A propos de la configuration de groupes et de stratégies d'utilisateurs

Oracle NoSQL Database Cloud Service utilise Oracle Cloud Infrastructure Identity and Access Management (IAM) pour fournir un accès sécurisé à Oracle Cloud. Oracle Cloud Infrastructure IAM vous permet de créer les comptes utilisateur et d'autoriser les utilisateurs à inspecter, lire, utiliser ou gérer les tables.

La façon dont vous gérez les utilisateurs, les groupes et les groupes dynamiques pour Oracle NoSQL Database Cloud Service dépend du fait que votre compte ou location cloud ait été mis à jour pour utiliser les domaines d'identité Oracle Cloud Infrastructure Identity and Access Management (IAM). Il est facile de déterminer quand votre location OCI a été mise à jour pour utiliser les domaines d'identité Identity and Access Management (IAM).

La console OCI pour la location avec domaine d'identité est affichée ci-dessous.

La console OCI pour la location sans domaine d'identité est affichée ci-dessous.

Pour plus d'informations, reportez-vous à Avez-vous accès aux domaines d'identité ?

Configurer des utilisateurs, des groupes, des groupes dynamiques et des stratégies à l'aide d'Identity and Access Management

Oracle NoSQL Database Cloud Service utilise Oracle Cloud Infrastructure Identity and Access Management (IAM) pour fournir un accès sécurisé à Oracle Cloud. Oracle Cloud Infrastructure IAM vous permet de créer les comptes utilisateur et d'autoriser les utilisateurs à inspecter, lire, utiliser ou gérer les tables.

Si vous authentifiez en tant que principal d'utilisateur (à l'aide de la clé de signature d'API), reportez-vous à Configuration des utilisateurs, des groupes et des stratégies. Sinon, si vous effectuez l'authentification en tant que principal d'instance ou de ressource, reportez-vous à Configuration de groupes dynamiques et de stratégies.

Configurer des utilisateurs, des groupes et des stratégies

1. Connectez-vous à votre compte cloud en tant qu'utilisateur administrateur de compte cloud.

2. Dans la console Oracle Cloud Infrastructure, ajoutez des utilisateurs.

   • Choisissez l'une des options suivantes en fonction de votre location (ayant ou non des domaines d'identité) :

     • Location avec des domaines d'identité : effectuez les opérations suivantes :

       • Ouvrez le menu de navigation et sélectionnez Identité et sécurité.

       • Sous Identité, sélectionnez Domaines. La page Domaines s'ouvre.

       • Sélectionnez le filtre Compartiment en regard de Filtres appliqués. Sélectionnez votre compartiment dans la liste déroulante et sélectionnez Appliquer le filtre.

       • Sélectionnez le domaine d'identité dans lequel vous souhaitez travailler. Dans l'onglet Gestion des utilisateurs, accédez à la section Utilisateurs.

     • Location sans domaine d'identité : ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Identité, sélectionnez Utilisateurs.

   • Choisissez Créer.

   • Entrez les détails concernant l'utilisateur, puis sélectionnez Créer.

3. Dans la console Oracle Cloud Infrastructure, créez un groupe OCI.

   • Choisissez l'une des options suivantes en fonction de votre location (ayant ou non des domaines d'identité) :

     • Location avec des domaines d'identité : effectuez les opérations suivantes :

       • Ouvrez le menu de navigation et sélectionnez Identité et sécurité.

       • Sous Identité, sélectionnez Domaines. La page Domaines s'ouvre.

       • Sélectionnez le filtre Compartiment en regard de Filtres appliqués. Sélectionnez votre compartiment dans la liste déroulante et sélectionnez Appliquer le filtre.

       • Sélectionnez le domaine d'identité dans lequel vous souhaitez travailler. Dans l'onglet Gestion des utilisateurs, faites défiler la page jusqu'à la section Groupes.

     • Location sans domaine d'identité : ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Identité, sélectionnez Groupes.

   • Sélectionnez Créer un groupe.

   • Saisissez des détails sur le groupe. Par exemple, si vous créez une stratégie qui autorise les utilisateurs à gérer entièrement les tables Oracle NoSQL Database Cloud Service, vous pouvez nommer le groupe nosql_service_admin (ou similaire) et inclure une courte description telle que "Utilisateurs dotés de droits d'accès pour configurer et gérer les tables Oracle NoSQL Database Cloud Servicetables sur Oracle Cloud Infrastructure" (ou similaire).

   • Choisissez Créer.

4. Créez une stratégie qui donne des droits d'accès particuliers aux tables ou aux compartiments Oracle NoSQL Database Cloud Service aux utilisateurs appartenant à un groupe OCI,

   • Ouvrez le menu de navigation et sélectionnez Identité et sécurité.

   • Sous Identité, sélectionnez Stratégies.

   • Sélectionnez le filtre Compartiment en regard de Filtres appliqués. Sélectionnez votre compartiment dans la liste déroulante et sélectionnez Appliquer le filtre.

   • Sélectionnez Créer une stratégie.

     Pour plus de détails et d'exemples, reportez-vous à la Référence de stratégies et à Instructions de stratégie type pour gérer les tables.

     Si vous ne savez pas comment fonctionnent les stratégies, reportez-vous à Fonctionnement des stratégies.

5. Pour gérer et utiliser les tables NoSQL via des SDK Oracle NoSQL Database Cloud Service, l'utilisateur doit configurer les clés d'API. Reportez-vous à Authentification pour la connexion à Oracle NoSQL Database.

Remarque : les utilisateurs fédérés peuvent également gérer et utiliser des tables Oracle NoSQL Database Cloud Service. Pour cela, l'administrateur de service doit configurer la fédération dans Oracle Cloud Infrastructure Identity and Access Management. Reportez-vous à Fédération avec les fournisseurs d'identités.

Les utilisateurs appartenant à un groupe mentionné dans l'instruction de stratégie obtiennent leur nouveau droit d'accès lors de leur prochaine connexion à la console.

Configuration de groupes dynamiques et de stratégies

Avant d'appeler une ressource Oracle Cloud Infrastructure à l'aide de principaux de ressource ou d'instances, un administrateur de location Oracle Cloud Infrastructure doit créer des stratégies, des groupes dynamiques et des règles Oracle Cloud Infrastructure qui définissent les privilèges de principal de ressource ou d'instance.

• Connectez-vous à votre compte cloud en tant qu'utilisateur administrateur de compte cloud.

• Créez un groupe dynamique dans la console Oracle Cloud Infrastructure.

  • Choisissez l'une des options suivantes en fonction de votre location (ayant ou non des domaines d'identité) :

    • Location avec domaines d'identité :

      • Ouvrez le menu de navigation et sélectionnez Identité et sécurité.

      • Sous Identité, sélectionnez Domaines. La page Domaines s'ouvre.

      • Sélectionnez le filtre Compartiment en regard de Filtres appliqués. Sélectionnez votre compartiment dans la liste déroulante et sélectionnez Appliquer le filtre.

      • Sélectionnez le domaine d'identité dans lequel vous souhaitez travailler, puis cliquez sur l'onglet Groupes dynamiques.

    • Location sans domaine d'identité : ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Identité, sélectionnez Groupes dynamiques.

  • Sélectionnez Créer un groupe dynamique et entrez un nom, une description et une règle, ou utilisez le générateur de règles pour ajouter une règle.

  • Choisissez Créer.

  Les ressources qui répondent aux critères sont membres du groupe dynamique. Lorsque vous définissez une règle pour un groupe dynamique, réfléchissez à l'accès à d'autres ressources qui va lui être accordé. Exemples de création de règles :

  1. Une règle de correspondance pour les fonctions :

     ALL {resource.type = 'fnfunc',resource.compartment.id =
         'ocid1.compartment.oc1..aaaaaaaafml3tca3zcxyifmdff3aadp5uojimgx3cdnirgup6rhptxwnandq'}

     Cette règle implique que tout type de ressource appelé fnfunc dans le compartiment indiqué (avec l'ID indiqué ci-dessus) est membre du groupe dynamique.

     Remarque : Pour plus d'informations sur les différents types de ressource, voir Types de ressource.

  2. Règle lors de l'ajout d'instances pour les ID instance :

     ALL { instance.compartment.id =
           'ocid1.compartment.oc1..aaaaaaaa4mlehopmvdluv2wjcdp4tnh2ypjz3nhhpahb4ss7yvxaa3be3diq'}

     Cette règle implique que toute instance avec l'ID de compartiment indiqué ci-dessus est membre du groupe dynamique.

  3. Règle lors de l'utilisation d'API Gateway avec des fonctions :

     ALL {resource.type = 'ApiGateway',resource.compartment.id =
           'ocid1.compartment.oc1..aaaaaaaafml3tca3zcxyifmdff3aadp5uojimgx3cdnirgup6rhptxwnandq'}

     Cette règle implique que tout type de ressource appelé ApiGateway dans le compartiment indiqué (avec l'ID indiqué ci-dessus) est membre du groupe dynamique.

  4. Règle lors de l'utilisation d'instances de conteneur :

     ALL {resource.type = 'computecontainerinstance',
     resource.compartment.id =
     'ocid1.compartment.oc1..aaaaaaaa4mlehopmvdluv2wjcdp4tnh2ypjz3nhhpahb4ss7yvxaa3be3diq'}

     Cette règle implique que tout type de ressource appelé computecontainerinstance dans le compartiment indiqué (avec l'ID indiqué ci-dessus) est membre du groupe dynamique.

  Remarque : L'héritage ne s'applique pas aux groupes dynamiques. Lors de l'utilisation de stratégies d'accès IAM, la stratégie d'un compartiment parent s'applique automatiquement à tous les compartiments enfant. Ce n'est pas le cas lorsque vous utilisez des groupes dynamiques. Vous devez répertorier chaque compartiment du groupe dynamique séparément pour que le compartiment puisse être qualifié.

  Exemple : règle de correspondance pour les fonctions des compartiments parent-enfant :

  ALL {resource.type = 'fnfunc',
  ANY{resource.compartment.id = '<parent-compid>', resource.compartment.id = '<child-compid1>',
  resource.compartment.id = '<child-compid2>', ...}}

• Ecrivez des instructions de stratégie pour le groupe dynamique afin d'autoriser l'accès aux ressources Oracle Cloud Infrastructure.

  • Dans la console Oracle Cloud Infrastructure, sélectionnez Identité et sécurité, puis Stratégies.

  • Sélectionnez le filtre Compartiment en regard de Filtres appliqués. Sélectionnez votre compartiment dans la liste déroulante et sélectionnez Appliquer le filtre.

  • Pour écrire des stratégies pour un groupe dynamique, sélectionnez Créer une stratégie, puis entrez un nom et une description.

  • Utilisez le générateur de stratégies pour créer une stratégie. La syntaxe générale de définition d'une stratégie est la suivante :

    Allow <subject> to <verb> <resource-type> in <location> where <conditions>

    • Syntaxe du sujet : groupes séparés par des virgules par un nom ou un OCID.

    • Verbes : les valeurs sont inspecter, lire, utiliser ou gérer.

    • resource-type : type de ressource individuel, type de ressource de famille (comme nosql-family) ou toutes les ressources.

    • compartiment : chemin de compartiment ou de compartiment simple avec son nom ou son OCID

    Example:This policy allows the dynamic group nosql_application the fnfuncuse access on the resource in the compartment UATnosql.

    allow dynamic-group nosql_application to use  fnfunc in compartment UATnosql

    Exemple : cette stratégie autorise le groupe dynamique nosql_application à accéder à manage sur la ressource de famille nosql-family dans le compartiment UATnosql.

  • Choisissez Créer. Pour plus d'informations sur ces stratégies, reportez-vous à Gestion des stratégies.