Benutzergruppen und Policys einrichten

Oracle NoSQL Database Cloud Service verwendet Oracle Cloud Infrastructure Identitäts- und Zugriffsmanagement (IAM) für den sicheren Zugriff auf Oracle Cloud. Oracle Cloud Infrastructure IAM ermöglicht es Ihnen, Benutzeraccounts zu erstellen und Benutzern Berechtigungen zum Prüfen, Lesen, Verwenden oder Verwalten von Tabellen zu erteilen.

Wie Sie Benutzer, Gruppen und dynamische Gruppen für Oracle NoSQL Database Cloud Service verwalten, hängt davon ab, ob Ihr Cloud-Account oder Ihr Mandant für die Verwendung von Oracle Cloud Infrastructure Identity and Access Management-(IAM-)Identitätsdomains aktualisiert wurde. Sie können ganz einfach bestimmen, wann Ihr OCI-Mandant zur Verwendung von Identity and Access Management-(IAM-)Identitätsdomains aktualisiert wurde.

Die OCI-Konsole für Mandanten mit Identitätsdomain wird unten angezeigt.

Benutzer in OCI mit IAM-Identitätsdomains erstellen

Die OCI-Konsole für Mandanten ohne Identitätsdomain wird unten angezeigt.

Benutzer in OCI mit IAM erstellen

Weitere Informationen finden Sie unter Haben Sie Zugriff auf Domains?

Benutzer, Gruppen, dynamische Gruppen und Policys mit Identity and Access Management einrichten

Oracle NoSQL Database Cloud Service verwendet Oracle Cloud Infrastructure Identity and Access Management (IAM) für den sicheren Zugriff auf Oracle Cloud. Mit Oracle Cloud Infrastructure IAM können Sie Benutzeraccounts erstellen und Benutzern die Berechtigung zum Prüfen, Lesen, Verwenden oder Verwalten von Tabellen erteilen.

Informationen zum Authentifizieren als Benutzer-Principal (mit API-Signaturschlüssel) finden Sie unter Benutzer, Gruppen und Policys einrichten. Wenn Sie sich alternativ als Instanz-Principal oder Resource Principal authentifizieren, finden Sie weitere Informationen unter Dynamische Gruppen und Policys einrichten.

Benutzer, Gruppen und Policys einrichten

  1. Melden Sie sich als Cloud-Accountadministrator bei Ihrem Cloud-Account an.
  2. Fügen Sie in der Oracle Cloud Infrastructure-Konsole einen oder mehrere Benutzer hinzu.
    • Wählen Sie je nach Mandant eine der folgenden Optionen aus (mit Identitätsdomains oder ohne Identitätsdomains):
      • Mandant mit Identitätsdomains: Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Domains. Wählen Sie die Identitätsdomain aus, in der Sie arbeiten möchten, und klicken Sie auf Benutzer.
      • Mandant ohne Identitätsdomains: Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Benutzer.
    • Klicken Sie auf Benutzer erstellen.
    • Geben Sie Details zum Benutzer ein, und klicken Sie auf Erstellen.
  3. Erstellen Sie in der Oracle Cloud Infrastructure-Konsole eine OCI-Gruppe.
    • Wählen Sie je nach Mandant eine der folgenden Optionen aus (mit Identitätsdomains oder ohne Identitätsdomains):
      • Mandant mit Identitätsdomains: Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Domains. Wählen Sie die Identitätsdomain aus, in der Sie arbeiten möchten, und klicken Sie auf Gruppen.
      • Mandant ohne Identitätsdomains: Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Gruppen.
    • Klicken Sie auf Gruppe erstellen.
    • Geben Sie Details über die Gruppe ein. For example, if you're creating a policy that gives users permissions to fully manage Oracle NoSQL Database Cloud Service tables you might name the group nosql_service_admin (or similar) and include a short description such as "Users with permissions to set up and manage Oracle NoSQL Database Cloud Service tables on Oracle Cloud Infrastructure" (or similar).
  4. Erstellen Sie eine Policy, die Benutzern einer OCI-Gruppe bestimmte Zugriffsberechtigungen auf Oracle NoSQL Database Cloud Service-Tabellen oder -Compartments erteilt.
  5. Zum Verwalten und Verwenden von NoSQL-Tabellen über Oracle NoSQL Database Cloud Service-SDKs muss der Benutzer die API-Schlüssel einrichten. Siehe Authentifizierung für die Verbindung mit Oracle NoSQL Database.

    Hinweis:

    Föderierte Benutzer können Oracle NoSQL Database Cloud Service-Tabellen auch verwalten und verwenden. Hierzu muss der Serviceadministrator die Föderation in Oracle Cloud Infrastructure Identity and Access Management einrichten. Informationen hierzu finden Sie unter Föderieren mit Identity Providern.

    Benutzer, die zu den Gruppen gehören, die in der Policy-Anweisung erwähnt werden, erhalten ihre neuen Berechtigungen, sobald sie sich das nächste Mal in der Konsole anmelden.

Dynamische Gruppen und Policys einrichten

Bevor eine Oracle Cloud Infrastructure-Ressource mit Ressourcen-Principals oder Instanz-Principals aufgerufen wird, muss ein Oracle Cloud Infrastructure-Mandantenadministrator Oracle Cloud Infrastructure-Policys, dynamische Gruppen und Regeln erstellen, die den Resource Principal oder die Instanz-Principal-Berechtigungen definieren.
  • Melden Sie sich als Cloud-Accountadministrator bei Ihrem Cloud-Account an.
  • Erstellen Sie in der Oracle Cloud Infrastructure-Konsole eine dynamische Gruppe.
    • Wählen Sie je nach Mandant eine der folgenden Optionen aus (mit Identitätsdomains oder ohne Identitätsdomains):
      • Mandant mit Identitätsdomains: Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Domains. Wählen Sie die Identitätsdomain aus, in der Sie arbeiten möchten, und klicken Sie auf Dynamische Gruppen.
      • Mandant ohne Identitätsdomains: Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Dynamische Gruppen.
    • Klicken Sie auf Dynamische Gruppe erstellen, und geben Sie einen Namen, eine Beschreibung und eine Regel ein, oder verwenden Sie den Rule Builder, um eine Regel hinzuzufügen.
    • Klicken Sie auf Erstellen .
      Ressourcen, welche die Regelkriterien erfüllen, sind Mitglieder der dynamischen Gruppe. Wenn Sie eine Regel für eine dynamische Gruppe definieren, überlegen Sie, welche Ressource Zugriff auf andere Ressourcen erhalten soll. Beispiele für das Erstellen von Regeln:
      1. Übereinstimmungsregel für Funktionen:
        ALL {resource.type = 'fnfunc',resource.compartment.id =
'ocid1.compartment.oc1..aaaaaaaafml3tca3zcxyifmdff3aadp5uojimgx3cdnirgup6rhptxwnandq'}
        Diese Regel impliziert, dass jeder Ressourcentyp namens fnfunc im angegebenen Compartment (mit der oben angegebenen ID) Mitglied der dynamischen Gruppe ist.

        Hinweis:

        Weitere Informationen zu verschiedenen Ressourcentypen finden Sie unter Ressourcentypen.
      2. Eine Regel beim Hinzufügen von Instanzen für Instanz-Principals:
        ALL { instance.compartment.id =
      'ocid1.compartment.oc1..aaaaaaaa4mlehopmvdluv2wjcdp4tnh2ypjz3nhhpahb4ss7yvxaa3be3diq'}

        Diese Regel impliziert, dass jede Instanz mit der oben angegebenen Compartment-ID ein Mitglied der dynamischen Gruppe ist.

      3. Eine Regel bei Verwendung von API Gateway mit Funktionen:
        ALL {resource.type = 'ApiGateway',resource.compartment.id =
      'ocid1.compartment.oc1..aaaaaaaafml3tca3zcxyifmdff3aadp5uojimgx3cdnirgup6rhptxwnandq'}

        Diese Regel impliziert, dass jeder Ressourcentyp namens ApiGateway im angegebenen Compartment (mit der oben angegebenen ID) Mitglied der dynamischen Gruppe ist.

      4. Eine Regel bei Verwendung von Container Instances:
        ALL {resource.type = 'computecontainerinstance', 
resource.compartment.id = 
'ocid1.compartment.oc1..aaaaaaaa4mlehopmvdluv2wjcdp4tnh2ypjz3nhhpahb4ss7yvxaa3be3diq'}

        Diese Regel impliziert, dass jeder Ressourcentyp namens computecontainerinstance im angegebenen Compartment (mit der oben angegebenen ID) Mitglied der dynamischen Gruppe ist.

    Hinweis:

    Vererbung gilt nicht für dynamische Gruppen. Bei Verwendung von IAM-Zugriffs-Policys gilt die Policy eines übergeordneten Compartments automatisch für alle untergeordneten Compartments. Dies ist nicht der Fall, wenn Sie dynamische Gruppen verwenden. Sie müssen jedes Compartment in der dynamischen Gruppe separat auflisten, damit das Compartment qualifiziert werden kann.
    Beispiel: Eine Übereinstimmungsregel für Funktionen für übergeordnete/untergeordnete Compartments:
    ALL {resource.type = 'fnfunc',
ANY{resource.compartment.id = '<parent-compid>',  resource.compartment.id = '<child-compid1>',
resource.compartment.id = '<child-compid2>', ...}}
  • Schreiben Sie Policy-Anweisungen für die dynamische Gruppe, um den Zugriff auf Oracle Cloud Infrastructure-Ressourcen zu ermöglichen.
    • Klicken Sie in der Oracle Cloud Infrastructure-Konsole auf Identität und Sicherheit und dann auf Policys.
    • Um Policys für eine dynamische Gruppe zu schreiben, klicken Sie auf Policy erstellen, und geben Sie einen Namen und eine Beschreibung ein.
    • Erstellen Sie mit Policy Builder eine Policy. Die allgemeine Syntax zum Definieren einer Policy wird unten gezeigt:
      Allow <subject> to <verb> <resource-type> in <location> where <conditions>
      • Syntax des Betreffs: Eine oder mehrere durch Komma getrennte Gruppen nach Namen oder OCID.
      • Verben: Werte sind "Prüfen", "Lesen", "Verwenden" oder "Verwalten".
      • resource-type: Ein individueller Ressourcentyp, ein Familienressourcentyp (wie nosql-family) oder alle Ressourcen.
      • Compartment: Ein einzelnes Compartment oder ein Compartment-Pfad nach Name oder OCID
      Beispiel: Diese Policy ermöglicht der dynamischen Gruppe nosql_application den Zugriff fnfuncauf die Ressource im Compartment UATnosql.
      allow dynamic-group nosql_application to use  fnfunc in compartment UATnosql

      Beispiel: Diese Policy ermöglicht der dynamischen Gruppe nosql_application den Zugriff manage auf die Familienressource nosql-family im Compartment UATnosql.

    • Klicken Sie auf Erstellen . Weitere Informationen zu Policys finden Sie unter Policys verwalten.