Documentation Oracle Cloud Infrastructure

Création de stratégies et de groupes Identity and Access Management (IAM) pour les utilisateurs IAM

Décrit les étapes permettant d'écrire des instructions de stratégie pour un groupe IAM afin de permettre à l'utilisateur IAM d'accéder aux ressources Oracle Cloud Infrastructure, en particulier à des instances Autonomous AI Database.

Une stratégie est un groupe d'instructions qui indique qui peut accéder à des ressources données et comment. L'accès peut être accordé pour l'ensemble de la location, des bases de données d'un compartiment ou des bases de données individuelles. Cela signifie que vous écrivez une instruction de stratégie qui accorde à un groupe donné un type d'accès spécifique à un type de ressource spécifique dans un compartiment spécifique.

Remarque

La définition d'une stratégie est requise pour utiliser les jetons IAM afin d'accéder à la base de données Autonomous AI. Aucune stratégie n'est requise lorsque vous utilisez des mots de passe de base de données IAM pour accéder à la base de données Autonomous AI.

Afin d'autoriser les utilisateurs IAM à se connecter à la base de donnée à l'aide de jetons IAM, procédez comme suit :

  1. Effectuez les prérequis d'Oracle Cloud Infrastructure Identity and Access Management en créant un groupe et en y ajoutant des utilisateurs.

    Par exemple, créez le groupe sales_dbusers.

    Pour plus d'informations, reportez-vous à Gestion des groupes.

  2. Ecrivez des instructions de stratégie pour autoriser l'accès aux ressources Oracle Cloud Infrastructure.
    1. Dans la console Oracle Cloud Infrastructure, cliquez sur Identité, sécurité.
    2. Sous Identité et sécurité, cliquez sur Stratégies.
    3. Pour écrire une stratégie, cliquez sur Créer une stratégie.
    4. Dans la page Créer une stratégie, entrez un nom et une description.
    5. Sur la page Créer une stratégie, sélectionnez Afficher l'éditeur manuel.
    6. Utilisez le générateur de stratégies pour créer une stratégie.

      Par exemple, pour créer une stratégie permettant aux utilisateurs du groupe IAM DBUsers d'accéder à n'importe quelle base de données Autonomous AI dans leur location, procédez comme suit : 

      Allow group DBUsers to use autonomous-database-family in tenancy
      Par exemple, pour créer une stratégie qui limite l'accès des membres du groupe DBUsers aux base de données Autonomous AI du compartiment testing_compartment uniquement :
      allow group DBUsers to use autonomous-database-family in compartment testing_compartment
      Par exemple, pour créer une stratégie qui limite l'accès de groupe à une base de données unique d'un compartiment :
      allow group DBUsers to use autonomous-database-family in compartment testing_compartment 
               where target.id = 'ocid1.autonomousdatabase.oc1.iad.aaaabbbbcccc...b5678ca'

      Pour plus d'informations sur les stratégies IAM permettant d'accéder à la base de données, reportez-vous à Création d'une stratégie IAM pour autoriser les utilisateurs à s'authentifier avec des jetons dans le guide de sécurité de base de données.

    7. Cliquez sur Créer.

      Pour plus d'informations sur les stratégies, reportez-vous à Gestion des stratégies.

Remarques concernant la création de stratégies à utiliser avec les utilisateurs IAM sur la base de données Autonomous AI :

  • Les stratégies permettent à des utilisateurs IAM d'accéder aux instances Autonomous AI Database de l'ensemble de la location ou d'un compartiment. Vous pouvez également limiter l'accès à une instance Autonomous AI Database unique.

  • Vous pouvez utiliser le principal d'instance ou de ressource pour extraire des jetons de base de donnée afin d'établir une connexion entre votre application et une instance Autonomous AI Database. Si vous utilisez un principal d'instance ou de ressource, vous devez mettre un groupe dynamique en correspondance. Par conséquent, vous ne pouvez pas établir de correspondance exclusive entre des principaux d'instance et de ressource. Vous pouvez uniquement les mettre en correspondance via une correspondance partagée et placer l'instance ou l'instance de ressource dans un groupe dynamique IAM.

    Vous pouvez créer des groupes dynamiques et les référencer dans les stratégies que vous créez pour accéder à Oracle Cloud Infrastructure. Pour plus d'informations, reportez-vous à Configuration de stratégies et de rôles pour accéder aux ressources et à Gestion des groupes dynamiques.