Acerca de cómo configurar grupos de usuarios y políticas

Oracle NoSQL Database Cloud Service utiliza Oracle Cloud Infrastructure Identity and Access Management (IAM) para proporcionar acceso seguro a Oracle Cloud. Oracle Cloud Infrastructure IAM le permite crear cuentas a los usuarios y proporcionar a los usuarios permiso para inspeccionar, leer, utilizar o gestionar tablas.

La forma de gestionar usuarios, grupos y grupos dinámicos para Oracle NoSQL Database Cloud Service depende de si su arrendamiento o cuenta en la nube se ha actualizado o no para utilizar los dominios de identidad de Oracle Cloud Infrastructure Identity and Access Management (IAM). Es fácil determinar cuándo se ha actualizado su arrendamiento de OCI para utilizar dominios de identidad de Identity and Access Management (IAM).

A continuación, se muestra la consola de OCI para el arrendamiento con dominio de identidad.

A continuación se muestra la consola de OCI para el arrendamiento sin dominio de identidad.

Para obtener más información, consulte ¿Tiene acceso a dominios de identidad?

Configuración de usuarios, grupos y políticas dinámicas mediante Identity and Access Management

Oracle NoSQL Database Cloud Service utiliza Oracle Cloud Infrastructure Identity and Access Management (IAM) para proporcionar acceso seguro a Oracle Cloud. Oracle Cloud Infrastructure IAM le permite crear cuentas a los usuarios y proporcionar a los usuarios permiso para inspeccionar, leer, utilizar o gestionar tablas.

Si se está autenticando como principal de usuario (mediante la clave de firma de API), consulte Configuración de usuarios, grupos y políticas. Como alternativa, si se está autenticando como entidad de instancia o entidad de recurso, consulte Configuración de políticas y grupos dinámicos.

Definición de usuarios, grupos y políticas

1. Inicie sesión en su cuenta de Cloud como administrador del servicio de la cuenta de Cloud.

2. En la consola de Oracle Cloud Infrastructure, agregue uno o más usuarios.

   • Seleccione una de las siguientes opciones según su arrendamiento (ya sea que tenga dominios de identidad o no tenga dominios de identidad):

     • Arrendamiento con dominios de identidad: realice lo siguiente:

       • Abra el menú de navegación y seleccione Identity & Security.

       • En Identidad, seleccione Dominios. Se abrirá la página Dominios.

       • Seleccione el filtro Compartimento junto a Filtros aplicados. Seleccione el compartimento en la lista desplegable y seleccione Aplicar filtro.

       • Seleccione el dominio de identidad en el que desea trabajar. En el separador Gestión de usuarios, vaya a la sección Usuarios.

     • Arrendamiento sin dominios de identidad: abra el menú de navegación y seleccione Identidad y seguridad. En Identidad, seleccione Usuarios.

   • Seleccione Crear.

   • Introduzca los detalles sobre el usuario y seleccione Crear.

3. En la consola de Oracle Cloud Infrastructure, cree un grupo de OCI.

   • Seleccione una de las siguientes opciones según su arrendamiento (ya sea que tenga dominios de identidad o no tenga dominios de identidad):

     • Arrendamiento con dominios de identidad: realice lo siguiente:

       • Abra el menú de navegación y seleccione Identity & Security.

       • En Identidad, seleccione Dominios. Esto abre la página Dominios.

       • Seleccione el filtro Compartimento junto a Filtros aplicados. Seleccione el compartimento en la lista desplegable y seleccione Aplicar filtro.

       • Seleccione el dominio de identidad en el que desea trabajar. En el separador Gestión de usuarios, desplácese hacia abajo hasta la sección Grupos.

     • Arrendamiento sin dominios de identidad: abra el menú de navegación y seleccione Identidad y seguridad. En Identidad, seleccione Grupos.

   • Seleccione Crear grupo.

   • Introduzca detalles acerca del grupo. Por ejemplo, si está creando una política que proporciona a los usuarios permisos para gestionar completamente las tablas de Oracle NoSQL Database Cloud Service, puede asignarle un nombre al grupo nosql_service_admin (o similar) e incluir una descripción breve como "Usuarios con permisos para configurar y gestionar tablas de Oracle NoSQL Database Cloud Servicetables en Oracle Cloud Infrastructure" (o similar).

   • Seleccione Crear.

4. Cree una política que ofrecida a los usuarios de un grupo de OCI permisos de acceso específicos a las tablas o compartimentos de Oracle NoSQL Database Cloud Service.

   • Abra el menú de navegación y seleccione Identity & Security.

   • En Identidad, seleccione Políticas.

   • Seleccione el filtro Compartimento junto a Filtros aplicados. Seleccione el compartimento en la lista desplegable y seleccione Aplicar filtro.

   • Seleccione Crear política.

     Para obtener información y ejemplos, consulte Referencia de políticas y Sentencias de política típicas para gestionar tablas.

     Si no sabe cómo funcionan las políticas, consulte Cómo funcionan las políticas.

5. Para gestionar y utilizar tablas NoSQL mediante el SDK de Oracle NoSQL Database Cloud Service, el usuario debe configurar las claves de API. Consulte Autenticación para conectarse a Oracle NoSQL Database.

Nota: Los usuarios federados también pueden gestionar y usar tablas de Oracle NoSQL Database Cloud Service. Para ello es necesario que el administrador del servicio configure la federación en Oracle Cloud Infrastructure Identity and Access Management. Consulte Federación con proveedores de identidad.

Los usuarios que pertenezcan a cualquiera de los grupos mencionados en la sentencia de política obtienen su nuevo permiso al conectarse a la consola.

Configuración de políticas y grupos dinámicos

Antes de realizar una llamada a un recurso de Oracle Cloud Infrastructure mediante entidades de recurso o entidades de instancia, un administrador de arrendamiento de Oracle Cloud Infrastructure debe crear políticas, grupos dinámicos y reglas de Oracle Cloud Infrastructure que definan la entidad de recurso o los privilegios de entidad de instancia.

• Inicie sesión en su cuenta de Cloud como administrador del servicio de la cuenta de Cloud.

• En la consola de Oracle Cloud Infrastructure, cree una agrupación dinámica.

  • Seleccione una de las siguientes opciones según su arrendamiento (ya sea que tenga dominios de identidad o no tenga dominios de identidad):

    • Arrendamiento con dominios de identidad:

      • Abra el menú de navegación y seleccione Identity & Security.

      • En Identidad, seleccione Dominios. Esto abre la página Dominios.

      • Seleccione el filtro Compartimento junto a Filtros aplicados. Seleccione el compartimento en la lista desplegable y seleccione Aplicar filtro.

      • Seleccione el dominio de identidad en la que desea trabajar y seleccione el separador Grupos dinámicos.

    • Arrendamiento sin dominios de identidad: abra el menú de navegación y seleccione Identidad y seguridad. En Identidad, seleccione Grupos dinámicos.

  • Seleccione Crear grupo dinámico e introduzca un nombre, una descripción y una regla, o bien utilice Rule Builder para agregar una regla.

  • Seleccione Crear.

  Los recursos que cumplen los criterios de las reglas son miembros del grupo dinámico. Al definir una regla para un grupo dinámico, considere qué recurso se va a otorgar acceso a otros recursos. Algunos ejemplos de creación de reglas:

  1. Regla de confrontación para funciones:

     ALL {resource.type = 'fnfunc',resource.compartment.id =
         'ocid1.compartment.oc1..aaaaaaaafml3tca3zcxyifmdff3aadp5uojimgx3cdnirgup6rhptxwnandq'}

     Esta regla implica que cualquier tipo de recurso denominado fnfunc en el compartimento especificado (con el ID especificado anteriormente) es un miembro del grupo dinámico.

     Nota: Consulte Tipos de recursos para obtener más información sobre los diferentes tipos de recursos.

  2. Una regla al agregar instancias para los principales de instancia:

     ALL { instance.compartment.id =
           'ocid1.compartment.oc1..aaaaaaaa4mlehopmvdluv2wjcdp4tnh2ypjz3nhhpahb4ss7yvxaa3be3diq'}

     Esta regla implica que cualquier instancia con el ID de compartimento especificado anteriormente es un miembro del grupo dinámico.

  3. Una regla al utilizar API Gateway con funciones:

     ALL {resource.type = 'ApiGateway',resource.compartment.id =
           'ocid1.compartment.oc1..aaaaaaaafml3tca3zcxyifmdff3aadp5uojimgx3cdnirgup6rhptxwnandq'}

     Esta regla implica que cualquier tipo de recurso denominado ApiGateway en el compartimento especificado (con el ID especificado anteriormente) es un miembro del grupo dinámico.

  4. Una regla al utilizar Container Instances:

     ALL {resource.type = 'computecontainerinstance',
     resource.compartment.id =
     'ocid1.compartment.oc1..aaaaaaaa4mlehopmvdluv2wjcdp4tnh2ypjz3nhhpahb4ss7yvxaa3be3diq'}

     Esta regla implica que cualquier tipo de recurso denominado computecontainerinstance en el compartimento especificado (con el ID especificado anteriormente) es un miembro del grupo dinámico.

  Nota: La herencia no se aplica a los grupos dinámicos. Al utilizar políticas de acceso de IAM, la política de un compartimento principal se aplica automáticamente a todos los compartimentos secundarios. Esto no sucede cuando se utilizan grupos dinámicos. Debe mostrar cada compartimento del grupo dinámico por separado para que el compartimento cumpla los requisitos.

  Ejemplo: regla de coincidencia para las funciones de los compartimentos principal-secundario:

  ALL {resource.type = 'fnfunc',
  ANY{resource.compartment.id = '<parent-compid>', resource.compartment.id = '<child-compid1>',
  resource.compartment.id = '<child-compid2>', ...}}

• Escribir sentencias de política para el grupo dinámico para permitir el acceso a los recursos de Oracle Cloud Infrastructure.

  • En la consola de Oracle Cloud Infrastructure, seleccione Identidad y seguridad y seleccione Políticas.

  • Seleccione el filtro Compartimento junto a Filtros aplicados. Seleccione el compartimento en la lista desplegable y seleccione Aplicar filtro.

  • Para escribir políticas para un grupo dinámico, seleccione Crear política e introduzca un nombre y una descripción.

  • Utilice el creador de políticas para crear una política. A continuación, se muestra la sintaxis general de la definición de una política:

    Allow <subject> to <verb> <resource-type> in <location> where <conditions>

    • Sintaxis del asunto: uno o más grupos con comas separados por nombre u OCID.

    • Verbos: los valores son inspeccionar, leer, utilizar o gestionar.

    • resource-type: un tipo de recurso individual, un tipo de recurso de familia (como nosql-family) o todos los recursos.

    • compartimento: ruta única de compartimento u compartimento por su nombre u OCID

    Ejemplo: esta política permite al grupo dinámico nosql_application utilizar el acceso fnfunc en el recurso del compartimento UATnosql.

    allow dynamic-group nosql_application to use  fnfunc in compartment UATnosql

    Ejemplo: esta política permite al grupo dinámico nosql_application el acceso manage en el recurso de familia nosql-family en el compartimento UATnosql.

  • Seleccione Crear. Consulte Gestión de políticas para más información sobre las políticas.