Documentazione di Oracle Cloud Infrastructure

Criteri associazione tra tenancy

L'organizzazione potrebbe anche voler creare connessioni nella propria tenancy che fanno riferimento a endpoint privati in un'altra tenancy o consentire che i propri endpoint privati vengano utilizzati dalle connessioni in un'altra tenancy.

Per consentire a un gruppo IAM di creare tali connessioni cross-tenancy, gli amministratori della tenancy devono scrivere istruzioni criteri speciali di "associazione cross-tenancy". Queste istruzioni utilizzano i verbi Endorse e Admit come con le normali istruzioni dei criteri cross-tenancy, ma invece di concedere l'autorizzazione per eseguire un'azione come read o use su un tipo di risorsa, concedono l'autorizzazione per associare due tipi di risorse l'uno con l'altro.

Dichiarazioni associazione cross-tenancy

Le istruzioni dei criteri di associazione cross-tenancy sono obbligatorie:

  • Quando un gruppo crea una connessione che fa riferimento a un endpoint privato che non si trova nella stessa tenancy della connessione o aggiorna una connessione esistente per creare tale riferimento.
  • Oltre alle istruzioni dei criteri cross-tenancy normalmente richieste. Ad esempio, le istruzioni cross-tenancy sono necessarie per consentire al gruppo di utilizzare l'endpoint privato se si trova in una tenancy diversa dal gruppo.
  • Solo per alcune coppie di risorse. Gli strumenti di database li richiedono solo per le connessioni e gli endpoint privati. non sono necessarie per tutte le coppie di risorse che possono fare riferimento l'una all'altra, come le connessioni e i segreti del vault.

Una volta create le connessioni, i criteri di associazione cross-tenancy non sono necessari per utilizzarle. Qualsiasi utente autorizzato a utilizzare le connessioni e a leggere i segreti di riferimento è in grado di utilizzare le connessioni.

Negli esempi riportati di seguito, si fa riferimento alla tenancy con il gruppo e la connessione come tenancy di gruppo e alla tenancy con l'endpoint privato come tenancy della risorsa.

Questo è un esempio di una possibile configurazione in cui sono richieste le istruzioni dei criteri di associazione cross-tenancy. Le connessioni vengono create in una tenancy diversa dagli endpoint privati a cui fanno riferimento.

Questa figura illustra una configurazione in cui le connessioni vengono create in una tenancy diversa dagli endpoint privati a cui fanno riferimento.

È anche possibile avere i segreti nella tenancy del gruppo o cambiare le connessioni e gli endpoint privati. Se le connessioni e gli endpoint privati si trovano insieme nella stessa tenancy, non sono necessari criteri di associazione cross-tenancy.

Istruzioni criteri tenancy gruppo

L'amministratore della tenancy del gruppo crea le istruzioni dei criteri che:

  • Definire un alias per la tenancy della risorsa. L'amministratore della tenancy della risorsa deve fornire l'OCID della tenancy della risorsa.
  • Approvare un gruppo IAM nella tenancy per associare le connessioni nella tenancy o nel compartimento agli endpoint privati nella tenancy della risorsa.

È inoltre possibile includere le normali istruzioni dei criteri cross-tenancy necessarie per approvare il gruppo per accedere alle risorse nella tenancy della risorsa.

Di seguito è riportato un esempio di istruzioni dei criteri che supportano il gruppo IAM DatabaseToolsConnectionManagers per associare le connessioni in un compartimento della tenancy del gruppo, ConnectionsCompartment, agli endpoint privati in ResourceTenancy. Approvano inoltre il gruppo per leggere segreti e utilizzare endpoint privati in ResourceTenancy: 

Define tenancy ResourceTenancy as <resource_tenancy_ocid>

Endorse group DatabaseToolsConnectionManagers to associate database-tools-connections in compartment ConnectionsCompartment with database-tools-private-endpoints in tenancy ResourceTenancy

Endorse group DatabaseToolsConnectionManagers to read secret-family in tenancy ResourceTenancy

Endorse group DatabaseToolsConnectionManagers to use database-tools-private-endpoints in tenancy ResourceTenancy

Istruzioni criteri tenancy risorsa

L'amministratore della tenancy delle risorse crea le istruzioni dei criteri che:

  • Definire gli alias per la tenancy del gruppo e il gruppo IAM a cui è consentito accedere alle risorse nella tenancy. L'amministratore della tenancy del gruppo deve fornire gli OCID della tenancy e del gruppo del gruppo.
  • Ammettere il gruppo per associare le connessioni nella tenancy del gruppo agli endpoint privati nella tenancy o nel compartimento.

Puoi anche includere le normali istruzioni dei criteri cross-tenancy necessarie per consentire al gruppo di accedere alle risorse nella tua tenancy.

Di seguito è riportato un esempio di istruzioni dei criteri che consentono al gruppo IAM DatabaseToolsConnectionManagers nella tenancy del gruppo di associare le connessioni in GroupTenancy agli endpoint privati in un compartimento della tenancy delle risorse, PrivateEndpointsCompartment. Ammettono inoltre al gruppo di leggere segreti e utilizzare endpoint privati in PrivateEndpointsCompartment: 

Define tenancy GroupTenancy as <group_tenancy_ocid>

Define group DatabaseToolsConnectionManagers as <database_tools_connection_managers_group_ocid>

Admit group DatabaseToolsConnectionManagers of tenancy GroupTenancy to 
associate database-tools-connections in tenancy GroupTenancy with 
database-tools-private-endpoints in compartment PrivateEndpointsCompartment

Admit group DatabaseToolsConnectionManagers of tenancy GroupTenancy to read 
secret-family in compartment PrivateEndpointsCompartment

Admit group DatabaseToolsConnectionManagers of tenancy GroupTenancy to use 
database-tools-private-endpoints in compartment PrivateEndpointsCompartment

Con tre tenancy

Il gruppo IAM può anche trovarsi in una terza tenancy. Si supponga che il gruppo si trovi in una tenancy denominata GroupTenancy, che le connessioni si trovino in una tenancy denominata ConnectionTenancy e che gli endpoint privati si trovino in una tenancy denominata PrivateEndpointsTenancy.

Poiché sono presenti tre tenancy, sono necessarie tre istruzioni dei criteri di associazione tra tenancy. Oltre alle ulteriori istruzioni Definisci, GroupTenancy deve disporre di un'istruzione Approva e ConnectionTenancy e PrivateEndpointsTenancy devono avere ciascuna un'istruzione Ammetti.

Questo è un esempio di una possibile configurazione che coinvolge tre tenancy. Il gruppo, le connessioni e gli endpoint privati si trovano tutti in tenancy separate. Altre possibili configurazioni potrebbero avere i segreti in una delle altre tenancy o anche in una quarta tenancy, ma i criteri di associazione tra tenancy non sono necessari per connessioni e segreti.

Questa figura illustra una configurazione in cui il gruppo, le connessioni e gli endpoint privati si trovano in tenancy diverse.

Di seguito è riportato un esempio di istruzioni dei criteri in GroupTenancy che supportano un gruppo IAM nella tenancy, DatabaseToolsConnectionManagers, per associare le connessioni in ConnectionTenancy agli endpoint privati in PrivateEndpointTenancy. Approva inoltre il gruppo per gestire le connessioni in ConnectionTenancy e leggere i segreti e utilizzare gli endpoint privati in PrivateEndpointTenancy: 

Define tenancy ConnectionTenancy as <connection_tenancy_ocid>

Define tenancy PrivateEndpointTenancy as <private_endpoint_tenancy_ocid>

Endorse group DatabaseToolsConnectionManagers to associate 
database-tools-connections in tenancy ConnectionTenancy with 
database-tools-private-endpoints in tenancy PrivateEndpointTenancy

Endorse group DatabaseToolsConnectionManagers to manage 
database-tools-connections in tenancy ConnectionTenancy

Endorse group DatabaseToolsConnectionManagers to read secret-family 
in tenancy PrivateEndpointTenancy

Endorse group DatabaseToolsConnectionManagers to use 
database-tools-private-endpoints in tenancy PrivateEndpointTenancy

Di seguito è riportato un esempio di istruzioni dei criteri in ConnectionTenancy che supportano DatabaseToolsConnectionManagers per associare le connessioni nella tenancy agli endpoint privati in PrivateEndpointTenancy. Il gruppo ammette inoltre di gestire le connessioni in un compartimento denominato ConnectionsCompartment: 

Define tenancy GroupTenancy as <group_tenancy_ocid>

Define tenancy PrivateEndpointTenancy as <private_endpoint_tenancy_ocid>

Admit group DatabaseToolsConnectionManagers of tenancy GroupTenancy to 
associate database-tools-connections in tenancy with 
database-tools-private-endpoints in tenancy PrivateEndpointTenancy

Admit group DatabaseToolsConnectionManagers of tenancy GroupTenancy to manage 
database-tools-connections in compartment ConnectionsCompartment

Di seguito è riportato un esempio di istruzioni dei criteri in PrivateEndpointTenancy che supportano DatabaseToolsConnectionManagers per associare le connessioni in ConnectionTenancy agli endpoint privati nella tenancy. Inoltre, ammette al gruppo di leggere i segreti e utilizzare endpoint privati in un compartimento denominato PrivateEndpointsCompartment: 

Define tenancy GroupTenancy as <group_tenancy_ocid>

Define tenancy ConnectionTenancy as <connection_tenancy_ocid>

Admit group DatabaseToolsConnectionManagers of tenancy GroupTenancy to 
associate database-tools-connections in tenancy ConnectionTenancy 
with database-tools-private-endpoints in tenancy

Admit group DatabaseToolsConnectionManagers of tenancy GroupTenancy to read 
secret-family in compartment PrivateEndpointsCompartment

Admit group DatabaseToolsConnectionManagers of tenancy GroupTenancy to use 
database-tools-private-endpoints in compartment PrivateEndpointsCompartment