Documentazione dell'infrastruttura Oracle Cloud

Criteri per il sistema DB MySQL HeatWave

Mostra come consentire a Disaster Recovery (DR) di gestire il sistema DB MySQL che fa parte dello stack di applicazioni.

Criteri per il sistema DB MySQL

Configurare i criteri per consentire a Disaster Recovery (DR) di gestire la famiglia di risorse MySQL.
Allow group <group name> to manage mysql-family in compartment
    <compartment_name>
Criteri per Vault-Secret

Configurare i criteri IAM per concedere l'accesso in lettura al segreto del vault utilizzato nelle operazioni di disaster recovery (DR) del sistema DB MySQL, consentendo ai principal delle risorse autorizzati di recuperare il segreto in base alle esigenze.

Crea un gruppo dinamico

Prima di creare il criterio, assicurarsi di aver definito un gruppo dinamico per le risorse che richiedono l'accesso al segreto del vault. Ad esempio, per concedere a tutte le istanze all'interno di un compartimento specifico l'accesso al segreto, è possibile utilizzare la sintassi dei criteri riportata di seguito.

ALL {resource.type='computecontainerinstance', resource.compartment.id =
      'ocid1.compartment.oc1..<compartment_ocid>'}

Sostituire <compartment_ocid> con l'OCID effettivo del compartimento.

Criteri per lo storage degli oggetti

Definisci il criterio

Creare un criterio che conceda al gruppo dinamico l'autorizzazione per read segreti dal vault e caricare i log nel bucket di storage degli oggetti durante l'esecuzione. Utilizzare il verbo read con il tipo di risorsa secret-family. La sintassi del criterio è: 

Allow dynamic-group <dynamic-group-name> to read object-family in compartment
      <compartment-name>

Allow dynamic-group <dynamic-group-name> to read secret-family in compartment <compartment-name>

Nell'esempio precedente:

<dynamic-group-name>: The name of your dynamic group.
<compartment-name>: The name of the compartment where the secret resides.

Criterio di esempio

Se il gruppo dinamico è denominato InstanceSecretReaders e i segreti vengono memorizzati nel compartimento MySecretsCompartment, l'istruzione dei criteri sarà la seguente: 

Allow dynamic-group InstanceSecretReaders to read secret-family in compartment MySecretsCompartment

Questo criterio consente a qualsiasi risorsa membro del gruppo dinamico InstanceSecretReaders di leggere i segreti memorizzati nel compartimento MySecretsCompartment tramite OCI Vault.