Criteri di Oracle Cloud Infrastructure GoldenGate

Per controllare l'accesso a Oracle Cloud Infrastructure GoldenGate e il tipo di accesso di ogni gruppo di utenti, è necessario creare criteri.

Ad esempio, è possibile creare un gruppo di amministratori i cui membri possono accedere a tutte le risorse OCI GoldenGate. È quindi possibile creare un gruppo separato per tutti gli altri utenti coinvolti in OCI GoldenGate e creare criteri che limitano l'accesso alle risorse OCI GoldenGate in compartimenti diversi.

Per un elenco completo dei criteri di Oracle Cloud Infrastructure, vedere riferimento ai criteri.

creare nuovi criteri;

I criteri definiscono le azioni che i membri di un gruppo possono eseguire e in quali compartimenti.

Utilizzare la console di Oracle Cloud per creare criteri. Nel menu di navigazione della console di Oracle Cloud selezionare Identità e sicurezza, quindi in Identità e selezionare Criteri. I criteri vengono scritti nella sintassi seguente:

allow group <identity-domain>/<group-name> to <verb> <resource-type> in <location> where <condition>

Le definizioni dei parametri sono le seguenti:

<identity-domain>: (facoltativo) se si utilizza IAM OCI per la gestione delle identità, includere il dominio di Identity del gruppo di utenti. Se omesso, OCI utilizza il dominio predefinito.
<group-name>: il nome del gruppo di utenti a cui si stanno concedendo le autorizzazioni.
<verb>: conferisce al gruppo un certo livello di accesso a un tipo di risorsa. Man mano che i verbi passano da inspect a read a use a manage, il livello di accesso aumenta e le autorizzazioni concesse sono cumulative.
Ulteriori informazioni sulla relazione tra .autorizzazioni e verbi.
<resource-type>: il tipo di risorsa con cui si autorizza un gruppo a lavorare. Esistono singole risorse, ad esempio goldengate-deployments, goldengate-pipelines e goldengate-connections, nonché famiglie di risorse, ad esempio goldengate-family, che includono le singole risorse menzionate in precedenza.
Per maggiori informazioni, vedere resource-types.
<location>: collega il criterio a un compartimento o a una tenancy. È possibile specificare un singolo compartimento o percorso di compartimento in base al nome o all'OCID oppure specificare tenancy per coprire l'intera tenancy.
<condition>: facoltativo. Una o più condizioni per le quali verrà applicata questa politica.

Ulteriori informazioni sulla sintassi dei criteri.

Come creare un criterio

Per creare un criterio, effettuare le operazioni riportate di seguito.

Nel menu di navigazione di Oracle Cloud, selezionare Identità e sicurezza, quindi in Identifica fare clic su Criteri.
Nella pagina Criteri fare clic su Crea criterio.
Nella pagina Crea criterio, immettere un nome e un'indicazione del criterio.
Selezionare il compartimento in cui creare questo criterio.
Nella sezione Costruzione guidata criteri è possibile effettuare una delle due operazioni riportate di seguito.
- Selezionare Servizio GoldenGate dall'elenco a discesa Caso d'uso dei criteri e un modello di criteri comune, ad esempio Criteri obbligatori per consentire agli utenti di gestire le risorse GoldenGate.
- Fare clic su Mostra editor manuale per immettere una regola dei criteri nel seguente formato:
```
allow <subject> to <verb> <resource-type> in <location> where <condition>
```
  Le condizioni sono facoltative. Vedere Dettagli per combinazioni Verbi + Tipo di risorsa.
Suggerimento
Per ulteriori informazioni, vedere Criteri consigliati minimi.
Fare clic su Crea.

Per ulteriori informazioni sui criteri, vedere funzionamento dei criteri, sintassi dei criteri e riferimento ai criteri.

Criteri consigliati minimi

Suggerimento

Per utilizzare un modello criteri comune per aggiungere tutti i criteri necessari, effettuare le operazioni riportate di seguito.

Per Casi d'uso dei criteri, selezionare GoldenGate Servizio dall'elenco a discesa.
Per Modelli di uso comune, selezionare Criteri obbligatori per consentire agli utenti di gestire le risorse GoldenGate dall'elenco a discesa.

Sono necessari almeno criteri per:

Consentire agli utenti di utilizzare o gestire le risorse GoldenGate in modo da poter utilizzare le distribuzioni e le connessioni. Ad esempio:
```
allow group <identity-domain>/<group-name> to manage goldengate-family in <location>
```
Consenti agli utenti di gestire le risorse di rete, in modo che possano visualizzare e selezionare compartimenti e subnet, nonché creare ed eliminare endpoint privati durante la creazione delle risorse GoldenGate. Ad esempio:
```
allow group <identity-domain>/<group-name> to manage virtual-network-family in <location>
```
Facoltativamente, è possibile proteggere ulteriormente le risorse di rete utilizzando una combinazione di criteri granulari. Vedere Esempi di criteri per la protezione delle risorse di rete.
Creare un gruppo dinamico per concedere le autorizzazioni alle risorse in base a regole definite, consentendo alle distribuzioni e/o alle pipeline GoldenGate di accedere alle risorse nella tenancy. Sostituire <dynamic-group-name> con un nome a scelta. È possibile creare tutti i gruppi dinamici necessari, ad esempio per controllare le autorizzazioni nelle distribuzioni in compartimenti o tenancy diversi.
```
name: <dynamic-group-name>
Matching rule: ALL {resource.type = 'goldengatedeployment', resource.compartment.id = '<location>'}
```
Suggerimento

I criteri seguenti in questo elenco si riferiscono a <dynamic-group-name>. Se si creano più gruppi dinamici, assicurarsi di fare riferimento al nome corretto del gruppo dinamico quando si aggiunge uno qualsiasi dei criteri seguenti.
Se si utilizzano connessioni con segreti password, la distribuzione che si sta assegnando alla connessione deve essere in grado di accedere ai segreti password della connessione. Assicurarsi di aggiungere il criterio al compartimento o alla tenancy:
```
allow dynamic-group <identity-domain>/<dynamic-group-name> to read secret-bundles in <location>
```

Consenti agli utenti di leggere l'utente e il gruppo IAM (Identity and Access Management) per le convalide nelle tenancy abilitate per IAM:

allow service goldengate to {idcs_user_viewer, domain_resources_viewer} in <location>

allow dynamic-group <identity-domain>/<dynamic-group-name> to {idcs_user_viewer, domain_resources_viewer} in <location>

Oracle Vault per accedere alle chiavi di cifratura gestite dal cliente e ai segreti password. Ad esempio:

allow group <identity-domain>/<group-name> to manage secret-family in <location>
allow group <identity-domain>/<group-name> to use keys in <location>
allow group <identity-domain>/<group-name> to use vaults in <location>
allow dynamic-group <identity-domain>/<dynamic-group-name> to use keys in <location>
allow dynamic-group <identity-domain>/<dynamic-group-name> to use vaults in <location> 
allow dynamic-group <identity-domain>/<dynamic-group-name> to read secret-bundles in <location>

A seconda che si intenda utilizzare o meno i servizi seguenti, potrebbe essere necessario aggiungere criteri per:

Database Oracle, per i database di origine e/o di destinazione. Ad esempio:

allow group <identity-domain>/<group-name> to read database-family in <location>

allow group <identity-domain>/<group-name> to read autonomous-database-family in <location>

Storage degli oggetti Oracle, per memorizzare i backup manuali di OCI GoldenGate. Ad esempio:

allow group <identity-domain>/<group-name> to manage objects in <location>
allow dynamic-group <identity-domain>/<dynamic-group-name> to manage objects in <location>
allow group <identity-domain>/<group-name> to inspect buckets in <location>

Log OCI per accedere ai gruppi di log. Ad esempio:

allow group <identity-domain>/<group-name> to read log-groups in <location>
allow group <identity-domain>/<group-name> to read log-content in <location>

Load balancer, se si abilita l'accesso pubblico alla console di distribuzione:

allow group <identity-domain>/<group-name> to manage load-balancers in <location>
allow group <identity-domain>/<group-name> to manage public-ips in <location> 
 
allow group <identity-domain>/<group-name> to manage network-security-groups in <location>
allow group <identity-domain>/<group-name> to manage vcns in <location> where ANY {request.operation = 'CreateNetworkSecurityGroup', request.operation = 'DeleteNetworkSecurityGroup'}

Richieste di lavoro:

allow group <identity-domain>/<group-name> to inspect work-requests in <location>

L'istruzione seguente concede a un gruppo l'autorizzazione per gestire gli spazi di nomi tag e le tag per le aree di lavoro:

allow group <identity-domain>/<group-name> to manage tag-namespaces in <location>

Per aggiungere una tag definita, è necessario disporre dell'autorizzazione per utilizzare lo spazio di nomi tag. Per ulteriori informazioni sull'applicazione di tag, vedere Tag risorsa.

Per ulteriori informazioni e criteri di esempio aggiuntivi, vedere Criteri OCI GoldenGate.

Esempi di criteri per la protezione delle risorse di rete

Puoi consentire agli utenti di accedere facilmente alle risorse di rete all'interno di un compartimento con il criterio:

allow group <group-name> to use virtual-network-family in compartment <compartment-name>

In alternativa, è possibile utilizzare i criteri riportati di seguito per proteggere le risorse di rete a un livello più granulare.

Operazione	Accesso richiesto alle risorse sottostanti
Creare un endpoint privato	Per il compartimento endpoint privato: Crea VNIC (`VNIC_CREATE`) Elimina VNIC (`VNIC_DELETE`) Aggiornare i membri in un gruppo di sicurezza di rete (`NETWORK_SECURITY_GROUP_UPDATE_MEMBERS`) Associare un gruppo di sicurezza di rete (`VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP`) Per il compartimento della subnet: Collega sottorete (`SUBNET_ATTACH`) Scollega subnet (`SUBNET_DETACH`)
Aggiornare un endpoint privato	Per il compartimento endpoint privato: Aggiorna VNIC (`VNIC_UPDATE`) Aggiornare i membri in un gruppo di sicurezza di rete (`NETWORK_SECURITY_GROUP_UPDATE_MEMBERS`) Associare un gruppo di sicurezza di rete (`VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP`)
Eliminare un endpoint privato	Per il compartimento endpoint privato: Elimina VNIC (`VNIC_DELETE`) Aggiornare i membri in un gruppo di sicurezza di rete (`NETWORK_SECURITY_GROUP_UPDATE_MEMBERS`) Per il compartimento della subnet: Scollega subnet (`SUBNET_DETACH`)
Modificare un compartimento endpoint privato	Se si passa da un compartimento all'altro, tutte le autorizzazioni nel compartimento originale devono essere presenti anche nel nuovo compartimento.

Tipi risorsa

Oracle Cloud Infrastructure GoldenGate offre sia tipi di risorse aggregati che individuali per la scrittura di criteri.

Tipo risorsa aggregata Tipi di risorse individuali

Tipo risorsa aggregata	Tipi di risorse individuali
`goldengate-family`	`goldengate-deployments` `goldengate-deployment-backups` `goldengate-deployment-upgrades` `goldengate-connections` `goldengate-connection-assignments` `goldengate-pipeline`

goldengate-family

goldengate-deployments

goldengate-deployment-backups

goldengate-deployment-upgrades

goldengate-connections

goldengate-connection-assignments

goldengate-pipeline

Le API coperte per il tipo di risorsa goldengate-family aggregato coprono anche le API per ciascuno dei singoli tipi di risorsa. Di seguito sono riportati alcuni esempi.

allow group gg-admins to manage goldengate-family in compartment <compartment-name>

equivale alla scrittura dei seguenti criteri:

allow group gg-admins to manage goldengate-deployments in compartment <compartment-name>
allow group gg-admins to manage goldengate-connections in compartment <compartment-name>
allow group gg-admins to manage goldengate-connection-assignments in compartment <compartment-name>
allow group gg-admins to manage goldengate-deployment-upgrades in compartment <compartment-name>
allow group gg-admins to manage goldengate-deployment-backups in compartment <compartment-name>
allow group gg-admins to manage goldengate-pipeline in compartment <compartment-name>

Variabili supportate

Quando si aggiungono condizioni ai criteri, è possibile utilizzare variabili generali o specifiche del servizio di Oracle Cloud Infrastructure.

Oracle Cloud Infrastructure GoldenGate supporta tutte le variabili generali. Per ulteriori informazioni, vedere variabili generali per tutte le richieste.

Dettagli per combinazioni Verbi + Tipo risorsa

Esistono vari verbi e tipi di risorse di Oracle Cloud Infrastructure che è possibile utilizzare quando si crea un criterio.

Le tabelle riportate di seguito mostrano le autorizzazioni e le operazioni API coperte da ciascun verbo per Oracle Cloud Infrastructure GoldenGate. Il livello di accesso è cumulativo quando si passa da inspect a read a use a manage.

distribuzione-goldengate

Autorizzazione	API completamente coperte
INSPECT
GOLDENGATE_DEPLOYMENT_INSPECT	ListDeployments
READ
ISPEZIONE +	ISPEZIONA+
GOLDENGATE_DEPLOYMENT_READ	GetDeployment
USE
LETTURA +	LETTURA +
GOLDENGATE_DEPLOYMENT_UPDATE	UpdateDeployment
	StartDeployment
	StopDeployment
	RestoreDeployment
GESTISCI
USE +	USE +
GOLDENGATE_DEPLOYMENT_CREATE	CreateDeployment
	GetWorkRequest
	ListWorkRequests
	ListWorkRequestErrors
	ListWorkRequestLogs
GOLDENGATE_DEPLOYMENT_DELETE	DeleteDeployment
GOLDENGATE_DEPLOYMENT_MOVE	ChangeDeploymentCompartment

connessioni goldengate

Autorizzazione	API completamente coperte
INSPECT
GOLDENGATE_CONNECTION_INSPECT	ListConnections
READ
ISPEZIONE +	ISPEZIONA+
GOLDENGATE_CONNECTION_READ	GetConnection
USE
LETTURA +	LETTURA +
GOLDENGATE_CONNECTION_UPDATE	UpdateConnection
GESTISCI
USE +	USE +
GOLDENGATE_CONNECTION_CREATE	CreateConnection
GOLDENGATE_CONNECTION_DELETE	DeleteConnection
GOLDENGATE_CONNECTION_MOVE	ChangeConnectionCompartment

goldengate-connection-assignations

Autorizzazione	API completamente coperte
INSPECT
GOLDENGATE_CONNECTION_ASSIGNMENT_INSPECT	ListConnectionAssignments
READ
ISPEZIONE +	ISPEZIONA+
GOLDENGATE_CONNECTION_ASSIGNMENT_READ	GetConnectionAssignment
USE
LETTURA +	LETTURA +
n/d	n/d
GESTISCI
USE +	USE +
GOLDENGATE_CONNECTION_ASSIGNMENT_CREATE	CreateConnectionAssignment
GOLDENGATE_CONNECTION_ASSIGNMENT_DELETE	DeleteConnectionAssignment

goldengate-deployment-backup

Autorizzazione	API completamente coperte
INSPECT
GOLDENGATE_DEPLOYMENT_BACKUP_INSPECT	ListDeploymentBackups
READ
ISPEZIONE +	ISPEZIONA+
GOLDENGATE_DEPLOYMENT_BACKUP_READ	GetDeploymentBackup
GOLDENGATE_DEPLOYMENT_BACKUP_READ	RestoreDeployment
USE
LETTURA +	LETTURA +
GOLDENGATE_DEPLOYMENT_BACKUP_UPDATE	UpdateDeploymentBackup
GESTISCI
USE +	USE +
GOLDENGATE_DEPLOYMENT_BACKUP_CREATE	CreateDeploymentBackup
GOLDENGATE_DEPLOYMENT_BACKUP_DELETE	DeleteDeploymentBackup
GOLDENGATE_DEPLOYMENT_BACKUP_MOVE	ChangeDeploymentBackupCompartment

Autorizzazioni necessarie per ogni operazione API

Di seguito è riportata una lista delle operazioni API per Oracle Cloud Infrastructure GoldenGate in ordine logico, raggruppate per tipo di risorsa.

I tipi di risorsa sono goldengate-deployments, goldengate-connections e goldengate-deployment-backups.

Operazione API	Autorizzazione
`ListDeployments`	GOLDENGATE_DEPLOYMENT_INSPECT
`CreateDeployment`	GOLDENGATE_DEPLOYMENT_CREATE
`GetDeployment`	GOLDENGATE_DEPLOYMENT_READ
`UpdateDeployment`	GOLDENGATE_DEPLOYMENT_UPDATE
`DeleteDeployment`	GOLDENGATE_DEPLOYMENT_DELETE
`StartDeployment`	GOLDENGATE_DEPLOYMENT_UPDATE
`StopDeployment`	GOLDENGATE_DEPLOYMENT_UPDATE
`RestoreDeployment`	GOLDENGATE_DEPLOYMENT_BACKUP_READ e GOLDENGATE_DEPLOYMENT_UPDATE
`ChangeDeploymentCompartment`	GOLDENGATE_DEPLOYMENT_MOVE
`UpgradeDeployment`	GOLDENGATE_DEPLOYMENT_UPDATE
`ListConnections`	GOLDENGATE_CONNECTION_INSPECT
`CreateConnection`	GOLDENGATE_CONNECTION_CREATE
`GetConnection`	GOLDENGATE_CONNECTION_READ
`UpdateConnection`	GOLDENGATE_CONNECTION_UPDATE
`DeleteConnection`	GOLDENGATE_CONNECTION_DELETE
`ChangeConnectionCompartment`	GOLDENGATE_CONNECTION_MOVE
`ListConnectionAssignments`	GOLDENGATE_CONNECTION_ASSIGNMENT_INSPECT
`CreateConnectionAssignment`	GOLDENGATE_CONNECTION_ASSIGNMENT_CREATE, GOLDENGATE_DEPLOYMENT_UPDATE, GOLDENGATE_CONNECTION_UPDATE
`GetConnectionAssignment`	GOLDENGATE_CONNECTION_ASSIGNMENT_READ
`DeleteConnectionAssignment`	GOLDENGATE_CONNECTION_ASSIGNMENT_DELETE, GOLDENGATE_DEPLOYMENT_UPDATE, GOLDENGATE_CONNECTION_UPDATE
`ListDeploymentBackups`	GOLDENGATE_DEPLOYMENT_BACKUP_INSPECT
`GetDeploymentBackup`	GOLDENGATE_DEPLOYMENT_BACKUP_READ
`CreateDeploymentBackup`	GOLDENGATE_DEPLOYMENT_BACKUP_CREATE, GOLDENGATE_DEPLOYMENT_READ
`UpdateDeploymentBackup`	GOLDENGATE_DEPLOYMENT_BACKUP_UPDATE
`CancelDeploymentBackup`	GOLDENGATE_DEPLOYMENT_BACKUP_UPDATE
`DeleteDeploymentBackup`	GOLDENGATE_DEPLOYMENT_BACKUP_DELETE
`ChangeDeploymentBackupCompartment`	GOLDENGATE_DEPLOYMENT_BACKUP_MOVE
`GetDeploymentUpgrade`	GOLDENGATE_DEPLOYMENT_UPGRADE_READ
`ListDeploymentUpgrades`	GOLDENGATE_DEPLOYMENT_UPGRADE_INSPECT
`GetWorkRequest`	GOLDENGATE_DEPLOYMENT_CREATE
`ListWorkRequests`	GOLDENGATE_DEPLOYMENT_CREATE
`ListWorkRequestErrors`	GOLDENGATE_DEPLOYMENT_CREATE
`ListWorkRequestLogs`	GOLDENGATE_DEPLOYMENT_CREATE

Titolo e informazioni sul copyright

Oracle e/o relative consociate.