Documentación de Oracle Cloud Infrastructure

Creación de grupos y políticas de Identity and Access Management (IAM) para usuarios de IAM

Describe los pasos para escribir sentencias de política para un grupo de IAM a fin de permitir el acceso de usuario de IAM a los recursos de Oracle Cloud Infrastructure, en concreto, a las instancias de Autonomous Database.

Una política es un grupo de sentencias que especifica quién puede acceder a determinados recursos y cómo. Se puede otorgar acceso a todo el arrendamiento, a las bases de datos de un compartimento o a bases de datos individuales. Esto significa que debe escribir una sentencia de política que otorgue a un grupo específico un tipo de acceso específico a un tipo específico de recurso dentro de un compartimento específico.

Nota

Es necesario definir una política para utilizar tokens de IAM para acceder a Autonomous Database. No es necesaria una política al utilizar contraseñas de base de datos de IAM para acceder a Autonomous Database.

Para activar Autonomous Database para permitir a los usuarios de IAM conectarse a la base de datos mediante tokens de IAM:

  1. Para cumplir los requisitos de Oracle Cloud Infrastructure Identity and Access Management, cree un grupo y agregue usuarios al grupo.

    Por ejemplo, cree el grupo sales_dbusers.

    Consulte Gestión de grupos para obtener más información.

  2. Escriba sentencias de política para permitir el acceso a los recursos de Oracle Cloud Infrastructure.
    1. En la consola de Oracle Cloud Infrastructure, haga clic en Identidad y seguridad.
    2. En Identidad y seguridad, haga clic en Políticas.
    3. Para escribir una política, haga clic en Crear política.
    4. En la página Create Policy, introduzca un nombre y una descripción.
    5. En la página Crear política, seleccione Mostrar editor manual.
      A continuación se muestra la descripción de adb_iam_create_policy_manual.png
    6. Utilice el Creador de política para crear una política.

      Por ejemplo, para crear una política que permita a los usuarios del grupo de IAM DBUsers acceder a cualquier instancia de Autonomous Database de su arrendamiento: 

      Allow group DBUsers to use autonomous-database-family in tenancy
      Por ejemplo, para crear una política que limite a los miembros del grupo DBUsers el acceso a instancias de Autonomous Database solo en el compartimento testing_compartment:
      allow group DBUsers to use autonomous-database-family in compartment testing_compartment
      Por ejemplo, para crear una política que limite el acceso del grupo a una única base de datos en un compartimento:
      allow group DBUsers to use autonomous-database-family in compartment testing_compartment where target.database.id = 'ocid1.autonomousdatabase.oc1.iad.aaaabbbbcccc'

      Consulte Creación de una política de IAM para autorizar a los usuarios que se autentican con tokens en Database Security Guide para obtener más información sobre las políticas de IAM para acceder a la base de datos.

    7. Haga clic en Crear.

      Consulte Gestión de políticas para obtener más información sobre políticas.

Notas para crear políticas para su uso con usuarios de IAM en Autonomous Database:

  • Las políticas pueden permitir a los usuarios de IAM acceder a instancias de Autonomous Database en todo el arrendamiento o en un compartimento, o limitar el acceso a una única instancia de Autonomous Database.

  • Puede utilizar el principal de instancia o la entidad de recurso para recuperar tokens de base de datos a fin de establecer una conexión desde la aplicación a una instancia de Autonomous Database. Si utiliza un principal de instancia o un principal de recurso, debe asignar un grupo dinámico. Por lo tanto, no se puede asignar exclusivamente principales de instancia y de recurso; solo se pueden asignar mediante una asignación compartida y colocando la instancia o la instancia de recurso en un grupo dinámico de IAM.

    Puede crear grupos dinámicos y grupos dinámicos de referencia en las políticas que cree para acceder a Oracle Cloud Infrastructure. Consulte Configuración de políticas y roles para acceder a recursos y Gestión de grupos dinámicos para obtener más información.