Acerca de la configuración de políticas y grupos de usuarios

Oracle NoSQL Database Cloud Service utiliza Oracle Cloud Infrastructure Identity and Access Management (IAM) para proporcionar acceso seguro a Oracle Cloud. Oracle Cloud Infrastructure IAM permite crear cuentas de usuario y proporcionar a los usuarios permiso para inspeccionar, leer, utilizar o gestionar tablas.

La forma de gestionar usuarios, grupos y grupos dinámicos de Oracle NoSQL Database Cloud Service depende de si su cuenta o arrendamiento en la nube se ha actualizado para utilizar los dominios de identidad de Oracle Cloud Infrastructure Identity and Access Management (IAM). Es fácil determinar cuándo se ha actualizado el arrendamiento de OCI para que utilice los dominios de identidad de Identity and Access Management (IAM).

A continuación se muestra la consola de OCI para el arrendamiento con dominio de identidad.

Creación de usuarios en OCI mediante dominios de identidad de IAM

A continuación se muestra la consola de OCI para el arrendamiento sin dominio de identidad.

Creación de usuarios en OCI mediante IAM

Para obtener más información, consulte ¿Tiene acceso a dominios de identidad?

Configuración de Usuarios, Grupos, Grupos Dinámicos y Políticas mediante Identity and Access Management

Oracle NoSQL Database Cloud Service utiliza Oracle Cloud Infrastructure Identity and Access Management (IAM) para proporcionar acceso seguro a Oracle Cloud. Oracle Cloud Infrastructure IAM le permite crear cuentas de usuario y proporcionar a los usuarios permiso para inspeccionar, leer, utilizar o gestionar tablas.

Si se está autenticando como principal de usuario (mediante la clave de firma de API), consulte Configuración de usuarios, grupos y políticas. Como alternativa, si se está autenticando como entidad de instancia o entidad de recurso, consulte Configuración de políticas y grupos dinámicos.

Configuración de usuarios, grupos y políticas

  1. Inicie sesión en la cuenta en la nube como administrador de cuentas en la nube.
  2. En la consola de Oracle Cloud Infrastructure, agregue un usuario o más.
    • Elija una de las siguientes opciones según su arrendamiento (ya sea que tenga dominios de identidad o no):
      • Arrendamiento con dominios de identidad: abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Dominios. Seleccione el dominio de identidad en el que desea trabajar y haga clic en Usuarios.
      • Arrendamiento sin dominios de identidad: abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Usuarios.
    • Haga clic en Crear usuario.
    • Introduzca información sobre el usuario y haga clic en Crear.
  3. En la consola de Oracle Cloud Infrastructure, cree un grupo de OCI.
    • Elija una de las siguientes opciones según su arrendamiento (ya sea que tenga dominios de identidad o no):
      • Arrendamiento con dominios de identidad: abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Dominios. Seleccione el dominio de identidad en el que desea trabajar y haga clic en Grupos.
      • Arrendamiento sin dominios de identidad: abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Grupos.
    • Haga clic en Crear Grupo.
    • Introduzca detalles acerca del grupo. Por ejemplo, si va a crear una política que proporcione a los usuarios permisos para gestionar completamente las tablas de Oracle NoSQL Database Cloud Service, puede asignar un nombre al grupo nosql_service_admin (o similar) e incluir una descripción breve como "Usuarios con permisos para configurar y gestionar tablas de Oracle NoSQL Database Cloud Service en Oracle Cloud Infrastructure" (o similar).
  4. Cree una política que ofrezca a los usuarios que pertenecen a un grupo de OCI permisos de acceso específicos a las tablas o compartimentos de Oracle NoSQL Database Cloud Service.
  5. To manage and use NoSQL tables via Oracle NoSQL Database Cloud Service SDKs, the user must set up the API keys. Consulte Autenticación para conectarse a Oracle NoSQL Database.

    Note:

    Los usuarios federados también pueden gestionar y usar tablas de Oracle NoSQL Database Cloud Service. Para ello, necesita que el administrador de servicio configure la federación en Oracle Cloud Infrastructure Identity and Access Management. Consulte Federación con proveedores de identidad.

    Los usuarios que pertenecen a cualquiera de los grupos mencionados en la sentencia de política obtienen su nuevo permiso al conectarse a la consola.

Configuración de políticas y grupos dinámicos

Antes de realizar una llamada a un recurso de Oracle Cloud Infrastructure mediante principales de recurso o principales de instancia, un administrador de arrendamiento de Oracle Cloud Infrastructure debe crear políticas, grupos dinámicos y reglas de Oracle Cloud Infrastructure que definan los privilegios de principal de instancia o principal de recurso.
  • Inicie sesión en la cuenta en la nube como administrador de cuentas en la nube.
  • En la consola de Oracle Cloud Infrastructure, cree un grupo dinámico.
    • Elija una de las siguientes opciones según su arrendamiento (ya sea que tenga dominios de identidad o no):
      • Arrendamiento con dominios de identidad: abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Dominios. Seleccione el dominio de identidad en el que desea trabajar y haga clic en Grupos dinámicos.
      • Arrendamiento sin dominios de identidad: abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Grupos dinámicos.
    • Haga clic en Crear grupo dinámico e introduzca un nombre, una descripción y una regla, o utilice el creador de reglas para agregar una regla.
    • Haga clic en Crear.
      Los recursos que cumplen los criterios de reglas son miembros del grupo dinámico. Al definir una regla para un grupo dinámico, tenga en cuenta a qué recurso se le dará acceso a otros recursos. Algunos ejemplos de creación de reglas:
      1. Una regla de coincidencia para las funciones:
        ALL {resource.type = 'fnfunc',resource.compartment.id =
'ocid1.compartment.oc1..aaaaaaaafml3tca3zcxyifmdff3aadp5uojimgx3cdnirgup6rhptxwnandq'}
        Esta regla implica que cualquier tipo de recurso denominado fnfunc en el compartimento especificado (con el ID especificado anteriormente) es miembro del grupo dinámico.

        Note:

        Consulte Tipos de recursos para obtener más información sobre los diferentes tipos de recursos.
      2. Una regla al agregar instancias para los principales de instancia:
        ALL { instance.compartment.id =
      'ocid1.compartment.oc1..aaaaaaaa4mlehopmvdluv2wjcdp4tnh2ypjz3nhhpahb4ss7yvxaa3be3diq'}

        Esta regla implica que cualquier instancia con el ID de compartimento especificado anteriormente es miembro del grupo dinámico.

      3. Una regla al utilizar API Gateway con funciones:
        ALL {resource.type = 'ApiGateway',resource.compartment.id =
      'ocid1.compartment.oc1..aaaaaaaafml3tca3zcxyifmdff3aadp5uojimgx3cdnirgup6rhptxwnandq'}

        Esta regla implica que cualquier tipo de recurso denominado ApiGateway en el compartimento especificado (con el ID especificado anteriormente) es miembro del grupo dinámico.

      4. Una regla al utilizar Container Instances:
        ALL {resource.type = 'computecontainerinstance', 
resource.compartment.id = 
'ocid1.compartment.oc1..aaaaaaaa4mlehopmvdluv2wjcdp4tnh2ypjz3nhhpahb4ss7yvxaa3be3diq'}

        Esta regla implica que cualquier tipo de recurso denominado computecontainerinstance en el compartimento especificado (con el ID especificado anteriormente) es miembro del grupo dinámico.

    Note:

    La herencia no se aplica a los grupos dinámicos. Al utilizar políticas de acceso de IAM, la política de un compartimento principal se aplica automáticamente a todos los compartimentos secundarios. Este no es el caso cuando se utilizan grupos dinámicos. Debe mostrar cada compartimento del grupo dinámico por separado para que el compartimento cumpla los requisitos.
    Ejemplo: regla de coincidencia para funciones para compartimentos principal-secundario:
    ALL {resource.type = 'fnfunc',
ANY{resource.compartment.id = '<parent-compid>',  resource.compartment.id = '<child-compid1>',
resource.compartment.id = '<child-compid2>', ...}}
  • Escriba sentencias de política para el grupo dinámico para permitir el acceso a los recursos de Oracle Cloud Infrastructure.
    • En la consola de Oracle Cloud Infrastructure, haga clic en Identity and Security y, a continuación, en Policies.
    • Para las políticas de un grupo dinámico, haga clic en Crear Política e introduzca un nombre y una descripción.
    • Utilice el Creador de política para crear una política. La sintaxis general de definir una política se muestra a continuación:
      Allow <subject> to <verb> <resource-type> in <location> where <conditions>
      • Sintaxis del asunto: uno o más grupos separados por comas por su nombre o su OCID.
      • Verbos: los valores son inspeccionar, leer, utilizar o gestionar.
      • resource-type: tipo de recurso individual, tipo de recurso de familia (como nosql-family) o todos los recursos.
      • compartimento: una ruta de compartimento o compartimento único por nombre u OCID
      Ejemplo: esta política permite al grupo dinámico nosql_application el acceso de uso fnfunc en el recurso del compartimento UATnosql.
      allow dynamic-group nosql_application to use  fnfunc in compartment UATnosql

      Ejemplo: esta política permite al grupo dinámico nosql_application el acceso manage en el recurso de familia nosql-family del compartimento UATnosql.

    • Haga clic en Crear. Consulte Gestionar políticas para obtener más información sobre políticas.