Gestione dell'accesso alle tabelle di Oracle NoSQL Database Cloud Service

Informazioni sulla scrittura dei criteri e sulla visualizzazione delle istruzioni dei criteri standard che è possibile utilizzare per autorizzare l'accesso alle tabelle di Oracle NoSQL Database Cloud Service.

Questo articolo contiene i seguenti argomenti:

Accesso alle tabelle NoSQL nelle tenancy

In questo argomento viene descritto come scrivere criteri che consentono alla tenancy di accedere alle tabelle NoSQL in altre tenancy.

Se non si conoscono i criteri, vedere Guida introduttiva ai criteri.

Criteri cross-tenancy

L'organizzazione potrebbe voler condividere le risorse con un'altra organizzazione che dispone della propria tenancy. Potrebbe trattarsi di un'altra business unit della società, di un cliente della società, di una società che fornisce servizi alla società e così via. In casi come questi, sono necessari criteri cross-tenancy oltre ai criteri utente e servizio richiesti descritti in precedenza.

Per accedere e condividere le risorse, gli amministratori di entrambe le tenancy devono creare istruzioni dei criteri speciali che indicano in modo esplicito le risorse a cui è possibile accedere e condividere. Queste istruzioni speciali utilizzano le parole Definisci, Correggi e Invia.

Approvazione, ammissione e definizione rendiconti

Di seguito è riportata una panoramica dei verbi speciali utilizzati nelle istruzioni cross-tenancy.

Afferma: indica il set generale di competenze che un gruppo nella propria tenancy può eseguire in altre tenancy. L'istruzione Endorse appartiene sempre alla tenancy con il gruppo di utenti che attraversano i confini nell'altra tenancy per lavorare con le risorse di tale tenancy. Negli esempi, si fa riferimento a questa tenancy come origine.

Amministrazione: indica il tipo di capacità della propria tenancy che si desidera concedere a un gruppo dall'altra tenancy. L'istruzione Admit appartiene alla tenancy che concede "admittance" alla tenancy. L'istruzione Admit identifica il gruppo di utenti che richiede l'accesso alle risorse dalla tenancy di origine e identificato con un'istruzione Endorse corrispondente. Negli esempi, si fa riferimento a questa tenancy come destinazione.

Definisci: assegna un alias a un OCID tenancy per le istruzioni dei criteri Approva e Ammissione. Nella tenancy di destinazione è inoltre necessaria un'istruzione define per assegnare un alias all'OCID gruppo IAM di origine per le istruzioni Admit.

Le istruzioni di definizione devono essere incluse nella stessa entità criterio dell'istruzione di approvazione o di ammissione. Le istruzioni Endorse e Admit funzionano insieme, ma risiedono in criteri separati, uno in ogni tenancy. Senza una dichiarazione corrispondente che specifica l'accesso, una dichiarazione di approvazione o ammissione specifica non concede l'accesso. È necessario un accordo da entrambe le tenancy.

Nota: oltre alle istruzioni dei criteri, è necessario essere sottoscritti a un'area per condividere le risorse tra le aree.

Istruzioni dei criteri della tenancy di origine

L'amministratore di origine crea istruzioni dei criteri che supportano un gruppo IAM di origine autorizzato a gestire le risorse nella tenancy di destinazione.

Nota: i criteri cross-tenancy possono essere scritti anche con altri argomenti dei criteri. Per ulteriori dettagli sugli argomenti dei criteri, vedere Sintassi dei criteri nella documentazione di Oracle Cloud Infrastructure.

Di seguito è riportato un esempio di istruzione criteri estesa che supporta il gruppo NoSQLAdmins del gruppo IAM per eseguire qualsiasi operazione con tutte le tabelle NoSQL in qualsiasi tenancy.

Endorse group NoSQLAdmins to manage nosql-family in any-tenancy

Per scrivere un criterio che riduce l'ambito dell'accesso alla tenancy, l'amministratore di destinazione deve fornire l'OCID tenancy di destinazione. Di seguito è riportato un esempio di istruzioni dei criteri che supportano il gruppo NoSQLAdmins del gruppo IAM per gestire le tabelle NoSQL solo in DestinationTenancy.

Define tenancy DestinationTenancy as ocid1.tenancy.oc1..<destination_tenancy_OCID>
Endorse group NoSQLAdmins to manage nosql-family in tenancy DestinationTenancy

Istruzioni dei criteri tenancy di destinazione

L'amministratore di destinazione crea istruzioni dei criteri che:

• Definisce la tenancy di origine e il gruppo IAM a cui è consentito accedere alle risorse nella tenancy. L'amministratore di origine deve fornire queste informazioni.

• Ammette le origini definite per accedere alle tabelle NoSQL a cui si desidera consentire l'accesso nella tenancy.

Di seguito è riportato un esempio di istruzioni dei criteri che supportano il gruppo IAM NoSQLAdmins nella tenancy di origine per eseguire qualsiasi operazione con tutte le tabelle NoSQL nella tenancy.

Define tenancy SourceTenancy as ocid1.tenancy.oc1..<source_tenancy_OCID>
Define group NoSQLAdmins as ocid1.group.oc1..<group_OCID>
Admit group NoSQLAdmins of tenancy SourceTenancy to manage nosql-family in tenancy

Di seguito è riportato un esempio di istruzioni dei criteri che supportano il gruppo IAM NoSQLAdmins nella tenancy di origine per gestire le tabelle NoSQL solo nel compartimento di sviluppo.

Define tenancy SourceTenancy as ocid1.tenancy.oc1..<source_tenancy_OCID>
Define group NoSQLAdmins as ocid1.group.oc1..<group_OCID>
Admit group NoSQLAdmins of tenancy SourceTenancy to manage nosql-family in compartment Develop

Autorizzazione di un altro utente per la gestione delle tabelle NoSQL

Quando si attiva l'ordine per Oracle NoSQL Database Cloud Service, il primo utente si trova nel gruppo Amministratori per impostazione predefinita. Essere nel gruppo Administrators ti offre privilegi di amministrazione completi in Oracle Cloud Infrastructure in modo da poter gestire le tabelle Oracle NoSQL Database Cloud Service e molto altro ancora. Non è necessario delegare questa responsabilità, ma, se lo si desidera, è possibile concedere a qualcun altro i privilegi per creare e gestire le tabelle di Oracle NoSQL Database Cloud Service tramite l'autorizzazione manage nosql-tables.

In Oracle Cloud Infrastructure si utilizzano i criteri di sicurezza IAM per concedere le autorizzazioni. In primo luogo, è necessario aggiungere l'utente a un gruppo, quindi creare un criterio di sicurezza che conceda al gruppo l'autorizzazione manage nosql-tables su un compartimento specifico o sulla tenancy (qualsiasi compartimento nella tenancy). Ad esempio, è possibile creare un'istruzione criterio simile a una delle seguenti:

allow group MyAdminGroup to manage nosql-tables in tenancy

allow group MyAdminGroup to manage nosql-tables in compartment MyOracleNoSQL

Per informazioni su come creare istruzioni dei criteri di sicurezza specifiche per Oracle NoSQL Database Cloud Service, vedere Impostazione di utenti, gruppi e criteri mediante Identity and Access Management.

Istruzioni criteri standard per la gestione delle tabelle

Di seguito sono riportate le istruzioni criteri standard che possono essere utilizzate per autorizzare l'accesso alle tabelle di Oracle NoSQL Database Cloud Service.

Quando si crea un criterio per la tenancy, si concede agli utenti l'accesso a tutti i compartimenti mediante ereditarietà dei criteri. In alternativa, puoi limitare l'accesso a singole tabelle o compartimenti di Oracle NoSQL Database Cloud Service.

Esempio - Per consentire agli amministratori dei gruppi di gestire completamente qualsiasi tabella di Oracle NoSQL Database Cloud Service

allow group Administrators to manage nosql-tables in tenancy
allow group Administrators to manage nosql-rows in tenancy
allow group Administrators to manage nosql-indexes in tenancy

Esempio - Per consentire agli amministratori di gruppo di eseguire operazioni sulle tabelle NoSQL nello sviluppo del compartimento, utilizzare il tipo di risorsa della famiglia.

allow group Admins to manage nosql-family in compartment Dev

Esempio - Per consentire a Group Analytics di eseguire operazioni di sola lettura su tabelle NoSQL nello sviluppo del compartimento

allow group Analytics to read nosql-rows in compartment Dev

Esempio - Per consentire a Joe in Developer di creare, ottenere ed eliminare gli indici delle tabelle NoSQL nello sviluppo del compartimento

allow group Developer to manage nosql-indexes in compartment Dev
where request.user.id = '<OCID of Joe>'

Esempio - Per consentire agli amministratori del gruppo di creare, eliminare e spostare solo le tabelle NoSQL, ma non modificare lo sviluppo del compartimento.

allow group Admins to manage nosql-tables in compartment Dev
where any {request.permission = 'NOSQL_TABLE_CREATE',
           request.permission = 'NOSQL_TABLE_DROP',
           request.permission = 'NOSQL_TABLE_MOVE'}

Esempio - Per consentire allo sviluppatore del gruppo di leggere, aggiornare ed eliminare le righe della tabella "cliente" nello sviluppo del compartimento, ma non altre.

allow group Developer to manage nosql-rows in compartment Dev
where target.nosql-table.name = 'customer'

Argomenti correlati

• Autenticazione per la connessione a Oracle NoSQL Database