Gestión del acceso a tablas de Oracle NoSQL Database Cloud Service

Obtenga información sobre la escritura de políticas y la visualización de sentencias de políticas típicas que puede utilizar para autorizar el acceso a las tablas de Oracle NoSQL Database Cloud Service.

En este artículo se incluyen los siguientes temas:

Temas relacionados

Autenticación para conectarse a Oracle NoSQL Database

Acceso a tablas NoSQL en arrendamientos

En este tema se describe cómo escribir políticas que permitan el acceso de su arrendamiento a tablas NoSQL de otros arrendamientos.

Si no está familiarizado con las políticas, consulte Introducción a las políticas.

Políticas de arrendamiento combinado

Es posible que la organización desee compartir recursos con otra organización que tenga su propio arrendamiento. Podría ser otra unidad de negocio de la compañía, un cliente de la compañía, una compañía que presta servicios a su compañía, etc. En casos como estos, necesita políticas de arrendamiento combinado además de las políticas de usuario y servicio necesarias descritas anteriormente.

Para acceder a los recursos y compartirlos, los administradores de ambos arrendamientos deben crear sentencias de política especiales que determinen de forma explícita los recursos que se pueden compartir y a los que se puede acceder. Estas sentencias especiales usan las palabras Definir, Endorse y admitir.

Sentencias Endorse, Admitir y Definir

Esta es una visión general de los verbos especiales utilizados en sentencias de arrendamiento combinado:

Endorse: determina el juego general de capacidades que un grupo de su propio arrendamiento puede realizar en otros arrendamientos. La sentencia Endorse siempre corresponde al arrendamiento con el grupo de usuarios que cruzan los límites de otro arrendamiento para trabajar con los recursos de dicho arrendamiento. En los ejemplos, hace referencia a este arrendamiento como el origen.

Admit: determina el tipo de capacidad de su propio arrendamiento que desea otorgar a un grupo del otro arrendamiento. La declaración de admisión corresponde al arrendamiento que otorga la "admisión" en el arrendamiento. La sentencia Admit identifica el grupo de usuarios que requieren acceso al recurso desde el arrendamiento de origen y que se identifica con la sentencia Endorse correspondiente. En los ejemplos, hace referencia a este arrendamiento como el destino.

Define: asigna un alias a un OCID de arrendamiento para las sentencias de política de aprobación y admisión. También se necesita una sentencia Define en el arrendamiento de destino para asignar un alias al OCID del grupo de IAM de origen para las sentencias Admit.

Las sentencias Define se deben incluir en la misma entidad de política que la sentencia Endorse o de admisión. Las sentencias Endorse y Admit trabajan juntas, pero residen en políticas distintas, una en cada arrendamiento. Sin una declaración correspondiente que especifique el acceso, una declaración de aprobación o admisión en particular no otorga acceso. Necesita un acuerdo de ambos arrendamientos.

Note:

Además de las sentencias de política, también debe suscribirse a una región para compartir recursos entre regiones.

sentencias de política del arrendamiento de origen

El administrador de origen crea sentencias de política que avalan que un grupo de IAM de origen permita gestionar recursos en el arrendamiento de destino.

Note:

Las políticas entre arrendamientos también se pueden escribir con otros asuntos de política. Para obtener más información sobre temas de política, consulte Sintaxis de política en la documentación de Oracle Cloud Infrastructure.

A continuación se incluye un ejemplo de sentencia de política amplia que aprueba que el grupo NoSQLAdmins de IAM realice cualquier acción con todas las tablas NoSQL de cualquier arrendamiento:

Endorse group NoSQLAdmins to manage nosql-family in any-tenancy

Para escribir una política que reduzca el ámbito del acceso al arrendamiento, el administrador de destino debe proporcionar el OCID del arrendamiento de destino. Este es un ejemplo de una sentencia de política que aprueba que el grupo NoSQLAdmins de IAM gestione las tablas NoSQL solo en DestinationTenancy:

Define tenancy DestinationTenancy as ocid1.tenancy.oc1..<destination_tenancy_OCID>
Endorse group NoSQLAdmins to manage nosql-family in tenancy DestinationTenancy

sentencias de política del arrendamiento de destino

El administrador de destino crea sentencias de política que:

Definen el arrendamiento de origen y el grupo de IAM que puede acceder a los recursos de su arrendamiento. El administrador de origen debe proporcionar esta información.
Admite los orígenes definidos para acceder a las tablas NoSQL a las que desea permitir el acceso en su arrendamiento.

A continuación se incluye un ejemplo de sentencias de política que aprueban que el grupo de IAM NoSQLAdmins del arrendamiento de origen realice cualquier acción con todas las tablas NoSQL de su arrendamiento:

Define tenancy SourceTenancy as ocid1.tenancy.oc1..<source_tenancy_OCID>
Define group NoSQLAdmins as ocid1.group.oc1..<group_OCID>
Admit group NoSQLAdmins of tenancy SourceTenancy to manage nosql-family in tenancy

A continuación se incluye un ejemplo de sentencias de política que aprueban que el grupo de IAM NoSQLAdmins del arrendamiento de origen gestione las tablas NoSQL solo del compartimento Develop:

Define tenancy SourceTenancy as ocid1.tenancy.oc1..<source_tenancy_OCID>
Define group NoSQLAdmins as ocid1.group.oc1..<group_OCID>
Admit group NoSQLAdmins of tenancy SourceTenancy to manage nosql-family in compartment Develop

Cómo otorgar permiso a otro usuario para gestionar tablas NoSQL

Al activar el pedido de Oracle NoSQL Database Cloud Service, usted (el primer usuario) se encuentra en el grupo de administradores por defecto. Estar en el grupo de administradores ofrece todos los privilegios de administración en Oracle Cloud Infrastructure para que se puedan gestionar tablas de Oracle NoSQL Database Cloud Service y mucho más. No es necesaria la delegación de esta responsabilidad, pero, si lo desea, puede otorgar a otras personas privilegios para crear y gestionar tablas de Oracle NoSQL Database Cloud Service a través del permiso manage nosql-tables.

En Oracle Cloud Infrastructure, puede utilizar las políticas de seguridad de IAM para otorgar permisos. En primer lugar, debe agregar el usuario a un grupo y, a continuación, crear una política de seguridad que otorgue al grupo el permiso manage nosql-tables en un compartimento específico o en el arrendamiento ( cualquier compartimento del arrendamiento). Por ejemplo, puede crear una sentencia de política con un aspecto parecido al siguiente:

allow group MyAdminGroup to manage nosql-tables in tenancy

allow group MyAdminGroup to manage nosql-tables in compartment MyOracleNoSQL

Para saber cómo crear sentencias de política de seguridad específicamente para Oracle NoSQL Database Cloud Service, consulte Configuración de usuarios, grupos y políticas mediante Identity and Access Management.

Sentencias de política típicas para gestionar tablas

Estas son sentencias de política típicas que puede utilizar para autorizar el acceso a las tablas de Oracle NoSQL Database Cloud Service.

Al crear una política para su arrendamiento, puede otorgar a los usuarios acceso a todos los compartimentos mediante una herencia de política. También puede restringir el acceso a compartimentos o tablas individuales de Oracle NoSQL Database Cloud Service.

Ejemplo: para permitir que el grupo de administradores gestione totalmente cualquier tabla de Oracle NoSQL Database Cloud Service

allow group Administrators to manage nosql-tables in tenancy
allow group Administrators to manage nosql-rows in tenancy
allow group Administrators to manage nosql-indexes in tenancy

Ejemplo: para permitir que el grupo de administradores realice cualquier operación con respecto a las tablas NoSQL en el desarrollo de compartimento, utilice el tipo de recurso de familia.

allow group Admins to manage nosql-family in compartment Dev

Ejemplo: para permitir que el grupo de analistas realice operaciones de solo lectura con las tablas NoSQL en el desarrollo de compartimento

allow group Analytics to read nosql-rows in compartment Dev

Ejemplo: para permitir solo a Joe, del grupo de desarrolladores, crear, obtener y borrar los índices de las tablas NoSQL en el desarrollo de compartimento

allow group Developer to manage nosql-indexes in compartment Dev 
where request.user.id = '<OCID of Joe>'

Ejemplo: para permitir al grupo de administradores crear, borrar y mover tablas NoSQL solo, pero no modificar en el desarrollo de compartimento.

allow group Admins to manage nosql-tables in compartment Dev 
where any {request.permission = 'NOSQL_TABLE_CREATE', 
           request.permission = 'NOSQL_TABLE_DROP', 
           request.permission = 'NOSQL_TABLE_MOVE'}

Ejemplo: para permitir al grupo de desarrolladores leer, actualizar y suprimir filas de la tabla "customer" en el desarrollo de compartimento, pero no otras.

allow group Developer to manage nosql-rows in compartment Dev 
where target.nosql-table.name = 'customer'

Título e Información de Copyright

Gestión del acceso a tablas de Oracle NoSQL Database Cloud Service

Oracle y/o sus filiales.