Controllo dell'accesso basato sui ruoli
Utilizza il controllo dell'accesso basato sui ruoli (RBAC) per controllare l'accesso degli utenti alle risorse cloud di Oracle AI Database@Google.
Utilizza Google Cloud RBAC sia per Oracle Autonomous Database che per Oracle Exadata Database Service per controllare l'accesso degli utenti.
Tenere presente quanto riportato di seguito.
- I clienti Pay as you go (offerta pubblica) devono solo completare le istruzioni per Autonomous Database.
- I clienti dell'offerta privata che desiderano eseguire il provisioning sia di Oracle Autonomous Database che di Exadata Database Service devono completare entrambi i set di istruzioni in questo argomento. In caso contrario, completare il set di istruzioni corrispondente al servizio di database che si prevede di utilizzare.
Configurazione del controllo dell'accesso basato sui ruoli per Oracle Autonomous Database
Gruppi, indirizzi e-mail consigliati e assegnazioni di ruoli
La tabella riportata di seguito fornisce i dettagli per i gruppi e i ruoli di Google Cloud per Autonomous Database. I valori E-mail gruppo Google Cloud forniti nella tabella sono valori consigliati, ma è possibile utilizzare altri nomi di e-mail di gruppo in base alle esigenze. Si noti che è necessario sostituire la stringa <email_domain> con il dominio di posta elettronica dell'organizzazione. Ad esempio: odbg-adbs-db-administrators@example.com
| Nome gruppo Google Cloud | E-mail Google Cloud Group | Assegnazione ruolo Google Cloud | Scopo |
|---|---|---|---|
| odbg-adbs-db-amministratori | odbg-adbs-db-administrators@<email_domain> | Amministratore di Oracle AI Database@Google Cloud Autonomous AI Database | Questo gruppo è rivolto agli amministratori che devono gestire tutte le risorse di Oracle Autonomous Database in Google Cloud. |
| odbg-adbs-db-reader | odbg-adbs-db-readers@<email_domain> | Oracle AI Database@Google Cloud Autonomous AI Database Viewer | Questo gruppo è rivolto agli utenti che devono visualizzare tutte le risorse di Oracle Autonomous Database in Google Cloud. |
| odbg-db-family-amministratori | odbg-db-family-administrators@<email_domain> | Amministratore di Oracle AI Database@Google Cloud |
Questo gruppo è rivolto agli amministratori che devono gestire tutte le risorse di Oracle AI Database in OCI. Questo gruppo viene replicato in OCI durante il processo facoltativo di federazione delle identità. |
| lettori-famiglia odbg-db | odbg-db-family-readers@<email_domain> | Visualizzatore di Oracle AI Database@Google Cloud |
Questo gruppo è rivolto ai lettori che devono visualizzare tutte le risorse di Oracle AI Database in OCI. Questo gruppo viene replicato in OCI durante il processo facoltativo di federazione delle identità. |
| odbg-network-administrators | odbg-network-administrators@<email_domain> | non applicabile |
Questo gruppo è destinato agli amministratori che devono gestire tutte le risorse di rete in OCI. Questo gruppo viene replicato in OCI durante il processo facoltativo di federazione delle identità. |
| odbg-costmgmt-amministratori | odbg-costmgmt-administrators@<email_domain> | non applicabile |
Questo gruppo è rivolto agli amministratori che devono gestire i costi e le risorse di fatturazione in OCI. Questo gruppo viene replicato in OCI durante il processo facoltativo di federazione delle identità. |
Passi
-
Nella pagina della vista elenco Gruppi, selezionare Crea gruppo.
-
Nella scheda Informazioni sul gruppo immettere i dettagli riportati di seguito per il gruppo che si sta creando.
Per ogni riga della tabella in questo argomento, creare un gruppo utilizzando i passi di questo task. Seguire i passi del task per un singolo gruppo per creare tale gruppo, quindi ripetere i passi per i gruppi aggiuntivi elencati nella tabella.
- Nome gruppo: utilizzare i valori "Nome gruppo Google Cloud" della tabella precedente. Ad esempio:
odbg-adbs-db-administrators. - E-mail di gruppo: è possibile utilizzare i valori "E-mail di Google Cloud Group" nella tabella precedente o creare i propri valori, se necessario. Ad esempio:
odbg-adbs-db-administrators@example.com - Descrizione gruppo: è possibile utilizzare le descrizioni presenti nella colonna "Scopo" della tabella precedente. Ad esempio: "Questo gruppo è rivolto agli amministratori che devono gestire tutte le risorse di Oracle Autonomous Database in Google Cloud".
Prima di inserire le informazioni:
Dopo aver immesso le informazioni:
- Nome gruppo: utilizzare i valori "Nome gruppo Google Cloud" della tabella precedente. Ad esempio:
-
Nella scheda Impostazioni gruppo aggiornare le impostazioni di accesso in base alle procedure consigliate per la sicurezza dell'azienda, quindi selezionare CREATE GROUP.
-
Selezionare Crea un altro gruppo per iniziare a creare il gruppo successivo nella tabella dei gruppi in questo argomento.
-
Assegnare ruoli ai gruppi Google Cloud creati in IAM & Admin: cercare "IAM & Admin" nella console di Google Cloud e selezionare il risultato della ricerca per passare a questo servizio nella console.
-
Nel menu di navigazione IAM & Admin selezionare IAM, quindi selezionare Concedi accesso.
-
Nella finestra di dialogo Concedi accesso a, assegnare ruoli ai gruppi creati nei passi da 2 a 6 di questo task.
Immettere quanto riportato di seguito, quindi selezionare SAVE e ripetere questo passo finché non saranno stati assegnati ruoli a tutti i gruppi elencati nella tabella all'inizio di questo argomento.
- Aggiungi principal: nel campo Nuovi principal, immettere l'e-mail del gruppo Google Cloud per il gruppo a cui si stanno assegnando i ruoli. Nella tabella precedente è possibile trovare un modello di denominazione suggerito per i nomi delle e-mail dei gruppi. Ad esempio:
odbg-adbs-db-administrators@example.com - Assegna ruoli: nel campo Ruolo selezionare l'assegnazione ruolo gruppo Google elencata nella tabella precedente che corrisponde all'e-mail di gruppo immessa nel campo Nuovi principal. Ad esempio: "Oracle AI Database@Google Cloud Autonomous AI Database Admin"
- Aggiungi principal: nel campo Nuovi principal, immettere l'e-mail del gruppo Google Cloud per il gruppo a cui si stanno assegnando i ruoli. Nella tabella precedente è possibile trovare un modello di denominazione suggerito per i nomi delle e-mail dei gruppi. Ad esempio:
Configurazione del controllo dell'accesso basato sui ruoli per Oracle Exadata Database Service
Gruppi, indirizzi e-mail consigliati e assegnazioni di ruoli
Utilizzare le informazioni riportate nella tabella seguente per creare nuovi gruppi e ruoli di Google Cloud per Exadata Database Service. I valori E-mail gruppo Google Cloud forniti nella tabella sono valori consigliati, ma è possibile utilizzare altri nomi di e-mail di gruppo in base alle esigenze. Si noti che è necessario sostituire la stringa <email_domain> con il dominio di posta elettronica dell'organizzazione. Ad esempio: odbg-adbs-db-administrators@example.com
| Nome gruppo Google Cloud | E-mail Google Cloud Group | Assegnazione ruolo Google Cloud | Scopo |
|---|---|---|---|
| odbg-exa-infra-amministratori | odbg-exa-infra-administrators@<email_domain> | Amministrazione dell'infrastruttura Exadata Cloud Oracle AI Database@Google | Questo gruppo è rivolto agli amministratori che devono gestire tutte le risorse di Oracle Exadata Database Service in Google Cloud. |
| lettori infrarossi odbg-exa | odbg-exa-infra-readers@<email_domain> | Visualizzatore infrastruttura Exadata Cloud Oracle AI Database@Google | Questo gruppo è rivolto agli utenti che devono visualizzare tutte le risorse di Oracle Exadata Database Service in Google Cloud |
| odbg-vm-cluster-administrators | odbg-vm-cluster-administrators@<email_domain> | Amministrazione cluster VM Oracle AI Database@Google Cloud | Questo gruppo è destinato agli amministratori che devono gestire le risorse dei cluster VM in Google Cloud. |
| lettori-cluster odbg-vm | odbg-vm-cluster-readers@<email_domain> | Visualizzatore cluster VM Oracle AI Database@Google Cloud | Questo gruppo è rivolto agli utenti che devono visualizzare le risorse dei cluster VM in Google Cloud |
| odbg-db-family-amministratori | odbg-db-family-administrators@<email_domain> | Amministratore di Oracle AI Database@Google Cloud |
Questo gruppo è rivolto agli amministratori che devono gestire tutte le risorse di Oracle AI Database in OCI. Questo gruppo viene replicato in OCI durante il processo facoltativo di federazione delle identità. |
| lettori-famiglia odbg-db | odbg-db-family-readers@<email_domain> | Visualizzatore di Oracle AI Database@Google Cloud |
Questo gruppo è rivolto ai lettori che devono visualizzare tutte le risorse di database Oracle in OCI. Questo gruppo viene replicato in OCI durante il processo facoltativo di federazione delle identità. |
| odbg-exa-cdb-amministratori | odbg-exa-cdb-administrators@<email_domain> | nessuno |
Questo gruppo è destinato agli amministratori che devono gestire tutte le risorse CDB in OCI. Questo gruppo viene replicato in OCI durante il processo facoltativo di federazione delle identità. |
| odbg-exa-pdb-amministratori | odbg-exa-pdb-administrators@<email_domain> | nessuno |
Questo gruppo è destinato agli amministratori che devono gestire tutte le risorse PDB in OCI. Questo gruppo viene replicato in OCI durante il processo facoltativo di federazione delle identità. |
| odbg-network-administrators | odbg-network-administrators@<email_domain> | nessuno |
Questo gruppo è destinato agli amministratori che devono gestire tutte le risorse di rete in OCI. Questo gruppo viene replicato in OCI durante il processo facoltativo di federazione delle identità. |
| odbg-costmgmt-amministratori | odbg-costmgmt-administrators@<email_domain> | nessuno |
Questo gruppo è rivolto agli amministratori che devono gestire i costi e le risorse di fatturazione in OCI. Questo gruppo viene replicato in OCI durante il processo facoltativo di federazione delle identità. |
Passi
-
Nella pagina della vista elenco Gruppi, selezionare Crea gruppo.
-
Nella scheda Informazioni sul gruppo immettere i dettagli riportati di seguito per il gruppo che si sta creando.
Per ogni riga della tabella in questo argomento, creare un gruppo utilizzando i passi di questo task. Seguire i passi del task per un singolo gruppo per creare tale gruppo, quindi ripetere i passi per i gruppi aggiuntivi elencati nella tabella.
- Nome gruppo: utilizzare i valori "Nome gruppo Google Cloud" della tabella precedente. Ad esempio:
odbg-exa-infra-administrators. - E-mail di gruppo: è possibile utilizzare i valori "E-mail di Google Cloud Group" nella tabella precedente o creare i propri valori, se necessario. Ad esempio:
odbg-exa-infra-administrators@example.com - Descrizione gruppo: è possibile utilizzare le descrizioni presenti nella colonna "Scopo" della tabella precedente. Ad esempio: "Questo gruppo è rivolto agli amministratori che devono gestire tutte le risorse di Oracle Exadata Database Service in Google Cloud".
Prima di inserire le informazioni:
Dopo aver immesso le informazioni:
- Nome gruppo: utilizzare i valori "Nome gruppo Google Cloud" della tabella precedente. Ad esempio:
-
Nella scheda Impostazioni gruppo aggiornare le impostazioni di accesso in base alle procedure consigliate per la sicurezza dell'azienda, quindi selezionare CREATE GROUP.
-
Selezionare Crea un altro gruppo per iniziare a creare il gruppo successivo nella tabella dei gruppi in questo argomento.
-
Assegnare ruoli ai gruppi Google Cloud creati in IAM & Admin: cercare "IAM & Admin" nella console di Google Cloud e selezionare il risultato della ricerca per passare a questo servizio nella console.
-
Nel menu di navigazione IAM & Admin selezionare IAM, quindi selezionare Concedi accesso.
-
Nella finestra di dialogo Concedi accesso a, assegnare ruoli ai gruppi creati nei passi da 2 a 6 di questo task.
Immettere quanto riportato di seguito, quindi selezionare SAVE e ripetere questo passo finché non saranno stati assegnati ruoli a tutti i gruppi elencati nella tabella all'inizio di questo argomento.
- Aggiungi principal: nel campo Nuovi principal, immettere l'e-mail del gruppo Google Cloud per il gruppo a cui si stanno assegnando i ruoli. Nella tabella precedente è possibile trovare un modello di denominazione suggerito per i nomi delle e-mail dei gruppi. Ad esempio:
odbg-adbs-db-administrators@example.com - Assegna ruoli: nel campo Ruolo selezionare l'assegnazione ruolo gruppo Google elencata nella tabella precedente che corrisponde all'e-mail di gruppo immessa nel campo Nuovi principal. Ad esempio: "Oracle AI Database@Google Cloud Autonomous AI Database Admin"
- Aggiungi principal: nel campo Nuovi principal, immettere l'e-mail del gruppo Google Cloud per il gruppo a cui si stanno assegnando i ruoli. Nella tabella precedente è possibile trovare un modello di denominazione suggerito per i nomi delle e-mail dei gruppi. Ad esempio:
Configurazione del controllo dell'accesso basato sui ruoli per Oracle Exadata Database Service on Exascale Infrastructure
Gruppi, indirizzi e-mail consigliati e assegnazioni di ruoli
Utilizzare le informazioni riportate nella tabella seguente per creare nuovi gruppi e ruoli di Google Cloud per Oracle Exadata Database Service on Exascale Infrastructure. I valori E-mail gruppo Google Cloud forniti nella tabella sono valori consigliati, ma è possibile utilizzare altri nomi di e-mail di gruppo in base alle esigenze. Si noti che è necessario sostituire la stringa <email_domain> con il dominio di posta elettronica dell'organizzazione. Ad esempio: odbg-adbs-db-administrators@example.com
| Nome gruppo Google Cloud | E-mail Google Cloud Group | Assegnazione ruolo Google Cloud | Scopo |
|---|---|---|---|
| odbg-exascale-db-storage-vault-amministratori | odbg-exascale-db-storage-vault-administrators@<email_domain> | Amministrazione di Oracle Database@Google Cloud Exadata Database Service on Exascale Infrastracture Storage Vault | Questo gruppo è destinato agli amministratori che devono gestire tutte le risorse di Oracle Exascale Storage Vault in Google Cloud. |
| odbg-exascale-db-storage-vault-reader | odbg-exascale-db-storage-vault-readers@<email_domain> | Oracle Database@Google Cloud Exadata Database Service su Exascale Infrastracture Storage Vault Viewer | Questo gruppo è destinato agli utenti che devono visualizzare tutte le risorse di Oracle Exascale Storage Vault in Google Cloud |
| odbg-exadb-vm-cluster-administrators | odbg-exadb-vm-cluster-administrators@<email_domain> | Amministrazione del cluster VM Oracle Database@Google Cloud Exadata Database Service on Exascale Infrastracture | Questo gruppo è destinato agli amministratori che devono gestire le risorse dei cluster VM ExaDB Oracle in Google Cloud. |
| lettori-cluster odbg-exadb-vm | odbg-exadb-vm-cluster-readers@<email_domain> | Oracle Database@Google Cloud Exadata Database Service on Exascale Infrastracture - Visualizzatore cluster VM | Questo gruppo è rivolto agli utenti che devono visualizzare le risorse dei cluster VM Oracle ExaDB in Google Cloud |
| odbg-db-family-amministratori | odbg-db-family-administrators@<email_domain> | Amministratore di Oracle AI Database@Google Cloud |
Questo gruppo è rivolto agli amministratori che devono gestire tutte le risorse di Oracle AI Database in OCI. Questo gruppo viene replicato in OCI durante il processo facoltativo di federazione delle identità. |
| lettori-famiglia odbg-db | odbg-db-family-readers@<email_domain> | Visualizzatore di Oracle AI Database@Google Cloud |
Questo gruppo è rivolto ai lettori che devono visualizzare tutte le risorse di Oracle AI Database in OCI. Questo gruppo viene replicato in OCI durante il processo facoltativo di federazione delle identità. |
| odbg-exa-cdb-amministratori | odbg-exa-cdb-administrators@<email_domain> | nessuno |
Questo gruppo è destinato agli amministratori che devono gestire tutte le risorse CDB in OCI. Questo gruppo viene replicato in OCI durante il processo facoltativo di federazione delle identità. |
| odbg-exa-pdb-amministratori | odbg-exa-pdb-administrators@<email_domain> | nessuno |
Questo gruppo è destinato agli amministratori che devono gestire tutte le risorse PDB in OCI. Questo gruppo viene replicato in OCI durante il processo facoltativo di federazione delle identità. |
| odbg-network-administrators | odbg-network-administrators@<email_domain> | nessuno |
Questo gruppo è destinato agli amministratori che devono gestire tutte le risorse di rete in OCI. Questo gruppo viene replicato in OCI durante il processo facoltativo di federazione delle identità. |
| odbg-costmgmt-amministratori | odbg-costmgmt-administrators@<email_domain> | nessuno |
Questo gruppo è rivolto agli amministratori che devono gestire i costi e le risorse di fatturazione in OCI. Questo gruppo viene replicato in OCI durante il processo facoltativo di federazione delle identità. |
Passi
-
Nella pagina della vista elenco Gruppi, selezionare Crea gruppo.
-
Nella scheda Informazioni sul gruppo immettere i dettagli riportati di seguito per il gruppo che si sta creando.
Per ogni riga della tabella in questo argomento, creare un gruppo utilizzando i passi di questo task. Seguire i passi del task per un singolo gruppo per creare tale gruppo, quindi ripetere i passi per i gruppi aggiuntivi elencati nella tabella.
- Nome gruppo: utilizzare i valori "Nome gruppo Google Cloud" della tabella precedente. Ad esempio:
odbg-exa-infra-administrators. - E-mail di gruppo: è possibile utilizzare i valori "E-mail di Google Cloud Group" nella tabella precedente o creare i propri valori, se necessario. Ad esempio:
odbg-exa-infra-administrators@example.com - Descrizione gruppo: è possibile utilizzare le descrizioni presenti nella colonna "Scopo" della tabella precedente. Ad esempio: "Questo gruppo è rivolto agli amministratori che devono gestire tutte le risorse di Oracle Exadata Database Service in Google Cloud".
Prima di inserire le informazioni:
Dopo aver immesso le informazioni:
- Nome gruppo: utilizzare i valori "Nome gruppo Google Cloud" della tabella precedente. Ad esempio:
-
Nella scheda Impostazioni gruppo aggiornare le impostazioni di accesso in base alle procedure consigliate per la sicurezza dell'azienda, quindi selezionare CREATE GROUP.
-
Selezionare Crea un altro gruppo per iniziare a creare il gruppo successivo nella tabella dei gruppi in questo argomento.
-
Assegnare ruoli ai gruppi Google Cloud creati in IAM & Admin: cercare "IAM & Admin" nella console di Google Cloud e selezionare il risultato della ricerca per passare a questo servizio nella console.
-
Nel menu di navigazione IAM & Admin selezionare IAM, quindi selezionare Concedi accesso.
-
Nella finestra di dialogo Concedi accesso a, assegnare ruoli ai gruppi creati nei passi da 2 a 6 di questo task.
Immettere quanto riportato di seguito, quindi selezionare SAVE e ripetere questo passo finché non saranno stati assegnati ruoli a tutti i gruppi elencati nella tabella all'inizio di questo argomento.
- Aggiungi principal: nel campo Nuovi principal, immettere l'e-mail del gruppo Google Cloud per il gruppo a cui si stanno assegnando i ruoli. Nella tabella precedente è possibile trovare un modello di denominazione suggerito per i nomi delle e-mail dei gruppi. Ad esempio:
odbg-adbs-db-administrators@example.com - Assegna ruoli: nel campo Ruolo selezionare l'assegnazione ruolo gruppo Google elencata nella tabella precedente che corrisponde all'e-mail di gruppo immessa nel campo Nuovi principal. Ad esempio: "Oracle AI Database@Google Cloud Autonomous AI Database Admin"
- Aggiungi principal: nel campo Nuovi principal, immettere l'e-mail del gruppo Google Cloud per il gruppo a cui si stanno assegnando i ruoli. Nella tabella precedente è possibile trovare un modello di denominazione suggerito per i nomi delle e-mail dei gruppi. Ad esempio:
Criteri multicloud OCI
Quando inserisci il tuo ambiente Google Cloud in Oracle AI Database@Google Cloud, durante il processo di collegamento degli account OCI, OCI crea un compartimento multicloud e i criteri IAM (Identity and Access Management) OCI necessari per il servizio. Queste risorse sono essenziali per la manutenzione di Oracle AI Database@Google Cloud. Gli amministratori OCI non devono modificare, spostare o eliminare queste risorse create automaticamente.
È possibile identificare i criteri IAM e il compartimento utilizzando il prefisso MulticloudLink.
Criteri di rifiuto di IAM (Identity and Access Management)
I criteri di rifiuto IAM OCI consentono agli amministratori di bloccare in modo esplicito azioni indesiderate, migliorando la sicurezza e semplificando il controllo dell'accesso.
Sebbene i criteri di negazione IAM OCI siano un potente strumento per limitare le autorizzazioni, devono essere utilizzati con estrema cautela in Oracle AI Database@Google Cloud.
Non applicare alcun criterio Nega che abbia come destinazione o impatto i criteri IAM o i compartimenti preceduti dal prefisso MulticloudLink.
L'applicazione dei criteri di negazione alle risorse cloud di Oracle AI Database@Google interrompe l'integrazione del servizio ODBG con OCI, causando gravi errori operativi o un malfunzionamento completo del servizio.
Recupera da un criterio di negazione a livello di tenancy che blocca le funzioni multicloud
Un criterio di rifiuto a livello di tenancy, ad esempio Deny any-user to inspect all-resources in tenancy, può bloccare qualsiasi accesso utente o bloccare l'integrazione multicloud.
Per recuperare:
In questi passi viene utilizzata la console di Oracle Cloud. In alternativa, utilizzare l'interfaccia CLI OCI. Esempio di comando CLI:
oci iam policy update --policy-id <policy-id> --statements '["Deny group Interns to inspect all-resources in tenancy"]'