Requisitos

Para utilizar el plugin authentication_oci, necesita un par de claves de autenticación, un archivo de configuración y sentencias de política definidas correctamente.

Para utilizar el plugin authentication_oci, necesita lo siguiente:

  • Cualquiera de las siguientes credenciales:
    • Un par de claves de API: los usuarios locales o aprovisionados pueden utilizar un par de claves de API público-privado que esté registrado correctamente en IAM y una huella de API. Necesita el par de claves y la huella para cada usuario individual y miembro del grupo asignado. Consulte Claves y OCID necesarios.
    • Token de seguridad de IAM: los usuarios locales, federados o aprovisionados pueden utilizar un token de seguridad de IAM generado mediante la interfaz de línea de comandos de Oracle Cloud Infrastructure. Consulte Generación de un token de seguridad de IAM.
  • Archivo de configuración con una huella válida y un valor key_file. Para la autenticación mediante un token de seguridad de IAM, especifique un valor security_token_file válido. Consulte Archivo de configuración de SDK y CLI.
  • La siguiente sentencia de política definida en cada arrendamiento que desee conectar:
    Allow service mysql_dp_auth to {AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT, 
      DYNAMIC_GROUP_INSPECT} IN TENANCY

    Esta sentencia de política se debe asociar al compartimento raíz para que abarque todo el arrendamiento. Para ello, debe seleccionar el compartimento raíz al agregar la política y utilizar el parámetro IN TENANCY. No funciona si se crea en un subcompartimento con IN COMPARTMENT <CompartmentName> en lugar de IN TENANCY.

    La política anterior está en desuso en la versión 9.4.0 y se eliminará en una versión posterior. Para la versión 9.4.0 o posterior, se recomienda utilizar la siguiente política:
    Allow any-user to {AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT, 
      DYNAMIC_GROUP_INSPECT} in tenancy where request.principal.type = 'mysqldbsystem'
    Nota

    Si desea utilizar los principales en distintos arrendamientos, necesita una política Admit en el arrendamiento de destino (donde se definen los usuarios y los grupos) y una política Endorse en el arrendamiento donde se instancie el recurso (sistema de base de datos HeatWave), como se describe a continuación.
    • Defina lo siguiente en el arrendamiento de destino que contiene los usuarios y grupos:
      Define tenancy <resource_tenancy_name> AS <resource_tenancy_OCID>
      Admit any-user of tenancy <resource_tenancy_name> TO {AUTHENTICATION_INSPECT, 
        GROUP_MEMBERSHIP_INSPECT, DYNAMIC_GROUP_INSPECT} in tenancy 
        where request.principal.type = 'mysqldbsystem'
    • Defina lo siguiente en el arrendamiento de recursos que contiene el sistema de base de datos:
      Define tenancy <target_tenancy_name> AS <target_tenancy_OCID>
      Endorse any-user to {AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT, 
        DYNAMIC_GROUP_INSPECT} in tenancy <target_tenancy_name> 
        where request.principal.type = 'mysqldbsystem'

Temas relacionados

Generación de un token de seguridad de IAM

Los usuarios locales, federados o aprovisionados pueden utilizar un token de seguridad de IAM para autenticarse mediante el plugin authentication_oci.

Uso de la CLI

Utilice la interfaz de línea de comandos de Oracle Cloud Infrastructure para generar un token de seguridad de IAM.

  1. Ejecute el siguiente comando en la interfaz de línea de comandos de Oracle Cloud Infrastructure:
    oci session authenticate
  2. Cuando se le solicite, elija la región.
    Se inicia un explorador web.
  3. En el explorador, introduzca sus credenciales de usuario.
  4. Introduzca el nombre de perfil que desea crear en la interfaz de línea de comandos.
    El token de seguridad de IAM se genera junto con un par de claves efímero. Esta información de autenticación se guarda en el archivo .config. Por defecto, el token de seguridad caduca en una hora.
  5. (Opcional) Para refrescar el token de seguridad (dentro del período de validez) durante una hora, ejecute el siguiente comando:
    oci session refresh --profile <profile_name>
    Puede actualizar el token hasta 24 horas.