Création de ressources Oracle Cloud

Découvrez comment créer un compartiment, un réseau cloud virtuel, un sous-réseau, des utilisateurs et des groupes d'utilisateurs avant de commencer à utiliser Oracle Cloud Infrastructure GoldenGate.

Création d'un compartiment

Les compartiments vous permettent d'organiser et de contrôler l'accès à vos ressources cloud. Il s'agit d'un conteneur logique que vous pouvez utiliser pour regrouper des ressources cloud associées et autoriser des groupes d'utilisateurs spécifiques à y accéder.

Lorsque vous inscrivez à Oracle Cloud Infrastructure, Oracle crée votre location, à savoir le compartiment racine contenant toutes vos ressources cloud. Vous créez ensuite des compartiments supplémentaires dans la location et des stratégies correspondantes pour contrôler l'accès aux ressources dans chaque compartiment.

Pour créer un compartiment, procédez comme suit :

1. Ouvrez le menu d'accès à la console Oracle Cloud, puis sélectionnez Identité, sécurité.

2. Sous Identité, sélectionnez Compartiments. La liste des compartiments auxquels vous avez accès apparaît.

3. Accédez au compartiment dans lequel créer le compartiment.

   • Pour créer le Compartiment dans l'emplacement (compartiment racine), sélectionnez Créer un compartiment.

   • Pour créer le compartiment vers un compartiment autre que la location (compartiment root), parcourez la hiérarchie des compartiments jusqu'à atteindre la page de détails du compartiment où créer le vôtre. Sur la page Détails du compartiment, sélectionnez Créer un compartiment.

4. Dans la boîte de dialogue Créer un compartiment, renseignez les champs comme suit :

   1. Dans Nom, entrez un nom unique pour le compartiment, de 100 caractères au plus (comprend les lettres, les chiffres, les points, les traits d'union et les traits de soulignement). Le nom doit être unique parmi tous les compartiments de la location. Evitez de saisir des informations confidentielles.

   2. Dans Description, entrez une description permettant de distinguer le compartiment des autres.

   3. Dans Compartiment parent, vérifiez qu'il s'agit du compartiment dans lequel créer le compartiment. Pour choisir un autre compartiment, sélectionnez-en un dans la liste déroulante.

   4. (Facultatif) Dans Espace de noms de balises, vous pouvez ajouter une balise à format libre pour vous aider à rechercher les ressources dans la console Oracle Cloud. Sélectionnez + Autre balise pour ajouter d'autres balises.

   5. Sélectionnez Créer un compartiment.

Une fois le compartiment créé, il apparaît dans la liste Compartiments. Vous pouvez maintenant créer des stratégies et ajouter des ressources au compartiment.

Création d'un réseau cloud virtuel et d'un sous-réseau

Un réseau cloud virtuel est un réseau que vous configurez dans les centres de données Oracle Cloud Infrastructure d'une région donnée. Un sous-réseau est une subdivision d'un réseau cloud virtuel.

OCI GoldenGate requiert un VCN et au moins un sous-réseau privé avec une passerelle NAT. Une table de routage avec une règle de routage redirigeant le trafic vers la passerelle NAT pour le sous-réseau privé doit être disponible. Si vous souhaitez activer la connectivité à l'aide d'une adresse publique, un sous-réseau public est également requis et le VCN doit inclure une passerelle Internet. Une table de routage avec une règle de routage redirigeant le trafic vers la passerelle Internet pour le sous-réseau public doit être disponible.

Pour créer un réseau cloud virtuel et un sous-réseau, procédez comme suit :

1. Ouvrez le Menu de Navigation de la console Oracle Cloud, sélectionnez Fonctions de réseau, puis Réseaux Cloud virtuels.

2. Sur la page Réseaux cloud virtuels, confirmez la sélection du compartiment ou sélectionnez un autre compartiment.

3. Dans le menu Actions, sélectionnez Démarrer l'assistant VCN.

4. Dans le panneau Démarrer l'assistant VCN, sélectionnez Créer un VCN avec connectivité Internet, puis Démarrer l'assistant VCN.

5. Sur la page Configuration, sous Informations de base, entrez un nom de VCN.

6. Pour Compartiment, sélectionnez le compartiment dans lequel créer ce VCN.

7. Sélectionnez Suivant.

8. Sur la page Vérifier et créer, vérifiez les détails de configuration, puis sélectionnez Créer.

Sélectionnez Afficher les détails du VCN pour vérifier qu'un sous-réseau public et privé a été créé.

Création d'utilisateurs

Créez des utilisateurs à ajouter aux groupes pouvant accéder à vos ressources OCI GoldenGate.

Avant de créer des utilisateurs, notez les points suivants :

• La gestion des utilisateurs de déploiement OCI GoldenGate dépend du fait que votre location utilise ou non OCI IAM avec des domaines d'identité. Reportez-vous à Gestion des utilisateurs de déploiement.

• Les noms utilisateur doivent être uniques parmi tous les utilisateurs de la location.

• Les noms utilisateur ne sont pas modifiables.

• Les utilisateurs ne disposent d'aucun droit d'accès tant qu'ils ne sont pas placés dans un groupe.

Pour créer des utilisateurs, procédez comme suit :

1. Ouvrez le menu de navigation de la console Oracle Cloud, sélectionnez Identité et sécurité, puis, sous Identité, sélectionnez Domaines.

2. Sur la page Domaines, confirmez la sélection de compartiment ou passez à un autre compartiment.

3. Dans la liste Domaines, sélectionnez Par défaut pour accéder au domaine par défaut ou Créer un domaine pour en créer un.

4. Sélectionnez le domaine dans la liste.

5. Sur la page de détails Domaines, sélectionnez Gestion des utilisateurs.

6. Sur la page Utilisateurs, sélectionnez Créer un utilisateur.

7. Sur la page Créer un utilisateurs, renseignez les champs comme suit :

   1. Entrez le prénom, le nom et l'adresse électronique de l'utilisateur, qui peuvent également être utilisés comme nom utilisateur.

      Remarque : le nom doit être unique parmi tous les utilisateurs de la location. Vous ne pouvez pas modifier cette valeur ultérieurement. Le nom utilisateur ne doit pas contenir d'espaces. Il ne peut comporter que des lettres latines de base (ASCII), des chiffres, des traits d'union, des points, des traits de soulignement, et les signes + et @.

   2. Pour Groupes, sélectionnez les groupes auxquels l'utilisateur doit être affecté.

8. Choisissez Créer.

Vous pouvez ensuite ajouter l'utilisateur à un groupe et créer des stratégies permettant au groupe d'accéder à vos ressources. Pour plus d'informations sur les utilisateurs, reportez-vous à Gestion des utilisateurs.

Création de groupes

Un groupe est un ensemble d'utilisateurs qui ont besoin du même type d'accès à un ensemble de ressources ou de compartiments.

Avant de créer un groupe, notez les points suivants :

• Le nom de groupe doit être unique dans la location.

• Une fois le groupe créé, vous ne pouvez pas en modifier le nom.

• Un groupe ne dispose d'aucun droit d'accès tant qu'il n'écrit pas au moins l'un de ses droits d'accès lui permettant d'accéder à une location ou un compartiment.

Pour créer un groupe, procédez comme suit :

1. Ouvrez le menu de navigation de la console Oracle Cloud, sélectionnez Identité et sécurité, puis, sous Identité, sélectionnez Domaines.

2. Sur la page Domaines, confirmez la sélection de compartiment ou modifiez le compartiment.

3. Sélectionnez un domaine dans la liste.

4. Sur la page de détails du domaine, sélectionnez Gestion des utilisateurs.

5. Sous Groupes, sélectionnez Créer un groupe.

6. Sur la page Créer un groupe :

   1. Dans Nom, saisissez un nom unique pour le groupe.

      Remarque : Une fois le groupe créé, vous ne pouvez pas en modifier le nom. Le nom de groupe doit être unique dans la location. Le nom de groupe peut comporter entre 1 et 100 caractères alphanumériques, en majuscules ou en minuscules, et contenir des points, des tirets, des traits d'union, mais pas d'espace.

   2. Dans Description, saisissez une description conviviale.

7. Indiquez si un utilisateur peut demander l'accès à ce groupe.

8. Dans cette liste, sélectionnez les utilisateurs à affecter à ce groupe.

9. Choisissez Créer.

Un groupe ne dispose d'aucun droit d'accès tant que vous n'écrivez pas de stratégie qui lui permet d'accéder à un compartiment ou à une location. Pour plus d'informations sur les groupes, reportez-vous à Gestion des groupes.

Création de stratégies

Les stratégies définissent les actions que les membres d'un groupe peuvent effectuer, et dans quels compartiments.

Utilisez la console Oracle Cloud pour créer des stratégies. Dans le menu de navigation de la console Oracle Cloud, sélectionnez Identité et sécurité, puis sous Identité et sélectionnez Stratégies. Les stratégies sont rédigées en utilisant la syntaxe suivante :

allow group <identity-domain>/<group-name> to <verb> <resource-type> in <location> where <condition>

Les définitions de paramètre sont les suivantes :

• <identity-domain> : (facultatif) si vous utilisez OCI IAM pour la gestion des identités, incluez le domaine d'identité du groupe d'utilisateurs. Si ce paramètre n'est pas spécifié, OCI utilise le domaine par défaut.

• <group-name> : nom du groupe d'utilisateurs auquel vous accordez les droits d'accès.

• <verb> : donne au groupe un certain niveau d'accès à un type de ressource. Lorsque les verbes passent de inspect à read, puis à use, et enfin à manage, le niveau d'accès augmente et les droits d'accès accordés sont cumulés.

  En savoir plus sur la relation entre les autorisations et les verbes.

• <resource-type> : type de ressource avec lequel vous autorisez un groupe à travailler. Il existe des ressources individuelles, telles que goldengate-deployments, goldengate-pipelines et goldengate-connections, et il existe des familles de ressources, telles que goldengate-family, qui inclut les ressources individuelles mentionnées précédemment.

  Pour plus d'informations, reportez-vous à Types de ressource.

• <location> : attache la stratégie à un compartiment ou à une location. Vous pouvez indiquer un seul compartiment ou chemin de compartiment par nom ou OCID, ou indiquer tenancy pour couvrir l'ensemble de la location.

• <condition> : facultatif. Conditions dans lesquelles cette stratégie s'appliquera.

En savoir plus sur la syntaxe de stratégie.

Création d'une stratégie

Pour créer une stratégie, procédez comme suit :

1. Dans le menu de navigation Oracle Cloud, sélectionnez Identité et sécurité, puis sous Identifier, sélectionnez Stratégies.

2. Sur la page Stratégies, sélectionnez Créer une stratégie.

3. Sur la page Créer une règle, entrez le nom et la description pour la stratégie.

4. Sélectionnez le compartiment dans lequel créer la stratégie.

5. Dans la section Générateur de stratégies, vous pouvez :

   • Sélectionnez Service GoldenGate dans la liste déroulante des cas d'utilisation de stratégie et un modèle de stratégie commun, tel que Stratégies requises pour permettre aux utilisateurs de gérer les ressources GoldenGate.

   • Sélectionnez Afficher l'éditeur manuel pour entrer une règle de stratégie au format suivant :

     allow <subject> to <verb> <resource-type> in <location> where <condition>

     Les conditions sont facultatives. Reportez-vous à Détails des combinaisons de verbe et de type de ressource.

   A savoir : Pour plus d'informations, reportez-vous à Stratégies minimales recommandées.

6. Choisissez Créer.

Pour plus d'informations sur les stratégies, reportez-vous à Fonctionnement des stratégies et à Syntaxe de stratégie et à Référence de stratégie.

Stratégies minimales recommandées

Conseil :

Pour utiliser un modèle de stratégie commun afin d'ajouter toutes les stratégies requises, procédez comme suit :

1. Pour Cas d'utilisation de stratégie, sélectionnez Service GoldenGate dans la liste déroulante.

2. Pour Modèles d'utilisation courante, sélectionnez Stratégies requises pour permettre aux utilisateurs de gérer les ressources GoldenGate dans la liste déroulante.

Au minimum, vous avez besoin de stratégies pour :

• Autoriser les utilisateurs à utiliser ou àgérer des ressources GoldenGate, afin qu'ils puissent travailler avec des déploiements et des connexions. Exemple :

  allow group <identity-domain>/<group-name> to manage goldengate-family in <location>

• Autoriser les utilisateurs à gérer des ressources réseau, afin qu'ils puissent visualiser et sélectionner les compartiments et les sous-réseaux, et créer et supprimer des adresses privées lors de la création de ressources GoldenGate. Exemple :

  allow group <identity-domain>/<group-name> to manage virtual-network-family in <location>

  Remarque :

  • Lors de la création d'un déploiement ou d'une connexion à l'aide d'une adresse dédiée, des adresses IP sont allouées dans le sous-réseau sélectionné. Vous devez fournir les privilèges d'accès réseau requis dans le sous-réseau et le compartiment du déploiement ou de la connexion pour permettre au service de créer les ressources réseau.

  • De même, les privilèges d'accès réseau appropriés sont requis lors de la suppression d'un déploiement ou d'une connexion à l'aide d'une adresse dédiée pour permettre au service de supprimer les ressources réseau.

  Vous pouvez sécuriser davantage les ressources réseau à l'aide d'une combinaison de stratégies granulaires. Reportez-vous à Exemples de stratégie pour la sécurisation des ressources réseau.

• Créez un groupe dynamique pour accorder des droits d'accès aux ressources en fonction de règles définies, ce qui permet à vos déploiements GoldenGate et/ou pipelines d'accéder aux ressources de votre location. Remplacez <dynamic-group-name> par le nom de votre choix. Vous pouvez créer autant de groupes dynamiques que nécessaire, par exemple pour contrôler les droits d'accès dans les déploiements de différents compartiments ou locations.

  name: <dynamic-group-name>
  Matching rule: ALL {resource.type = 'goldengatedeployment', resource.compartment.id = '<location>'}

  A savoir : Les stratégies qui suivent dans cette liste se réfèrent à <dynamic-group-name>. Si vous créez plusieurs groupes dynamiques, assurez-vous que vous faites référence au nom de groupe dynamique correct lors de l'ajout de l'une des stratégies suivantes.

• Si vous utilisez des connexions avec des clés secrètes de mot de passe, le déploiement que vous affectez à la connexion doit pouvoir accéder aux clés secrètes de mot de passe de la connexion. Veillez à ajouter la stratégie à votre compartiment ou location :

  allow dynamic-group <identity-domain>/<dynamic-group-name> to read secret-bundles in <location>

• Permet aux utilisateurs de lire l'utilisateur et le groupe Identity and Access Management (IAM) pour les validations dans des locations compatibles IAM :

  allow service goldengate to {idcs_user_viewer, domain_resources_viewer} in <location>

  allow dynamic-group <identity-domain>/<dynamic-group-name> to {idcs_user_viewer, domain_resources_viewer} in <location>

• Accéder aux clés de cryptage gérées par le client et aux clés secrètes de mot de passe dans Oracle Vault. Exemple :

  allow group <identity-domain>/<group-name> to manage secret-family in <location>
  allow group <identity-domain>/<group-name> to use keys in <location>
  allow group <identity-domain>/<group-name> to use vaults in <location>
  allow dynamic-group <identity-domain>/<dynamic-group-name> to use keys in <location>
  allow dynamic-group <identity-domain>/<dynamic-group-name> to use vaults in <location>
  allow dynamic-group <identity-domain>/<dynamic-group-name> to read secret-bundles in <location>

Selon que vous prévoyez d'utiliser les services suivants, vous devrez peut-être également ajouter des stratégies pour :

• Bases de données Oracle AI, pour vos bases de données source et/ou cible. Exemple :

  allow group <identity-domain>/<group-name> to read database-family in <location>

  allow group <identity-domain>/<group-name> to read autonomous-database-family in <location>

• Oracle Object Storage, pour stocker des sauvegardes OCI GoldenGate manuelles et programmées. Exemple :

  allow group <identity-domain>/<group-name> to manage objects in <location>
  allow dynamic-group <identity-domain>/<dynamic-group-name> to manage objects in <location> where target.bucket.name = '<bucket-name>'
  allow group <identity-domain>/<group-name> to inspect buckets in <location>

• OCI Logging, pour accéder aux groupes de journaux. Exemple :

  allow group <identity-domain>/<group-name> to read log-groups in <location>
  allow group <identity-domain>/<group-name> to read log-content in <location>

• Load Balancer, si vous activez l'accès public à la console de déploiement :

  allow group <identity-domain>/<group-name> to manage load-balancers in <location>
  allow group <identity-domain>/<group-name> to manage public-ips in <location>
  
  allow group <identity-domain>/<group-name> to manage network-security-groups in <location>
  allow group <identity-domain>/<group-name> to manage vcns in <location> where ANY {request.operation = 'CreateNetworkSecurityGroup', request.operation = 'DeleteNetworkSecurityGroup'}

• Demandes de travail:

  allow group <identity-domain>/<group-name> to inspect work-requests in <location>

• Zero Trust Packet Routing (ZPR). Requis uniquement si vous avez ajouté des attributs de sécurité à votre VCN et/ou à votre équilibreur de charge pour contrôler l'accès pour vos connexions et vos déploiements publics, ajoutez les stratégies suivantes afin d'autoriser le trafic Internet public vers l'équilibreur de charge et le flux de trafic entre l'équilibreur de charge et les adresses privées :

  • Si des attributs de sécurité ont été ajoutés pour le VCN et l'équilibreur de charge :

    in <vcn-sa-key>:<vcn-sa-value> VCN allow <lb-sa-key>:<lb-sa-value> endpoints to connect to <pe-sa-key>:<pe-sa-value> endpoints
    in <vcn-sa-key>:<vcn-sa-value> VCN allow all-endpoints to connect to <lb-sa-key>:<lb-sa-value> endpoints

  • Si des attributs de sécurité ont été ajoutés uniquement pour le VCN et non pour l'équilibreur de charge, et que l'équilibreur de charge se trouve dans un sous-réseau public avec le CIDR 10.0.1.0/24 :

    in <vcn-sa-key>:<vcn-sa-value> VCN allow '10.0.1.0/24' to connect to <pe-sa-key>:<pe-sa-value> endpoints

    Remarque : pour les autres ressources, telles que les connexions dédiées et les déploiements privés, des attributs de sécurité sont ajoutés à l'adresse privée créée. Les équilibreurs de charge ne sont pas créés par défaut avec des déploiements privés. Les exemples ZPR ci-dessus ne s'appliquent donc pas. Vous pouvez avoir besoin d'une stratégie ZPR, car ZPR protège l'adresse privée dans ce cas. La politique exacte dépend de votre cas d'utilisation.

  En savoir plus sur la syntaxe de stratégie ZPR.

L'instruction suivante autorise un groupe à gérer les espaces de noms de balise et les balises pour les espaces de travail :

allow group <identity-domain>/<group-name> to manage tag-namespaces in <location>

Pour ajouter une balise définie, vous devez être autorisé à utiliser l'espace de noms de balise. Pour en savoir plus sur le balisage, reportez-vous à Balises de ressource.