Créer des ressources Oracle Cloud

Voyez comment créer un compartiment, un VCN, un sous-réseau, des utilisateurs et des groupes d'utilisateurs avant de commencer à utiliser GoldenGate pour Oracle Cloud Infrastructure.

Créer un compartiment

Les compartiments vous permettent d'organiser vos ressources en nuage et d'en contrôler l'accès. Il s'agit de conteneurs logiques que vous pouvez utiliser pour regrouper des ressources en nuage connexes et permettre à des groupes d'utilisateurs spécifiques d'y accéder.

Lorsque vous vous inscrivez à Oracle Cloud Infrastructure, Oracle crée votre location, qui est le compartiment racine contenant toutes vos ressources en nuage. Vous créez ensuite des compartiments supplémentaires dans votre location, ainsi que des politiques pour contrôler l'accès aux ressources dans chaque compartiment.

Pour créer un compartiment :

1. Ouvrez le menu de navigation de la console Oracle Cloud, puis cliquez sur identité et sécurité.
2. Sous Identité, cliquez sur Compartiments. Une liste des compartiments auxquels vous avez accès s'affiche.
3. Naviguez jusqu'au compartiment dans lequel vous voulez créer le nouveau compartiment.
   • Pour créer le compartiment dans la location (compartiment racine), cliquez sur Créer un compartiment.
   • Pour créer le compartiment dans un compartiment autre que la location (compartiment racine), cliquez dans la hiérarchie de compartiments jusqu'à atteindre la page des détails du compartiment dans lequel vous voulez créer le compartiment. Dans la page Détails du compartiment, cliquez sur Créer un compartiment.
4. Dans la boîte de dialogue Créer un compartiment, remplissez les champs comme suit :
   1. Pour Nom, entrez un nom unique pour le compartiment, comportant 100 caractères au maximum (y compris des lettres, chiffres, points, tirets et traits de soulignement). Le nom doit être unique dans tous les compartiments de la location. Évitez d'entrer des informations confidentielles.
   2. Pour Description, entrez une description qui permet de distinguer le compartiment des autres.
   3. Pour compartiment parent, vérifiez qu'il s'agit du compartiment dans lequel vous voulez créer votre compartiment. Pour choisir un autre compartiment, sélectionnez-en un dans la liste déroulante.
   4. (Facultatif) Pour Espace de noms de marqueur, vous pouvez ajouter un marqueur à structure libre pour vous aider à rechercher vos ressources dans la console Oracle Cloud. Cliquez sur + Autre marqueur pour ajouter des marqueurs supplémentaires.
   5. Cliquez sur Créer un compartiment.

Une fois créé, votre compartiment apparaît dans la liste Compartiments. Vous pouvez maintenant créer des politiques et ajouter des ressources au compartiment.

Créer un réseau en nuage virtuel et un sous-réseau

Un réseau en nuage virtuel (VCN) est un réseau que vous configurez dans les centres de données Oracle Cloud Infrastructure d'une région particulière. Un sous-réseau est une subdivision d'un VCN.

OCI GoldenGate nécessite un VCN et au moins un sous-réseau privé avec une passerelle NAT. Une table de routage avec une règle de routage qui redirige le trafic vers la passerelle NAT pour le sous-réseau privé doit être disponible. Si vous voulez activer la connectivité à l'aide d'un point d'extrémité public, un sous-réseau public est également requis et le VCN doit inclure une passerelle Internet. Une table de routage avec une règle de routage qui redirige le trafic vers la passerelle Internet pour le sous-réseau public doit être disponible.

Pour créer un VCN et un sous-réseau :

1. ouvrez le menu de navigation de la console Oracle Cloud, cliquez sur Réseau, puis sélectionnez Réseaux en nuage virtuels.
2. Dans la page Réseaux en nuage virtuels, confirmez la sélection du compartiment ou sélectionnez un autre compartiment.
3. Dans le menu Actions, sélectionnez Démarrer l'Assistant VCN.
4. In the Start VCN Wizard panel, select Create VCN with Internet Connectivity, and then click Start VCN Wizard.
5. Dans la page Configuration, sous Informations de base, entrez un nom de VCN.
6. Pour Compartiment, sélectionnez le compartiment dans lequel créer ce VCN.
7. Cliquez sur Suivant.
8. Dans la page Vérifier et créer, vérifiez les détails de la configuration, puis cliquez sur Créer.

Cliquez sur Voir les détails d'un VCN pour vérifier qu'ils ont tous deux été créés.

Créer des utilisateurs

Créez des utilisateurs à ajouter aux groupes qui peuvent accéder à vos ressources GoldenGate pour OCI.

Avant de créer des utilisateurs, tenez compte des points suivants :

• La gestion des utilisateurs du déploiement OCI GoldenGate dépend du fait que votre location utilise ou non OCI IAM avec des domaines d'identité. Voir Gérer les utilisateurs des déploiements.
• Un nom ne doit être associé qu'à un seul utilisateur de votre location
• Les noms d'utilisateur ne peuvent pas être modifiés
• Les utilisateurs n'ont aucune autorisation tant qu'ils ne font pas partie d'un groupe

Pour créer des utilisateurs :

1. ouvrez le menu de navigation de la console Oracle Cloud, cliquez sur Identité et sécurité, puis, sous Identité, cliquez sur Domaines.
2. Dans la page Domaines, confirmez la sélection Compartiment ou passez à un autre compartiment.
3. Dans la liste Domaines, cliquez sur Par défaut pour accéder au domaine par défaut, ou cliquez sur Créer un domaine pour en créer un nouveau.
4. Sélectionnez le domaine dans la liste.
5. Dans la page des détails des domaines, cliquez sur Gestion des utilisateurs.
6. Dans la page Utilisateurs, cliquez sur Créer un utilisateur.
7. Dans la page Créer un utilisateur, remplissez les champs comme suit :
   1. Entrez le prénom, le nom et l'adresse de courriel de l'utilisateur, qui peuvent également être utilisés comme nom d'utilisateur.

      Note :

      Le nom doit être unique pour tous les utilisateurs de la location. Vous ne pouvez pas modifier cette valeur ultérieurement. Le nom d'utilisateur ne doit pas contenir d'espaces. Il peut uniquement être composé de lettres latines de base (ASCII), de chiffres, de tirets, de points, de traits de soulignement et des signes + et @.
   2. Pour Groupes, sélectionnez les groupes auxquels affecter l'utilisateur.
8. Cliquez sur Créer.

Vous pouvez ensuite ajouter l'utilisateur à un groupe et créer des politiques qui donnent à celui-ci l'accès à vos ressources. Pour plus d'informations sur les utilisateurs, voir Gestion des utilisateurs.

Créer des groupes

Un groupe est un ensemble d'utilisateurs qui ont besoin du même type d'accès à un jeu de ressources ou de compartiments.

Avant de créer un groupe, tenez compte des points suivants :

• Le nom du groupe doit être unique dans la location.
• Une fois créé, le nom du groupe ne peut pas être modifié.
• Un groupe ne dispose d'aucune autorisation, sauf si vous écrivez une politique qui donne au groupe une autorisation pour une location ou un compartiment.

Pour créer un groupe :

1. ouvrez le menu de navigation de la console Oracle Cloud, cliquez sur Identité et sécurité, puis, sous Identité, cliquez sur Domaines.
2. Dans la page Domaines, confirmez la sélection Compartiment ou modifiez le compartiment.
3. Sélectionnez un domaine dans la liste.
4. Dans la page des détails du domaine, cliquez sur Gestion des utilisateurs.
5. Sous Groupes, cliquez sur Créer un groupe.
6. Dans la page Create group :
   1. Dans Nom, entrez un nom pour le groupe.

      Note :

      Une fois le groupe créé, vous ne pouvez plus modifier son nom. Le nom du groupe doit être unique dans la location. Le nom du groupe peut comporter entre 1 et 100 caractères alphanumériques, en majuscules ou en minuscules et peut contenir des points et des tirets, mais pas d'espaces.
   2. Pour Description, entrez une description conviviale.
7. Sélectionnez si un utilisateur peut demander l'accès à ce groupe.
8. Dans la liste Utilisateurs, sélectionnez les utilisateurs à affecter à ce groupe.
9. Cliquez sur Créer.

Un groupe ne dispose d'aucune autorisation, sauf si vous écrivez une politique qui donne au groupe une autorisation pour une location ou un compartiment. Pour plus d'informations sur les groupes, voir Gestion des groupes.

Créer des politiques

Les politiques définissent les actions que les membres d'un groupe peuvent effectuer, et dans quels compartiments.

Utilisez la console Oracle Cloud pour créer des politiques. Dans le menu de navigation de la console Oracle Cloud, sélectionnez Identité et sécurité, puis sous Identité, et sélectionnez Politiques. Les politiques utilisent la syntaxe suivante :

allow group <identity-domain>/<group-name> to <verb> <resource-type> in <location> where <condition>

Les définitions de paramètre sont les suivantes :

• <identity-domain> : (Facultatif) Si vous utilisez le service GIA pour OCI pour la gestion des identités, indiquez le domaine d'identité du groupe d'utilisateurs. S'il est omis, OCI utilise le domaine par défaut.
• <group-name> : Nom du groupe d'utilisateurs auquel vous donnez des autorisations.
• <verb> : Donne au groupe un certain niveau d'accès à un type de ressource. Lorsque les verbes passent de inspect à read à use à manage, le niveau d'accès augmente et les autorisations accordées sont cumulatives.

  En savoir plus sur la relation entre les autorisations et les verbes.

• <resource-type> : Type de ressource pour lequel vous accordez une autorisation à un groupe. Il existe des ressources individuelles, comme goldengate-deployments, goldengate-pipelines et goldengate-connections, et des familles de ressources, comme goldengate-family, qui comprend les ressources individuelles mentionnées précédemment.

  Pour plus d'informations, voir Types de ressource

• <location> : Associe la politique à un compartiment ou à une location. Vous pouvez spécifier un seul compartiment ou chemin de compartiment par nom ou identificateur Oracle Cloud, ou tenancy pour couvrir l'ensemble de la location.
• <condition>: Facultatif. Une ou plusieurs conditions dans lesquelles cette politique sera appliquée.

En savoir plus sur la syntaxe des politiques.

Comment créer une politique

Pour créer une politique :

1. Dans le menu de navigation d'Oracle Cloud, sélectionnez Identité et sécurité, puis, sous Identifier, cliquez sur Politiques.
2. Dans la page Politiques, cliquez sur Créer une politique.
3. Dans la page Create Policy, entrez le nom et la description de la stratégie.
4. Sélectionnez le compartiment dans lequel créer cette politique.
5. Dans la section Générateur de politiques, vous pouvez l'un ou l'autre
   • Sélectionnez Service GoldenGate dans la liste déroulante Cas d'utilisation de politique et un modèle de politique commune, tel que Politiques requises pour permettre aux utilisateurs de gérer les ressources GoldenGate.
   • Cliquez sur Afficher l'éditeur manuel pour entrer une règle de politique dans le format suivant :

     allow <subject> to <verb> <resource-type> in <location> where <condition>

     Les conditions sont facultatives. Voir Détails pour les combinaisons Verbes + Type de ressource

   Conseil :

   Pour plus d'informations, voir Politiques recommandées minimales.
6. Cliquez sur Créer.

Pour plus d'informations sur les politiques, voir Fonctionnement des politiques, Syntaxe de politique et Informations de référence sur les politiques.

Politiques recommandées minimales

Conseil :

Pour utiliser un modèle de politique commun pour ajouter toutes les politiques requises :

1. Pour Cas d'utilisation de politique, sélectionnez Service GoldenGate dans la liste déroulante.
2. Pour Modèles d'utilisation commune, sélectionnez Politiques requises pour permettre aux utilisateurs de gérer les ressources GoldenGate dans la liste déroulante.

Au minimum, vous avez besoin de politiques pour :

• Autoriser les utilisateurs à utiliser ou à gérer les ressources GoldenGate afin qu'ils puissent travailler avec les déploiements et les connexions. Par exemple :

  allow group <identity-domain>/<group-name> to manage goldengate-family in <location>

• Permettre aux utilisateurs de gérer les ressources de réseau afin qu'ils puissent voir et sélectionner des compartiments et des sous-réseaux, et créer et supprimer des points d'extrémité privés lors de la création de ressources GoldenGate. Par exemple :

  allow group <identity-domain>/<group-name> to manage virtual-network-family in <location>

  Vous pouvez éventuellement sécuriser davantage les ressources réseau à l'aide d'une combinaison de politiques granulaires. Voir Exemples de politique pour sécuriser les ressources de réseau.

• Créez un groupe dynamique pour accorder des autorisations aux ressources en fonction de règles définies, ce qui permet à vos déploiements et/ou pipelines GoldenGate d'accéder aux ressources de votre location. Remplacez <dynamic-group-name> par le nom de votre choix. Vous pouvez créer autant de groupes dynamiques que nécessaire, par exemple, pour contrôler les autorisations dans les déploiements sur différents compartiments ou locations.

  name: <dynamic-group-name>
  Matching rule: ALL {resource.type = 'goldengatedeployment', resource.compartment.id = '<location>'}

  Conseil :

  Les politiques qui suivent dans cette liste font référence à <dynamic-group-name>. Si vous créez plusieurs groupes dynamiques, assurez-vous de faire référence au nom de groupe dynamique approprié lors de l'ajout de l'une des politiques suivantes.

• Si vous utilisez des connexions avec des clés secrètes de mot de passe, le déploiement que vous affectez à la connexion doit pouvoir accéder aux clés secrètes de mot de passe de la connexion. Assurez-vous d'ajouter la politique à votre compartiment ou location :

  allow dynamic-group <identity-domain>/<dynamic-group-name> to read secret-bundles in <location>

• Autoriser les utilisateurs à lire l'utilisateur et le groupe du service de gestion des identités et des accès (IAM) pour les validations dans les locations activées pour IAM :

  allow service goldengate to {idcs_user_viewer, domain_resources_viewer} in <location>

  allow dynamic-group <identity-domain>/<dynamic-group-name> to {idcs_user_viewer, domain_resources_viewer} in <location>

• Le service de chambre forte Oracle pour accéder aux clés de chiffrement et aux clés secrètes de mot de passe gérées par le client. Par exemple :

  allow group <identity-domain>/<group-name> to manage secret-family in <location>
  allow group <identity-domain>/<group-name> to use keys in <location>
  allow group <identity-domain>/<group-name> to use vaults in <location>
  allow dynamic-group <identity-domain>/<dynamic-group-name> to use keys in <location>
  allow dynamic-group <identity-domain>/<dynamic-group-name> to use vaults in <location> 
  allow dynamic-group <identity-domain>/<dynamic-group-name> to read secret-bundles in <location>

Selon que vous envisagez ou non d'utiliser les services suivants, il vous faudra ajouter des politiques pour :

• Le service de base de données, pour vos bases de données sources ou cible. Par exemple :

  allow group <identity-domain>/<group-name> to read database-family in <location>

  allow group <identity-domain>/<group-name> to read autonomous-database-family in <location>

• Oracle Object Storage, pour stocker les sauvegardes OCI GoldenGate manuelles et programmées. Par exemple :

  allow group <identity-domain>/<group-name> to manage objects in <location>
  allow dynamic-group <identity-domain>/<dynamic-group-name> to manage objects in <location> where target.bucket.name = '<bucket-name>'
  allow group <identity-domain>/<group-name> to inspect buckets in <location>

• Service de journalisation OCI, pour accéder aux groupes de journaux. Par exemple :

  allow group <identity-domain>/<group-name> to read log-groups in <location>
  allow group <identity-domain>/<group-name> to read log-content in <location>

• Équilibreur de charge, si vous activez l'accès public à la console de déploiement :

  allow group <identity-domain>/<group-name> to manage load-balancers in <location>
  allow group <identity-domain>/<group-name> to manage public-ips in <location> 
   
  allow group <identity-domain>/<group-name> to manage network-security-groups in <location>
  allow group <identity-domain>/<group-name> to manage vcns in <location> where ANY {request.operation = 'CreateNetworkSecurityGroup', request.operation = 'DeleteNetworkSecurityGroup'}
  

• Demandes de travail :

  allow group <identity-domain>/<group-name> to inspect work-requests in <location>

L'énoncé suivant autorise un groupe à gérer les espaces de noms de marqueur et les marqueurs pour les espaces de travail :

allow group <identity-domain>/<group-name> to manage tag-namespaces in <location>

Pour ajouter un marqueur défini, vous devez être autorisé à utiliser l'espace de noms de marqueur. Pour en savoir plus sur le marquage, voir Marqueurs de ressource.

Pour plus d'informations et des exemples de politique supplémentaires, voir Politiques GoldenGate pour OCI.

---

Informations sur le titre et les droits d'auteur

Copyright ©2022,

Oracle et/ou ses sociétés affiliées.