Benutzergruppen und Policys einrichten

Oracle NoSQL Database Cloud Service verwendet Oracle Cloud Infrastructure Identity and Access Management (IAM), um sicheren Zugriff auf Oracle Cloud bereitzustellen. Mit Oracle Cloud Infrastructure IAM können Sie Benutzeraccounts erstellen und Benutzern die Berechtigung zum Prüfen, Lesen, Verwenden oder Verwalten der Tabellen erteilen.

Die Art und Weise, wie Sie Benutzer, Gruppen und dynamische Gruppen für Oracle NoSQL Database Cloud Service verwalten, hängt davon ab, ob Ihr Cloud-Account oder Ihr Mandant für die Verwendung von Oracle Cloud Infrastructure Identity and Access Management-(IAM-)Identitätsdomains aktualisiert wurde. Es ist einfach zu bestimmen, wann Ihr OCI-Mandant aktualisiert wurde, um Identitätsdomains (Identity and Access Management, IAM) zu verwenden.

Die OCI-Konsole für Mandanten mit Identitätsdomain wird unten angezeigt.

Die OCI-Konsole für Mandanten ohne Identitätsdomain wird unten angezeigt.

Weitere Informationen finden Sie unter Haben Sie Zugriff auf Identitätsdomains?

Benutzer, Gruppen, dynamische Gruppen und Policys mit Identity and Access Management einrichten

Oracle NoSQL Database Cloud Service verwendet Oracle Cloud Infrastructure Identity and Access Management (IAM), um sicheren Zugriff auf Oracle Cloud bereitzustellen. Mit Oracle Cloud Infrastructure IAM können Sie Benutzeraccounts erstellen und Benutzern die Berechtigung zum Prüfen, Lesen, Verwenden oder Verwalten der Tabellen erteilen.

Wenn Sie sich als Benutzer-Principal authentifizieren (mit API-Signaturschlüssel), lesen Sie "Benutzer, Gruppen und Policys einrichten". Wenn Sie sich alternativ als Instanz-Principal oder Resource Principal authentifizieren, wird auf "Dynamische Gruppe und Policys einrichten" verwiesen.

Benutzer, Gruppen und Policys eingerichtet

1. Melden Sie sich als Cloud-Accountadministrator bei Ihrem Cloud-Account an.

2. Fügen Sie in der Oracle Cloud Infrastructure-Konsole einen oder mehrere Benutzer hinzu.

   • Wählen Sie je nach Mandant eine der folgenden Optionen aus (mit Identitätsdomains oder ohne Identitätsdomains):

     • Mandant mit Identitätsdomains: Führen Sie die folgenden Schritte aus:

       • öffnen Sie das Navigationsmenü, und wählen Sie Identität und Sicherheit aus.

       • Wählen Sie unter Identität die Option Domains aus. Dadurch wird die Seite "Domains" geöffnet.

       • Wählen Sie den Filter Compartment neben Angewendete Filter aus. Wählen Sie das Compartment in der Dropdown-Liste aus, und wählen Sie Filter anwenden aus.

       • Wählen Sie die Identitätsdomain aus, in der Sie arbeiten möchten. Gehen Sie auf der Registerkarte Benutzerverwaltung zum Abschnitt Benutzer.

     • Mandant ohne Identitätsdomains: Öffnen Sie das Navigationsmenü, und wählen Sie Identität und Sicherheit aus. Wählen Sie unter Identität die Option Benutzer aus.

   • Wählen Sie Erstellen.

   • Geben Sie Details zum Benutzer an, und wählen Sie Erstellen aus.

3. Erstellen Sie in der Oracle Cloud Infrastructure-Konsole eine OCI-Gruppe.

   • Wählen Sie je nach Mandant eine der folgenden Optionen aus (mit Identitätsdomains oder ohne Identitätsdomains):

     • Mandant mit Identitätsdomains: Führen Sie die folgenden Schritte aus:

       • öffnen Sie das Navigationsmenü, und wählen Sie Identität und Sicherheit aus.

       • Wählen Sie unter Identität die Option Domains aus. Dadurch wird die Seite "Domains" geöffnet.

       • Wählen Sie den Filter Compartment neben Angewendete Filter aus. Wählen Sie das Compartment in der Dropdown-Liste aus, und wählen Sie Filter anwenden aus.

       • Wählen Sie die Identitätsdomain aus, in der Sie arbeiten möchten. Scrollen Sie auf der Registerkarte Benutzerverwaltung nach unten zum Abschnitt Gruppen.

     • Mandant ohne Identitätsdomains: Öffnen Sie das Navigationsmenü, und wählen Sie Identität und Sicherheit aus. Wählen Sie unter Identität die Option Gruppen.

   • Wählen Sie Gruppe erstellen aus.

   • Geben Sie Details über die Gruppe ein. Beispiel: Wenn Sie eine Policy erstellen, mit dem Benutzer die Berechtigungen zum Verwalten von Oracle NoSQL Database Cloud Service-Tabellen erhalten, könnten Sie die Gruppe nosql_service_admin (oder ähnlich) nennen und eine kurze Beschreibung hinzufügen, wie "Benutzer mit Berechtigungen zum Einrichten und Verwalten von NoSQL Database Cloud-Servicetables auf Oracle Cloud Infrastructure" (oder ähnlich).

   • Wählen Sie Erstellen.

4. Erstellen Sie eine Policy, die Benutzern einer OCI-Gruppe spezifische Zugriffsberechtigungen auf Oracle NoSQL Database Cloud Service-Tabellen oder -Compartments erteilt.

   • öffnen Sie das Navigationsmenü, und wählen Sie Identität und Sicherheit aus.

   • Wählen Sie unter Identität die Option Policys aus.

   • Wählen Sie den Filter Compartment neben Angewendete Filter aus. Wählen Sie das Compartment in der Dropdown-Liste aus, und wählen Sie Filter anwenden aus.

   • Wählen Sie Policy erstellen aus.

     Details und Beispiele finden Sie unter Policy-Referenz und Typische Policy-Anweisungen zum Verwalten von Tabellen.

     Wenn Sie mit der Funktionsweise von Policys nicht vertraut sind, finden Sie weitere Informationen unter Funktionsweise von Policys.

5. Wenn Sie NoSQL-Tabellen über Oracle NoSQL Database Cloud Service-SDKs verwalten und verwenden möchten, muss der Benutzer die API-Schlüssel einrichten. Siehe Authentifizierung für die Verbindung zu Oracle NoSQL Database.

Hinweis: Föderierte Benutzer können Oracle NoSQL Database Cloud Service-Tabellen auch verwalten und verwenden. Hierzu muss der Serviceadministrator die Föderation in Oracle Cloud Infrastructure Identity and Access Management einrichten. Siehe Mit Identitätsprovidern föderieren.

Benutzer, die zu den Gruppen gehören, die in der Policy-Anweisung erwähnt werden, erhalten ihre neuen Berechtigungen, sobald sie sich das nächste Mal in der Konsole anmelden.

Dynamische Gruppen und Policys einrichten

Bevor Sie eine Oracle Cloud Infrastructure-Ressource mit Resource Principals oder Instanz-Principals aufrufen, muss ein Oracle Cloud Infrastructure-Mandantenadministrator Oracle Cloud Infrastructure-Policys, dynamische Gruppen und Regeln erstellen, die den Resource Principal oder die Instanz-Principal-Berechtigungen definieren.

• Melden Sie sich als Cloud-Accountadministrator bei Ihrem Cloud-Account an.

• Erstellen Sie in der Oracle Cloud Infrastructure-Konsole eine dynamische Gruppe.

  • Wählen Sie je nach Mandant eine der folgenden Optionen aus (mit Identitätsdomains oder ohne Identitätsdomains):

    • Mandant mit Identitätsdomains:

      • öffnen Sie das Navigationsmenü, und wählen Sie Identität und Sicherheit aus.

      • Wählen Sie unter Identität die Option Domains aus. Dadurch wird die Seite "Domains" geöffnet.

      • Wählen Sie den Filter Compartment neben Angewendete Filter aus. Wählen Sie das Compartment in der Dropdown-Liste aus, und wählen Sie Filter anwenden aus.

      • Wählen Sie die Identitätsdomain, in dem Sie arbeiten möchten, und die Registerkarte Dynamische Gruppen.

    • Mandant ohne Identitätsdomains: Öffnen Sie das Navigationsmenü, und wählen Sie Identität und Sicherheit aus. Wählen Sie unter Identität die Option Dynamische Gruppen aus.

  • Wählen Sie Dynamische Gruppe erstellen aus, und geben Sie einen Namen, eine Beschreibung und eine Regel ein, oder fügen Sie mit dem Regelgenerator eine Regel hinzu.

  • Wählen Sie Erstellen.

  Ressourcen, die den Regelkriterien entsprechen, sind Mitglieder der dynamischen Gruppe. Beim Angeben einer Regel für eine dynamische Gruppe, welche Ressource Zugriff auf andere Ressourcen erhält. Beispiele für das Erstellen von Regeln:

  1. Eine Abgleichsregel für Funktionen:

     ALL {resource.type = 'fnfunc',resource.compartment.id =
         'ocid1.compartment.oc1..aaaaaaaafml3tca3zcxyifmdff3aadp5uojimgx3cdnirgup6rhptxwnandq'}

     Diese Regel impliziert, dass jeder Ressourcentyp fnfunc im angegebenen Compartment (mit der oben angegebenen ID) ein Mitglied der dynamischen Gruppe ist.

     Hinweis: Weitere Informationen zu verschiedenen Ressourcentypen finden Sie unter Ressourcentypen.

  2. Eine Regel beim Hinzufügen von Instanzen für Instanz-Principals:

     ALL { instance.compartment.id =
           'ocid1.compartment.oc1..aaaaaaaa4mlehopmvdluv2wjcdp4tnh2ypjz3nhhpahb4ss7yvxaa3be3diq'}

     Diese Regel impliziert, dass jede Instanz mit der oben angegebenen Compartment-ID ein Mitglied der dynamischen Gruppe ist.

  3. Eine Regel, wenn Sie API Gateway mit Funktionen verwenden:

     ALL {resource.type = 'ApiGateway',resource.compartment.id =
           'ocid1.compartment.oc1..aaaaaaaafml3tca3zcxyifmdff3aadp5uojimgx3cdnirgup6rhptxwnandq'}

     Diese Regel impliziert, dass jeder Ressourcentyp ApiGateway im angegebenen Compartment (mit der oben angegebenen ID) ein Mitglied der dynamischen Gruppe ist.

  4. Eine Regel bei Verwendung von Containerinstanzen:

     ALL {resource.type = 'computecontainerinstance',
     resource.compartment.id =
     'ocid1.compartment.oc1..aaaaaaaa4mlehopmvdluv2wjcdp4tnh2ypjz3nhhpahb4ss7yvxaa3be3diq'}

     Diese Regel impliziert, dass jeder Ressourcentyp computecontainerinstance im angegebenen Compartment (mit der oben angegebenen ID) ein Mitglied der dynamischen Gruppe ist.

  Hinweis: Die Vererbung gilt nicht für dynamische Gruppen. Bei der Verwendung von IAM-Zugriffs-Policys gilt die Policy eines übergeordneten Compartments automatisch für alle untergeordneten Compartments. Dies ist nicht der Fall, wenn Sie dynamische Gruppen verwenden. Sie müssen jedes Compartment in der dynamischen Gruppe separat auflisten, damit sich das Compartment qualifiziert.

  Beispiel: Eine Vergleichsregel für Funktionen für übergeordnete/untergeordnete Compartments:

  ALL {resource.type = 'fnfunc',
  ANY{resource.compartment.id = '<parent-compid>', resource.compartment.id = '<child-compid1>',
  resource.compartment.id = '<child-compid2>', ...}}

• Schreiben Sie Policy-Anweisungen für die dynamische Gruppe, damit der Zugriff auf Oracle Cloud Infrastructure-Ressourcen möglich ist.

  • Wählen Sie in der Oracle Cloud Infrastructure-Konsole Identität und Sicherheit aus, und wählen Sie Policys aus.

  • Wählen Sie den Filter Compartment neben Angewendete Filter aus. Wählen Sie das Compartment in der Dropdown-Liste aus, und wählen Sie Filter anwenden aus.

  • Um Policys für eine dynamische Gruppe zu schreiben, wählen Sie Policy erstellen aus, und geben Sie einen Namen und eine Beschreibung ein.

  • Erstellen Sie mit Policy Builder eine Policy. Die allgemeine Syntax zum Definieren einer Policy wird unten gezeigt:

    Allow <subject> to <verb> <resource-type> in <location> where <conditions>

    • Syntax des Betreffs: Eine oder mehrere durch Komma getrennte Gruppen nach Namen oder OCID.

    • Verben: Werte sind "Prüfen", "Lesen", "Verwenden" oder "Verwalten".

    • resource-type: Ein einzelner Ressourcentyp, ein Familientyp (wie nosql-family) oder alle Ressourcen.

    • Compartment: Ein einzelnes Compartment oder ein Compartment-Pfad nach Namen oder OCID

    Beispiel: Diese Policy ermöglicht der dynamischen Gruppe nosql_application den fnfuncVerwendungszugriff auf die Ressource im Compartment UATnosql.

    allow dynamic-group nosql_application to use  fnfunc in compartment UATnosql

    Beispiel: Diese Policy ermöglicht der dynamischen Gruppe nosql_application den Zugriff manage auf die Familienressource nosql-family im Compartment UATnosql.

  • Wählen Sie Erstellen. See Manage Policies for more information on policies.