Documentazione di Oracle Cloud Infrastructure

Crea gruppi e criteri IAM (Identity and Access Management) per gli utenti IAM

Descrive i passi per scrivere le istruzioni dei criteri per un gruppo IAM per abilitare l'accesso utente IAM alle risorse Oracle Cloud Infrastructure, in particolare alle istanze di Autonomous Database.

Un criterio è un gruppo di istruzioni che specifica chi può accedere a determinate risorse e come. È possibile concedere l'accesso per l'intera tenancy, i database di un compartimento o i singoli database. Ciò significa che si scrive un'istruzione criterio che fornisce a un gruppo specifico un tipo specifico di accesso a un tipo specifico di risorsa all'interno di un compartimento specifico.

Nota

Per utilizzare i token IAM per accedere ad Autonomous Database è necessario definire un criterio. Quando si utilizzano le password del database IAM per accedere ad Autonomous Database, non è necessario alcun criterio.

Per consentire agli utenti IAM di connettersi al database mediante i token IAM, abilitare Autonomous Database:

  1. Eseguire i prerequisiti di Oracle Cloud Infrastructure Identity and Access Management creando un gruppo e aggiungendo utenti al gruppo.

    Ad esempio, creare il gruppo sales_dbusers.

    Per ulteriori informazioni, vedere Gestione dei gruppi.

  2. Scrivere istruzioni dei criteri per abilitare l'accesso alle risorse di Oracle Cloud Infrastructure.
    1. Nella console di Oracle Cloud Infrastructure fare clic su Identità e sicurezza.
    2. In Identità e sicurezza fare clic su Criteri.
    3. Per un criterio di scrittura, fare clic su Crea criterio.
    4. Nella pagina Crea criterio, immettere un nome e una descrizione.
    5. Nella pagina Crea criterio, selezionare Mostra editor manuale.
    6. Utilizzare la Costruzione guidata criteri per creare un criterio.

      Ad esempio, per creare un criterio che consenta agli utenti del gruppo IAM DBUsers di accedere a qualsiasi Autonomous Database nella propria tenancy: 

      Allow group DBUsers to use autonomous-database-family in tenancy
      Ad esempio, per creare un criterio che limiti i membri del gruppo DBUsers ad accedere solo agli Autonomous Database nel compartimento testing_compartment:
      allow group DBUsers to use autonomous-database-family in compartment testing_compartment
      Ad esempio, per creare un criterio che limiti l'accesso di gruppo a un singolo database in un compartimento:
      allow group DBUsers to use autonomous-database-family in compartment testing_compartment 
               where target.id = 'ocid1.autonomousdatabase.oc1.iad.aaaabbbbcccc...b5678ca'

      Per ulteriori informazioni sui criteri IAM per l'accesso al database, vedere Creating an IAM Policy to Authorize Users Authenticating with Tokens in Database Security Guide.

    7. Fare clic su Crea.

      Per ulteriori informazioni sui criteri, vedere Gestione dei criteri.

Note per la creazione di criteri da utilizzare con gli utenti IAM su Autonomous Database:

  • I criteri possono consentire agli utenti IAM di accedere alle istanze di Autonomous Database nell'intera tenancy, in un compartimento o di limitare l'accesso a una singola istanza di Autonomous Database.

  • È possibile utilizzare il principal dell'istanza o il principal delle risorse per recuperare i token del database per stabilire una connessione dall'applicazione a un'istanza di Autonomous Database. Se si utilizza un principal istanza o un principal risorsa, è necessario mappare un gruppo dinamico. Pertanto, non è possibile mappare in modo esclusivo i principal delle istanze e delle risorse; è possibile mapparli solo tramite un mapping condiviso e inserire l'istanza o l'istanza di risorsa in un gruppo dinamico IAM.

    È possibile creare gruppi dinamici e fare riferimento ai gruppi dinamici nei criteri creati per accedere a Oracle Cloud Infrastructure. Per i dettagli, vedere Configura criteri e ruoli per accedere alle risorse e Gestione dei gruppi dinamici.