Políticas de Oracle Cloud Infrastructure GoldenGate

Para controlar el acceso a Oracle Cloud Infrastructure GoldenGate y el tipo de acceso que tiene cada grupo de usuarios, debe crear políticas.

Por ejemplo, puede crear un grupo Administradores cuyos miembros puedan acceder a todos los recursos de OCI GoldenGate. A continuación, puede crear un grupo independiente para todos los demás usuarios implicados en OCI GoldenGate y crear políticas que restrinjan su acceso a los recursos de OCI GoldenGate en diferentes compartimentos.

Para obtener una lista completa de las políticas de Oracle Cloud Infrastructure, consulte la referencia de políticas.

Creación de políticas

Las políticas definen las acciones que pueden realizar los miembros de un grupo y en qué compartimentos.

Utilice la consola de Oracle Cloud para crear políticas. En el menú de navegación de la consola de Oracle Cloud, seleccione Identidad y seguridad y, a continuación, en Identidad, y seleccione Políticas. Las políticas se escriben con la siguiente sintaxis:

allow group <identity-domain>/<group-name> to <verb> <resource-type> in <location> where <condition>

Las definiciones de parámetros son las siguientes:

<identity-domain>: (opcional) si utiliza OCI IAM para la gestión de identidad, incluya el dominio de identidad del grupo de usuarios. Si se omite, OCI utilizará el dominio por defecto.
<group-name>: nombre del grupo de usuarios al que está otorgando permisos.
<verb>: proporciona al grupo un determinado nivel de acceso a un tipo de recurso. A medida que los verbos pasan de inspect a read a use a manage, el nivel de acceso aumenta y los permisos otorgados se van acumulando.
Obtenga más información sobre la relación entre .permisos y verbos.
<resource-type>: tipo de recurso con el que está otorgando permiso de grupo para trabajar. Hay recursos individuales, como goldengate-deployments, goldengate-pipelines y goldengate-connections, y hay familias de recursos, como goldengate-family, que incluye los recursos individuales mencionados anteriormente.
Para obtener más información, consulte resource-types.
<location>: asigna la política a un compartimento o arrendamiento. Puede especificar un único compartimento o ruta de compartimento por nombre u OCID, o bien especificar tenancy para cubrir todo el arrendamiento.
<condition>: opcional. Una o más condiciones para las que se aplicará esta política.

Más información sobre la sintaxis de las políticas.

Cómo crear una política

Para crear una política:

En el menú de navegación de Oracle Cloud, seleccione Identidad y seguridad y, a continuación, en Identificar, haga clic en Políticas.
En la página Políticas, haga clic en Crear política.
En la página Crear Política, introduzca un nombre y una descripción para la política.
Seleccione el compartimento en la que crear esta política.
En la sección Creador de políticas, puede realizar lo siguiente:
- Seleccione Servicio GoldenGate en la lista desplegable Caso de uso de política y una plantilla de política común, como Políticas necesarias para permitir a los usuarios gestionar recursos GoldenGate.
- Haga clic en Mostrar editor manual para introducir una regla de política con el siguiente formato:
```
allow <subject> to <verb> <resource-type> in <location> where <condition>
```
  Las condiciones son opcionales. Consulte Detalles de las combinaciones de verbo + tipo de recurso.
Sugerencia:
Consulte Políticas mínimas recomendadas para obtener más información.
Haga clic en Create.

Para obtener más información sobre las políticas, consulte cómo funcionan las políticas, la sintaxis de las políticas y la referencia de políticas.

Mínimo de políticas recomendadas

Sugerencia:

Para utilizar una plantilla de política común para agregar todas las políticas necesarias:

En Casos de uso de política, seleccione Servicio GoldenGate en la lista desplegable.
En Plantillas de uso común, seleccione Políticas necesarias para permitir a los usuarios gestionar recursos GoldenGate en la lista desplegable.

Como mínimo, necesita políticas para:

Permitir a los usuarios utilizar o gestionar recursos GoldenGate para que puedan trabajar con despliegues y conexiones. Por ejemplo:
```
allow group <identity-domain>/<group-name> to manage goldengate-family in <location>
```
Permitir a los usuarios gestionar recursos de red para que puedan ver y seleccionar compartimentos y subredes, y crear y suprimir puntos finales privados al crear recursos GoldenGate. Por ejemplo:
```
allow group <identity-domain>/<group-name> to manage virtual-network-family in <location>
```
De manera opcional, puede proteger aún más los recursos de red mediante una combinación de políticas granulares. Consulte Ejemplos de políticas para proteger recursos de red.
Cree un grupo dinámico para otorgar permisos a recursos basados en reglas definidas, lo que permite que los despliegues y/o pipelines GoldenGate accedan a los recursos de su arrendamiento. Sustituya <dynamic-group-name> por un nombre que haya elegido. Puede crear tantos grupos dinámicos como necesite, por ejemplo, para controlar permisos en despliegues en diferentes compartimentos o arrendamientos.
```
name: <dynamic-group-name>
Matching rule: ALL {resource.type = 'goldengatedeployment', resource.compartment.id = '<location>'}
```
Sugerencia:

Las políticas que aparecen en esta lista hacen referencia a <dynamic-group-name>. Si crea más de un grupo dinámico, asegúrese de hacer referencia al nombre de grupo dinámico correcto al agregar cualquiera de las políticas siguientes.
Si utiliza conexiones con secretos de contraseña, el despliegue que está asignando a la conexión debe poder acceder a los secretos de contraseña de la conexión. Asegúrese de agregar la política al compartimento o arrendamiento:
```
allow dynamic-group <identity-domain>/<dynamic-group-name> to read secret-bundles in <location>
```

Permitir a los usuarios leer el usuario y el grupo de Identity and Access Management (IAM) para validaciones en arrendamientos con IAM activado:

allow service goldengate to {idcs_user_viewer, domain_resources_viewer} in <location>

allow dynamic-group <identity-domain>/<dynamic-group-name> to {idcs_user_viewer, domain_resources_viewer} in <location>

Oracle Vault, para acceder a las claves y secretos de contraseñas de cifrado gestionadas por los clientes. Por ejemplo:

allow group <identity-domain>/<group-name> to manage secret-family in <location>
allow group <identity-domain>/<group-name> to use keys in <location>
allow group <identity-domain>/<group-name> to use vaults in <location>
allow dynamic-group <identity-domain>/<dynamic-group-name> to use keys in <location>
allow dynamic-group <identity-domain>/<dynamic-group-name> to use vaults in <location> 
allow dynamic-group <identity-domain>/<dynamic-group-name> to read secret-bundles in <location>

En función de si tiene previsto utilizar los siguientes servicios, puede que también deba agregar políticas para:

Bases de datos Oracle, para sus bases de datos de origen y/o destino. Por ejemplo:

allow group <identity-domain>/<group-name> to read database-family in <location>

allow group <identity-domain>/<group-name> to read autonomous-database-family in <location>

Oracle Object Storage, para almacenar copias de Seguridad manuales y programadas de OCI GoldenGate. Por ejemplo:

allow group <identity-domain>/<group-name> to manage objects in <location>
allow dynamic-group <identity-domain>/<dynamic-group-name> to manage objects in <location> where target.bucket.name = '<bucket-name>'
allow group <identity-domain>/<group-name> to inspect buckets in <location>

OCI Logging, para acceder a grupos de logs. Por ejemplo:

allow group <identity-domain>/<group-name> to read log-groups in <location>
allow group <identity-domain>/<group-name> to read log-content in <location>

Equilibrador de carga, si activa el acceso público a la consola de despliegue:

allow group <identity-domain>/<group-name> to manage load-balancers in <location>
allow group <identity-domain>/<group-name> to manage public-ips in <location> 
 
allow group <identity-domain>/<group-name> to manage network-security-groups in <location>
allow group <identity-domain>/<group-name> to manage vcns in <location> where ANY {request.operation = 'CreateNetworkSecurityGroup', request.operation = 'DeleteNetworkSecurityGroup'}

Solicitudes de trabajo:

allow group <identity-domain>/<group-name> to inspect work-requests in <location>

La siguiente sentencia proporciona un permiso de grupo para gestionar etiquetas y espacios de nombres de etiquetas para los espacios de trabajo:

allow group <identity-domain>/<group-name> to manage tag-namespaces in <location>

Para agregar una etiqueta definida, debe tener permiso para utilizar el espacio de nombres de etiqueta. Para obtener más información sobre el etiquetado, consulte Etiquetas de recurso.

Para obtener más información y políticas de ejemplo adicionales, consulte la sección sobre políticas de OCI GoldenGate.

Ejemplos de políticas para proteger recursos de red

Puede permitir fácilmente que los usuarios accedan a los recursos de red de un compartimento con la política:

allow group <group-name> to use virtual-network-family in compartment <compartment-name>

También puede utilizar las siguientes políticas para proteger los recursos de red en un nivel más granular:

Operación	Acceso necesario en recursos subyacentes
Crear un punto final privado	Para el compartimento privado de punto final: Crear VNIC (`VNIC_CREATE`) Suprimir VNIC (`VNIC_DELETE`) Actualizar miembros de un grupo de seguridad de red (`NETWORK_SECURITY_GROUP_UPDATE_MEMBERS`) Asociar un grupo de seguridad de red (`VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP`) Para el compartimento de subred: Asociar subred (`SUBNET_ATTACH`) Desasociar subred (`SUBNET_DETACH`)
Actualizar un punto final privado	Para el compartimento privado de punto final: Actualizar VNIC (`VNIC_UPDATE`) Actualizar miembros de un grupo de seguridad de red (`NETWORK_SECURITY_GROUP_UPDATE_MEMBERS`) Asociar un grupo de seguridad de red (`VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP`)
Suprimir un punto final privado	Para el compartimento privado de punto final: Suprimir VNIC (`VNIC_DELETE`) Actualizar miembros de un grupo de seguridad de red (`NETWORK_SECURITY_GROUP_UPDATE_MEMBERS`) Para el compartimento de subred: Desasociar subred (`SUBNET_DETACH`)
Cambiar el compartimento de un punto final privado	Si lo mueve de un compartimento a otro, todos los permisos del compartimento original también deben estar presentes en el nuevo compartimento.

Tipos de recursos

Oracle Cloud Infrastructure GoldenGate ofrece tipos de recursos agregados e individuales para la escritura de políticas.

Tipo de recurso agregado Tipos de recursos individuales

Tipo de recurso agregado	Tipos de recursos individuales
`goldengate-family`	`goldengate-deployments` `goldengate-deployment-backups` `goldengate-deployment-upgrades` `goldengate-connections` `goldengate-connection-assignments` `goldengate-pipeline`

goldengate-family

goldengate-deployments

goldengate-deployment-backups

goldengate-deployment-upgrades

goldengate-connections

goldengate-connection-assignments

goldengate-pipeline

Las API cubiertas para el tipo de recurso goldengate-family agregado también cubren las API para cada uno de los tipos de recursos individuales. Por ejemplo,

allow group gg-admins to manage goldengate-family in compartment <compartment-name>

es lo mismo que escribir las siguientes políticas:

allow group gg-admins to manage goldengate-deployments in compartment <compartment-name>
allow group gg-admins to manage goldengate-connections in compartment <compartment-name>
allow group gg-admins to manage goldengate-connection-assignments in compartment <compartment-name>
allow group gg-admins to manage goldengate-deployment-upgrades in compartment <compartment-name>
allow group gg-admins to manage goldengate-deployment-backups in compartment <compartment-name>
allow group gg-admins to manage goldengate-pipeline in compartment <compartment-name>

Variables soportadas

Al agregar condiciones a las políticas, puede utilizar variables generales de Oracle Cloud Infrastructure o específicas del servicio.

Oracle Cloud Infrastructure GoldenGate soporta todas las variables generales. Para obtener más información, consulte Variables generales para todas las solicitudes.

Detalles de las combinaciones de verbo + tipo de recurso

Existen varios verbos y tipos de recurso de Oracle Cloud Infrastructure que puede utilizar al crear una política.

En las siguientes tablas se muestran los permisos y las operaciones de API que abarca cada verbo de Oracle Cloud Infrastructure GoldenGate. El nivel de acceso es acumulativo a medida que pasa de inspect a read a use a manage.

goldengate-deployments

Permiso	API totalmente cubiertas
INSPECT
GOLDENGATE_DEPLOYMENT_INSPECT	ListDeployments
READ
INSPECT +	INSPECT+
GOLDENGATE_DEPLOYMENT_READ	GetDeployment
USE
READ +	READ +
GOLDENGATE_DEPLOYMENT_UPDATE	UpdateDeployment
	StartDeployment
	StopDeployment
	RestoreDeployment
MANAGE
USE +	USE +
GOLDENGATE_DEPLOYMENT_CREATE	CreateDeployment
	GetWorkRequest
	ListWorkRequests
	ListWorkRequestErrors
	ListWorkRequestLogs
GOLDENGATE_DEPLOYMENT_DELETE	DeleteDeployment
GOLDENGATE_DEPLOYMENT_MOVE	ChangeDeploymentCompartment

goldengate-connections

Permiso	API totalmente cubiertas
INSPECT
GOLDENGATE_CONNECTION_INSPECT	ListConnections
READ
INSPECT +	INSPECT+
GOLDENGATE_CONNECTION_READ	GetConnection
USE
READ +	READ +
GOLDENGATE_CONNECTION_UPDATE	UpdateConnection
MANAGE
USE +	USE +
GOLDENGATE_CONNECTION_CREATE	CreateConnection
GOLDENGATE_CONNECTION_DELETE	DeleteConnection
GOLDENGATE_CONNECTION_MOVE	ChangeConnectionCompartment

Goldengate-asignaciones de conexión

Permiso	API totalmente cubiertas
INSPECT
GOLDENGATE_CONNECTION_ASSIGNMENT_INSPECT	ListConnectionAssignments
READ
INSPECT +	INSPECT+
GOLDENGATE_CONNECTION_ASSIGNMENT_READ	GetConnectionAssignment
USE
READ +	READ +
n/d	n/d
MANAGE
USE +	USE +
GOLDENGATE_CONNECTION_ASSIGNMENT_CREATE	CreateConnectionAssignment
GOLDENGATE_CONNECTION_ASSIGNMENT_DELETE	DeleteConnectionAssignment

goldengate-deployment-backups

Permiso	API totalmente cubiertas
INSPECT
GOLDENGATE_DEPLOYMENT_BACKUP_INSPECT	ListDeploymentBackups
READ
INSPECT +	INSPECT+
GOLDENGATE_DEPLOYMENT_BACKUP_READ	GetDeploymentBackup
GOLDENGATE_DEPLOYMENT_BACKUP_READ	RestoreDeployment
USE
READ +	READ +
GOLDENGATE_DEPLOYMENT_BACKUP_UPDATE	UpdateDeploymentBackup
MANAGE
USE +	USE +
GOLDENGATE_DEPLOYMENT_BACKUP_CREATE	CreateDeploymentBackup
GOLDENGATE_DEPLOYMENT_BACKUP_DELETE	DeleteDeploymentBackup
GOLDENGATE_DEPLOYMENT_BACKUP_MOVE	ChangeDeploymentBackupCompartment

Permisos necesarios para cada operación de API

A continuación se muestra una lista de las operaciones de API para Oracle Cloud Infrastructure GoldenGate en orden lógico, agrupadas por tipo de recurso.

Los tipos de recursos son goldengate-deployments, goldengate-connections y goldengate-deployment-backups.

Operación de API	Permiso
`ListDeployments`	GOLDENGATE_DEPLOYMENT_INSPECT
`CreateDeployment`	GOLDENGATE_DEPLOYMENT_CREATE
`GetDeployment`	GOLDENGATE_DEPLOYMENT_READ
`UpdateDeployment`	GOLDENGATE_DEPLOYMENT_UPDATE
`DeleteDeployment`	GOLDENGATE_DEPLOYMENT_DELETE
`StartDeployment`	GOLDENGATE_DEPLOYMENT_UPDATE
`StopDeployment`	GOLDENGATE_DEPLOYMENT_UPDATE
`RestoreDeployment`	GOLDENGATE_DEPLOYMENT_BACKUP_READ y GOLDENGATE_DEPLOYMENT_UPDATE
`ChangeDeploymentCompartment`	GOLDENGATE_DEPLOYMENT_MOVE
`UpgradeDeployment`	GOLDENGATE_DEPLOYMENT_UPDATE
`ListConnections`	GOLDENGATE_CONNECTION_INSPECT
`CreateConnection`	GOLDENGATE_CONNECTION_CREATE
`GetConnection`	GOLDENGATE_CONNECTION_READ
`UpdateConnection`	GOLDENGATE_CONNECTION_UPDATE
`DeleteConnection`	GOLDENGATE_CONNECTION_DELETE
`ChangeConnectionCompartment`	GOLDENGATE_CONNECTION_MOVE
`ListConnectionAssignments`	GOLDENGATE_CONNECTION_ASSIGNMENT_INSPECT
`CreateConnectionAssignment`	GOLDENGATE_CONNECTION_ASSIGNMENT_CREATE, GOLDENGATE_DEPLOYMENT_UPDATE, GOLDENGATE_CONNECTION_UPDATE
`GetConnectionAssignment`	GOLDENGATE_CONNECTION_ASSIGNMENT_READ
`DeleteConnectionAssignment`	GOLDENGATE_CONNECTION_ASSIGNMENT_DELETE, GOLDENGATE_DEPLOYMENT_UPDATE, GOLDENGATE_CONNECTION_UPDATE
`ListDeploymentBackups`	GOLDENGATE_DEPLOYMENT_BACKUP_INSPECT
`GetDeploymentBackup`	GOLDENGATE_DEPLOYMENT_BACKUP_READ
`CreateDeploymentBackup`	GOLDENGATE_DEPLOYMENT_BACKUP_CREATE, GOLDENGATE_DEPLOYMENT_READ
`UpdateDeploymentBackup`	GOLDENGATE_DEPLOYMENT_BACKUP_UPDATE
`CancelDeploymentBackup`	GOLDENGATE_DEPLOYMENT_BACKUP_UPDATE
`DeleteDeploymentBackup`	GOLDENGATE_DEPLOYMENT_BACKUP_DELETE
`ChangeDeploymentBackupCompartment`	GOLDENGATE_DEPLOYMENT_BACKUP_MOVE
`GetDeploymentUpgrade`	GOLDENGATE_DEPLOYMENT_UPGRADE_READ
`ListDeploymentUpgrades`	GOLDENGATE_DEPLOYMENT_UPGRADE_INSPECT
`GetWorkRequest`	GOLDENGATE_DEPLOYMENT_CREATE
`ListWorkRequests`	GOLDENGATE_DEPLOYMENT_CREATE
`ListWorkRequestErrors`	GOLDENGATE_DEPLOYMENT_CREATE
`ListWorkRequestLogs`	GOLDENGATE_DEPLOYMENT_CREATE

Título e Información de Copyright

Oracle y/o sus filiales.