À propos du modèle de sécurité du service Oracle NoSQL Database Cloud
Découvrez le modèle de sécurité du service Oracle NoSQL Database Cloud.
Politiques
Oracle NoSQL Database Cloud Service utilise le modèle de sécurité Oracle Cloud Infrastructure Identity and Access Management basé sur les politiques. Une politique est un document précisant les personnes pouvant accéder aux ressources Oracle Cloud Infrastructure, y compris les tables NoSQL, dont dispose votre entreprise, ainsi que la méthode d'accès. Une politique permet à un groupe d'utiliser de certaines façons des types spécifiques de ressource telle que des tables NoSQL dans un compartiment particulier.
Pour régir le contrôle de vos tables, votre société aura au moins une politique. Chaque politique est constituée d'un ou plusieurs énoncés qui suivent la syntaxe de base ci-dessous :
Allow group <group_name> to <verb> <resource-type> in compartment <compartment_name>
Pour en savoir plus sur le fonctionnement des politiques, voir Aperçu des politiques dans la documentation sur Oracle Cloud Infrastructure.
Groupes
Dans le service de gestion des identités et des accès d'Oracle Cloud Infrastructure Identity and Access Management, vous organisez les utilisateurs dans des groupes qui partagent généralement le même type d'accès à un jeu particulier de tables NoSQL ou de compartiments.
Vous pouvez accorder l'accès aux tables NoSQL au niveau du groupe et du compartiment, en écrivant une politique qui donne à un groupe un type d'accès spécifique à un compartiment donné ou à la location elle-même. Si vous accordez à un groupe l'accès à la location, celui-ci obtient automatiquement le même type d'accès à tous les compartiments de la location. Par exemple, après avoir créé une table dans le compartiment ProjectA, vous devez écrire une politique pour accorder l'accès aux groupes qui doivent gérer ou utiliser les tables. Sinon, les tables ne sont même pas visibles pour les groupes qui n'y ont pas accès. Par exemple, pour autoriser le groupe Developers à gérer toutes les ressources NoSQL, vous pouvez créer la politique suivante :
allow group Developers to manage nosql-family in compartment ProjectA
Verbes
Un verbe indique le type d'accès accordé par la politique. Par exemple, inspect nosql-tables vous permet de répertorier les tables NoSQL. Les verbes inspect, read, use et manage sont pris en charge par Oracle NoSQL Database Cloud Service. Voir Verbes dans la documentation sur Oracle Cloud Infrastructure.
Types de ressource
Les ressources sont les objets en nuage que les employés de votre société créent et utilisent pour interagir avec Oracle Cloud Infrastructure (OCI). Oracle définit les types de ressource que vous pouvez utiliser dans des politiques. nosql-tables, nosql-rows et nosql-indexes sont les trois types de ressource individuels pris en charge par le service NoSQL Database Cloud.
En spécifiant un type de ressource dans une politique, vous accordez l'autorisation d'accès à ce type de ressource seulement. Par exemple, pour accorder au groupe viewers (réviseurs) l'autorisation de lecture sur les rangées de toutes les tables NoSQL de la location, vous pouvez créer une politique semblable à la suivante :
allow group viewers to read nosql-rows in tenancy
Pour simplifier l'écriture de politiques, le service NoSQL Database Cloud fournit également un type de ressource agrégé nommé nosql-family. nosql-family inclut nosql-tables, nosql-indexes et nosql-rows, qui sont souvent gérés ensemble. Par exemple, pour accorder au groupe viewers (réviseurs) l'accès complet aux tables NoSQL de la location, vous pouvez écrire une politique semblable à la suivante :
allow group viewers to manage nosql-family in tenancy
Compartiments
Un compartiment est le composant principal d'Oracle Cloud Infrastructure. Vous pouvez organiser les ressources Oracle NoSQL Database Cloud Service dans des compartiments. Les compartiments servent à séparer les tables pour mesurer l'utilisation et la facturation, définir l'accès et isoler les ressources entre les différents projets ou unités d'affaires.
Note : La location est le compartiment racine qui contient toutes les ressources Oracle Cloud Infrastructure de votre organisation.
L'ensemble des ressources, utilisateurs, groupes, compartiments et politiques du service Oracle Cloud Infrastructure Identity and Access Management sont globaux et disponibles dans toutes les régions, mais le jeu de définitions principal réside dans une seule région, la région principale. Toutes les modifications apportées aux ressources IAM doivent être effectuées dans votre région principale. Pour en savoir plus sur les composants IAM, voir Aperçu du service de gestion des identités et des accès pour Oracle Cloud Infrastructure. La note suivante fournit des informations sur la version de la documentation que vous devez lire.
Note : La façon dont vous gérez les utilisateurs et les groupes pour Oracle NoSQL Database Cloud Service dépend du fait que votre compte ou votre location en nuage se trouve ou non dans la région OCI qui a été mise à jour pour utiliser les domaines d'identité. Certaines régions OCI ont été mises à jour pour utiliser des domaines d'identité. Si vous avez un compte ou une location en nuage dans l'une de ces régions OCI, vous pouvez utiliser les domaines d'identité pour gérer les utilisateurs qui effectuent des tâches dans Oracle Cloud Infrastructure. Pour plus d'informations sur la configuration des utilisateurs et des groupes pour le service Oracle NoSQL Database Cloud Service, voir Configuration d'utilisateurs, de groupes et de politiques à l'aide du service de gestion des identités et des accès.
Conseil :
Il est facile de déterminer si votre région OCI a été mise à jour pour utiliser les domaines d'identité du service de gestion des identités et des accès (IAM). Pour plus d'informations, voir Avez-vous accès aux domaines d'identité?