Gestione dell'accesso alle tabelle di Oracle NoSQL Database Cloud Service

Informazioni sulla scrittura dei criteri e sulla visualizzazione delle istruzioni dei criteri standard che è possibile utilizzare per autorizzare l'accesso alle tabelle di Oracle NoSQL Database Cloud Service.

Questo articolo contiene i seguenti argomenti:

Argomenti correlati

Accesso alle tabelle NoSQL nelle tenancy

Questo argomento descrive come scrivere i criteri che consentono alla tenancy di accedere alle tabelle NoSQL in altre tenancy.

Se non si ha familiarità con i criteri, vedere Introduzione ai criteri.

Criteri cross-tenancy

L'organizzazione potrebbe voler condividere le risorse con un'altra organizzazione con una propria tenancy. Potrebbe trattarsi di un'altra business unit della società, di un cliente della società, di una società che fornisce servizi alla società e così via. In casi come questi, sono necessari criteri cross-tenancy oltre ai criteri utente e servizio richiesti descritti in precedenza.

Per accedere e condividere le risorse, gli amministratori di entrambe le tenancy devono creare istruzioni criteri speciali che specifichino in modo esplicito le risorse a cui è possibile accedere e condividere. Queste istruzioni speciali utilizzano le parole Definisci, Approva e Ammetti.

Dichiarazioni di approvazione, ammissione e definizione

Ecco una panoramica dei verbi speciali utilizzati nelle istruzioni cross-tenancy:

Approva: indica il set generale di abilità che un gruppo nella propria tenancy può eseguire in altre tenancy. L'istruzione Endorse appartiene sempre alla tenancy con il gruppo di utenti che attraversano i confini nell'altra tenancy per lavorare con le risorse di tale tenancy. Negli esempi, si fa riferimento a questa tenancy come origine.

Admit: indica il tipo di capacità nella propria tenancy che si desidera concedere a un gruppo dell'altra tenancy. L'istruzione Admit appartiene alla tenancy che concede "admittance" alla tenancy. L'istruzione Admit identifica il gruppo di utenti che richiede l'accesso alle risorse dalla tenancy di origine e identificato con un'istruzione Endorse corrispondente. Negli esempi, si fa riferimento a questa tenancy come destinazione.

Definisci: assegna un alias a un OCID tenancy per le istruzioni dei criteri di approvazione e ammissione. È inoltre necessaria un'istruzione Definisci nella tenancy di destinazione per assegnare un alias all'OCID gruppo IAM di origine per le istruzioni Admit.

Le istruzioni di definizione devono essere incluse nella stessa entità criterio dell'approvazione o dell'istruzione di accettazione. Le istruzioni Endorse e Admit funzionano insieme, ma risiedono in criteri separati, uno in ogni tenancy. Senza un'istruzione corrispondente che specifica l'accesso, una specifica dichiarazione di approvazione o ammissione non concede alcun accesso. È necessario un accordo da entrambe le tenancy.

Nota

Oltre alle istruzioni dei criteri, devi anche essere iscritto a un'area per condividere le risorse tra le aree.

Istruzioni dei criteri della tenancy di origine

L'amministratore di origine crea istruzioni criteri che approvano un gruppo IAM di origine autorizzato a gestire le risorse nella tenancy di destinazione.

Nota

I criteri cross-tenancy possono anche essere scritti con altri argomenti dei criteri. Per ulteriori dettagli sugli argomenti dei criteri, vedere Sintassi dei criteri nella documentazione di Oracle Cloud Infrastructure.
Di seguito è riportato un esempio di un'ampia istruzione dei criteri che avalla il gruppo NoSQLAdmins IAM in modo che esegua qualsiasi operazione con tutte le tabelle NoSQL in qualsiasi tenancy:
Endorse group NoSQLAdmins to manage nosql-family in any-tenancy
Per scrivere un criterio che riduce l'ambito dell'accesso della tenancy, l'amministratore di destinazione deve fornire l'OCID della tenancy di destinazione. Di seguito è riportato un esempio di istruzioni dei criteri che approvano il gruppo NoSQLAdmins IAM per gestire le tabelle NoSQL solo in DestinationTenancy.
Define tenancy DestinationTenancy as ocid1.tenancy.oc1..<destination_tenancy_OCID>
Endorse group NoSQLAdmins to manage nosql-family in tenancy DestinationTenancy

Istruzioni dei criteri della tenancy di destinazione

L'amministratore di destinazione crea le istruzioni dei criteri che:
  • Definisce la tenancy di origine e il gruppo IAM a cui è consentito accedere alle risorse nella tenancy. L'amministratore di origine deve fornire queste informazioni.
  • Consente alle origini definite di accedere alle tabelle NoSQL alle quali si desidera consentire l'accesso nella tenancy.
Di seguito è riportato un esempio di istruzioni dei criteri che approvano il gruppo IAM NoSQLAdmins nella tenancy di origine per eseguire qualsiasi operazione con tutte le tabelle NoSQL della tenancy:
Define tenancy SourceTenancy as ocid1.tenancy.oc1..<source_tenancy_OCID>
Define group NoSQLAdmins as ocid1.group.oc1..<group_OCID>
Admit group NoSQLAdmins of tenancy SourceTenancy to manage nosql-family in tenancy
Di seguito è riportato un esempio di istruzioni dei criteri che approvano il gruppo IAM NoSQLAdmins nella tenancy di origine per gestire solo le tabelle NoSQL del compartimento di sviluppo.
Define tenancy SourceTenancy as ocid1.tenancy.oc1..<source_tenancy_OCID>
Define group NoSQLAdmins as ocid1.group.oc1..<group_OCID>
Admit group NoSQLAdmins of tenancy SourceTenancy to manage nosql-family in compartment Develop

Autorizzazione di un altro utente per la gestione delle tabelle NoSQL

Quando si attiva l'ordine per Oracle NoSQL Database Cloud Service, l'utente (primo utente) fa parte del gruppo Amministratori per impostazione predefinita. La presenza nel gruppo Amministratori offre privilegi di amministrazione completi in Oracle Cloud Infrastructure in modo da poter gestire le tabelle di Oracle NoSQL Database Cloud Service e molto altro ancora. Non è necessario delegare questa responsabilità, ma, se si desidera, è possibile concedere a qualcun altro i privilegi per creare e gestire le tabelle di Oracle NoSQL Database Cloud Service tramite l'autorizzazione manage nosql-tables.

In Oracle Cloud Infrastructure si utilizzano i criteri di sicurezza IAM per concedere le autorizzazioni. In primo luogo, è necessario aggiungere l'utente a un gruppo, quindi creare un criterio di sicurezza che conceda al gruppo l'autorizzazione manage nosql-tables per un compartimento o una tenancy specifici (qualsiasi compartimento nella tenancy). Ad esempio, è possibile creare un'istruzione criterio simile a una delle seguenti: 

allow group MyAdminGroup to manage nosql-tables in tenancy
allow group MyAdminGroup to manage nosql-tables in compartment MyOracleNoSQL

Per informazioni su come creare istruzioni dei criteri di sicurezza in modo specifico per Oracle NoSQL Database Cloud Service, vedere Impostazione di utenti, gruppi e criteri mediante Identity and Access Management.

Istruzioni criteri standard per la gestione delle tabelle

Di seguito sono riportate le istruzioni dei criteri standard che è possibile utilizzare per autorizzare l'accesso alle tabelle di Oracle NoSQL Database Cloud Service.

Quando si crea un criterio per la tenancy, si consente agli utenti di accedere a tutti i compartimenti mediante l'ereditarietà dei criteri. In alternativa, puoi limitare l'accesso a singole tabelle o compartimenti di Oracle NoSQL Database Cloud Service.

Esempio - Consente agli amministratori dei gruppi di gestire completamente qualsiasi tabella di Oracle NoSQL Database Cloud Service

allow group Administrators to manage nosql-tables in tenancy
allow group Administrators to manage nosql-rows in tenancy
allow group Administrators to manage nosql-indexes in tenancy

Esempio: per consentire agli amministratori dei gruppi di eseguire operazioni sulle tabelle NoSQL nello sviluppo del compartimento, utilizzare il tipo di risorsa famiglia. 

allow group Admins to manage nosql-family in compartment Dev

Esempio - Consente al gruppo Analytics di eseguire operazioni di sola lettura sulle tabelle NoSQL nello sviluppo del compartimento

allow group Analytics to read nosql-rows in compartment Dev

Esempio - Consente solo a Joe in Developer di creare, recuperare ed eliminare gli indici delle tabelle NoSQL nello sviluppo del compartimento

allow group Developer to manage nosql-indexes in compartment Dev 
where request.user.id = '<OCID of Joe>'

Esempio - Per consentire agli amministratori dei gruppi di creare, eliminare e spostare solo le tabelle NoSQL ma non modificare lo sviluppo del compartimento.

allow group Admins to manage nosql-tables in compartment Dev 
where any {request.permission = 'NOSQL_TABLE_CREATE', 
           request.permission = 'NOSQL_TABLE_DROP', 
           request.permission = 'NOSQL_TABLE_MOVE'}

Esempio - Consente al gruppo Developer di leggere, aggiornare ed eliminare righe della tabella "cliente" nello sviluppo del compartimento, ma non altre.

allow group Developer to manage nosql-rows in compartment Dev 
where target.nosql-table.name = 'customer'