Oracle NoSQL Database Cloud Service-Sicherheitsmodell
Lernen Sie das Sicherheitsmodell für Oracle NoSQL Database Cloud Service kennen.
Policys
Oracle NoSQL Database Cloud Service verwendet das Oracle Cloud Infrastructure Identity and Access Management-Sicherheitsmodell, das auf den Policys basiert. Eine Policy ist ein Dokument, in dem angegeben ist, welche Personen auf welche Oracle Cloud Infrastructure-Ressourcen Ihres Unternehmens zugreifen können, einschließlich NoSQL-Tabellen, und wie sie auf diese Ressourcen zugreifen können. Mit einer Policy kann eine Gruppe auf bestimmte Weise mit bestimmten Typen von Ressourcen, wie NoSQL-Tabellen in einem bestimmten Compartment, arbeiten.
Um den Zugriff auf Ihre Tabelle zu kontrollieren, verfügt Ihr Unternehmen über mindestens eine Policy. Jede Policy besteht aus mindestens einer Policy-Anweisung, die gemäß folgender Basissyntax aufgebaut ist:
Allow group <group_name> to <verb> <resource-type> in compartment <compartment_name>Informationen zur Funktionsweise der Policys finden Sie unter Überblick über Policys in der Oracle Cloud Infrastructure-Dokumentation.
Gruppen
In Oracle Cloud Infrastructure Identity and Access Management organisieren Sie Benutzer in Gruppen, die in der Regel denselben Zugriffstyp auf ein bestimmtes Set von NoSQL-Tabellen oder Compartments verwenden.
Sie können den Zugriff auf die NoSQL-Tabellen auf Gruppen- und Compartment-Ebene erteilen, indem Sie eine Policy schreiben, die einer Gruppe einen bestimmten Zugriffstyp innerhalb eines bestimmten Compartments oder auf den Mandanten selbst erteilt. Wenn Sie einer Gruppe Zugriff auf den Mandanten erteilen, erhält die Gruppe automatisch denselben Zugriffstyp für alle Compartments innerhalb des Mandanten. Beispiel: Nachdem Sie eine Tabelle im Compartment "ProjectA" erstellt haben, müssen Sie eine Policy schreiben, um den Zugriff auf die Gruppen zu erteilen, die sie verwalten oder die Tabellen verwenden sollen. Für Gruppen, die keinen Zugriff haben, werden die Tabellen überhaupt nicht angezeigt. Beispiel: Um der Entwicklergruppe das Verwalten aller NoSQL-Ressourcen zu erlauben, können Sie die folgende Policy erstellen:
allow group Developers to manage nosql-family in compartment ProjectAVerben
Ein Verb gibt den Zugriffstyp an, der von der Policy erteilt wird. Beispiel: Mit inspect nosql-tables können Sie die NoSQL-Tabellen auflisten. In Oracle NoSQL Database Cloud Service werden die Verben geprüft, gelesen, verwendet und verwaltet. Siehe Verben in der Oracle Cloud Infrastructure-Dokumentation.
Ressourcentypen
Ressourcen sind die Cloud-Objekte, die von Mitarbeitern Ihres Unternehmens für die Interaktion mit Oracle Cloud Infrastructure (OCI) erstellt und verwendet werden. Oracle definiert Ressourcentypen, die Sie in Policys verwenden können. nosql-tables, nosql-rows und nosql-indexes sind drei individuelle Ressourcentypen, die von NoSQL Database Cloud Service unterstützt werden
Durch Angabe eines Ressourcentyps in einer Policy erteilen Sie allein Zugriffsberechtigungen für diesen Ressourcentyp. Beispiel: Um der Gruppe "viewers" Leseberechtigungen für die Zeilen aller NoSQL-Tabellen im Mandanten zu erteilen, können Sie eine Policy wie folgt erstellen:
allow group viewers to read nosql-rows in tenancyUm das Schreiben von Policys zu vereinfachen, stellt NoSQL Database Cloud Service außerdem einen aggregierten Ressourcentyp namens nosql-family bereit. nosql-family umfasst nosql-tables, nosql-indexes und nosql-rows, die häufig gemeinsam verwaltet werden. Beispiel: Um die Gruppe "Viewer" vollständigen Zugriff auf NoSQL-Tabellen im Mandanten zu erteilen, können Sie eine Policy wie folgt schreiben:
allow group viewers to manage nosql-family in tenancyCompartments
Ein Compartment ist die grundlegende Komponente von Oracle Cloud Infrastructure. Sie können die Oracle NoSQL Database Cloud Service-Ressourcen in Compartments organisieren. Compartments werden verwendet, um Tabellen zur Messung der Nutzung und zur Abrechnung zu trennen, den Zugriff zu definieren und die Ressourcen zwischen verschiedenen Projekten oder Geschäftseinheiten zu isolieren.
Hinweis: Der Mandant ist das Root Compartment, das alle Oracle Cloud Infrastructure-Ressourcen Ihrer Organisation enthält.
Alle Oracle Cloud Infrastructure Identity and Access Management-Ressourcen, -Benutzer, -Gruppen, -Compartments und -Policys sind global und über alle Regionen hinweg verfügbar. Das Masterset der Definitionen befindet sich jedoch in einer einzelnen Region (Hauptregion). Alle Änderungen an Ihren IAM-Ressourcen müssen in der Hauptregion vorgenommen werden. Weitere Informationen zu den IAM-Komponenten finden Sie unter Überblick über Oracle Cloud Infrastructure Identity and Access Management. Das folgende Dokument enthält Informationen darüber, welche Version der Dokumentation Sie lesen sollten.
Hinweis: Die Art und Weise, wie Sie Benutzer und Gruppen für Oracle NoSQL Database Cloud Service verwalten, hängt davon ab, ob sich Ihr Cloud-Account oder Ihr Mandant in der OCI-Region befindet, die zur Verwendung von Identitätsdomains aktualisiert wurde. Einige OCI-Regionen wurden aktualisiert, um Identitätsdomains zu verwenden. Wenn Sie einen Cloud-Account oder einen Mandanten in einer dieser OCI-Regionen haben, können Sie die Identitätsdomains verwenden, um die Benutzer zu verwalten, die Aufgaben in Oracle Cloud Infrastructure ausführen. Weitere Informationen zum Einrichten von Benutzern und Gruppen für Oracle NoSQL Database Cloud Service finden Sie unter Benutzer, Gruppen und Policys mit Identity and Access Management einrichten.
Tipp:
Es ist einfach zu bestimmen, ob Ihre OCI-Region zur Verwendung von Identity and Access Management-(IAM-)Identitätsdomains aktualisiert wurde. Weitere Informationen finden Sie unter Haben Sie Zugriff auf Identitätsdomains?