Documentazione dell'infrastruttura Oracle Cloud

Creare gruppi e criteri IAM (Identity and Access Management) per gli utenti IAM

Descrive i passi per scrivere le istruzioni dei criteri per un gruppo IAM per abilitare l'accesso utente IAM alle risorse di Oracle Cloud Infrastructure, in particolare le istanze di Autonomous AI Database.

Un criterio è un gruppo di istruzioni che specifica chi può accedere a determinate risorse e in che modo. È possibile concedere l'accesso per l'intera tenancy, per i database in un compartimento o per singoli database. Ciò significa che si scrive un'istruzione dei criteri che fornisce a un gruppo specifico un tipo specifico di accesso a un tipo specifico di risorsa all'interno di un compartimento specifico.

Nota

La definizione di un criterio è necessaria per utilizzare i token IAM per accedere ad Autonomous AI Database. Non è necessario un criterio quando si utilizzano le password del database IAM per accedere ad Autonomous AI Database.

Per abilitare Autonomous AI Database per consentire agli utenti IAM di connettersi al database utilizzando i token IAM, effettuare le operazioni riportate di seguito.

  1. Eseguire i prerequisiti di Oracle Cloud Infrastructure Identity and Access Management creando un gruppo e aggiungendo utenti al gruppo.

    Ad esempio, creare il gruppo sales_dbusers.

    Per ulteriori informazioni, vedere Gestione dei gruppi.

  2. Scrivere istruzioni sui criteri per abilitare l'accesso alle risorse di Oracle Cloud Infrastructure.
    1. Nella console di Oracle Cloud Infrastructure fare clic su Identità e sicurezza.
    2. In Identità e sicurezza fare clic su Criteri.
    3. Per un criterio di scrittura, fare clic su Crea criterio.
    4. Nella pagina Crea criterio, immettere un nome e una descrizione.
    5. Nella pagina Crea criterio, selezionare Mostra editor manuale.
    6. Utilizzare Costruzione guidata criteri per creare un criterio.

      Ad esempio, per creare un criterio che consenta agli utenti del gruppo IAM DBUsers di accedere a qualsiasi Autonomous AI Database nella propria tenancy: 

      Allow group DBUsers to use autonomous-database-family in tenancy
      Ad esempio, per creare un criterio che limiti i membri del gruppo DBUsers ad accedere AI database AI autonomi solo nel compartimento testing_compartment:
      allow group DBUsers to use autonomous-database-family in compartment testing_compartment
      Ad esempio, per creare un criterio che limita l'accesso di gruppo a un singolo database in un compartimento:
      allow group DBUsers to use autonomous-database-family in compartment testing_compartment 
               where target.id = 'ocid1.autonomousdatabase.oc1.iad.aaaabbbbcccc...b5678ca'

      Per ulteriori informazioni sui criteri IAM per accedere al database, vedere Creating an IAM Policy to Authorize Users Authenticating with Tokens in Database Security Guide.

    7. Fare clic su Crea.

      Per ulteriori informazioni sui criteri, vedere Gestione dei criteri.

Note per la creazione di criteri da utilizzare con gli utenti IAM su Autonomous AI Database:

  • I criteri possono consentire agli utenti IAM di accedere alle istanze di Autonomous AI Database nell'intera tenancy, in un compartimento o possono limitare l'accesso a una singola istanza di Autonomous AI Database.

  • È possibile utilizzare il principal dell'istanza o il principal risorsa per recuperare i token del database per stabilire una connessione dall'applicazione a un'istanza di Autonomous AI Database. Se si utilizza un principal istanza o un principal risorsa, è necessario mappare un gruppo dinamico. Pertanto, non è possibile mappare in modo esclusivo i principal di istanza e risorsa; è possibile mapparli solo tramite un mapping condiviso e inserire l'istanza o l'istanza di risorsa in un gruppo dinamico IAM.

    È possibile creare gruppi dinamici e fare riferimento a gruppi dinamici nei criteri creati per accedere a Oracle Cloud Infrastructure. Per informazioni dettagliate, vedere Configurare criteri e ruoli per accedere alle risorse e Gestione dei gruppi dinamici.