À propos du modèle de sécurité d'Oracle NoSQL Database Cloud Service

Découvrez le modèle de sécurité pour Oracle NoSQL Database Cloud Service.

politiques

Oracle NoSQL Database Cloud Service utilise le modèle de sécurité Oracle Cloud Infrastructure Identity and Access Management basé sur les politiques. Une politique est un document indiquant qui peut accéder aux ressources Oracle Cloud Infrastructure, y compris les tables NoSQL de votre entreprise, et comment elles peuvent y accéder. Une politique permet à un groupe d'utiliser, de certaines manières, des types spécifiques de ressource telles que des tables NoSQL dans un compartiment particulier.

Pour régir le contrôle de vos tables, votre société aura au moins une politique. Chaque politique est constituée d'un ou de plusieurs énoncés qui suivent la syntaxe de base suivante :

Allow group <group_name> to <verb> <resource-type> in compartment <compartment_name>

Pour savoir comment fonctionnent les politiques, voir Aperçu des politiques dans la documentation sur Oracle Cloud Infrastructure.

Groupes

Dans Oracle Cloud Infrastructure Identity and Access Management, vous organisez les utilisateurs dans des groupes qui partagent généralement le même type d'accès à un jeu donné de tables NoSQL ou de compartiments.

Vous pouvez accorder l'accès aux tables NoSQL au niveau du groupe et du compartiment, en écrivant une politique qui donne à un groupe un type d'accès spécifique à un compartiment donné ou à la location elle-même. Si vous accordez à un groupe l'accès à la location, celui-ci obtient automatiquement le même type d'accès à tous les compartiments de la location. Par exemple, après avoir créé une table dans le compartiment ProjectA, vous devez écrire une politique pour accorder l'accès aux groupes qui doivent gérer ou utiliser les tables. Sinon, les tables ne sont même pas visibles pour les groupes qui n'y ont pas accès. Par exemple, pour autoriser le groupe Developer à gérer toutes les ressources NoSQL, vous pouvez créer la politique suivante :
allow group Developers to manage nosql-family in compartment ProjectA

Verbes

Un verbe indique le type d'accès accordé par la politique. Par exemple, inspect nosql-tables vous permet de répertorier les tables NoSQL. Inspecter, lire, utiliser et gérer les verbes pris en charge par le service Oracle NoSQL Database Cloud Service. Voir Verbes dans la documentation sur Oracle Cloud Infrastructure.

Types de ressource

Les ressources sont les objets en nuage créés et utilisés par les employés de votre société pour interagir avec Oracle Cloud Infrastructure. Oracle définit les types de ressource qu'il est possible d'utiliser dans des politiques. nosql-tables, nosql-rows et nosql-indexes sont les trois types de ressource individuels pris en charge par le service NoSQL Database Cloud.

En spécifiant un type de ressource dans une politique, vous accordez l'autorisation d'accès à ce type de ressource seulement. Par exemple, pour octroyer au groupe viewers (réviseurs) l'autorisation de lecture sur les rangées de toutes les tables NoSQL de la location :
allow group viewers to read nosql-rows in tenancy
Pour simplifier l'écriture de politiques, le service NoSQL Database Cloud fournit également un type de ressource agrégé nommé nosql-family. nosql-family inclut nosql-tables, nosql-indexes et nosql-rows, qui sont souvent gérés ensemble. Par exemple, pour accorder au groupe viewers (réviseurs) l'accès complet aux tables NoSQL de la location, vous pouvez écrire une politique semblable à la suivante :
allow group viewers to manage nosql-family in tenancy

Compartiments

Un compartiment est le composant principal d'Oracle Cloud Infrastructure. Vous pouvez organiser les ressources Oracle NoSQL Database Cloud Service dans des compartiments. Les compartiments sont utilisés pour séparer les tables afin de mesurer l'utilisation et la facturation, de définir l'accès et d'isoler les ressources entre les deux.

Note :

La location est le compartiment racine qui contient toutes les ressources Oracle Cloud Infrastructure de votre organisation.
All the Oracle Cloud Infrastructure Identity and Access Management resources, users, groups, compartments and policies are global and available across all regions, but the master set of definitions reside in a single region, the home region. Vous devez apporter toutes les modifications aux ressources IAM dans votre région principale. Pour en savoir plus sur les composants IAM, voir Aperçu du service Oracle Cloud Infrastructure Identity and Access Management. La note suivante fournit des informations sur la version de la documentation que vous devriez lire.

Note :

La façon dont vous gérez les utilisateurs et les groupes pour Oracle NoSQL Database Cloud Service dépend du fait que votre compte en nuage ou votre location se trouve ou non dans la région OCI qui a été mise à jour pour utiliser des domaines d'identité. Certaines régions OCI ont été mises à jour pour utiliser des domaines d'identité. Si vous avez un compte en nuage ou une location dans l'une de ces régions OCI, vous pouvez utiliser les domaines d'identité pour gérer les utilisateurs qui effectuent des tâches dans Oracle Cloud Infrastructure. Pour plus d'informations sur la configuration des utilisateurs et des groupes pour Oracle NoSQL Database Cloud Service, voir Configuration des utilisateurs, des groupes et des politiques à l'aide de la gestion des identités et des accès.

Conseil :

Il est facile de déterminer si votre région OCI a été mise à jour ou non pour utiliser les domaines d'identité IAM (Identity and Access Management). Pour plus d'informations, voir Avez-vous accès aux domaines d'identité?

Rubriques connexes