Documentation Oracle Cloud Infrastructure

Création de stratégies et de groupes Identity and Access Management (IAM) pour les utilisateurs IAM

Décrit les étapes permettant d'écrire des instructions de stratégie pour un groupe IAM afin de permettre aux utilisateurs IAM d'accéder aux ressources Oracle Cloud Infrastructure, en particulier aux instances Autonomous Database.

Une stratégie est un groupe d'instructions qui indique qui peut accéder à des ressources données et comment. L'accès peut être accordé pour l'ensemble de la location, des bases de données d'un compartiment ou des bases de données individuelles. Cela signifie que vous écrivez une instruction de stratégie qui accorde à un groupe donné un type d'accès spécifique à un type de ressource spécifique dans un compartiment spécifique.

Remarque

La définition d'une stratégie est requise pour utiliser des jetons IAM afin d'accéder à Autonomous Database. Aucune stratégie n'est requise lorsque vous utilisez des mots de passe de base de données IAM pour accéder à Autonomous Database.

Afin qu'Autonomous Database autorise les utilisateurs IAM à se connecter à la base de données à l'aide de jetons IAM, procédez comme suit :

  1. Effectuez les prérequis d'Oracle Cloud Infrastructure Identity and Access Management en créant un groupe et en y ajoutant des utilisateurs.

    Par exemple, créez le groupe sales_dbusers.

    Pour plus d'informations, reportez-vous à Gestion des groupes.

  2. Ecrivez des instructions de stratégie pour autoriser l'accès aux ressources Oracle Cloud Infrastructure.
    1. Dans la console Oracle Cloud Infrastructure, cliquez sur Identité et sécurité.
    2. Sous Identité et sécurité, cliquez sur Stratégies.
    3. Pour écrire une stratégie, cliquez sur Créer une stratégie.
    4. Sur la page Créer une stratégie, entrez un nom et une description.
    5. Sur la page Créer une stratégie, sélectionnez Afficher l'éditeur manuel.
    6. Utilisez le générateur de stratégies pour créer une stratégie.

      Par exemple, pour créer une stratégie permettant aux utilisateurs du groupe IAM DBUsers d'accéder à n'importe quelle base de données autonome de leur location : 

      Allow group DBUsers to use autonomous-database-family in tenancy
      Par exemple, pour créer une stratégie qui limite les membres du groupe DBUsers à l'accès aux bases de données autonomes dans le compartiment testing_compartment uniquement :
      allow group DBUsers to use autonomous-database-family in compartment testing_compartment
      Par exemple, pour créer une stratégie qui limite l'accès de groupe à une base de données unique d'un compartiment :
      allow group DBUsers to use autonomous-database-family in compartment testing_compartment 
               where target.id = 'ocid1.autonomousdatabase.oc1.iad.aaaabbbbcccc...b5678ca'

      Pour plus d'informations sur les stratégies IAM permettant d'accéder à la base de données, reportez-vous à Création d'une stratégie IAM pour autoriser les utilisateurs à s'authentifier avec des jetons dans le guide de sécurité de base de données.

    7. Cliquez sur Créer.

      Pour plus d'informations sur les stratégies, reportez-vous à Gestion des stratégies.

Remarques relatives à la création de stratégies à utiliser avec des utilisateurs IAM sur Autonomous Database :

  • Les stratégies permettent aux utilisateurs IAM d'accéder aux instances Autonomous Database de l'ensemble de la location ou d'un compartiment. Vous pouvez aussi limiter l'accès à une instance Autonomous Database unique.

  • Vous pouvez utiliser le principal d'instance ou de ressource pour extraire des jetons de base de données afin d'établir une connexion entre votre application et une instance Autonomous Database. Si vous utilisez un principal d'instance ou de ressource, vous devez mettre un groupe dynamique en correspondance. Par conséquent, vous ne pouvez pas établir de correspondance exclusive entre des principaux d'instance et de ressource. Vous pouvez uniquement les mettre en correspondance via une correspondance partagée et placer l'instance ou l'instance de ressource dans un groupe dynamique IAM.

    Vous pouvez créer des groupes dynamiques et les référencer dans les stratégies que vous créez pour accéder à Oracle Cloud Infrastructure. Pour plus d'informations, reportez-vous à Configuration des stratégies et des rôles pour accéder aux ressources et à Gestion des groupes dynamiques.