À propos de la configuration de groupes d'utilisateurs et de politiques

Oracle NoSQL Database Cloud Service utilise Oracle Cloud Infrastructure Identity and Access Management (IAM) pour fournir un accès sécurisé à Oracle Cloud. Le service IAM pour Oracle Cloud Infrastructure vous permet de créer des comptes d'utilisateur et d'accorder aux utilisateurs l'autorisation d'examiner, lire, utiliser ou gérer des tables.

La façon dont vous gérez les utilisateurs, les groupes et les groupes dynamiques pour Oracle NoSQL Database Cloud Service dépend du fait que votre compte en nuage ou votre location a été mis à jour ou non pour utiliser les domaines d'identité Oracle Cloud Infrastructure Identity and Access Management (IAM). Il est facile de déterminer à quel moment votre location OCI a été mise à jour pour utiliser les domaines d'identité IAM (Identity and Access Management).

La console OCI pour la location avec domaine d'identité est affichée ci-dessous.

Créer des utilisateurs dans OCI à l'aide de domaines d'identité IAM

La console OCI pour la location sans domaine d'identité est affichée ci-dessous.

Créer des utilisateurs dans OCI à l'aide d'IAM

Pour plus d'informations, voir Avez-vous accès aux domaines d'identité?

Configuration d'utilisateurs, de groupes, de groupes dynamiques et de politiques à l'aide de la gestion des identités et des accès

Oracle NoSQL Database Cloud Service utilise le service Oracle Cloud Infrastructure Identity and Access Management (IAM) pour fournir un accès sécurisé à Oracle Cloud. Le service IAM d'Oracle Cloud Infrastructure vous permet de créer des comptes d'utilisateur et d'accorder aux utilisateurs l'autorisation d'examiner, lire, utiliser ou gérer des tables.

Si vous êtes en train de vous authentifier en tant que principal d'utilisateur (à l'aide d'une clé de signature d'API), voir Configuration des utilisateurs, des groupes et des politiques. Sinon, si vous êtes en train de vous authentifier en tant que principal d'instance ou principal de ressource, voir Configuration d'un groupe dynamique et de politiques.

Configuration des utilisateurs, des groupes et des politiques

  1. Connectez-vous à votre compte en nuage en tant qu'administrateur de compte en nuage.
  2. Dans la console Oracle Cloud Infrastructure, ajoutez des utilisateurs.
    • Sélectionnez l'une des options suivantes en fonction de votre location (qu'il s'agisse de domaines d'identité ou non) :
      • Location avec domaines d'identité : Ouvrez le menu de navigation et cliquez sur identité et sécurité. Sous Identité, cliquez sur Domaines. Sélectionnez le domaine d'identité à utiliser et cliquez sur Utilisateurs.
      • Location sans domaine d'identité : Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Utilisateurs.
    • Cliquez sur Créer un utilisateur.
    • Entrez les détails de l'utilisateur et cliquez sur Créer.
  3. Dans la console Oracle Cloud Infrastructure, créez un groupe OCI.
    • Sélectionnez l'une des options suivantes en fonction de votre location (qu'il s'agisse de domaines d'identité ou non) :
      • Location avec domaines d'identité : Ouvrez le menu de navigation et cliquez sur identité et sécurité. Sous Identité, cliquez sur Domaines. Sélectionnez le domaine d'identité dans lequel vous voulez travailler et cliquez sur Groupes.
      • Location sans domaine d'identité : Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Groupes.
    • Cliquez sur Créer un groupe.
    • Entrez les détails du groupe. Par exemple, si vous créez une politique qui autorise les utilisateurs à gérer entièrement les tables Oracle NoSQL Database Cloud Service, vous pouvez nommer le groupe nosql_service_admin (ou similaire) et inclure une description abrégée telle que "Utilisateurs autorisés à configurer et gérer les tables Oracle NoSQL Database Cloud Service sur Oracle Cloud Infrastructure" (ou similaire).
  4. Créez une politique qui accorde aux utilisateurs appartenant à un groupe OCI des autorisations d'accès spécifiques aux tables ou aux compartiments Oracle NoSQL Database Cloud Service.
  5. Pour gérer et utiliser des tables NoSQL au moyen des trousses SDK pour Oracle NoSQL Database Cloud Service, l'utilisateur doit configurer les clés d'API. Voir Authentification pour la connexion à Oracle NoSQL Database.

    Note :

    Les utilisateurs fédérés peuvent également gérer et utiliser les tables Oracle NoSQL Database Cloud Service. Pour cela, l'administrateur du service doit configurer la fédération dans le service de gestion des identités et des accès pour Oracle Cloud Infrastructure. Voir Fédération avec les fournisseurs d'identités.

    Les utilisateurs appartenant à un groupe mentionné dans l'énoncé de politique obtiennent leur nouvelle autorisation lors de leur connexion suivante à la console.

Définition des groupes dynamiques et des règles

Avant d'appeler une ressource Oracle Cloud Infrastructure à l'aide de principaux de ressource ou de principaux d'instance, un administrateur de location Oracle Cloud Infrastructure doit créer des politiques, des groupes dynamiques et des règles Oracle Cloud Infrastructure qui définissent le principal de ressource ou les privilèges du principal d'instance.
  • Connectez-vous à votre compte en nuage en tant qu'administrateur de compte en nuage.
  • Dans la console Oracle Cloud Infrastructure, créez un groupe dynamique.
    • Sélectionnez l'une des options suivantes en fonction de votre location (qu'il s'agisse de domaines d'identité ou non) :
      • Location avec domaines d'identité : Ouvrez le menu de navigation et cliquez sur identité et sécurité. Sous Identité, cliquez sur Domaines. Sélectionnez le domaine d'identité dans lequel vous voulez travailler et cliquez sur Groupes dynamiques.
      • Location sans domaine d'identité : Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Groupes dynamiques.
    • Cliquez sur Créer un groupe dynamique et entrez un nom, une description et une règle, ou utilisez le générateur de règles pour ajouter une règle.
    • Cliquez sur Créer.
      Les ressources correspondant aux critères de la règle sont membres du groupe dynamique. Lorsque vous définissez une règle pour un groupe dynamique, déterminez quelle ressource aura accès aux autres ressources. Voici quelques exemples de création de règles :
      1. Une règle de correspondance pour les fonctions :
        ALL {resource.type = 'fnfunc',resource.compartment.id =
'ocid1.compartment.oc1..aaaaaaaafml3tca3zcxyifmdff3aadp5uojimgx3cdnirgup6rhptxwnandq'}
        Cette règle implique que tout type de ressource nommé fnfunc dans le compartiment indiqué (avec l'ID spécifié ci-dessus) est membre du groupe dynamique.

        Note :

        Voir Types de ressource pour plus d'informations sur les différents types de ressource.
      2. Règle lors de l'ajout d'instances pour les principaux d'instance :
        ALL { instance.compartment.id =
      'ocid1.compartment.oc1..aaaaaaaa4mlehopmvdluv2wjcdp4tnh2ypjz3nhhpahb4ss7yvxaa3be3diq'}

        Cette règle implique que toute instance ayant l'ID compartiment spécifié ci-dessus est membre du groupe dynamique.

      3. Une règle lors de l'utilisation du service de passerelle d'API avec des fonctions :
        ALL {resource.type = 'ApiGateway',resource.compartment.id =
      'ocid1.compartment.oc1..aaaaaaaafml3tca3zcxyifmdff3aadp5uojimgx3cdnirgup6rhptxwnandq'}

        Cette règle implique que tout type de ressource nommé ApiGateway dans le compartiment indiqué (avec l'ID spécifié ci-dessus) est membre du groupe dynamique.

      4. Une règle lors de l'utilisation d'instances de conteneur :
        ALL {resource.type = 'computecontainerinstance', 
resource.compartment.id = 
'ocid1.compartment.oc1..aaaaaaaa4mlehopmvdluv2wjcdp4tnh2ypjz3nhhpahb4ss7yvxaa3be3diq'}

        Cette règle implique que tout type de ressource nommé computecontainerinstance dans le compartiment indiqué (avec l'ID spécifié ci-dessus) est membre du groupe dynamique.

    Note :

    L'héritage ne s'applique pas aux groupes dynamiques. Lors de l'utilisation des politiques d'accès IAM, la politique d'un compartiment parent s'applique automatiquement à tous les compartiments enfants. Ce n'est pas le cas lorsque vous utilisez des groupes dynamiques. Vous devez lister chaque compartiment du groupe dynamique séparément pour que le compartiment soit admissible.
    Exemple : Règle de correspondance pour les fonctions des compartiments parent-enfant :
    ALL {resource.type = 'fnfunc',
ANY{resource.compartment.id = '<parent-compid>',  resource.compartment.id = '<child-compid1>',
resource.compartment.id = '<child-compid2>', ...}}
  • Écrivez des énoncés de politique pour le groupe dynamique permettant l'accès aux ressources Oracle Cloud Infrastructure.
    • Dans la console, Oracle Cloud Infrastructure, cliquez sur Identité et sécurité, puis cliquez sur Politiques.
    • Pour écrire des politiques pour un groupe dynamique, cliquez sur Créer une politique et entrez un nom et une description.
    • Utilisez le générateur de politiques pour créer une politique. La syntaxe générale de définition d'une politique est présentée ci-dessous :
      Allow <subject> to <verb> <resource-type> in <location> where <conditions>
      • Syntaxe de l'objet : Un ou plusieurs groupes séparés par des virgules, par leur nom ou leur OCID.
      • Verbes : Les valeurs sont inspect, read, use ou manage.
      • resource-type : Un type de ressource individuel, un type de ressource de famille (comme nosql-family) ou toutes les ressources.
      • compartiment : Un seul compartiment ou chemin d'accès au compartiment par nom ou OCID
      Exemple : Cette politique permet au groupe dynamique nosql_application d'utiliser l'accès fnfunc sur la ressource du compartiment UATnosql.
      allow dynamic-group nosql_application to use  fnfunc in compartment UATnosql

      Exemple : Cette politique autorise le groupe dynamique nosql_application à accéder à manage sur la ressource de famille nosql-family dans le compartiment UATnosql.

    • Cliquez sur Créer. Pour plus d'informations sur les politiques, voir Gérer les politiques.