Crea risorse Oracle Cloud
Prima di iniziare a usare Oracle Cloud Infrastructure GoldenGate, scopri come creare un compartimento, una VCN, una subnet, utenti e gruppi di utenti.
Argomenti correlati
Creare un compartimento
I compartimenti consentono di organizzare e controllare l'accesso alle risorse cloud. Si tratta di un contenitore logico che è possibile utilizzare per raggruppare le risorse cloud correlate e consentire l'accesso a gruppi di utenti specifici.
Quando ti iscrivi a Oracle Cloud Infrastructure, Oracle crea la tua tenancy, ovvero il compartimento radice che contiene tutte le tue risorse cloud. Successivamente, creerai compartimenti aggiuntivi all'interno della tua tenancy e i criteri corrispondenti per controllare l'accesso alle risorse in ogni compartimento.
Per creare un compartimento:Creare una rete e una subnet cloud virtuale
Una rete cloud virtuale (VCN, virtual cloud network) è una rete configurata nei data center Oracle Cloud Infrastructure in una determinata area. Una subnet è una suddivisione di una VCN.
- Aprire il menu di navigazione della console di Oracle Cloud, fare clic su Networking, quindi selezionare Reti cloud virtuali.
- Nella pagina Reti cloud virtuali, confermare la selezione del compartimento o selezionare un compartimento diverso.
- Dal menu Azioni, selezionare Avvia procedura guidata VCN.
- Nel pannello Avvia procedura guidata VCN, selezionare Crea VCN con connettività Internet, quindi fare clic su Avvia procedura guidata VCN.
- Nella pagina Configurazione, in Informazioni di base, immettere un nome della VCN.
- Per il compartimento, selezionare il compartimento in cui creare questa VCN.
- Fare clic su Avanti.
- Nella pagina Revisione e creazione verificare i dettagli di configurazione, quindi fare clic su Crea.
Fare clic su Visualizza dettagli VCN per verificare che sia stata creata una subnet pubblica che privata.
Crea utenti
Creare utenti da aggiungere ai gruppi che possono accedere alle risorse OCI GoldenGate.
Prima di creare gli utenti, tenere presente quanto riportato di seguito.
- La gestione degli utenti della distribuzione OCI GoldenGate dipende dal fatto che la tenancy utilizzi o meno IAM OCI con i domini di Identity. Vedere Gestisci utenti distribuzione.
- I nomi utente devono essere univoci in tutti gli utenti della tenancy
- I nomi utente sono immutabili
- Gli utenti non hanno autorizzazioni fino a quando non vengono inseriti in un gruppo
- Aprire il menu di navigazione della console di Oracle Cloud, fare clic su Identità e sicurezza, quindi in Identità fare clic su Domini.
- Nella pagina Domini, confermare la selezione del Compartimento o passare a un altro compartimento.
- Nella lista Domini fare clic su Predefinito per accedere al dominio predefinito oppure fare clic su Crea dominio per crearne uno nuovo.
- Selezionare il dominio dall'elenco.
- Nella pagina Dettagli domini, fare clic su Gestione utenti.
- Nella pagina Utenti, fare clic su Crea utente.
- Nella pagina Crea utente, completare i campi come indicato di seguito.
- Fare clic su Crea.
Crea gruppi
Un gruppo è una raccolta di utenti che richiedono lo stesso tipo di accesso a un set di risorse o compartimenti.
- Il nome del gruppo deve essere univoco all'interno della tenancy.
- Una volta creato, il nome del gruppo non può essere modificato.
- Un gruppo non dispone di autorizzazioni che consentono di annullare la scrittura di almeno un'autorizzazione che concede al gruppo l'autorizzazione per una tenancy o un compartimento.
- Aprire il menu di navigazione della console di Oracle Cloud, fare clic su Identità e sicurezza, quindi in Identità fare clic su Domini.
- Nella pagina Domini, confermare la selezione di Compartimento o modificare il compartimento.
- Selezionare un dominio dall'elenco.
- Nella pagina Dettagli dominio fare clic su Gestione utenti.
- In Gruppi, fare clic su Crea gruppo.
- Nella pagina Crea gruppo, effettuare le operazioni riportate di seguito.
- Selezionare se un utente può richiedere l'accesso a questo gruppo.
- Nella lista Utenti selezionare gli utenti da assegnare a questo gruppo.
- Fare clic su Crea.
creare nuovi criteri;
I criteri definiscono le azioni che i membri di un gruppo possono eseguire e in quali compartimenti.
Utilizzare la console di Oracle Cloud per creare criteri. Nel menu di navigazione della console di Oracle Cloud selezionare Identità e sicurezza, quindi in Identità e selezionare Criteri. I criteri vengono scritti nella sintassi seguente:
allow group <identity-domain>/<group-name> to <verb> <resource-type> in <location> where <condition>
Le definizioni dei parametri sono le seguenti:
<identity-domain>
: (facoltativo) se si utilizza IAM OCI per la gestione delle identità, includere il dominio di Identity del gruppo di utenti. Se omesso, OCI utilizza il dominio predefinito.<group-name>
: il nome del gruppo di utenti a cui si stanno concedendo le autorizzazioni.<verb>
: conferisce al gruppo un certo livello di accesso a un tipo di risorsa. Man mano che i verbi passano dainspect
aread
ause
amanage
, il livello di accesso aumenta e le autorizzazioni concesse sono cumulative.Ulteriori informazioni sulla relazione tra .autorizzazioni e verbi.
<resource-type>
: il tipo di risorsa con cui si autorizza un gruppo a lavorare. Esistono singole risorse, ad esempiogoldengate-deployments
,goldengate-pipelines
egoldengate-connections
, nonché famiglie di risorse, ad esempiogoldengate-family
, che includono le singole risorse menzionate in precedenza.Per maggiori informazioni, vedere resource-types.
<location>
: collega il criterio a un compartimento o a una tenancy. È possibile specificare un singolo compartimento o percorso di compartimento in base al nome o all'OCID oppure specificaretenancy
per coprire l'intera tenancy.<condition>
: facoltativo. Una o più condizioni per le quali verrà applicata questa politica.
Ulteriori informazioni sulla sintassi dei criteri.
Come creare un criterio
Per ulteriori informazioni sui criteri, vedere funzionamento dei criteri, sintassi dei criteri e riferimento ai criteri.
Criteri consigliati minimi
Suggerimento
Per utilizzare un modello criteri comune per aggiungere tutti i criteri necessari, effettuare le operazioni riportate di seguito.- Per Casi d'uso dei criteri, selezionare GoldenGate Servizio dall'elenco a discesa.
- Per Modelli di uso comune, selezionare Criteri obbligatori per consentire agli utenti di gestire le risorse GoldenGate dall'elenco a discesa.
Sono necessari almeno criteri per:
- Consentire agli utenti di utilizzare o gestire le risorse GoldenGate in modo da poter utilizzare le distribuzioni e le connessioni. Ad esempio:
allow group <identity-domain>/<group-name> to manage goldengate-family in <location>
- Consenti agli utenti di gestire le risorse di rete, in modo che possano visualizzare e selezionare compartimenti e subnet, nonché creare ed eliminare endpoint privati durante la creazione delle risorse GoldenGate. Ad esempio:
allow group <identity-domain>/<group-name> to manage virtual-network-family in <location>
Facoltativamente, è possibile proteggere ulteriormente le risorse di rete utilizzando una combinazione di criteri granulari. Vedere Esempi di criteri per la protezione delle risorse di rete.
- Creare un gruppo dinamico per concedere le autorizzazioni alle risorse in base a regole definite, consentendo alle distribuzioni e/o alle pipeline GoldenGate di accedere alle risorse nella tenancy. Sostituire
<dynamic-group-name>
con un nome a scelta. È possibile creare tutti i gruppi dinamici necessari, ad esempio per controllare le autorizzazioni nelle distribuzioni in compartimenti o tenancy diversi.name: <dynamic-group-name> Matching rule: ALL {resource.type = 'goldengatedeployment', resource.compartment.id = '<location>'}
Suggerimento
I criteri seguenti in questo elenco si riferiscono a
<dynamic-group-name>
. Se si creano più gruppi dinamici, assicurarsi di fare riferimento al nome corretto del gruppo dinamico quando si aggiunge uno qualsiasi dei criteri seguenti. - Se si utilizzano connessioni con segreti password, la distribuzione che si sta assegnando alla connessione deve essere in grado di accedere ai segreti password della connessione. Assicurarsi di aggiungere il criterio al compartimento o alla tenancy:
allow dynamic-group <identity-domain>/<dynamic-group-name> to read secret-bundles in <location>
- Consenti agli utenti di leggere l'utente e il gruppo IAM (Identity and Access Management) per le convalide nelle tenancy abilitate per IAM:
allow service goldengate to {idcs_user_viewer, domain_resources_viewer} in <location>
allow dynamic-group <identity-domain>/<dynamic-group-name> to {idcs_user_viewer, domain_resources_viewer} in <location>
- Oracle Vault per accedere alle chiavi di cifratura gestite dal cliente e ai segreti password. Ad esempio:
allow group <identity-domain>/<group-name> to manage secret-family in <location> allow group <identity-domain>/<group-name> to use keys in <location> allow group <identity-domain>/<group-name> to use vaults in <location> allow dynamic-group <identity-domain>/<dynamic-group-name> to use keys in <location> allow dynamic-group <identity-domain>/<dynamic-group-name> to use vaults in <location> allow dynamic-group <identity-domain>/<dynamic-group-name> to read secret-bundles in <location>
A seconda che si intenda utilizzare o meno i servizi seguenti, potrebbe essere necessario aggiungere criteri per:
- Database Oracle, per i database di origine e/o di destinazione. Ad esempio:
allow group <identity-domain>/<group-name> to read database-family in <location>
allow group <identity-domain>/<group-name> to read autonomous-database-family in <location>
- Storage degli oggetti Oracle, per memorizzare i backup manuali di OCI GoldenGate. Ad esempio:
allow group <identity-domain>/<group-name> to manage objects in <location> allow dynamic-group <identity-domain>/<dynamic-group-name> to manage objects in <location> allow group <identity-domain>/<group-name> to inspect buckets in <location>
- Log OCI per accedere ai gruppi di log. Ad esempio:
allow group <identity-domain>/<group-name> to read log-groups in <location> allow group <identity-domain>/<group-name> to read log-content in <location>
- Load balancer, se si abilita l'accesso pubblico alla console di distribuzione:
allow group <identity-domain>/<group-name> to manage load-balancers in <location> allow group <identity-domain>/<group-name> to manage public-ips in <location> allow group <identity-domain>/<group-name> to manage network-security-groups in <location> allow group <identity-domain>/<group-name> to manage vcns in <location> where ANY {request.operation = 'CreateNetworkSecurityGroup', request.operation = 'DeleteNetworkSecurityGroup'}
- Richieste di lavoro:
allow group <identity-domain>/<group-name> to inspect work-requests in <location>
L'istruzione seguente concede a un gruppo l'autorizzazione per gestire gli spazi di nomi tag e le tag per le aree di lavoro:
allow group <identity-domain>/<group-name> to manage tag-namespaces in <location>
Per aggiungere una tag definita, è necessario disporre dell'autorizzazione per utilizzare lo spazio di nomi tag. Per ulteriori informazioni sull'applicazione di tag, vedere Tag risorsa.
Per ulteriori informazioni e criteri di esempio aggiuntivi, vedere Criteri OCI GoldenGate.