Oracle Cloud Infrastructure GoldenGate-Policys

Sie müssen Policys erstellen, um den Zugriff auf Oracle Cloud Infrastructure GoldenGate und den Zugriffstyp der einzelnen Benutzergruppen zu kontrollieren.

Beispiel: Sie können eine Administratorengruppe erstellen, deren Mitglieder auf alle OCI GoldenGate-Ressourcen zugreifen können. Danach können Sie eine separate Gruppe für alle anderen Personen erstellen, die mit OCI GoldenGate arbeiten. Ferner können Sie Policys erstellen, die den Zugriff auf OCI GoldenGate-Ressourcen in verschiedenen Compartments einschränken.

Eine vollständige Liste der Oracle Cloud Infrastructure-Policys finden Sie in der Policy-Referenz.

Policys erstellen

Policys definieren, welche Aktionen Mitglieder einer Gruppe für welche Compartments ausführen können.

Mit der Oracle Cloud-Konsole können Sie Policys erstellen. Wählen Sie im Navigationsmenü der Oracle Cloud-Konsole die Option Identität und Sicherheit, Identität aus, und wählen Sie Policys aus. Für Policys gilt die folgende Syntax:

allow group <identity-domain>/<group-name> to <verb> <resource-type> in <location> where <condition>

Parameterdefinitionen lauten wie folgt:

  • <identity-domain>: (Optional) Wenn Sie OCI IAM für das Identitätsmanagement verwenden, nehmen Sie die Identitätsdomain der Benutzergruppe auf. Bei fehlender Angabe verwendet OCI die Standarddomain.
  • <group-name>: Der Name der Benutzergruppe, für die Sie Berechtigungen erteilen.
  • <verb>: Erteilt der Gruppe eine bestimmte Zugriffsebene für einen Ressourcentyp. Bei den Verben wird die Zugriffsebene in der Reihenfolge inspect, read, use und manage schrittweise erhöht, und die erteilten Berechtigungen sind kumulativ.

    Weitere Informationen zur Beziehung zwischen .Berechtigungen und Verben.

  • <resource-type>: Der Typ der Ressource, für den Sie einer Gruppe eine Nutzungsberechtigung erteilen. Es gibt einzelne Ressourcen, wie goldengate-deployments, goldengate-pipelines und goldengate-connections, und es gibt Ressourcenfamilien, wie goldengate-family, die die zuvor genannten einzelnen Ressourcen enthalten.

    Weitere Informationen finden Sie unter Ressourcentypen.

  • <location>: Hängt die Policy an ein Compartment oder einen Mandanten an. Sie können ein einzelnes Compartment oder einen Compartment-Pfad nach Name oder OCID angeben. Sie können auch tenancy angeben, um den gesamten Mandanten abzudecken.
  • <condition>: Optional. Eine oder mehrere Bedingungen, für die diese Policy gilt.

Weitere Informationen zur Policy-Syntax.

So erstellen Sie eine Policy

So erstellen Sie eine Policy:
  1. Wählen Sie im Oracle Cloud-Navigationsmenü die Option Identität und Sicherheit aus, und klicken Sie unter "Identifizieren" auf Policys.
  2. Klicken Sie auf der Seite "Policys" auf Policy erstellen.
  3. Geben Sie einen Namen und eine Beschreibung für die Policy auf der Seite "Policy erstellen" ein.
  4. Wählen Sie das Compartment aus, in dem diese Policy erstellt wird.
  5. Im Abschnitt Policy Builder können Sie eine der folgenden Optionen auswählen:
    • Wählen Sie in der Dropdown-Liste Policy-Anwendungsfall die Option GoldenGate-Service und eine allgemeine Policy-Vorlage aus. Beispiel: Erforderliche Policys, mit denen Benutzer GoldenGate-Ressourcen verwalten können.
    • Klicken Sie auf Manuellen Editor anzeigen, um eine Policy-Regel im folgenden Format einzugeben:
      allow <subject> to <verb> <resource-type> in <location> where <condition>

      Bedingungen sind optional. Siehe Details zu Kombinationen aus Verben und Ressourcentypen.

    Tipp:

    Weitere Informationen finden Sie unter Minimale empfohlene Policys.
  6. Klicken Sie auf Create.

Weitere Informationen zu Policys finden Sie unter Funktionsweise von Policys, Policy-Syntax und Policy-Referenz.

Mindestempfehlung für Policys

Tipp:

So fügen Sie alle erforderlichen Policys mit einer allgemeinen Policy-Vorlage hinzu:
  1. Wählen Sie unter Policy-Anwendungsfälle in der Dropdown-Liste die Option GoldenGate Service aus.
  2. Wählen Sie unter Vorlagen zur allgemeinen Verwendung die Option Erforderliche Policys, mit denen Benutzer GoldenGate-Ressourcen verwalten können aus der Dropdown-Liste aus.

Sie benötigen Policys mindestens für Folgendes:

  • Ermöglichen Sie es Benutzern, use- oder manage GoldenGate-Ressourcen zu verwenden, damit sie mit Deployments und Verbindungen arbeiten können. Beispiel:
    allow group <identity-domain>/<group-name> to manage goldengate-family in <location>
  • Zulassen, dass Benutzer Netzwerkressourcen verwalten, damit sie Compartments und Subnetze anzeigen und auswählen und beim Erstellen von GoldenGate-Ressourcen private Endpunkte erstellen und löschen können. Beispiel:
    allow group <identity-domain>/<group-name> to manage virtual-network-family in <location>

    Optional können Sie Netzwerkressourcen mit einer Kombination aus granularen Policys noch stärker sichern. Weitere Informationen finden Sie unter Policy-Beispiele für das Sichern von Netzwerkressourcen.

  • Dynamische Gruppe erstellen, um Ressourcen basierend auf definierten Regeln Berechtigungen zu erteilen, sodass Ihre GoldenGate-Deployments und/oder Pipelines auf Ressourcen in Ihrem Mandanten zugreifen können. Ersetzen Sie <dynamic-group-name> durch einen Namen Ihrer Wahl. Sie können beliebig viele dynamische Gruppen erstellen, um beispielsweise Berechtigungen in Deployments über verschiedene Compartments oder Mandanten hinweg zu kontrollieren.
    name: <dynamic-group-name>
    Matching rule: ALL {resource.type = 'goldengatedeployment', resource.compartment.id = '<location>'}

    Tipp:

    Die in dieser Liste aufgeführten Policys beziehen sich auf <dynamic-group-name>. Wenn Sie mehr als eine dynamische Gruppe erstellen, stellen Sie sicher, dass Sie beim Hinzufügen einer der folgenden Policys auf den richtigen Namen der dynamischen Gruppe verweisen.

  • Wenn Sie Verbindungen mit Kennwort-Secrets verwenden, muss das Deployment, das Sie der Verbindung zuweisen, auf die Kennwort-Secrets der Verbindung zugreifen können. Stellen Sie sicher, dass Sie die Policy zu Ihrem Compartment oder Mandanten hinzufügen:
    allow dynamic-group <identity-domain>/<dynamic-group-name> to read secret-bundles in <location>
  • Benutzern das Lesen von Identity and Access Management-(IAM-)Benutzern und -Gruppen für Validierungen in IAM-fähigen Mandanten erlauben:
    allow service goldengate to {idcs_user_viewer, domain_resources_viewer} in <location>
    allow dynamic-group <identity-domain>/<dynamic-group-name> to {idcs_user_viewer, domain_resources_viewer} in <location>
  • Oracle Vault für den Zugriff auf vom Kunden verwaltete Verschlüsselungsschlüssel und Kennwort-Secrets. Beispiel:
    allow group <identity-domain>/<group-name> to manage secret-family in <location>
    allow group <identity-domain>/<group-name> to use keys in <location>
    allow group <identity-domain>/<group-name> to use vaults in <location>
    allow dynamic-group <identity-domain>/<dynamic-group-name> to use keys in <location>
    allow dynamic-group <identity-domain>/<dynamic-group-name> to use vaults in <location> 
    allow dynamic-group <identity-domain>/<dynamic-group-name> to read secret-bundles in <location>

Je nachdem, ob Sie die folgenden Services verwenden möchten, müssen Sie möglicherweise auch Policys für Folgendes hinzufügen:

  • Oracle-Datenbanken für Ihre Quell- und/oder Zieldatenbanken. Beispiel:
    allow group <identity-domain>/<group-name> to read database-family in <location>
    allow group <identity-domain>/<group-name> to read autonomous-database-family in <location>
  • Oracle Object Storage zum Speichern manueller OCI-GoldenGate-Backups. Beispiel:
    allow group <identity-domain>/<group-name> to manage objects in <location>
    allow dynamic-group <identity-domain>/<dynamic-group-name> to manage objects in <location>
    allow group <identity-domain>/<group-name> to inspect buckets in <location>
  • OCI Logging, um auf Loggruppen zuzugreifen. Beispiel:
    allow group <identity-domain>/<group-name> to read log-groups in <location>
    allow group <identity-domain>/<group-name> to read log-content in <location>
  • Load Balancer, wenn Sie öffentlichen Zugriff auf die Deployment-Konsole aktivieren:
    allow group <identity-domain>/<group-name> to manage load-balancers in <location>
    allow group <identity-domain>/<group-name> to manage public-ips in <location> 
     
    allow group <identity-domain>/<group-name> to manage network-security-groups in <location>
    allow group <identity-domain>/<group-name> to manage vcns in <location> where ANY {request.operation = 'CreateNetworkSecurityGroup', request.operation = 'DeleteNetworkSecurityGroup'}
    
  • Arbeitsanforderungen:
    allow group <identity-domain>/<group-name> to inspect work-requests in <location>

Die folgende Anweisung erteilt einer Gruppe die Berechtigung zum Verwalten von Tag-Namespaces und Tags für Workspaces:

allow group <identity-domain>/<group-name> to manage tag-namespaces in <location>

Um ein definiertes Tag hinzuzufügen, benötigen Sie die Berechtigung zum Verwenden des Tag-Namespace. Weitere Informationen zum Tagging finden Sie unter Ressourcentags.

Weitere Informationen und weitere Beispiel-Policys finden Sie unter OCI GoldenGate-Policys.

Policy-Beispiele für das Sichern von Netzwerkressourcen

Mit der folgenden Policy können Sie Benutzern einfach Zugriff auf Netzwerkressourcen in einem Compartment erteilen:

allow group <group-name> to use virtual-network-family in compartment <compartment-name>

Alternativ können Sie mit den folgenden Policys Netzwerkressourcen mit einer höheren Granularität sichern:

Vorgang Erforderlicher Zugriff auf zugrunde liegende Ressourcen
Privaten Endpunkt erstellen Für das Compartment des privaten Endpunkts:
  • VNIC erstellen (VNIC_CREATE)
  • VNIC löschen (VNIC_DELETE)
  • Mitglieder in einer Netzwerksicherheitsgruppe aktualisieren (NETWORK_SECURITY_GROUP_UPDATE_MEMBERS)
  • Netzwerksicherheitsgruppe verknüpfen (VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP)

Für das Subnetz-Compartment:

  • Subnetz verknüpfen (SUBNET_ATTACH)
  • Subnetz trennen (SUBNET_DETACH)
Privaten Endpunkt aktualisieren Für das Compartment des privaten Endpunkts:
  • VNIC aktualisieren (VNIC_UPDATE)
  • Mitglieder in einer Netzwerksicherheitsgruppe aktualisieren (NETWORK_SECURITY_GROUP_UPDATE_MEMBERS)
  • Netzwerksicherheitsgruppe verknüpfen (VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP)
Privaten Endpunkt löschen Für das Compartment des privaten Endpunkts:
  • VNIC löschen (VNIC_DELETE)
  • Mitglieder in einer Netzwerksicherheitsgruppe aktualisieren (NETWORK_SECURITY_GROUP_UPDATE_MEMBERS)

Für das Subnetz-Compartment:

  • Subnetz trennen (SUBNET_DETACH)
Compartment eines privaten Endpunkts ändern Wenn Sie von einem Compartment in ein anderes wechseln, müssen alle Berechtigungen des ursprünglichen Compartments auch im neuen Compartment vorhanden sein.

Ressourcentypen

Oracle Cloud Infrastructure GoldenGate bietet sowohl aggregierte als auch individuelle Ressourcentypen zum Schreiben von Policys.

Aggregierter Ressourcentyp Individuelle Ressourcentypen
goldengate-family

goldengate-deployments

goldengate-deployment-backups

goldengate-deployment-upgrades

goldengate-connections

goldengate-connection-assignments

goldengate-pipeline

Die für den aggregierten Ressourcentyp goldengate-family abgedeckten APIs decken auch die APIs für jeden individuellen Ressourcentyp ab. Beispiel:

allow group gg-admins to manage goldengate-family in compartment <compartment-name>

entspricht dem Schreiben der folgenden Policys:

allow group gg-admins to manage goldengate-deployments in compartment <compartment-name>
allow group gg-admins to manage goldengate-connections in compartment <compartment-name>
allow group gg-admins to manage goldengate-connection-assignments in compartment <compartment-name>
allow group gg-admins to manage goldengate-deployment-upgrades in compartment <compartment-name>
allow group gg-admins to manage goldengate-deployment-backups in compartment <compartment-name>
allow group gg-admins to manage goldengate-pipeline in compartment <compartment-name>

Unterstützte Variablen

Wenn Sie Bedingungen zu Ihren Policys hinzuzufügen, können Sie allgemeine oder servicespezifische Oracle Cloud Infrastructure-Variablen verwenden.

Oracle Cloud Infrastructure GoldenGate unterstützt alle allgemeinen Variablen. Weitere Informationen finden Sie unter Allgemeine Variablen für alle Anforderungen.

Details zu Kombinationen aus Verben und Ressourcentypen

Für das Erstellen einer Policy stehen in Oracle Cloud Infrastructure verschiedene Verben und Ressourcentypen zur Verfügung.

In den folgenden Tabellen werden die Berechtigungen und API-Vorgänge aufgelistet, die von jedem Verb für Oracle Cloud Infrastructure GoldenGate abgedeckt werden. Die Zugriffsebene ist kumulativ von inspect zu read zu use zu manage.

goldengate-deployments

goldengate-connections

goldengate-connection-zuweisungen

goldengate-deployment-backups

Für jeden API-Vorgang erforderliche Berechtigungen

Im Folgenden finden Sie eine Liste der API-Vorgänge für Oracle Cloud Infrastructure GoldenGate in logischer Reihenfolge, gruppiert nach Ressourcentyp.

Die Ressourcentypen sind goldengate-deployments, goldengate-connections und goldengate-deployment-backups.

API-Vorgang Berechtigung
ListDeployments GOLDENGATE_DEPLOYMENT_INSPECT
CreateDeployment GOLDENGATE_DEPLOYMENT_CREATE
GetDeployment GOLDENGATE_DEPLOYMENT_READ
UpdateDeployment GOLDENGATE_DEPLOYMENT_UPDATE
DeleteDeployment GOLDENGATE_DEPLOYMENT_DELETE
StartDeployment GOLDENGATE_DEPLOYMENT_UPDATE
StopDeployment GOLDENGATE_DEPLOYMENT_UPDATE
RestoreDeployment GOLDENGATE_DEPLOYMENT_BACKUP_READ und GOLDENGATE_DEPLOYMENT_UPDATE
ChangeDeploymentCompartment GOLDENGATE_DEPLOYMENT_MOVE
UpgradeDeployment GOLDENGATE_DEPLOYMENT_UPDATE
ListConnections GOLDENGATE_CONNECTION_INSPECT
CreateConnection GOLDENGATE_CONNECTION_CREATE
GetConnection GOLDENGATE_CONNECTION_READ
UpdateConnection GOLDENGATE_CONNECTION_UPDATE
DeleteConnection GOLDENGATE_CONNECTION_DELETE
ChangeConnectionCompartment GOLDENGATE_CONNECTION_MOVE
ListConnectionAssignments GOLDENGATE_CONNECTION_ASSIGNMENT_INSPECT
CreateConnectionAssignment GOLDENGATE_CONNECTION_ASSIGNMENT_CREATE, GOLDENGATE_DEPLOYMENT_UPDATE, GOLDENGATE_CONNECTION_UPDATE
GetConnectionAssignment GOLDENGATE_CONNECTION_ASSIGNMENT_READ
DeleteConnectionAssignment GOLDENGATE_CONNECTION_ASSIGNMENT_DELETE, GOLDENGATE_DEPLOYMENT_UPDATE, GOLDENGATE_CONNECTION_UPDATE
ListDeploymentBackups GOLDENGATE_DEPLOYMENT_BACKUP_INSPECT
GetDeploymentBackup GOLDENGATE_DEPLOYMENT_BACKUP_READ
CreateDeploymentBackup GOLDENGATE_DEPLOYMENT_BACKUP_CREATE, GOLDENGATE_DEPLOYMENT_READ
UpdateDeploymentBackup GOLDENGATE_DEPLOYMENT_BACKUP_UPDATE
CancelDeploymentBackup GOLDENGATE_DEPLOYMENT_BACKUP_UPDATE
DeleteDeploymentBackup GOLDENGATE_DEPLOYMENT_BACKUP_DELETE
ChangeDeploymentBackupCompartment GOLDENGATE_DEPLOYMENT_BACKUP_MOVE
GetDeploymentUpgrade GOLDENGATE_DEPLOYMENT_UPGRADE_READ
ListDeploymentUpgrades GOLDENGATE_DEPLOYMENT_UPGRADE_INSPECT
GetWorkRequest GOLDENGATE_DEPLOYMENT_CREATE
ListWorkRequests GOLDENGATE_DEPLOYMENT_CREATE
ListWorkRequestErrors GOLDENGATE_DEPLOYMENT_CREATE
ListWorkRequestLogs GOLDENGATE_DEPLOYMENT_CREATE