Creación de recursos de Oracle Cloud

Aprenda a crear un compartimento, una VCN, una subred, usuarios y grupos de usuarios antes de empezar a utilizar Oracle Cloud Infrastructure GoldenGate.

Creación de un compartimento

Los compartimentos le permiten organizar y controlar el acceso a sus recursos en la nube. Es un contenedor lógico que puede utilizar para agrupar recursos en la nube relacionados y permitir el acceso a grupos de usuarios específicos.

Cuando se registra en Oracle Cloud Infrastructure, Oracle crea un arrendamiento para usted, que es el compartimento raíz que contiene todos sus recursos en la nube. Posteriormente, puede crear compartimentos adicionales en su arrendamiento y las políticas correspondientes para controlar el acceso a los recursos de cada compartimento.

Para crear un compartimento:

1. abra el menú de navegación de la consola de Oracle Cloud y, a continuación, haga clic en Identidad y seguridad.
2. En Identidad, haga clic en Servicios. Aparecerá una lista de los compartimentos a los que tiene acceso.
3. Vaya al compartimento en el que desea crear el nuevo compartimento.
   • Para crear el compartimento en el arrendamiento (compartimento raíz), haga clic en Crear compartimento.
   • Para crear el compartimento en un compartimento que no sea el arrendamiento (compartimento raíz), haga clic a través de la jerarquía de compartimentos hasta que llegue a la página de detalles del compartimento en el que desea crear el compartimento. En la página Detalles del compartimento, haga clic en Crear compartimento.
4. En el cuadro de diálogo Crear compartimento, complete los campos como se indica a continuación:
   1. En Nombre, introduzca un nombre único para el compartimento que no tenga más de 100 caracteres (incluidas las letras, los números, los puntos, los guiones y los caracteres de subrayado). El nombre debe ser único en todos los compartimentos del arrendamiento. Evite introducir información confidencial.
   2. En Descripción, introduzca una descripción que ayude a distinguir el compartimento de otros.
   3. En Compartimento principal, verifique que es el compartimento en el que desea crear el compartimento. Para seleccionar un compartimento diferente, seleccione uno en la lista desplegable.
   4. (Opcional) En espacio de nombres de etiqueta, puede agregar una etiqueta de formato libre que le ayude a buscar recursos en la consola de Oracle Cloud. Haga clic en + Otra etiqueta para agregar más etiquetas.
   5. Haga clic en Crear compartimento.

El compartimento aparecerá en la lista Compartimentos una vez creado. A continuación, puede crear políticas y agregar recursos en el compartimento.

Creación de una red virtual en la nube y una subred

Una red virtual en la nube (VCN) es una red que se configura en los centros de datos de Oracle Cloud Infrastructure en una determinada región. Una subred es una subdivisión de una VCN.

OCI GoldenGate necesita una VCN y al menos una subred privada con un gateway de NAT. Debe estar disponible una tabla de rutas con una regla de ruta que redirija el tráfico al gateway de NAT para la subred privada. Si desea activar la conectividad mediante un punto final público, también se necesita una subred pública y la VCN debe incluir un gateway de Internet. Debe estar disponible una tabla de rutas con una regla de ruta que redirija el tráfico al gateway de Internet para la subred pública.

Para crear una VCN y una subred:

1. Abra el Menú de Navegación de la Consola de Oracle Cloud, haga clic en Red y, a continuación, seleccione Redes virtuales en la nube.
2. En la página Redes virtuales en la nube, confirme la selección del compartimento o seleccione un compartimento diferente.
3. En el menú Acciones, seleccione Iniciar asistente de VCN.
4. En el panel de trabajo de Iniciar asistente de VCN, seleccione Crear VCN con conexión de Internet y, a continuación, haga clic en Iniciar asistente de VCN.
5. En la página Configuración, en Información básica, introduzca un nombre de VCN.
6. En Compartimento, seleccione el compartimento en la que desea crear esta VCN.
7. Haga clic en Siguiente.
8. En la página Revisar y crear, compruebe los detalles de configuración y, a continuación, haga clic en Crear.

Haga clic en Ver detalles de VCN para verificar que se ha creado una subred pública y una privada.

Crear Usuarios

Cree usuarios para agregarlos a grupos que puedan acceder a los recursos de OCI GoldenGate.

Antes de crear usuarios, debe comprender lo siguiente:

• La gestión de usuarios de despliegue de OCI GoldenGate depende de si su arrendamiento utiliza OCI IAM con dominios de identidad o no. Consulte Gestión de usuarios de despliegue.
• Los nombres de usuario deben ser únicos entre todos los usuarios de su arrendamiento
• Los nombres de usuario no se pueden cambiar
• Los usuarios no tienen ningún permiso hasta que se colocan en un grupo

Para crear usuarios:

1. Abra el Menú de Navegación de la Consola de Oracle Cloud, haga clic en Identidad Y Seguridad y, a continuación, en Identidad, haga clic en Dominios.
2. En la página Dominios, confirme la selección de Compartimento o cambie a otro compartimento.
3. En la lista Dominios, haga clic en Valor por defecto para acceder al dominio por defecto o haga clic en Crear dominio para crear uno nuevo.
4. Seleccione el dominio de la lista.
5. En la página de detalles Dominios, haga clic en Gestión de usuarios.
6. En la página Usuarios, haga clic en Creación de usuario.
7. En la página Crear Usuario, complete los campos como se indica:
   1. Introduzca el nombre, el apellido y la dirección de correo electrónico del usuario, que también se puede utilizar como nombre de usuario.

      Note:

      El nombre debe ser único entre todos los usuarios del arrendamiento. Este valor no se puede cambiar posteriormente. El nombre de usuario no puede contener espacios y solo puede contener letras latinas básicas (ASCII), números, guiones, puntos, guiones bajos, + y @.
   2. En Grupos, seleccione los grupos a los que asignar el usuario.
8. Haga clic en Create.

A continuación, puede agregar el usuario a un grupo y crear políticas que otorguen al grupo acceso a sus recursos. Para obtener más información sobre los usuarios, consulte Gestión de usuarios.

Creación de grupos

Un grupo es una recopilación de usuarios que necesitan el mismo tipo de acceso a un juego de recursos o compartimentos.

Antes de crear un grupo, debe comprender lo siguiente:

• El nombre de grupo debe ser único dentro del arrendamiento.
• El nombre del grupo no se puede cambiar una vez creado.
• Un grupo no tiene ningún permiso a menos que escriba un permiso que otorgue al grupo permiso para un arrendamiento o compartimento.

Para crear un grupo:

1. Abra el Menú de Navegación de la Consola de Oracle Cloud, haga clic en Identidad Y Seguridad y, a continuación, en Identidad, haga clic en Dominios.
2. En la página Dominios, confirme la selección de Compartimento o cambie el compartimento.
3. Seleccione un dominio de la lista.
4. En la página de detalles del dominio, haga clic en Gestión de usuarios.
5. En Grupos, haga clic en Crear grupo.
6. En la página Crear grupo:
   1. En Nombre, introduzca un nombre único para el grupo.

      Note:

      Una vez creado el grupo, no puede cambiar el nombre. El nombre de grupo debe ser único dentro del arrendamiento. El nombre del grupo puede tener entre 1 y 100 caracteres alfanuméricos, letras en mayúscula o minúscula, y puede contener puntos, guiones cortos, guiones largos, pero sin espacios
   2. En Descripción, introduzca una descripción sencilla.
7. Seleccione si un usuario puede solicitar acceso a este grupo.
8. En la lista Usuarios, seleccione los usuarios que desea asignar a este grupo.
9. Haga clic en Create.

Un grupo no tiene ningún permiso hasta que se escribe una política que otorga al grupo permiso para un compartimento o arrendamiento. Para obtener más información sobre los grupos, consulte Gestión de grupos.

Creación de políticas

Las políticas definen las acciones que pueden realizar los miembros de un grupo y en qué compartimentos.

Utilice la consola de Oracle Cloud para crear políticas. En el menú de navegación de la consola de Oracle Cloud, seleccione Identidad y seguridad y, a continuación, en Identidad, y seleccione Políticas. Las políticas se escriben con la siguiente sintaxis:

allow group <identity-domain>/<group-name> to <verb> <resource-type> in <location> where <condition>

Las definiciones de parámetros son las siguientes:

• <identity-domain>: (opcional) si utiliza OCI IAM para la gestión de identidad, incluya el dominio de identidad del grupo de usuarios. Si se omite, OCI utilizará el dominio por defecto.
• <group-name>: nombre del grupo de usuarios al que está otorgando permisos.
• <verb>: proporciona al grupo un determinado nivel de acceso a un tipo de recurso. A medida que los verbos pasan de inspect a read a use a manage, el nivel de acceso aumenta y los permisos otorgados se van acumulando.

  Obtenga más información sobre la relación entre .permisos y verbos.

• <resource-type>: tipo de recurso con el que está otorgando permiso de grupo para trabajar. Hay recursos individuales, como goldengate-deployments, goldengate-pipelines y goldengate-connections, y hay familias de recursos, como goldengate-family, que incluye los recursos individuales mencionados anteriormente.

  Para obtener más información, consulte resource-types.

• <location>: asigna la política a un compartimento o arrendamiento. Puede especificar un único compartimento o ruta de compartimento por nombre u OCID, o bien especificar tenancy para cubrir todo el arrendamiento.
• <condition>: opcional. Una o más condiciones para las que se aplicará esta política.

Más información sobre la sintaxis de las políticas.

Cómo crear una política

Para crear una política:

1. En el menú de navegación de Oracle Cloud, seleccione Identidad y seguridad y, a continuación, en Identificar, haga clic en Políticas.
2. En la página Políticas, haga clic en Crear política.
3. En la página Crear Política, introduzca un nombre y una descripción para la política.
4. Seleccione el compartimento en la que crear esta política.
5. En la sección Creador de políticas, puede realizar lo siguiente:
   • Seleccione Servicio GoldenGate en la lista desplegable Caso de uso de política y una plantilla de política común, como Políticas necesarias para permitir a los usuarios gestionar recursos GoldenGate.
   • Haga clic en Mostrar editor manual para introducir una regla de política con el siguiente formato:

     allow <subject> to <verb> <resource-type> in <location> where <condition>

     Las condiciones son opcionales. Consulte Detalles de las combinaciones de verbo + tipo de recurso.

   Sugerencia:

   Consulte Políticas mínimas recomendadas para obtener más información.
6. Haga clic en Create.

Para obtener más información sobre las políticas, consulte cómo funcionan las políticas, la sintaxis de las políticas y la referencia de políticas.

Mínimo de políticas recomendadas

Sugerencia:

Para utilizar una plantilla de política común para agregar todas las políticas necesarias:

1. En Casos de uso de política, seleccione Servicio GoldenGate en la lista desplegable.
2. En Plantillas de uso común, seleccione Políticas necesarias para permitir a los usuarios gestionar recursos GoldenGate en la lista desplegable.

Como mínimo, necesita políticas para:

• Permitir a los usuarios utilizar o gestionar recursos GoldenGate para que puedan trabajar con despliegues y conexiones. Por ejemplo:

  allow group <identity-domain>/<group-name> to manage goldengate-family in <location>

• Permitir a los usuarios gestionar recursos de red para que puedan ver y seleccionar compartimentos y subredes, y crear y suprimir puntos finales privados al crear recursos GoldenGate. Por ejemplo:

  allow group <identity-domain>/<group-name> to manage virtual-network-family in <location>

  De manera opcional, puede proteger aún más los recursos de red mediante una combinación de políticas granulares. Consulte Ejemplos de políticas para proteger recursos de red.

• Cree un grupo dinámico para otorgar permisos a recursos basados en reglas definidas, lo que permite que los despliegues y/o pipelines GoldenGate accedan a los recursos de su arrendamiento. Sustituya <dynamic-group-name> por un nombre que haya elegido. Puede crear tantos grupos dinámicos como necesite, por ejemplo, para controlar permisos en despliegues en diferentes compartimentos o arrendamientos.

  name: <dynamic-group-name>
  Matching rule: ALL {resource.type = 'goldengatedeployment', resource.compartment.id = '<location>'}

  Sugerencia:

  Las políticas que aparecen en esta lista hacen referencia a <dynamic-group-name>. Si crea más de un grupo dinámico, asegúrese de hacer referencia al nombre de grupo dinámico correcto al agregar cualquiera de las políticas siguientes.

• Si utiliza conexiones con secretos de contraseña, el despliegue que está asignando a la conexión debe poder acceder a los secretos de contraseña de la conexión. Asegúrese de agregar la política al compartimento o arrendamiento:

  allow dynamic-group <identity-domain>/<dynamic-group-name> to read secret-bundles in <location>

• Permitir a los usuarios leer el usuario y el grupo de Identity and Access Management (IAM) para validaciones en arrendamientos con IAM activado:

  allow service goldengate to {idcs_user_viewer, domain_resources_viewer} in <location>

  allow dynamic-group <identity-domain>/<dynamic-group-name> to {idcs_user_viewer, domain_resources_viewer} in <location>

• Oracle Vault, para acceder a las claves y secretos de contraseñas de cifrado gestionadas por los clientes. Por ejemplo:

  allow group <identity-domain>/<group-name> to manage secret-family in <location>
  allow group <identity-domain>/<group-name> to use keys in <location>
  allow group <identity-domain>/<group-name> to use vaults in <location>
  allow dynamic-group <identity-domain>/<dynamic-group-name> to use keys in <location>
  allow dynamic-group <identity-domain>/<dynamic-group-name> to use vaults in <location> 
  allow dynamic-group <identity-domain>/<dynamic-group-name> to read secret-bundles in <location>

En función de si tiene previsto utilizar los siguientes servicios, puede que también deba agregar políticas para:

• Bases de datos Oracle, para sus bases de datos de origen y/o destino. Por ejemplo:

  allow group <identity-domain>/<group-name> to read database-family in <location>

  allow group <identity-domain>/<group-name> to read autonomous-database-family in <location>

• Oracle Object Storage, para almacenar copias de Seguridad manuales y programadas de OCI GoldenGate. Por ejemplo:

  allow group <identity-domain>/<group-name> to manage objects in <location>
  allow dynamic-group <identity-domain>/<dynamic-group-name> to manage objects in <location> where target.bucket.name = '<bucket-name>'
  allow group <identity-domain>/<group-name> to inspect buckets in <location>

• OCI Logging, para acceder a grupos de logs. Por ejemplo:

  allow group <identity-domain>/<group-name> to read log-groups in <location>
  allow group <identity-domain>/<group-name> to read log-content in <location>

• Equilibrador de carga, si activa el acceso público a la consola de despliegue:

  allow group <identity-domain>/<group-name> to manage load-balancers in <location>
  allow group <identity-domain>/<group-name> to manage public-ips in <location> 
   
  allow group <identity-domain>/<group-name> to manage network-security-groups in <location>
  allow group <identity-domain>/<group-name> to manage vcns in <location> where ANY {request.operation = 'CreateNetworkSecurityGroup', request.operation = 'DeleteNetworkSecurityGroup'}
  

• Solicitudes de trabajo:

  allow group <identity-domain>/<group-name> to inspect work-requests in <location>

La siguiente sentencia proporciona un permiso de grupo para gestionar etiquetas y espacios de nombres de etiquetas para los espacios de trabajo:

allow group <identity-domain>/<group-name> to manage tag-namespaces in <location>

Para agregar una etiqueta definida, debe tener permiso para utilizar el espacio de nombres de etiqueta. Para obtener más información sobre el etiquetado, consulte Etiquetas de recurso.

Para obtener más información y políticas de ejemplo adicionales, consulte la sección sobre políticas de OCI GoldenGate.

---

Título e Información de Copyright

Copyright ©2022,

Oracle y/o sus filiales.