Documentation sur Oracle Cloud Infrastructure

Créer des groupes et des politiques de gestion des identités et des accès pour les utilisateurs GIA

Décrit les étapes d'écriture des énoncés de politique pour un groupe IAM afin de permettre aux utilisateurs IAM d'accéder aux ressources Oracle Cloud Infrastructure, en particulier aux instances Autonomous AI Database.

Une politique est un groupe d'énoncés spécifiant qui peut accéder à quelles ressources, et comment. L'accès peut être accordé pour l'ensemble de la location, des bases de données dans un compartiment ou des bases de données individuelles. Autrement dit, vous écrivez un énoncé de politique qui donne à un groupe spécifique un type d'accès spécifique à un type de ressource spécifique dans un compartiment spécifique.

Note

La définition d'une politique est requise pour utiliser des jetons IAM pour accéder à la base de données d'IA autonome. Aucune politique n'est requise lors de l'utilisation des mots de passe de base de données IAM pour accéder à la base de données IA autonome.

Pour permettre aux utilisateurs IAM de se connecter à la base de données à l'aide de jetons IAM :

  1. Effectuez les préalables du service de gestion des identités et des accès pour Oracle Cloud Infrastructure en créant un groupe et en ajoutant des utilisateurs au groupe.

    Par exemple, créez le groupe sales_dbusers.

    Pour plus d'informations, voir Gestion des groupes.

  2. Écrivez des énoncés de politique pour permettre l'accès aux ressources Oracle Cloud Infrastructure.
    1. Dans la console Oracle Cloud Infrastructure, cliquez sur Identité et sécurité.
    2. Sous Identité et sécurité, cliquez sur Politiques.
    3. Pour une politique d'écriture, cliquez sur Créer une politique.
    4. Dans la page Create Policy, entrez un nom et une description.
    5. Dans la page Créer une politique, sélectionnez Afficher l'éditeur manuel.
    6. Utilisez le générateur de politiques pour créer une politique.

      Par exemple, pour créer une politique permettant aux utilisateurs du groupe IAM DBUsers d'accéder à n'importe quelle base de données d'IA autonome dans leur location : 

      Allow group DBUsers to use autonomous-database-family in tenancy
      Par exemple pour créer une politique autorisant les membres du groupe DBUsers à accéder uniquement aux bases de données du service d'intelligence artificielle autonome dans le compartiment testing_compartment :
      allow group DBUsers to use autonomous-database-family in compartment testing_compartment
      Par exemple, pour créer une politique qui restreint l'accès d'un groupe à une seule base de données d'un compartiment :
      allow group DBUsers to use autonomous-database-family in compartment testing_compartment 
               where target.id = 'ocid1.autonomousdatabase.oc1.iad.aaaabbbbcccc...b5678ca'

      Pour plus d'informations sur les politiques IAM permettant d'accéder à la base de données, voir Création d'une politique IAM pour autoriser les utilisateurs à s'authentifier avec des jetons dans le guide sur la sécurité de la base de données.

    7. Cliquez sur Créer.

      Pour plus d'informations sur les politiques, voir Gestion des politiques.

Notes pour la création de politiques à utiliser avec les utilisateurs IAM sur Autonomous AI Database :

  • Les politiques peuvent permettre aux utilisateurs IAM d'accéder aux instances Autonomous AI Database sur l'ensemble de la location, dans un compartiment, ou de limiter l'accès à une seule instance Autonomous AI Database.

  • Vous pouvez utiliser le principal d'instance ou le principal de ressource pour extraire des jetons de base de données afin d'établir une connexion entre votre application et une instance de base de données du service d'intelligence artificielle autonome. Si vous utilisez un principal d'instance ou de ressource, vous devez mapper un groupe dynamique. Ainsi, vous ne pouvez pas mapper exclusivement des principaux d'instance et de ressource; vous pouvez uniquement les mapper au moyen d'un mappage partagé et placer le principal d'instance ou de ressource dans un groupe dynamique GIA.

    Vous pouvez créer des groupes dynamiques et les référencer dans les politiques que vous créez pour accéder à Oracle Cloud Infrastructure. Voir Configurer des politiques et des rôles pour accéder aux ressources et Gestion des groupes dynamiques pour plus de détails.