Criteri di Oracle Cloud Infrastructure GoldenGate

Per controllare l'accesso a Oracle Cloud Infrastructure GoldenGate e il tipo di accesso di ogni gruppo di utenti, è necessario creare criteri.

Ad esempio, è possibile creare un gruppo Administrators i cui membri possono accedere a tutte le risorse OCI GoldenGate. Puoi quindi creare un gruppo separato per tutti gli altri utenti coinvolti in OCI GoldenGate e creare criteri che limitano il loro accesso alle risorse OCI GoldenGate in compartimenti diversi.

Per un elenco completo dei criteri di Oracle Cloud Infrastructure, consulta il riferimento ai criteri.

creare nuovi criteri;

I criteri definiscono le azioni che i membri di un gruppo possono eseguire e in quali compartimenti.

Utilizzare la console di Oracle Cloud per creare criteri. Nel menu di navigazione della console di Oracle Cloud selezionare Identità e sicurezza, quindi in Identità e selezionare Criteri. I criteri vengono scritti nella sintassi seguente:

allow group <identity-domain>/<group-name> to <verb> <resource-type> in <location> where <condition>

Le definizioni dei parametri sono le seguenti:

<identity-domain>: (facoltativo) se si utilizza OCI IAM per la gestione delle identità, includere il dominio di Identity del gruppo di utenti. Se omesso, OCI utilizza il dominio predefinito.
<group-name>: il nome del gruppo di utenti a cui si stanno concedendo le autorizzazioni.
<verb>: fornisce al gruppo un determinato livello di accesso a un tipo di risorsa. Man mano che i verbi passano da inspect a read a use a manage, il livello di accesso aumenta e le autorizzazioni concesse sono cumulative.

Ulteriori informazioni sulla relazione tra autorizzazioni e verbi.
<resource-type>: il tipo di risorsa con cui si sta concedendo a un gruppo l'autorizzazione a lavorare. Ci sono singole risorse, come goldengate-deployments, goldengate-pipelines e goldengate-connections, e ci sono famiglie di risorse, come goldengate-family, che include le singole risorse precedentemente menzionate.

Per ulteriori informazioni, vedere resource-types.
<location>: collega il criterio a un compartimento o a una tenancy. È possibile specificare un singolo percorso di compartimento o compartimento in base al nome o all'OCID oppure specificare tenancy per coprire l'intera tenancy.
<condition>: facoltativo. Una o più condizioni alle quali si applicherà questa politica.

Ulteriori informazioni sulla sintassi dei criteri.

Come creare un criterio

Per creare un criterio, effettuare le operazioni riportate di seguito.

Nel menu di navigazione di Oracle Cloud selezionare Identità e sicurezza, quindi in Identifica selezionare Criteri.
Nella pagina Criteri, selezionare Crea criterio.
Nella pagina Crea criterio, immettere un nome e un'indicazione del criterio.
Selezionare il compartimento in cui creare questo criterio.
Nella sezione Costruzione guidata criteri è possibile
- Selezionare Servizio GoldenGate dall'elenco a discesa Caso d'uso dei criteri e un modello di criteri comune, ad esempio Criteri obbligatori per consentire agli utenti di gestire le risorse GoldenGate.
- Selezionare Mostra editor manuale per immettere una regola dei criteri nel seguente formato:
```
allow <subject> to <verb> <resource-type> in <location> where <condition>
```
  Le condizioni sono facoltative. Vedere Dettagli per le combinazioni di verbi e tipi di risorsa.
Suggerimento: per ulteriori informazioni, vedere Criteri consigliati minimi.
Selezionare Crea.

Per ulteriori informazioni sui criteri, vedere come funzionano i criteri, sintassi dei criteri e riferimento ai criteri.

Criteri consigliati minimi

Suggerimento

Per utilizzare un modello criteri comune per aggiungere tutti i criteri necessari, effettuare le operazioni riportate di seguito.

Per i casi d'uso dei criteri, selezionare GoldenGate Service dall'elenco a discesa.
Per Modelli di uso comune, selezionare Criteri obbligatori per consentire agli utenti di gestire le risorse GoldenGate dall'elenco a discesa.

Come minimo, sono necessarie politiche per:

Consente agli utenti di utilizzare o gestire le risorse GoldenGate, in modo che possano lavorare con distribuzioni e connessioni. Ad esempio:
```
allow group <identity-domain>/<group-name> to manage goldengate-family in <location>
```
Consenti agli utenti di gestire le risorse di rete in modo che possano visualizzare e selezionare compartimenti e subnet, nonché creare ed eliminare endpoint privati durante la creazione delle risorse GoldenGate. Ad esempio:
```
allow group <identity-domain>/<group-name> to manage virtual-network-family in <location>
```
Nota:
- Quando si crea una distribuzione o una connessione utilizzando un endpoint dedicato, uno o più IP vengono allocati nella subnet selezionata. Per consentire al servizio di creare le risorse di rete, è necessario fornire i privilegi di accesso di rete necessari sia nella subnet che nel compartimento di distribuzione o connessione.
- Analogamente, i privilegi di accesso di rete appropriati sono necessari quando si elimina una distribuzione o una connessione utilizzando un endpoint dedicato per consentire al servizio di eliminare le risorse di rete.
Facoltativamente, puoi proteggere ulteriormente le risorse di rete utilizzando una combinazione di criteri granulari. Vedere Esempi di criteri per la protezione delle risorse di rete.
Creare un gruppo dinamico per concedere le autorizzazioni alle risorse in base a regole definite, consentendo alle distribuzioni e/o alle pipeline GoldenGate di accedere alle risorse nella tenancy. Sostituire <dynamic-group-name> con un nome a scelta. È possibile creare tutti i gruppi dinamici necessari, ad esempio per controllare le autorizzazioni nelle distribuzioni in compartimenti o tenancy diversi.
```
name: <dynamic-group-name>
Matching rule: ALL {resource.type = 'goldengatedeployment', resource.compartment.id = '<location>'}
```
Suggerimento: i criteri che seguono in questo elenco fanno riferimento a <dynamic-group-name>. Se si creano più gruppi dinamici, assicurarsi di fare riferimento al nome corretto del gruppo dinamico quando si aggiunge uno qualsiasi dei criteri seguenti.
Se si utilizzano connessioni con segreti password, la distribuzione che si sta assegnando alla connessione deve essere in grado di accedere ai segreti password della connessione. Assicurarsi di aggiungere il criterio al compartimento o alla tenancy:
```
allow dynamic-group <identity-domain>/<dynamic-group-name> to read secret-bundles in <location>
```

Consentire agli utenti di leggere l'utente e il gruppo IAM (Identity and Access Management) per le convalide nelle tenancy abilitate IAM:

allow service goldengate to {idcs_user_viewer, domain_resources_viewer} in <location>

allow dynamic-group <identity-domain>/<dynamic-group-name> to {idcs_user_viewer, domain_resources_viewer} in <location>

Accedi alle chiavi di cifratura gestite dal cliente e ai segreti password in Oracle Vault. Ad esempio:

allow group <identity-domain>/<group-name> to manage secret-family in <location>
allow group <identity-domain>/<group-name> to use keys in <location>
allow group <identity-domain>/<group-name> to use vaults in <location>
allow dynamic-group <identity-domain>/<dynamic-group-name> to use keys in <location>
allow dynamic-group <identity-domain>/<dynamic-group-name> to use vaults in <location>
allow dynamic-group <identity-domain>/<dynamic-group-name> to read secret-bundles in <location>

A seconda che si intenda utilizzare i seguenti servizi, potrebbe essere necessario aggiungere criteri per:

Database Oracle AI, per i database di origine e/o di destinazione. Ad esempio:

allow group <identity-domain>/<group-name> to read database-family in <location>

allow group <identity-domain>/<group-name> to read autonomous-database-family in <location>

Storage degli oggetti Oracle per memorizzare i backup OCI GoldenGate manuali e pianificati. Ad esempio:

allow group <identity-domain>/<group-name> to manage objects in <location>
allow dynamic-group <identity-domain>/<dynamic-group-name> to manage objects in <location> where target.bucket.name = '<bucket-name>'
allow group <identity-domain>/<group-name> to inspect buckets in <location>

Log OCI per accedere ai gruppi di log. Ad esempio:

allow group <identity-domain>/<group-name> to read log-groups in <location>
allow group <identity-domain>/<group-name> to read log-content in <location>

Load balancer, se abiliti l'accesso pubblico alla console di distribuzione:

allow group <identity-domain>/<group-name> to manage load-balancers in <location>
allow group <identity-domain>/<group-name> to manage public-ips in <location>

allow group <identity-domain>/<group-name> to manage network-security-groups in <location>
allow group <identity-domain>/<group-name> to manage vcns in <location> where ANY {request.operation = 'CreateNetworkSecurityGroup', request.operation = 'DeleteNetworkSecurityGroup'}

Richieste di lavoro:

allow group <identity-domain>/<group-name> to inspect work-requests in <location>

Zero Trust Packet Routing (ZPR). Obbligatorio solo se sono stati aggiunti attributi di sicurezza alla VCN e/o al load balancer per controllare l'accesso per le connessioni e le distribuzioni pubbliche, aggiungere i criteri riportati di seguito per consentire il traffico Internet pubblico al load balancer e il flusso di traffico tra il load balancer e gli endpoint privati.
- Se gli attributi di sicurezza sono stati aggiunti sia per la VCN che per il load balancer:
```
in <vcn-sa-key>:<vcn-sa-value> VCN allow <lb-sa-key>:<lb-sa-value> endpoints to connect to <pe-sa-key>:<pe-sa-value> endpoints
in <vcn-sa-key>:<vcn-sa-value> VCN allow all-endpoints to connect to <lb-sa-key>:<lb-sa-value> endpoints
```
- Se gli attributi di sicurezza sono stati aggiunti solo per la VCN e non per il load balancer e il load balancer si trova in una subnet pubblica con CIDR 10.0.1.0/24:
```
in <vcn-sa-key>:<vcn-sa-value> VCN allow '10.0.1.0/24' to connect to <pe-sa-key>:<pe-sa-value> endpoints
```
  Nota: per altre risorse, ad esempio connessioni dedicate e distribuzioni private, gli attributi di sicurezza vengono aggiunti all'endpoint privato creato. I load balancer non vengono creati per impostazione predefinita con distribuzioni private, pertanto gli esempi ZPR riportati sopra non sono applicabili. In questo caso, potrebbe essere necessario un criterio ZPR, in quanto ZPR protegge l'endpoint privato. La politica esatta dipende dal tuo caso d'uso.
Ulteriori informazioni sulla sintassi dei criteri ZPR.

L'istruzione seguente concede a un gruppo l'autorizzazione per gestire gli spazi di nomi tag e le tag per le aree di lavoro:

allow group <identity-domain>/<group-name> to manage tag-namespaces in <location>

Per aggiungere una tag definita, è necessario disporre dell'autorizzazione per utilizzare lo spazio di nomi tag. Per ulteriori informazioni sull'applicazione di tag, vedere Tag risorsa.

Esempi di criteri per le risorse di rete

Puoi consentire facilmente agli utenti di accedere alle risorse di rete all'interno di un compartimento con il criterio:

allow group <group-name> to use virtual-network-family in compartment <compartment-name>

In alternativa, è possibile utilizzare i criteri riportati di seguito per proteggere le risorse di rete a un livello più granulare.

Operazione	Accesso richiesto alle risorse sottostanti
Creare un endpoint privato	Per il compartimento endpoint privato: Crea VNIC (`VNIC_CREATE`) Elimina VNIC (`VNIC_DELETE`) Aggiornare i membri in un gruppo di sicurezza di rete (`NETWORK_SECURITY_GROUP_UPDATE_MEMBERS`) Associare un gruppo di sicurezza di rete (`VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP`) Per il compartimento della subnet: Collega subnet (`SUBNET_ATTACH`) Scollega subnet (`SUBNET_DETACH`)
Aggiorna un endpoint privato	Per il compartimento endpoint privato: Aggiorna VNIC (`VNIC_UPDATE`) Aggiornare i membri in un gruppo di sicurezza di rete (`NETWORK_SECURITY_GROUP_UPDATE_MEMBERS`) Associare un gruppo di sicurezza di rete (`VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP`)
Eliminare unendpoint privato	Per il compartimento endpoint privato: Elimina VNIC (`VNIC_DELETE`) Aggiornare i membri in un gruppo di sicurezza di rete (`NETWORK_SECURITY_GROUP_UPDATE_MEMBERS`) Per il compartimento della subnet: Scollega subnet (`SUBNET_DETACH`)
Modificare un compartimento endpoint privato	Se si passa da un compartimento all'altro, tutte le autorizzazioni nel compartimento originale devono essere presenti anche nel nuovo compartimento.

Tipi di risorsa

Oracle Cloud Infrastructure GoldenGate offre sia tipi di risorse aggregate che individuali per la scrittura dei criteri.

Tipo di risorsa aggregato Risorse singole - Tipi

Tipo di risorsa aggregato	Risorse singole - Tipi
`goldengate-family`	`goldengate-deployments` `goldengate-deployment-backups` `goldengate-deployment-upgrades` `goldengate-connections` `goldengate-connection-assignments` `goldengate-pipelines`

goldengate-family

goldengate-deployments

goldengate-deployment-backups

goldengate-deployment-upgrades

goldengate-connections

goldengate-connection-assignments

goldengate-pipelines

Le API coperte per il tipo di risorsa aggregato goldengate-family coprono anche le API per ciascuno dei singoli tipi di risorsa. Di seguito sono riportati alcuni esempi.

allow group gg-admins to manage goldengate-family in compartment <compartment-name>

è uguale alla scrittura dei seguenti criteri:

allow group gg-admins to manage goldengate-deployments in compartment <compartment-name>
allow group gg-admins to manage goldengate-connections in compartment <compartment-name>
allow group gg-admins to manage goldengate-connection-assignments in compartment <compartment-name>
allow group gg-admins to manage goldengate-deployment-upgrades in compartment <compartment-name>
allow group gg-admins to manage goldengate-deployment-backups in compartment <compartment-name>
allow group gg-admins to manage goldengate-pipelines in compartment <compartment-name>

Variabili supportate

Quando aggiungi condizioni ai tuoi criteri, puoi utilizzare variabili generali o specifiche di Oracle Cloud Infrastructure.

Oracle Cloud Infrastructure GoldenGate supporta tutte le variabili generali. Per ulteriori informazioni, vedere variabili generali per tutte le richieste.

Dettagli per combinazioni di verbi + tipo di risorsa

Esistono vari verbi e tipi di risorse di Oracle Cloud Infrastructure che puoi utilizzare quando crei un criterio.

Le tabelle seguenti mostrano le operazioni autorizzazioni e API coperte da ogni verbo per Oracle Cloud Infrastructure GoldenGate. Il livello di accesso è cumulativo quando si passa da inspect a read a use a manage.

distribuzioni goldengate

Autorizzazione	API completamente coperte
INSPECT
GOLDENGATE-DEPLOYMENT-INSPECT	Elenca distribuzioni
GOLDENGATE-DEPLOYMENT-INSPECT	ListWorkRequests
READ
ISPEZIONA +	ISPEZIONA+
GOLDENGATE_DEPLOYMENT_READ	GetDeployment
	Recupera elenco richieste di lavoro
	Elenco errori richiesta di lavoro
	Log delle richieste di lavoro
USE
LEGGI +	LEGGI +
AGGIORNAMENTO_DISTRIBUZIONE_GOLDENGATE	Aggiorna distribuzione
	StartDeployment
	StopDeployment
	Ripristina distribuzione
GESTISCI
USE +	USE +
GOLDENGATE_DEPLOYMENT_CREATE	Crea distribuzione
GOLDENGATE_DEPLOYMENT_DELETE	Elimina distribuzione
GOLDENGATE_DEPLOYMENT_MOVE	ModificaCompartimento distribuzione

connessioni goldengate

Autorizzazione	API completamente coperte
INSPECT
GOLDENGATE_CONNESSIONE_ISPEZIONE	Connessioni lista
READ
ISPEZIONA +	ISPEZIONA+
GOLDENGATE_CONNECTION_READ	GetConnection
USE
LEGGI +	LEGGI +
AGGIORNAMENTO GOLDENGATE_CONNECTION	Aggiorna connessione
GESTISCI
USE +	USE +
GOLDENGATE_CONNECTION_CREATE	Crea connessione
ELIMINA_CONNESSIONE_GOLDENGATE	Elimina connessione
GOLDENGATE_CONNECT_MOVE	Cambia compartimento connessione

goldengate-connection-assegnazioni

Autorizzazione	API completamente coperte
INSPECT
GOLDENGATE_CONNECTION_ASSIGNMENT_INSPECT	Assegnazioni connessione elenco
READ
ISPEZIONA +	ISPEZIONA+
GOLDENGATE_CONNECTION_ASSIGNMENT_READ	Recupera assegnazione connessione
USE
LEGGI +	LEGGI +
n/d	n/d
GESTISCI
USE +	USE +
GOLDENGATE_CONNECTION_ASSIGNMENT_CREATE	Crea assegnazione connessione
GOLDENGATE_CONNECTION_ASSIGNMENT_DELETE	Elimina assegnazione connessione

backup della distribuzione goldengate

Autorizzazione	API completamente coperte
INSPECT
GOLDENGATE_DEPLOYMENT_BACKUP_INSPECT	ListaBackup distribuzione
READ
ISPEZIONA +	ISPEZIONA+
GOLDENGATE_DEPLOYMENT_BACKUP_READ	Recupera backup distribuzione
GOLDENGATE_DEPLOYMENT_BACKUP_READ	Ripristina distribuzione
USE
LEGGI +	LEGGI +
AGGIORNAMENTO_BACKUP_DEPLOYMENT_GOLDENGATE	Aggiorna backup distribuzione
GESTISCI
USE +	USE +
GOLDENGATE_DEPLOYMENT_BACKUP_CREATE	Crea backup distribuzione
GOLDENGATE_DEPLOYMENT_BACKUP_DELETE	EliminaDeploymentBackup
GOLDENGATE_DEPLOYMENT_BACKUP_MOVE	Modifica compartimento backup distribuzione

Autorizzazioni necessarie per ogni operazione API

Ecco una lista delle operazioni API per Oracle Cloud Infrastructure GoldenGate in ordine logico, raggruppate per tipo di risorsa.

I tipi di risorsa sono goldengate-deployments, goldengate-connections e goldengate-deployment-backups.

Operazione API	Autorizzazione
`ListDeployments`	GOLDENGATE-DEPLOYMENT-INSPECT
`CreateDeployment`	GOLDENGATE_DEPLOYMENT_CREATE
`GetDeployment`	GOLDENGATE_DEPLOYMENT_READ
`UpdateDeployment`	AGGIORNAMENTO_DISTRIBUZIONE_GOLDENGATE
`DeleteDeployment`	GOLDENGATE_DEPLOYMENT_DELETE
`StartDeployment`	AGGIORNAMENTO_DISTRIBUZIONE_GOLDENGATE
`StopDeployment`	AGGIORNAMENTO_DISTRIBUZIONE_GOLDENGATE
`RestoreDeployment`	GOLDENGATE_DEPLOYMENT_BACKUP_READ e GOLDENGATE_DEPLOYMENT_UPDATE
`ChangeDeploymentCompartment`	GOLDENGATE_DEPLOYMENT_MOVE
`UpgradeDeployment`	AGGIORNAMENTO_DISTRIBUZIONE_GOLDENGATE
`ListConnections`	GOLDENGATE_CONNESSIONE_ISPEZIONE
`CreateConnection`	GOLDENGATE_CONNECTION_CREATE
`GetConnection`	GOLDENGATE_CONNECTION_READ
`UpdateConnection`	AGGIORNAMENTO GOLDENGATE_CONNECTION
`DeleteConnection`	ELIMINA_CONNESSIONE_GOLDENGATE
`ChangeConnectionCompartment`	GOLDENGATE_CONNECT_MOVE
`ListConnectionAssignments`	GOLDENGATE_CONNECTION_ASSIGNMENT_INSPECT
`CreateConnectionAssignment`	GOLDENGATE_CONNECTION_ASSIGNMENT_CREATE, GOLDENGATE_DEPLOYMENT_UPDATE, GOLDENGATE_CONNECTION_UPDATE
`GetConnectionAssignment`	GOLDENGATE_CONNECTION_ASSIGNMENT_READ
`DeleteConnectionAssignment`	GOLDENGATE_CONNECTION_ASSIGNMENT_DELETE, GOLDENGATE_DEPLOYMENT_UPDATE, GOLDENGATE_CONNECTION_UPDATE
`ListDeploymentBackups`	GOLDENGATE_DEPLOYMENT_BACKUP_INSPECT
`GetDeploymentBackup`	GOLDENGATE_DEPLOYMENT_BACKUP_READ
`CreateDeploymentBackup`	GOLDENGATE_DEPLOYMENT_BACKUP_CREATE, GOLDENGATE_DEPLOYMENT_READ
`UpdateDeploymentBackup`	AGGIORNAMENTO_BACKUP_DEPLOYMENT_GOLDENGATE
`CancelDeploymentBackup`	AGGIORNAMENTO_BACKUP_DEPLOYMENT_GOLDENGATE
`DeleteDeploymentBackup`	GOLDENGATE_DEPLOYMENT_BACKUP_DELETE
`ChangeDeploymentBackupCompartment`	GOLDENGATE_DEPLOYMENT_BACKUP_MOVE
`GetDeploymentUpgrade`	GOLDENGATE_DEPLOYMENT_UPGRADE_READ
`ListDeploymentUpgrades`	GOLDENGATE_DEPLOYMENT_UPGRADE_INSPECT
`GetWorkRequest`	GOLDENGATE_DEPLOYMENT_READ
`ListWorkRequests`	GOLDENGATE-DEPLOYMENT-INSPECT
`ListWorkRequestErrors`	GOLDENGATE_DEPLOYMENT_READ
`ListWorkRequestLogs`	GOLDENGATE_DEPLOYMENT_READ