Oracle Cloud Infrastructure GoldenGate 정책

Oracle Cloud Infrastructure GoldenGate에 대한 액세스와 각 사용자 그룹에 포함된 액세스 유형을 제어하려면 정책을 생성해야 합니다.

예를 들어, 멤버가 모든 OCI GoldenGate 리소스에 액세스할 수 있는 관리자 그룹을 만들 수 있습니다. 그런 다음 OCI GoldenGate과 관련된 다른 모든 사용자를 위해 별도의 그룹을 생성하고, 다른 구획의 OCI GoldenGate 리소스에 대한 액세스를 제한하는 정책을 생성할 수 있습니다.

Oracle Cloud Infrastructure 정책의 전체 목록은 정책 참조를 참조하십시오.

정책 생성

정책은 그룹의 멤버가 수행할 수 있는 작업 및 구획을 정의합니다.

Oracle Cloud 콘솔을 사용하여 정책을 생성합니다. Oracle Cloud 콘솔 탐색 메뉴에서 ID 및 보안, ID 순으로 선택하고 정책을 선택합니다. 정책은 다음 구문으로 작성됩니다.

allow group <identity-domain>/<group-name> to <verb> <resource-type> in <location> where <condition>

매개변수 정의는 다음과 같습니다.

<identity-domain>: (선택사항) ID 관리에 OCI IAM을 사용하는 경우 사용자 그룹의 ID 도메인을 포함합니다. 생략할 경우 OCI는 기본 도메인을 사용합니다.
<group-name>: 권한을 부여할 사용자 그룹의 이름입니다.
<verb>: 그룹에 리소스 유형에 대한 특정 레벨의 액세스 권한을 부여합니다. 동사가 inspect에서 read에서 use에서 manage로 이동하면 액세스 레벨이 증가하고 부여된 권한은 누적됩니다.
.사용 권한 및 동사 간의 관계에 대해 자세히 알아봅니다.
<resource-type>: 그룹에게 작업할 수 있는 권한을 부여하는 리소스 유형입니다. goldengate-deployments, goldengate-pipelines 및 goldengate-connections와 같은 개별 리소스가 있으며, 이전에 언급한 개별 리소스를 포함하는 goldengate-family와 같은 리소스 계열이 있습니다.
자세한 내용은 resource-types를 참조하십시오.
<location>: 정책을 컴파트먼트 또는 테넌시에 연결합니다. 이름 또는 OCID별로 단일 컴파트먼트 또는 컴파트먼트 경로를 지정하거나, 전체 테넌시를 처리하도록 tenancy를 지정할 수 있습니다.
<condition>: 선택사항. 이 정책이 적용될 하나 이상의 조건입니다.

정책 구문에 대해 자세히 알아봅니다.

정책을 생성하는 방법

정책을 생성하려면 다음과 같이 하십시오.

Oracle Cloud 탐색 메뉴에서 ID 및 보안을 선택한 다음 [식별]에서 정책을 누릅니다.
[정책] 페이지에서 정책 생성을 누릅니다.
[정책 생성] 페이지에서 정책에 대한 이름과 설명을 입력합니다.
이 정책을 생성할 구획을 선택합니다.
정책 작성기 섹션에서 다음 중 하나를 수행할 수 있습니다.
- 정책 사용 사례 드롭다운에서 GoldenGate 서비스를 선택하고 공통 정책 템플리트(예: 사용자가 GoldenGate 리소스를 관리할 수 있도록 필수 정책)를 선택합니다.
- 수동 편집기 표시를 눌러 다음 형식으로 정책 규칙을 입력합니다.
```
allow <subject> to <verb> <resource-type> in <location> where <condition>
```
  조건은 선택 사항입니다. Details for Verbs + Resource-Type Combinations를 참조하십시오.
참고:
자세한 내용은 최소 권장 정책을 참조하십시오.
생성을 누릅니다.

정책에 대한 자세한 내용은 정책 작동 방식, 정책 구문 및 정책 참조를 참조하십시오.

최소 권장 정책

참고:

공통 정책 템플리트를 사용하여 필요한 모든 정책을 추가하려면 다음과 같이 하십시오.

정책 사용 사례의 경우 드롭다운에서 GoldenGate 서비스를 선택합니다.
공통 사용 템플리트의 경우 드롭다운에서 사용자가 GoldenGate 리소스를 관리할 수 있도록 하는 필수 정책을 선택합니다.

최소한 다음을 위한 정책이 필요합니다.

사용자가 배포 및 연결 작업을 수행할 수 있도록 GoldenGate 리소스를 사용하거나 관리할 수 있습니다. 예:
```
allow group <identity-domain>/<group-name> to manage goldengate-family in <location>
```
사용자가 구획 및 서브넷을 보고 선택할 수 있도록 네트워크 리소스를 관리하고, GoldenGate 리소스를 생성할 때 프라이빗 끝점을 생성 및 삭제할 수 있도록 허용합니다. 예:
```
allow group <identity-domain>/<group-name> to manage virtual-network-family in <location>
```
선택적으로 세분화된 정책을 조합하여 네트워크 리소스를 더 안전하게 보호할 수 있습니다. Policy Examples for Securing Network Resources를 참조하십시오.
동적 그룹을 생성하여 정의된 규칙을 기반으로 리소스에 권한을 부여합니다. 이를 통해 GoldenGate 배치 및/또는 파이프라인이 테넌시의 리소스에 액세스할 수 있습니다. <dynamic-group-name>를 선택한 이름으로 바꿉니다. 필요에 따라 여러 동적 그룹을 생성하여 여러 구획 또는 테넌시에 걸친 배포의 권한을 제어할 수 있습니다.
```
name: <dynamic-group-name>
Matching rule: ALL {resource.type = 'goldengatedeployment', resource.compartment.id = '<location>'}
```
참고:

이 목록에 나오는 정책은 <dynamic-group-name>을 참조하십시오. 동적 그룹을 두 개 이상 생성하는 경우 다음 정책을 추가할 때 올바른 동적 그룹 이름을 참조해야 합니다.
비밀번호 암호와의 접속을 사용하는 경우 접속에 지정하려는 배치가 접속의 비밀번호 암호에 액세스할 수 있어야 합니다. 컴파트먼트 또는 테넌시에 정책을 추가했는지 확인합니다.
```
allow dynamic-group <identity-domain>/<dynamic-group-name> to read secret-bundles in <location>
```

사용자가 IAM 사용 테넌시에서 검증을 위해 IAM(ID 및 액세스 관리) 사용자 및 그룹을 읽을 수 있도록 허용합니다.

allow service goldengate to {idcs_user_viewer, domain_resources_viewer} in <location>

allow dynamic-group <identity-domain>/<dynamic-group-name> to {idcs_user_viewer, domain_resources_viewer} in <location>

Oracle Vault: 고객 관리 암호화 키 및 암호 암호에 액세스합니다. 예:

allow group <identity-domain>/<group-name> to manage secret-family in <location>
allow group <identity-domain>/<group-name> to use keys in <location>
allow group <identity-domain>/<group-name> to use vaults in <location>
allow dynamic-group <identity-domain>/<dynamic-group-name> to use keys in <location>
allow dynamic-group <identity-domain>/<dynamic-group-name> to use vaults in <location> 
allow dynamic-group <identity-domain>/<dynamic-group-name> to read secret-bundles in <location>

다음 서비스를 사용할지 여부에 따라 다음에 대한 정책을 추가해야 할 수도 있습니다.

소스 및/또는 대상 데이터베이스에 대한 Oracle 데이터베이스입니다. 예:

allow group <identity-domain>/<group-name> to read database-family in <location>

allow group <identity-domain>/<group-name> to read autonomous-database-family in <location>

Oracle Object Storage - 수동 OCI GoldenGate 백업을 저장합니다. 예:

allow group <identity-domain>/<group-name> to manage objects in <location>
allow dynamic-group <identity-domain>/<dynamic-group-name> to manage objects in <location>
allow group <identity-domain>/<group-name> to inspect buckets in <location>

OCI 로깅 - 로그 그룹에 액세스합니다. 예:

allow group <identity-domain>/<group-name> to read log-groups in <location>
allow group <identity-domain>/<group-name> to read log-content in <location>

로드 밸런서 - 배치 콘솔에 대한 퍼블릭 액세스를 사용으로 설정하는 경우:

allow group <identity-domain>/<group-name> to manage load-balancers in <location>
allow group <identity-domain>/<group-name> to manage public-ips in <location> 
 
allow group <identity-domain>/<group-name> to manage network-security-groups in <location>
allow group <identity-domain>/<group-name> to manage vcns in <location> where ANY {request.operation = 'CreateNetworkSecurityGroup', request.operation = 'DeleteNetworkSecurityGroup'}

작업 요청:

allow group <identity-domain>/<group-name> to inspect work-requests in <location>

다음 명령문은 작업 영역에 대한 태그 네임스페이스 및 태그를 관리할 수 있는 권한을 그룹에 부여합니다.

allow group <identity-domain>/<group-name> to manage tag-namespaces in <location>

정의된 태그를 추가하려면 태그 네임스페이스 사용 권한이 있어야 합니다. 태그 지정에 대한 자세한 내용은 리소스 태그를 참조하십시오.

자세한 내용 및 추가 예제 정책은 OCI GoldenGate 정책을 참조하십시오.

네트워크 리소스 보안을 위한 정책 예

다음과 같은 정책을 사용하여 구획 내의 네트워크 리소스에 쉽게 액세스할 수 있습니다.

allow group <group-name> to use virtual-network-family in compartment <compartment-name>

또는 다음 정책을 사용하여 보다 세분화된 레벨에서 네트워크 리소스를 보호할 수 있습니다.

연산	기본 리소스에 필요한 액세스
프라이빗 끝점 생성	프라이빗 끝점 컴파트먼트의 경우: VNIC 만들기(`VNIC_CREATE`) VNIC 삭제(`VNIC_DELETE`) 네트워크 보안 그룹의 구성원 업데이트(`NETWORK_SECURITY_GROUP_UPDATE_MEMBERS`) 네트워크 보안 그룹 연관(`VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP`) 서브넷 컴파트먼트의 경우: 서브넷 연결(`SUBNET_ATTACH`) 서브넷 분리(`SUBNET_DETACH`)
프라이빗 끝점 업데이트	프라이빗 끝점 컴파트먼트의 경우: VNIC 업데이트(`VNIC_UPDATE`) 네트워크 보안 그룹의 구성원 업데이트(`NETWORK_SECURITY_GROUP_UPDATE_MEMBERS`) 네트워크 보안 그룹 연관(`VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP`)
프라이빗 끝점 삭제	프라이빗 끝점 컴파트먼트의 경우: VNIC 삭제(`VNIC_DELETE`) 네트워크 보안 그룹의 구성원 업데이트(`NETWORK_SECURITY_GROUP_UPDATE_MEMBERS`) 서브넷 컴파트먼트의 경우: 서브넷 분리(`SUBNET_DETACH`)
프라이빗 끝점 컴파트먼트 변경	한 컴파트먼트에서 다른 컴파트먼트로 이동하는 경우 원래 컴파트먼트의 모든 권한도 새 컴파트먼트에 있어야 합니다.

리소스 유형

Oracle Cloud Infrastructure GoldenGate는 정책 작성을 위한 집계 및 개별 리소스 유형을 모두 제공합니다.

집계 Resource-Type 개별 리소스 유형

집계 Resource-Type	개별 리소스 유형
`goldengate-family`	`goldengate-deployments` `goldengate-deployment-backups` `goldengate-deployment-upgrades` `goldengate-connections` `goldengate-connection-assignments` `goldengate-pipeline`

goldengate-family

goldengate-deployments

goldengate-deployment-backups

goldengate-deployment-upgrades

goldengate-connections

goldengate-connection-assignments

goldengate-pipeline

집계 goldengate-family 리소스 유형에 적용되는 API는 개별 리소스 유형 각각에 대한 API도 포함합니다. 예제

allow group gg-admins to manage goldengate-family in compartment <compartment-name>

는 다음 정책을 작성하는 것과 같습니다.

allow group gg-admins to manage goldengate-deployments in compartment <compartment-name>
allow group gg-admins to manage goldengate-connections in compartment <compartment-name>
allow group gg-admins to manage goldengate-connection-assignments in compartment <compartment-name>
allow group gg-admins to manage goldengate-deployment-upgrades in compartment <compartment-name>
allow group gg-admins to manage goldengate-deployment-backups in compartment <compartment-name>
allow group gg-admins to manage goldengate-pipeline in compartment <compartment-name>

지원되는 변수

정책에 조건을 추가하는 경우 Oracle Cloud Infrastructure 일반 변수 또는 서비스 특정 변수를 사용할 수 있습니다.

Oracle Cloud Infrastructure GoldenGate는 모든 일반 변수를 지원합니다. 자세한 내용은 모든 요청에 대한 일반 변수를 참조하십시오.

동사 + 리소스 유형 조합에 대한 세부정보

정책을 생성할 때 사용할 수 있는 다양한 Oracle Cloud Infrastructure 동사와 리소스 유형이 있습니다.

다음 표에서는 Oracle Cloud Infrastructure GoldenGate의 각 동사에서 다루는 권한 및 API 작업을 보여줍니다. 액세스 레벨은 inspect에서 read, use, manage로 갈수록 누적됩니다.

골드게이트-배포

권한 설정	API 완전 적용
INSPECT
GOLDENGATE_DEPLOYMENT_INSPECT	ListDeployments
READ
검사 +	검사+
GOLDENGATE_DEPLOYMENT_READ	GetDeployment
USE
읽기+	읽기+
GOLDENGATE_DEPLOYMENT_UPDATE	UpdateDeployment
	StartDeployment
	StopDeployment
	RestoreDeployment
관리
사용 +	사용 +
GOLDENGATE_DEPLOYMENT_CREATE	CreateDeployment
	GetWorkRequest
	ListWorkRequests
	ListWorkRequestErrors
	ListWorkRequestLogs
GOLDENGATE_DEPLOYMENT_DELETE	DeleteDeployment
GOLDENGATE_DEPLOYMENT_MOVE	ChangeDeploymentCompartment

골든게이트-연결

권한 설정	API 완전 적용
INSPECT
GOLDENGATE_CONNECTION_INSPECT	ListConnections
READ
검사 +	검사+
GOLDENGATE_CONNECTION_READ	GetConnection
USE
읽기+	읽기+
GOLDENGATE_CONNECTION_UPDATE	UpdateConnection
관리
사용 +	사용 +
GOLDENGATE_CONNECTION_CREATE	CreateConnection
GOLDENGATE_CONNECTION_DELETE	DeleteConnection
GOLDENGATE_CONNECTION_MOVE	ChangeConnectionCompartment

골든게이트-연결-지정

권한 설정	API 완전 적용
INSPECT
GOLDENGATE_CONNECTION_ASSIGNMENT_INSPECT	ListConnectionAssignments
READ
검사 +	검사+
GOLDENGATE_CONNECTION_ASSIGNMENT_READ	GetConnectionAssignment
USE
읽기+	읽기+
n/a	n/a
관리
사용 +	사용 +
GOLDENGATE_CONNECTION_ASSIGNMENT_CREATE	CreateConnectionAssignment
GOLDENGATE_CONNECTION_ASSIGNMENT_DELETE	DeleteConnectionAssignment

골드게이트-배포-백업

권한 설정	API 완전 적용
INSPECT
GOLDENGATE_DEPLOYMENT_BACKUP_INSPECT	ListDeploymentBackups
READ
검사 +	검사+
GOLDENGATE_DEPLOYMENT_BACKUP_READ	GetDeploymentBackup
GOLDENGATE_DEPLOYMENT_BACKUP_READ	RestoreDeployment
USE
읽기+	읽기+
GOLDENGATE_DEPLOYMENT_BACKUP_UPDATE	UpdateDeploymentBackup
관리
사용 +	사용 +
GOLDENGATE_DEPLOYMENT_BACKUP_CREATE	CreateDeploymentBackup
GOLDENGATE_DEPLOYMENT_BACKUP_DELETE	DeleteDeploymentBackup
GOLDENGATE_DEPLOYMENT_BACKUP_MOVE	ChangeDeploymentBackupCompartment

각 API 작업에 필요한 권한

다음은 리소스 유형별로 그룹화된 논리적 순서로 Oracle Cloud Infrastructure GoldenGate에 대한 API 작업 목록입니다.

resource-types는 goldengate-deployments, goldengate-connections, goldengate-deployment-backups입니다.

API 작업	권한 설정
`ListDeployments`	GOLDENGATE_DEPLOYMENT_INSPECT
`CreateDeployment`	GOLDENGATE_DEPLOYMENT_CREATE
`GetDeployment`	GOLDENGATE_DEPLOYMENT_READ
`UpdateDeployment`	GOLDENGATE_DEPLOYMENT_UPDATE
`DeleteDeployment`	GOLDENGATE_DEPLOYMENT_DELETE
`StartDeployment`	GOLDENGATE_DEPLOYMENT_UPDATE
`StopDeployment`	GOLDENGATE_DEPLOYMENT_UPDATE
`RestoreDeployment`	GOLDENGATE_DEPLOYMENT_BACKUP_READ 및 GOLDENGATE_DEPLOYMENT_UPDATE
`ChangeDeploymentCompartment`	GOLDENGATE_DEPLOYMENT_MOVE
`UpgradeDeployment`	GOLDENGATE_DEPLOYMENT_UPDATE
`ListConnections`	GOLDENGATE_CONNECTION_INSPECT
`CreateConnection`	GOLDENGATE_CONNECTION_CREATE
`GetConnection`	GOLDENGATE_CONNECTION_READ
`UpdateConnection`	GOLDENGATE_CONNECTION_UPDATE
`DeleteConnection`	GOLDENGATE_CONNECTION_DELETE
`ChangeConnectionCompartment`	GOLDENGATE_CONNECTION_MOVE
`ListConnectionAssignments`	GOLDENGATE_CONNECTION_ASSIGNMENT_INSPECT
`CreateConnectionAssignment`	GOLDENGATE_CONNECTION_ASSIGNMENT_CREATE, GOLDENGATE_DEPLOYMENT_UPDATE, GOLDENGATE_CONNECTION_UPDATE
`GetConnectionAssignment`	GOLDENGATE_CONNECTION_ASSIGNMENT_READ
`DeleteConnectionAssignment`	GOLDENGATE_CONNECTION_ASSIGNMENT_DELETE, GOLDENGATE_DEPLOYMENT_UPDATE, GOLDENGATE_CONNECTION_UPDATE
`ListDeploymentBackups`	GOLDENGATE_DEPLOYMENT_BACKUP_INSPECT
`GetDeploymentBackup`	GOLDENGATE_DEPLOYMENT_BACKUP_READ
`CreateDeploymentBackup`	GOLDENGATE_DEPLOYMENT_BACKUP_CREATE, GOLDENGATE_DEPLOYMENT_READ
`UpdateDeploymentBackup`	GOLDENGATE_DEPLOYMENT_BACKUP_UPDATE
`CancelDeploymentBackup`	GOLDENGATE_DEPLOYMENT_BACKUP_UPDATE
`DeleteDeploymentBackup`	GOLDENGATE_DEPLOYMENT_BACKUP_DELETE
`ChangeDeploymentBackupCompartment`	GOLDENGATE_DEPLOYMENT_BACKUP_MOVE
`GetDeploymentUpgrade`	GOLDENGATE_DEPLOYMENT_UPGRADE_READ
`ListDeploymentUpgrades`	GOLDENGATE_DEPLOYMENT_UPGRADE_INSPECT
`GetWorkRequest`	GOLDENGATE_DEPLOYMENT_CREATE
`ListWorkRequests`	GOLDENGATE_DEPLOYMENT_CREATE
`ListWorkRequestErrors`	GOLDENGATE_DEPLOYMENT_CREATE
`ListWorkRequestLogs`	GOLDENGATE_DEPLOYMENT_CREATE

제목 및 저작권 정보

Oracle and/or its affiliates.