Informazioni sull'impostazione di gruppi di utenti e criteri

Oracle NoSQL Database Cloud Service utilizza Oracle Cloud Infrastructure Identity and Access Management (IAM) per fornire accesso sicuro a Oracle Cloud. Oracle Cloud Infrastructure IAM ti consente di creare account utente e di concedere agli utenti l'autorizzazione per ispezionare, leggere, utilizzare o gestire le tabelle.

Il modo in cui gestisci utenti, gruppi e gruppi dinamici per Oracle NoSQL Database Cloud Service dipende dal fatto che l'account o la tenancy cloud siano stati aggiornati per utilizzare i domini di identità Oracle Cloud Infrastructure Identity and Access Management (IAM). È facile determinare quando la tenancy OCI è stata aggiornata per utilizzare i domini di Identity and Access Management (IAM).

La console OCI per la tenancy con dominio di Identity è riportata di seguito.

La console OCI per la tenancy senza dominio di Identity è riportata di seguito.

Per ulteriori informazioni, vedere È possibile accedere ai domini di Identity?

Impostazione di utenti, gruppi, gruppi dinamici e criteri mediante Identity and Access Management

Oracle NoSQL Database Cloud Service utilizza Oracle Cloud Infrastructure Identity and Access Management (IAM) per fornire accesso sicuro a Oracle Cloud. Oracle Cloud Infrastructure IAM ti consente di creare account utente e di concedere agli utenti l'autorizzazione per ispezionare, leggere, utilizzare o gestire le tabelle.

Se si esegue l'autenticazione come principal utente (utilizzando la chiave di firma API), vedere Impostazione di utenti, gruppi e criteri. In alternativa, se si esegue l'autenticazione come principal istanza o principal risorsa, vedere Impostazione del gruppo dinamico e dei criteri.

Impostazione di utenti, gruppi e criteri

1. Accedere all'account cloud come amministratore dell'account cloud.

2. Nella console di Oracle Cloud Infrastructure, aggiungere uno o più utenti.

   • Scegliere una delle opzioni riportate di seguito in base alla tenancy (che disponga di domini di Identity o non disponga di domini di Identity):

     • Tenancy con domini di Identity: eseguire le operazioni riportate di seguito.

       • Aprire il menu di navigazione e selezionare Identità e sicurezza.

       • In Identità, selezionare Domini. Viene visualizzata la pagina Domini.

       • Selezionare il filtro Compartimento accanto a Filtri applicati. Selezionare il compartimento dall'elenco a discesa e selezionare Applica filtro.

       • Selezionare il dominio di Identity in cui si desidera lavorare. Nella scheda Gestione utenti, andare alla sezione Utenti.

     • Tenancy senza domini di Identity: aprire il menu di navigazione e selezionare Identity & Security. In Identità selezionare Utenti.

   • Selezionare Crea.

   • Immettere i dettagli relativi all'utente e selezionare Crea.

3. Nella console di Oracle Cloud Infrastructure, creare un gruppo OCI.

   • Scegliere una delle opzioni riportate di seguito in base alla tenancy (che disponga di domini di Identity o non disponga di domini di Identity):

     • Tenancy con domini di Identity: eseguire le operazioni riportate di seguito.

       • Aprire il menu di navigazione e selezionare Identità e sicurezza.

       • In Identità selezionare Domini. Viene visualizzata la pagina Domini.

       • Selezionare il filtro Compartimento accanto a Filtri applicati. Selezionare il compartimento dall'elenco a discesa e selezionare Applica filtro.

       • Selezionare il dominio di Identity in cui si desidera lavorare. Nella scheda Gestione utenti, scorrere fino alla sezione Gruppi.

     • Tenancy senza domini di Identity: aprire il menu di navigazione e selezionare Identity & Security. In Identità selezionare Gruppi.

   • Selezionare Crea gruppo.

   • Immettere i dettagli sul gruppo. Ad esempio, se si sta creando un criterio che concede agli utenti le autorizzazioni per gestire completamente le tabelle di Oracle NoSQL Database Cloud Service, è possibile assegnare un nome al gruppo nosql_service_admin (o simile) e includere una breve descrizione, ad esempio "Utenti con autorizzazioni per impostare e gestire NoSQL Database Cloud Servicetables suOracle Cloud Infrastructure" (o simile).

   • Selezionare Crea.

4. Creare un criterio che conceda agli utenti appartenenti a un gruppo OCI autorizzazioni di accesso specifiche alle tabelle o ai compartimenti di Oracle NoSQL Database Cloud Service.

   • Aprire il menu di navigazione e selezionare Identità e sicurezza.

   • In Identità selezionare Criteri.

   • Selezionare il filtro Compartimento accanto a Filtri applicati. Selezionare il compartimento dall'elenco a discesa e selezionare Applica filtro.

   • Selezionare Crea criterio.

     Per dettagli ed esempi, vedere Riferimento criteri e Rendiconti criteri standard per la gestione delle tabelle.

     Se non si conosce il funzionamento dei criteri, vedere Funzionamento dei criteri.

5. Per gestire e utilizzare le tabelle NoSQL tramite gli SDK di Oracle NoSQL Database Cloud Service, l'utente deve impostare le chiavi API. Vedere Autenticazione per la connessione a Oracle NoSQL Database.

Nota: gli utenti federati possono anche gestire e utilizzare le tabelle di Oracle NoSQL Database Cloud Service. Ciò richiede che l'amministratore del servizio imposti la federazione in Oracle Cloud Infrastructure Identity and Access Management. Vedere Federazione con i provider di identità.

Gli utenti appartenenti a qualsiasi gruppo menzionato nell'istruzione dei criteri ottengono la nuova autorizzazione al successivo accesso alla console.

Impostazione del gruppo dinamico e dei criteri

Prima di effettuare una chiamata a una risorsa Oracle Cloud Infrastructure utilizzando principal risorsa o principal istanza, un amministratore della tenancy Oracle Cloud Infrastructure deve creare criteri, gruppi dinamici e regole Oracle Cloud Infrastructure che definiscono il principal risorsa o i privilegi del principal istanza.

• Accedere all'account cloud come amministratore dell'account cloud.

• Nella console di Oracle Cloud Infrastructure creare un gruppo dinamico.

  • Scegliere una delle opzioni riportate di seguito in base alla tenancy (che disponga di domini di Identity o non disponga di domini di Identity):

    • Tenancy con domini di Identity:

      • Aprire il menu di navigazione e selezionare Identità e sicurezza.

      • In Identità selezionare Domini. Viene visualizzata la pagina Domini.

      • Selezionare il filtro Compartimento accanto a Filtri applicati. Selezionare il compartimento dall'elenco a discesa e selezionare Applica filtro.

      • Selezionare il dominio di Identity in cui si desidera lavorare e selezionare la scheda Gruppi dinamici.

    • Tenancy senza domini di Identity: aprire il menu di navigazione e selezionare Identity & Security. In Identità selezionare Gruppi dinamici.

  • Selezionare Crea gruppo dinamico, quindi immettere un nome, una descrizione e una regola oppure utilizzare Costruzione guidata regole per aggiungere una regola.

  • Selezionare Crea.

  Le risorse che soddisfano i criteri della regola sono membri del gruppo dinamico. Quando si definisce una regola per un gruppo dinamico, considerare quale risorsa avrà accesso ad altre risorse. Di seguito sono riportati alcuni esempi di creazione di regole.

  1. Una regola corrispondente per le funzioni:

     ALL {resource.type = 'fnfunc',resource.compartment.id =
         'ocid1.compartment.oc1..aaaaaaaafml3tca3zcxyifmdff3aadp5uojimgx3cdnirgup6rhptxwnandq'}

     Questa regola implica che qualsiasi tipo di risorsa denominato fnfunc nel compartimento specificato (con l'ID specificato in precedenza) è un membro del gruppo dinamico.

     Nota: per ulteriori informazioni sui diversi tipi di risorsa, vedere Tipi di risorsa.

  2. Regola durante l'aggiunta delle istanze per i principal delle istanze:

     ALL { instance.compartment.id =
           'ocid1.compartment.oc1..aaaaaaaa4mlehopmvdluv2wjcdp4tnh2ypjz3nhhpahb4ss7yvxaa3be3diq'}

     Questa regola implica che qualsiasi istanza con l'ID compartimento specificato in precedenza è un membro del gruppo dinamico.

  3. Una regola quando si utilizza il gateway API con funzioni:

     ALL {resource.type = 'ApiGateway',resource.compartment.id =
           'ocid1.compartment.oc1..aaaaaaaafml3tca3zcxyifmdff3aadp5uojimgx3cdnirgup6rhptxwnandq'}

     Questa regola implica che qualsiasi tipo di risorsa denominato ApiGateway nel compartimento specificato (con l'ID specificato in precedenza) è un membro del gruppo dinamico.

  4. Una regola quando si utilizzano le istanze contenitore:

     ALL {resource.type = 'computecontainerinstance',
     resource.compartment.id =
     'ocid1.compartment.oc1..aaaaaaaa4mlehopmvdluv2wjcdp4tnh2ypjz3nhhpahb4ss7yvxaa3be3diq'}

     Questa regola implica che qualsiasi tipo di risorsa denominato computecontainerinstance nel compartimento specificato (con l'ID specificato in precedenza) è un membro del gruppo dinamico.

  Nota: l'ereditarietà non si applica ai gruppi dinamici. Durante l'uso dei criteri di accesso IAM, il criterio di un compartimento padre si applica automaticamente a tutti i compartimenti figlio. Questo non accade quando si utilizzano gruppi dinamici. Per qualificarsi, è necessario elencare ciascun compartimento nel gruppo dinamico separatamente.

  Esempio: regola di corrispondenza per le funzioni per i compartimenti padre-figlio:

  ALL {resource.type = 'fnfunc',
  ANY{resource.compartment.id = '<parent-compid>', resource.compartment.id = '<child-compid1>',
  resource.compartment.id = '<child-compid2>', ...}}

• Scrivere istruzioni dei criteri per il gruppo dinamico per abilitare l'accesso alle risorse di Oracle Cloud Infrastructure.

  • Nella console di Oracle Cloud Infrastructure selezionare Identità e sicurezza e selezionare Criteri.

  • Selezionare il filtro Compartimento accanto a Filtri applicati. Selezionare il compartimento dall'elenco a discesa e selezionare Applica filtro.

  • Per scrivere i criteri per un gruppo dinamico, selezionare Crea criterio e immettere un nome e una descrizione.

  • Utilizzare Costruzione guidata criteri per creare un criterio. Di seguito è riportata la sintassi generale per la definizione di un criterio.

    Allow <subject> to <verb> <resource-type> in <location> where <conditions>

    • Sintassi dell'oggetto: uno o più gruppi separati da virgole per nome o OCID.

    • Verbi: i valori vengono ispezionati, letti, utilizzati o gestiti.

    • resource-type: un tipo di risorsa individuale, un tipo di risorsa famiglia (ad esempio nosql-family) o tutte le risorse.

    • compartimento:percorso di un singolo compartimento o compartimento in base al nome o all'OCID

    Esempio: questo criterio consente al gruppo dinamico nosql_application l'accesso fnfuncuso sulla risorsa nel compartimento UATnosql.

    allow dynamic-group nosql_application to use  fnfunc in compartment UATnosql

    Esempio: questo criterio consente al gruppo dinamico nosql_application l'accesso manage nella risorsa famiglia nosql-family nel compartimento UATnosql.

  • Selezionare Crea. Per ulteriori informazioni sui criteri, vedere Gestisci criteri.