GoldenGate und den Zugriffstyp der einzelnen Benutzergruppen zu kontrollieren.
Beispiel: Sie können eine Administratorengruppe erstellen, deren Mitglieder auf alle OCI GoldenGate-Ressourcen zugreifen können. Danach können Sie eine separate Gruppe für alle anderen Personen erstellen, die mit OCI GoldenGate arbeiten. Ferner können Sie Policys erstellen, die den Zugriff auf OCI GoldenGate-Ressourcen in verschiedenen Compartments einschränken.
Eine vollständige Liste der Oracle Cloud Infrastructure-Policys finden Sie in der Policy-Referenz.
Policys erstellen
Policys definieren, welche Aktionen Mitglieder einer Gruppe für welche Compartments ausführen können.
Mit der Oracle Cloud-Konsole können Sie Policys erstellen. Wählen Sie im Navigationsmenü der Oracle Cloud-Konsole die Option Identität und Sicherheit, Identität aus, und wählen Sie Policys aus. Für Policys gilt die folgende Syntax:
allow group <identity-domain>/<group-name> to <verb> <resource-type> in <location> where <condition>Parameterdefinitionen lauten wie folgt:
<identity-domain>: (Optional) Wenn Sie OCI IAM für das Identitätsmanagement verwenden, nehmen Sie die Identitätsdomain der Benutzergruppe auf. Bei fehlender Angabe verwendet OCI die Standarddomain.<group-name>: Der Name der Benutzergruppe, für die Sie Berechtigungen erteilen.<verb>: Erteilt der Gruppe eine bestimmte Zugriffsebene für einen Ressourcentyp. Bei den Verben wird die Zugriffsebene in der Reihenfolgeinspect,read,useundmanageschrittweise erhöht, und die erteilten Berechtigungen sind kumulativ.Weitere Informationen zur Beziehung zwischen .Berechtigungen und Verben.
<resource-type>: Der Typ der Ressource, für den Sie einer Gruppe eine Nutzungsberechtigung erteilen. Es gibt einzelne Ressourcen, wiegoldengate-deployments,goldengate-pipelinesundgoldengate-connections, und es gibt Ressourcenfamilien, wiegoldengate-family, die die zuvor genannten einzelnen Ressourcen enthalten.Weitere Informationen finden Sie unter Ressourcentypen.
<location>: Hängt die Policy an ein Compartment oder einen Mandanten an. Sie können ein einzelnes Compartment oder einen Compartment-Pfad nach Name oder OCID angeben. Sie können auchtenancyangeben, um den gesamten Mandanten abzudecken.<condition>: Optional. Eine oder mehrere Bedingungen, für die diese Policy gilt.
Weitere Informationen zur Policy-Syntax.
So erstellen Sie eine Policy
Weitere Informationen zu Policys finden Sie unter Funktionsweise von Policys, Policy-Syntax und Policy-Referenz.
Mindestempfehlung für Policys
Tipp:
So fügen Sie alle erforderlichen Policys mit einer allgemeinen Policy-Vorlage hinzu:- Wählen Sie unter Policy-Anwendungsfälle in der Dropdown-Liste die Option GoldenGate Service aus.
- Wählen Sie unter Vorlagen zur allgemeinen Verwendung die Option Erforderliche Policys, mit denen Benutzer GoldenGate-Ressourcen verwalten können aus der Dropdown-Liste aus.
Sie benötigen Policys mindestens für Folgendes:
- Ermöglichen Sie es Benutzern, use- oder manage GoldenGate-Ressourcen zu verwenden, damit sie mit Deployments und Verbindungen arbeiten können. Beispiel:
allow group <identity-domain>/<group-name> to manage goldengate-family in <location> - Zulassen, dass Benutzer Netzwerkressourcen verwalten, damit sie Compartments und Subnetze anzeigen und auswählen und beim Erstellen von GoldenGate-Ressourcen private Endpunkte erstellen und löschen können. Beispiel:
allow group <identity-domain>/<group-name> to manage virtual-network-family in <location>Optional können Sie Netzwerkressourcen mit einer Kombination aus granularen Policys noch stärker sichern. Weitere Informationen finden Sie unter Policy-Beispiele für das Sichern von Netzwerkressourcen.
- Dynamische Gruppe erstellen, um Ressourcen basierend auf definierten Regeln Berechtigungen zu erteilen, sodass Ihre GoldenGate-Deployments und/oder Pipelines auf Ressourcen in Ihrem Mandanten zugreifen können. Ersetzen Sie
<dynamic-group-name>durch einen Namen Ihrer Wahl. Sie können beliebig viele dynamische Gruppen erstellen, um beispielsweise Berechtigungen in Deployments über verschiedene Compartments oder Mandanten hinweg zu kontrollieren.name: <dynamic-group-name> Matching rule: ALL {resource.type = 'goldengatedeployment', resource.compartment.id = '<location>'}Tipp:
Die in dieser Liste aufgeführten Policys beziehen sich auf
<dynamic-group-name>. Wenn Sie mehr als eine dynamische Gruppe erstellen, stellen Sie sicher, dass Sie beim Hinzufügen einer der folgenden Policys auf den richtigen Namen der dynamischen Gruppe verweisen. - Wenn Sie Verbindungen mit Kennwort-Secrets verwenden, muss das Deployment, das Sie der Verbindung zuweisen, auf die Kennwort-Secrets der Verbindung zugreifen können. Stellen Sie sicher, dass Sie die Policy zu Ihrem Compartment oder Mandanten hinzufügen:
allow dynamic-group <identity-domain>/<dynamic-group-name> to read secret-bundles in <location> - Benutzern das Lesen von Identity and Access Management-(IAM-)Benutzern und -Gruppen für Validierungen in IAM-fähigen Mandanten erlauben:
allow service goldengate to {idcs_user_viewer, domain_resources_viewer} in <location>allow dynamic-group <identity-domain>/<dynamic-group-name> to {idcs_user_viewer, domain_resources_viewer} in <location> - Oracle Vault für den Zugriff auf vom Kunden verwaltete Verschlüsselungsschlüssel und Kennwort-Secrets. Beispiel:
allow group <identity-domain>/<group-name> to manage secret-family in <location> allow group <identity-domain>/<group-name> to use keys in <location> allow group <identity-domain>/<group-name> to use vaults in <location> allow dynamic-group <identity-domain>/<dynamic-group-name> to use keys in <location> allow dynamic-group <identity-domain>/<dynamic-group-name> to use vaults in <location> allow dynamic-group <identity-domain>/<dynamic-group-name> to read secret-bundles in <location>
Je nachdem, ob Sie die folgenden Services verwenden möchten, müssen Sie möglicherweise auch Policys für Folgendes hinzufügen:
- Oracle-Datenbanken für Ihre Quell- und/oder Zieldatenbanken. Beispiel:
allow group <identity-domain>/<group-name> to read database-family in <location>allow group <identity-domain>/<group-name> to read autonomous-database-family in <location> - Oracle Object Storage zum Speichern manueller OCI-GoldenGate-Backups. Beispiel:
allow group <identity-domain>/<group-name> to manage objects in <location> allow dynamic-group <identity-domain>/<dynamic-group-name> to manage objects in <location> allow group <identity-domain>/<group-name> to inspect buckets in <location> - OCI Logging, um auf Loggruppen zuzugreifen. Beispiel:
allow group <identity-domain>/<group-name> to read log-groups in <location> allow group <identity-domain>/<group-name> to read log-content in <location> - Load Balancer, wenn Sie öffentlichen Zugriff auf die Deployment-Konsole aktivieren:
allow group <identity-domain>/<group-name> to manage load-balancers in <location> allow group <identity-domain>/<group-name> to manage public-ips in <location> allow group <identity-domain>/<group-name> to manage network-security-groups in <location> allow group <identity-domain>/<group-name> to manage vcns in <location> where ANY {request.operation = 'CreateNetworkSecurityGroup', request.operation = 'DeleteNetworkSecurityGroup'} - Arbeitsanforderungen:
allow group <identity-domain>/<group-name> to inspect work-requests in <location>
Die folgende Anweisung erteilt einer Gruppe die Berechtigung zum Verwalten von Tag-Namespaces und Tags für Workspaces:
allow group <identity-domain>/<group-name> to manage tag-namespaces in <location>Um ein definiertes Tag hinzuzufügen, benötigen Sie die Berechtigung zum Verwenden des Tag-Namespace. Weitere Informationen zum Tagging finden Sie unter Ressourcentags.
Weitere Informationen und weitere Beispiel-Policys finden Sie unter OCI GoldenGate-Policys.
Policy-Beispiele für das Sichern von Netzwerkressourcen
Mit der folgenden Policy können Sie Benutzern einfach Zugriff auf Netzwerkressourcen in einem Compartment erteilen:
allow group <group-name> to use virtual-network-family in compartment <compartment-name>Alternativ können Sie mit den folgenden Policys Netzwerkressourcen mit einer höheren Granularität sichern:
| Vorgang | Erforderlicher Zugriff auf zugrunde liegende Ressourcen |
|---|---|
| Privaten Endpunkt erstellen | Für das Compartment des privaten Endpunkts:
Für das Subnetz-Compartment:
|
| Privaten Endpunkt aktualisieren | Für das Compartment des privaten Endpunkts:
|
| Privaten Endpunkt löschen | Für das Compartment des privaten Endpunkts:
Für das Subnetz-Compartment:
|
| Compartment eines privaten Endpunkts ändern | Wenn Sie von einem Compartment in ein anderes wechseln, müssen alle Berechtigungen des ursprünglichen Compartments auch im neuen Compartment vorhanden sein. |
Ressourcentypen
Oracle Cloud Infrastructure GoldenGate bietet sowohl aggregierte als auch individuelle Ressourcentypen zum Schreiben von Policys.
| Aggregierter Ressourcentyp | Individuelle Ressourcentypen |
|---|---|
goldengate-family |
|
Die für den aggregierten Ressourcentyp goldengate-family abgedeckten APIs decken auch die APIs für jeden individuellen Ressourcentyp ab. Beispiel:
allow group gg-admins to manage goldengate-family in compartment <compartment-name>entspricht dem Schreiben der folgenden Policys:
allow group gg-admins to manage goldengate-deployments in compartment <compartment-name>
allow group gg-admins to manage goldengate-connections in compartment <compartment-name>
allow group gg-admins to manage goldengate-connection-assignments in compartment <compartment-name>
allow group gg-admins to manage goldengate-deployment-upgrades in compartment <compartment-name>
allow group gg-admins to manage goldengate-deployment-backups in compartment <compartment-name>
allow group gg-admins to manage goldengate-pipeline in compartment <compartment-name>
Unterstützte Variablen
Wenn Sie Bedingungen zu Ihren Policys hinzuzufügen, können Sie allgemeine oder servicespezifische Oracle Cloud Infrastructure-Variablen verwenden.
Oracle Cloud Infrastructure GoldenGate unterstützt alle allgemeinen Variablen. Weitere Informationen finden Sie unter Allgemeine Variablen für alle Anforderungen.
Details zu Kombinationen aus Verben und Ressourcentypen
Für das Erstellen einer Policy stehen in Oracle Cloud Infrastructure verschiedene Verben und Ressourcentypen zur Verfügung.
In den folgenden Tabellen werden die Berechtigungen und API-Vorgänge aufgelistet, die von jedem Verb für Oracle Cloud Infrastructure GoldenGate abgedeckt werden. Die Zugriffsebene ist kumulativ von inspect zu read zu use zu manage.
goldengate-deployments
| Berechtigung | Vollständig abgedeckte APIs |
|---|---|
| INSPECT | |
| GOLDENGATE_DEPLOYMENT_INSPECT | ListDeployments |
| READ | |
| INSPECT + | INSPECT + |
| GOLDENGATE_DEPLOYMENT_READ | GetDeployment |
| USE | |
| READ + | READ + |
| GOLDENGATE_DEPLOYMENT_UPDATE | UpdateDeployment |
| StartDeployment | |
| StopDeployment | |
| RestoreDeployment | |
| MANAGE | |
| USE + | USE + |
| GOLDENGATE_DEPLOYMENT_CREATE | CreateDeployment |
| GetWorkRequest | |
| ListWorkRequests | |
| ListWorkRequestErrors | |
| ListWorkRequestLogs | |
| GOLDENGATE_DEPLOYMENT_DELETE | DeleteDeployment |
| GOLDENGATE_DEPLOYMENT_MOVE | ChangeDeploymentCompartment |
goldengate-connections
| Berechtigung | Vollständig abgedeckte APIs |
|---|---|
| INSPECT | |
| GOLDENGATE_CONNECTION_INSPECT | ListConnections |
| READ | |
| INSPECT + | INSPECT + |
| GOLDENGATE_CONNECTION_READ | GetConnection |
| USE | |
| READ + | READ + |
| GOLDENGATE_CONNECTION_UPDATE | UpdateConnection |
| MANAGE | |
| USE + | USE + |
| GOLDENGATE_CONNECTION_CREATE | CreateConnection |
| GOLDENGATE_CONNECTION_DELETE | DeleteConnection |
| GOLDENGATE_CONNECTION_MOVE | ChangeConnectionCompartment |
goldengate-connection-zuweisungen
| Berechtigung | Vollständig abgedeckte APIs |
|---|---|
| INSPECT | |
| GOLDENGATE_CONNECTION_ASSIGNMENT_INSPECT | ListConnectionAssignments |
| READ | |
| INSPECT + | INSPECT + |
| GOLDENGATE_CONNECTION_ASSIGNMENT_READ | GetConnectionAssignment |
| USE | |
| READ + | READ + |
| n/v | n/v |
| MANAGE | |
| USE + | USE + |
| GOLDENGATE_CONNECTION_ASSIGNMENT_CREATE | CreateConnectionAssignment |
| GOLDENGATE_CONNECTION_ASSIGNMENT_DELETE | DeleteConnectionAssignment |
goldengate-deployment-backups
| Berechtigung | Vollständig abgedeckte APIs |
|---|---|
| INSPECT | |
| GOLDENGATE_DEPLOYMENT_BACKUP_INSPECT | ListDeploymentBackups |
| READ | |
| INSPECT + | INSPECT + |
| GOLDENGATE_DEPLOYMENT_BACKUP_READ | GetDeploymentBackup |
| RestoreDeployment | |
| USE | |
| READ + | READ + |
| GOLDENGATE_DEPLOYMENT_BACKUP_UPDATE | UpdateDeploymentBackup |
| MANAGE | |
| USE + | USE + |
| GOLDENGATE_DEPLOYMENT_BACKUP_CREATE | CreateDeploymentBackup |
| GOLDENGATE_DEPLOYMENT_BACKUP_DELETE | DeleteDeploymentBackup |
| GOLDENGATE_DEPLOYMENT_BACKUP_MOVE | ChangeDeploymentBackupCompartment |
Für jeden API-Vorgang erforderliche Berechtigungen
Im Folgenden finden Sie eine Liste der API-Vorgänge für Oracle Cloud Infrastructure GoldenGate in logischer Reihenfolge, gruppiert nach Ressourcentyp.
Die Ressourcentypen sind goldengate-deployments, goldengate-connections und goldengate-deployment-backups.
| API-Vorgang | Berechtigung |
|---|---|
ListDeployments |
GOLDENGATE_DEPLOYMENT_INSPECT |
CreateDeployment |
GOLDENGATE_DEPLOYMENT_CREATE |
GetDeployment |
GOLDENGATE_DEPLOYMENT_READ |
UpdateDeployment |
GOLDENGATE_DEPLOYMENT_UPDATE |
DeleteDeployment |
GOLDENGATE_DEPLOYMENT_DELETE |
StartDeployment |
GOLDENGATE_DEPLOYMENT_UPDATE |
StopDeployment |
GOLDENGATE_DEPLOYMENT_UPDATE |
RestoreDeployment |
GOLDENGATE_DEPLOYMENT_BACKUP_READ und GOLDENGATE_DEPLOYMENT_UPDATE |
ChangeDeploymentCompartment |
GOLDENGATE_DEPLOYMENT_MOVE |
UpgradeDeployment |
GOLDENGATE_DEPLOYMENT_UPDATE |
ListConnections |
GOLDENGATE_CONNECTION_INSPECT |
CreateConnection |
GOLDENGATE_CONNECTION_CREATE |
GetConnection |
GOLDENGATE_CONNECTION_READ |
UpdateConnection |
GOLDENGATE_CONNECTION_UPDATE |
DeleteConnection |
GOLDENGATE_CONNECTION_DELETE |
ChangeConnectionCompartment |
GOLDENGATE_CONNECTION_MOVE |
ListConnectionAssignments |
GOLDENGATE_CONNECTION_ASSIGNMENT_INSPECT |
CreateConnectionAssignment |
GOLDENGATE_CONNECTION_ASSIGNMENT_CREATE, GOLDENGATE_DEPLOYMENT_UPDATE, GOLDENGATE_CONNECTION_UPDATE |
GetConnectionAssignment |
GOLDENGATE_CONNECTION_ASSIGNMENT_READ |
DeleteConnectionAssignment |
GOLDENGATE_CONNECTION_ASSIGNMENT_DELETE, GOLDENGATE_DEPLOYMENT_UPDATE, GOLDENGATE_CONNECTION_UPDATE |
ListDeploymentBackups |
GOLDENGATE_DEPLOYMENT_BACKUP_INSPECT |
GetDeploymentBackup |
GOLDENGATE_DEPLOYMENT_BACKUP_READ |
CreateDeploymentBackup |
GOLDENGATE_DEPLOYMENT_BACKUP_CREATE, GOLDENGATE_DEPLOYMENT_READ |
UpdateDeploymentBackup |
GOLDENGATE_DEPLOYMENT_BACKUP_UPDATE |
CancelDeploymentBackup |
GOLDENGATE_DEPLOYMENT_BACKUP_UPDATE |
DeleteDeploymentBackup |
GOLDENGATE_DEPLOYMENT_BACKUP_DELETE |
ChangeDeploymentBackupCompartment |
GOLDENGATE_DEPLOYMENT_BACKUP_MOVE |
GetDeploymentUpgrade |
GOLDENGATE_DEPLOYMENT_UPGRADE_READ |
ListDeploymentUpgrades |
GOLDENGATE_DEPLOYMENT_UPGRADE_INSPECT |
GetWorkRequest |
GOLDENGATE_DEPLOYMENT_CREATE |
ListWorkRequests |
GOLDENGATE_DEPLOYMENT_CREATE |
ListWorkRequestErrors |
GOLDENGATE_DEPLOYMENT_CREATE |
ListWorkRequestLogs |
GOLDENGATE_DEPLOYMENT_CREATE |