Documentazione dell'infrastruttura Oracle Cloud

Principal risorsa

I sistemi DB possono utilizzare i principal delle risorse per autenticare e accedere ad altre risorse Oracle Cloud Infrastructure. Per utilizzare i principal delle risorse, l'utente o l'amministratore della tenancy deve definire i criteri e i gruppi dinamici di Oracle Cloud Infrastructure che consentono ai principal di accedere alle risorse di Oracle Cloud Infrastructure.

Il principal risorsa viene utilizzato nelle seguenti funzioni del servizio HeatWave:

  • Porta il tuo certificato: consente ai sistemi DB di leggere i certificati definiti nel servizio certificati Oracle Cloud Infrastructure (OCI).
  • Gruppi di sicurezza di rete: consente ai sistemi DB o alle repliche di lettura di utilizzare le regole di sicurezza di rete specificate in uno o più gruppi di sicurezza di rete.
  • HeatWave Lakehouse: consente ai sistemi DB di leggere i dati dallo storage degli oggetti.
  • Esportazione dei risultati delle query nello storage degli oggetti: consente al servizio HeatWave di esportare i risultati delle query nello storage degli oggetti.
  • Accesso al servizio AI generativa OCI: consente a HeatWave GenAI di utilizzare qualsiasi modello di base pre-addestrato disponibile nel servizio AI generativa OCI.

I principal risorse dispongono di due componenti:

Gruppi dinamici

I gruppi dinamici consentono di raggruppare i sistemi DB del servizio HeatWave come attori principali, in modo simile ai gruppi di utenti.

Successivamente, puoi creare criteri per consentire ai sistemi DB nei gruppi dinamici di effettuare chiamate API sui servizi Oracle Cloud Infrastructure, come i certificati o lo storage degli oggetti. L'appartenenza al gruppo è determinata da una serie di criteri definiti, denominati regole di corrispondenza.

L'esempio seguente mostra una regola di corrispondenza che include tutti i sistemi DB nel compartimento definito:
"ALL{resource.type='mysqldbsystem', resource.compartment.id = 'ocid1.compartment.oc1..alphanumericString'}"

Per ulteriori informazioni, vedere Scrittura di regole di corrispondenza per definire i gruppi dinamici.

I gruppi dinamici richiedono un nome, una descrizione e una regola di corrispondenza. Vedere Creazione di un gruppo dinamico.

Criteri

I criteri definiscono le azioni che i gruppi o i gruppi dinamici possono eseguire.

Definizione di un criterio per il trasferimento del proprio certificato

Affinché i sistemi DB possano accedere ai certificati dal servizio Certificati, è necessario definire un criterio che consenta al gruppo dinamico di leggere i certificati.

Ad esempio, il criterio riportato di seguito concede al gruppo dinamico MYSQL_DG di leggere i certificati di sicurezza nel compartimento C8: 
Allow dynamic-group MYSQL_DG to read leaf-certificate-family in compartment C8

Definizione di un criterio per i gruppi di sicurezza di rete

Per aggiungere gruppi di sicurezza di rete ai sistemi DB o leggere le repliche, è necessario definire un criterio che consenta al gruppo dinamico di utilizzare le autorizzazioni riportate di seguito.
  • NETWORK_SECURITY_GROUP_UPDATE_MEMBERS nel compartimento contenente i gruppi di sicurezza di rete
  • VNIC_CREATE, VNIC_UPDATE, VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP, VNIC_DISASSOCIATE_NETWORK_SECURITY_GROUP, VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP nel compartimento della subnet del sistema DB.
Ad esempio, i criteri riportati di seguito concedono al gruppo dinamico MYSQL_DG le autorizzazioni necessarie per utilizzare i gruppi di sicurezza di rete nel compartimento C8 con la subnet del sistema DB nel compartimento C9:
Allow dynamic-group MYSQL_DG to {NETWORK_SECURITY_GROUP_UPDATE_MEMBERS} 
    in compartment C8
Allow dynamic-group MYSQL_DG to {VNIC_CREATE, VNIC_UPDATE, VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP, 
    VNIC_DISASSOCIATE_NETWORK_SECURITY_GROUP} in compartment C9
In alternativa, è possibile creare i criteri seguenti che incorporano le entità senza utilizzare un gruppo dinamico:
Allow any-user to {NETWORK_SECURITY_GROUP_UPDATE_MEMBERS} in compartment C8 where all 
    {request.principal.type='mysqldbsystem', request.resource.compartment.id='ocid1.compartment.oc1..alphanumericString'}
Allow any-user to {VNIC_CREATE, VNIC_UPDATE, VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP, 
    VNIC_DISASSOCIATE_NETWORK_SECURITY_GROUP} in compartment C9 where all 
    {request.principal.type='mysqldbsystem', request.resource.compartment.id='ocid1.compartment.oc1..alphanumericString'}

Definizione di un criterio per HeatWave Lakehouse

Affinché HeatWave Lakehouse acceda allo storage degli oggetti, è necessario definire un criterio che consenta al gruppo dinamico di accedere ai bucket e ai relativi contenuti.

Ad esempio, il criterio riportato di seguito concede al gruppo dinamico MYSQL_DG l'accesso in sola lettura ai bucket e agli oggetti contenuti in tali bucket nel compartimento C8: 
Allow dynamic-group MYSQL_DG to read buckets in compartment C8
Allow dynamic-group MYSQL_DG to read objects in compartment C8

Definizione di un criterio per l'esportazione dei risultati delle query nello storage degli oggetti

Per consentire a HeatWave di esportare i risultati delle query nello storage degli oggetti, il criterio deve concedere le autorizzazioni per creare ed eliminare gli oggetti nel bucket al gruppo dinamico.

Ad esempio, il criterio riportato di seguito concede al gruppo dinamico MYSQL_DG le autorizzazioni per creare, ispezionare ed eliminare oggetti in qualsiasi bucket nel compartimento C8:
Allow dynamic-group MYSQL_DG to read buckets in compartment C8
Allow dynamic-group MYSQL_DG to manage objects in compartment C8 where 
  any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT', 
       request.permission='OBJECT_DELETE'}
È possibile limitare le autorizzazioni a un bucket specifico. Il criterio seguente concede al gruppo dinamico MYSQL_DG le autorizzazioni per creare, ispezionare ed eliminare oggetti nel bucket BucketA nel compartimento C8:
Allow dynamic-group MYSQL_DG to read buckets in compartment C8
Allow dynamic-group MYSQL_DG to manage objects in compartment C8 where 
  all {target.bucket.name='BucketA',
    any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT', 
         request.permission='OBJECT_DELETE'} }

Definizione di un criterio per l'accesso al servizio AI generativa OCI

Affinché HeatWave GenAI utilizzi qualsiasi modello di base pre-addestrato disponibile nell'AI generativa OCI, è necessario definire un criterio che consenta al gruppo dinamico di accedere al servizio AI generativa OCI.

Ad esempio, il criterio riportato di seguito concede al gruppo dinamico MYSQL_DG di accedere al servizio AI generativa OCI nel compartimento C8: 
Allow dynamic-group MYSQL_DG to use generative-ai-chat in compartment C8
Allow dynamic-group MYSQL_DG to use generative-ai-text-embedding in compartment C8
Nota

L'uso dell'intelligenza artificiale generativa OCI verrà misurato e fatturato nel compartimento selezionato.
Per ulteriori informazioni, vedere Scrittura dei criteri per i gruppi dinamici.