Documentación de Oracle Cloud Infrastructure

Creación de grupos y políticas de Identity and Access Management (IAM) para usuarios de IAM

Describe los pasos que se deben seguir para escribir instrucciones de política para un Grupo de IAM a fin de permitirle el acceso a los recursos de Oracle Cloud Infrastructure a los usuarios de IAM, en concreto a las instancias de Autonomous AI Database.

Una política es un grupo de sentencias que especifica quién puede acceder a determinados recursos y cómo. Se puede otorgar acceso a todo el arrendamiento, a las bases de datos de un compartimento o a bases de datos individuales. Esto significa que debe escribir una sentencia de política que otorgue a un grupo específico un tipo de acceso específico a un tipo específico de recurso dentro de un compartimento específico.

Nota

Es necesario definir una política para utilizar tokens de IAM para acceder a la base de datos de IA autónoma. No es necesaria una política al usar contraseñas de base de datos de IAM para acceder a la base de datos de IA autónoma.

Para activar Autonomous AI Database para permitir a los usuarios de la instancia de IAM conectarse a la base de datos mediante tokens de la instancia de IAM:

  1. Para cumplir los requisitos de Oracle Cloud Infrastructure Identity and Access Management, cree un grupo y agregue usuarios al grupo.

    Por ejemplo, cree el grupo sales_dbusers.

    Consulte Gestión de grupos para obtener más información.

  2. Escriba sentencias de política para permitir el acceso a los recursos de Oracle Cloud Infrastructure.
    1. En la consola de Oracle Cloud Infrastructure, haga clic en Identidad y seguridad.
    2. En Identidad y seguridad, haga clic en Políticas.
    3. Para una política de escritura, haga clic en Crear política.
    4. En la página Crear política, introduzca un nombre y una descripción.
    5. En la página Crear política, seleccione Mostrar editor manual.
    6. Utilice el Creador de política para crear una política.

      Por ejemplo, para crear una política que permita a los usuarios de IAM grupo DBUsers acceder a cualquier base de datos de IA autónoma de su arrendamiento: 

      Allow group DBUsers to use autonomous-database-family in tenancy
      Por ejemplo, para crear una política que limite los miembros del grupo DBUsers el acceso a las Bases de Datos de IA autónomas solo en el compartimento testing_compartment:
      allow group DBUsers to use autonomous-database-family in compartment testing_compartment
      Por ejemplo, para crear una política que limite el acceso del grupo a una única base de datos en un compartimento:
      allow group DBUsers to use autonomous-database-family in compartment testing_compartment 
               where target.id = 'ocid1.autonomousdatabase.oc1.iad.aaaabbbbcccc...b5678ca'

      Consulte Creación de una política de IAM para autorizar la autenticación de usuarios con tokens en la Guía de seguridad de la base de datos para obtener más información sobre las políticas de IAM para acceder a la base de datos.

    7. Haga clic en Crear.

      Consulte Gestión de políticas para obtener más información sobre políticas.

Notas para crear políticas para su uso con usuarios de la instancia de IAM en Autonomous AI Database:

  • Las políticas pueden permitir a los usuarios de la IAM acceder a instancias de Autonomous AI Database en todo el arrendamiento, en un compartimento o limitar la acceso a una única instancia de Autonomous AI Database.

  • Puede utilizar la entidad de instancia o la de recurso para recuperar tokens de base de Datos a fin de establecer una conexión desde la aplicación a una instancia de Autonomous AI Database. Si utiliza un principal de instancia o un principal de recurso, debe asignar un grupo dinámico. Por lo tanto, no se puede asignar exclusivamente principales de instancia y de recurso; solo se pueden asignar mediante una asignación compartida y colocando la instancia o la instancia de recurso en un grupo dinámico de IAM.

    Puede crear grupos dinámicos y grupos dinámicos de referencia en las políticas que cree para acceder a Oracle Cloud Infrastructure. Consulte Configuración de políticas y roles para acceder a recursos y Gestión de grupos dinámicos para obtener más información.