Documentation sur Oracle Cloud Infrastructure

Principaux de ressources

Les systèmes de base de données peuvent utiliser des principaux de ressource pour l'authentification et l'accès à d'autres ressources Oracle Cloud Infrastructure. Pour utiliser des principaux de ressource, vous ou l'administrateur de votre location devez définir les politiques Oracle Cloud Infrastructure et les groupes dynamiques qui permettent aux principaux d'accéder aux ressources Oracle Cloud Infrastructure.

Le principal de ressource est utilisé dans les fonctions suivantes du service HeatWave :

  • Utilisation de votre propre certificat : Permet aux systèmes de base de données de lire les certificats définis dans le service de certificats pour Oracle Cloud Infrastructure (OCI).
  • Groupes de sécurité de réseau : Permet aux systèmes de base de données ou aux répliques de lecture d'utiliser les règles de sécurité de réseau spécifiées dans un ou plusieurs groupes de sécurité de réseau.
  • HeatWave Entrepôt avec lac de données : Permet aux systèmes de base de données de lire des données à partir du stockage d'objets.
  • Exportation des résultats d'interrogation vers le stockage d'objets : Permet au service HeatWave d'exporter les résultats d'interrogation vers le stockage d'objets.
  • Accès au service d'intelligence artificielle générative pour OCI : Permet à HeatWave GenAI d'utiliser tous les modèles fondamentaux préentraînés disponibles dans le service d'intelligence artificielle générative pour OCI.

Les principaux de ressource comportent deux composants :

Groupes dynamiques

Les groupes dynamiques vous permettent de regrouper des systèmes de base de données de service HeatWave en tant qu'acteurs principaux, similaires aux groupes d'utilisateurs.

Vous pouvez ensuite créer des politiques pour permettre aux systèmes de base de données des groupes dynamiques d'effectuer des appels d'API pour les services Oracle Cloud Infrastructure, tels que les certificats ou le stockage d'objets. L'adhésion au groupe est déterminée par un jeu de critères que vous définissez, appelés règles de correspondance.

L'exemple suivant présente une règle de correspondance incluant tous les systèmes de base de données du compartiment défini :
"ALL{resource.type='mysqldbsystem', resource.compartment.id = 'ocid1.compartment.oc1..alphanumericString'}"

Pour plus d'informations, voir Création des règles de correspondance pour définir des groupes dynamiques.

Les groupes dynamiques nécessitent un nom, une description et une règle de correspondance. Voir Création d'un groupe dynamique.

Politiques

Les stratégies définissent ce que vos groupes ou groupes dynamiques peuvent ou ne peuvent pas faire.

Définition d'une politique d'utilisation d'un certificat

Pour que les systèmes de base de données puissent accéder aux certificats à partir du service de certificats, vous devez définir une politique qui autorise le groupe dynamique à lire les certificats.

Par exemple, la politique suivante accorde au groupe dynamique MYSQL_DG l'autorisation de lire les certificats de sécurité dans le compartiment C8 : 
Allow dynamic-group MYSQL_DG to read leaf-certificate-family in compartment C8

Définition d'une politique pour les groupes de sécurité de réseau

Pour ajouter des groupes de sécurité de réseau à des systèmes de base de données ou à des répliques de lecture, vous devez définir une politique qui autorise le groupe dynamique à utiliser les autorisations suivantes :
  • NETWORK_SECURITY_GROUP_UPDATE_MEMBERS dans le compartiment contenant les groupes de sécurité de réseau
  • VNIC_CREATE, VNIC_UPDATE, VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP, VNIC_DISASSOCIATE_NETWORK_SECURITY_GROUP, VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP dans le compartiment du sous-réseau du système de base de données.
Par exemple, les politiques suivantes accordent au groupe dynamique MYSQL_DG les autorisations requises pour utiliser les groupes de sécurité de réseau du compartiment C8 avec le sous-réseau du système de base de données du compartiment C9 :
Allow dynamic-group MYSQL_DG to {NETWORK_SECURITY_GROUP_UPDATE_MEMBERS} 
    in compartment C8
Allow dynamic-group MYSQL_DG to {VNIC_CREATE, VNIC_UPDATE, VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP, 
    VNIC_DISASSOCIATE_NETWORK_SECURITY_GROUP} in compartment C9
Vous pouvez également créer les politiques suivantes qui intègrent les principaux sans utiliser de groupe dynamique :
Allow any-user to {NETWORK_SECURITY_GROUP_UPDATE_MEMBERS} in compartment C8 where all 
    {request.principal.type='mysqldbsystem', request.resource.compartment.id='ocid1.compartment.oc1..alphanumericString'}
Allow any-user to {VNIC_CREATE, VNIC_UPDATE, VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP, 
    VNIC_DISASSOCIATE_NETWORK_SECURITY_GROUP} in compartment C9 where all 
    {request.principal.type='mysqldbsystem', request.resource.compartment.id='ocid1.compartment.oc1..alphanumericString'}

Définition d'une politique pour l'entrepôt avec lac de données HeatWave

Pour que l'entrepôt avec lac de données HeatWave puisse accéder au stockage d'objets, vous devez définir une politique qui permet au groupe dynamique d'accéder aux seaux et à leur contenu.

Par exemple, la politique suivante accorde au groupe dynamique MYSQL_DG un accès en lecture seule aux seaux et aux objets contenus dans ces seaux du compartiment C8 : 
Allow dynamic-group MYSQL_DG to read buckets in compartment C8
Allow dynamic-group MYSQL_DG to read objects in compartment C8

Définition d'une politique d'exportation des résultats d'interrogation vers le stockage d'objets

Pour permettre à HeatWave d'exporter les résultats d'interrogation vers le stockage d'objets, la politique doit accorder des autorisations pour créer et supprimer des objets dans le seau dans le groupe dynamique.

Par exemple, la politique suivante accorde au groupe dynamique MYSQL_DG les autorisations nécessaires pour créer, inspecter et supprimer des objets dans n'importe quel seau du compartiment C8 :
Allow dynamic-group MYSQL_DG to read buckets in compartment C8
Allow dynamic-group MYSQL_DG to manage objects in compartment C8 where 
  any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT', 
       request.permission='OBJECT_DELETE'}
Vous pouvez restreindre les autorisations à un seau spécifique. La politique suivante accorde au groupe dynamique MYSQL_DG les autorisations nécessaires pour créer, inspecter et supprimer des objets dans le seau BucketA du compartiment C8 :
Allow dynamic-group MYSQL_DG to read buckets in compartment C8
Allow dynamic-group MYSQL_DG to manage objects in compartment C8 where 
  all {target.bucket.name='BucketA',
    any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT', 
         request.permission='OBJECT_DELETE'} }

Définition d'une politique pour accéder au service d'intelligence artificielle générative OCI

Pour que HeatWave GenAI utilise les modèles de base préentraînés disponibles dans le service d'intelligence artificielle générative pour OCI, vous devez définir une politique qui permet au groupe dynamique d'accéder au service d'intelligence artificielle générative pour OCI.

Par exemple, la politique suivante accorde au groupe dynamique MYSQL_DG l'accès au service d'intelligence artificielle générative OCI dans le compartiment C8 : 
Allow dynamic-group MYSQL_DG to use generative-ai-chat in compartment C8
Allow dynamic-group MYSQL_DG to use generative-ai-text-embedding in compartment C8
Note

L'utilisation de l'intelligence artificielle générative OCI sera mesurée et facturée dans le compartiment sélectionné.
Pour plus d'informations, voir Écriture de politiques pour les groupes dynamiques.