사용자 그룹 및 정책 설정 정보

Oracle NoSQL Database Cloud Service는 Oracle Cloud Infrastructure IAM(ID 및 액세스 관리)을 사용하여 Oracle Cloud에 대한 보안 액세스를 제공합니다. Oracle Cloud Infrastructure IAM을 사용하면 사용자 계정을 생성하고 사용자에게 테이블을 검사, 읽기, 사용 또는 관리할 수 있는 권한을 부여할 수 있습니다.

Oracle NoSQL Database Cloud Service의 사용자, 그룹 및 동적 그룹을 관리하는 방법은 클라우드 계정 또는 테넌시가 Oracle Cloud Infrastructure Identity and Access Management(IAM) ID 도메인을 사용하도록 업데이트되었는지 여부에 따라 달라집니다. IAM(ID 및 접근 관리) ID 도메인을 사용하도록 OCI 테넌시가 업데이트된 시기를 쉽게 확인할 수 있습니다.

ID 도메인이 있는 테넌시에 대한 OCI 콘솔은 다음과 같습니다.

ID 도메인이 없는 테넌시에 대한 OCI 콘솔이 아래에 표시됩니다.

자세한 내용은 ID 도메인에 대한 액세스 권한이 있습니까?를 참조하십시오.

ID 및 접근 관리를 사용하여 사용자, 그룹, 동적 그룹 및 정책 설정

Oracle NoSQL Database Cloud Service는 Oracle Cloud Infrastructure Identity and Access Management(IAM)를 사용하여 Oracle Cloud에 대한 안전한 액세스를 제공합니다. Oracle Cloud Infrastructure IAM을 사용하면 사용자 계정을 생성하고 사용자에게 테이블을 검사, 읽기, 사용 또는 관리할 수 있는 권한을 부여할 수 있습니다.

API 서명 키를 사용하여 사용자 주체로 인증하는 경우 사용자, 그룹 및 정책 설정을 참조하십시오. 또는 인스턴스 주체 또는 리소스 주체로 인증하는 경우 Setting up Dynamic Group and Policies을 참조하십시오.

사용자, 그룹 및 정책 설정

1. 클라우드 계정 관리자로 클라우드 계정에 사인인합니다.
2. Oracle Cloud Infrastructure 콘솔에서 한 명 이상의 사용자를 추가합니다.
   • 테넌시를 기반으로 하는 다음 중 하나를 선택합니다(ID 도메인이 있는지 여부와 ID 도메인이 없는지 여부).
     • ID 도메인 테넌시: 탐색 메뉴를 열고 ID 및 보안을 누릅니다. ID에서 도미나를 누릅니다. 작업할 ID 도메인을 선택하고 사용자를 누릅니다.
     • ID 도메인이 없는 테넌시: 탐색 메뉴를 열고 ID 및 보안을 누릅니다. ID에서 사용자를 누릅니다.
   • 사용자 생성을 누릅니다.
   • 사용자에 대한 세부정보를 입력하고 생성을 누릅니다.
3. Oracle Cloud Infrastructure 콘솔에서 OCI 그룹을 생성합니다.
   • 테넌시를 기반으로 하는 다음 중 하나를 선택합니다(ID 도메인이 있는지 여부와 ID 도메인이 없는지 여부).
     • ID 도메인 테넌시: 탐색 메뉴를 열고 ID 및 보안을 누릅니다. ID에서 도미나를 누릅니다. 작업할 ID 도메인을 선택하고 그룹을 누릅니다.
     • ID 도메인이 없는 테넌시: 탐색 메뉴를 열고 ID 및 보안을 누릅니다. ID에서 그룹을 누릅니다.
   • 그룹 생성을 누릅니다.
   • 그룹에 대한 세부 정보를 입력합니다. 예를 들어, 사용자에게 Oracle NoSQL Database Cloud Service 테이블을 완전히 관리할 수 있는 권한을 부여하는 정책을 생성하는 경우 그룹 이름을 nosql_service_admin(또는 이와 유사한)로 지정하고 "Oracle Cloud Infrastructure에서 Oracle NoSQL Database Cloud Service 테이블을 설정하고 관리할 수 있는 권한이 있는 사용자"(또는 이와 유사한 사용자)와 같은 간단한 설명을 포함할 수 있습니다.
4. OCI 그룹에 속한 사용자에게 Oracle NoSQL Database Cloud Service 테이블 또는 구획에 대한 특정 액세스 권한을 부여하는 정책을 생성합니다.
   • 탐색 메뉴를 열고 ID 및 보안을 누릅니다. ID에서 정책을 누릅니다.
   • 구획을 선택하고 정책 생성을 누릅니다.

     자세한 내용과 예는 정책 참조 및 테이블 관리를 위한 일반 정책 문을 참조하십시오.

     정책 작동 방식을 잘 모르는 경우 정책 작동 방식을 참조하십시오.

5. Oracle NoSQL Database Cloud Service SDK를 통해 NoSQL 테이블을 관리하고 사용하려면 사용자가 API 키를 설정해야 합니다. Oracle NoSQL Database에 연결하기 위한 인증을 참조하십시오.

   주:

   페더레이션 사용자는 Oracle NoSQL Database Cloud Service 테이블을 관리하고 사용할 수도 있습니다. 이를 위해서는 서비스 관리자가 Oracle Cloud Infrastructure Identity and Access Management에서 페더레이션을 설정해야 합니다. ID 제공자와 연합을 참조하십시오.

   정책 문에 언급된 그룹에 속한 사용자는 다음에 콘솔에 사인인할 때 새 권한을 받습니다.

동적 그룹 및 정책 설정

리소스 주체 또는 인스턴스 주체를 사용하여 Oracle Cloud Infrastructure 리소스를 호출하기 전에 Oracle Cloud Infrastructure 테넌시 관리자는 리소스 주체 또는 인스턴스 주체 권한을 정의하는 Oracle Cloud Infrastructure 정책, 동적 그룹 및 규칙을 생성해야 합니다.

• 클라우드 계정 관리자로 클라우드 계정에 사인인합니다.
• Oracle Cloud Infrastructure 콘솔에서 동적 그룹을 생성합니다.
  • 테넌시를 기반으로 하는 다음 중 하나를 선택합니다(ID 도메인이 있는지 여부와 ID 도메인이 없는지 여부).
    • ID 도메인 테넌시: 탐색 메뉴를 열고 ID 및 보안을 누릅니다. ID에서 도미나를 누릅니다. 작업할 ID 도메인을 선택하고 동적 그룹을 누릅니다.
    • ID 도메인이 없는 테넌시: 탐색 메뉴를 열고 ID 및 보안을 누릅니다. ID에서 동적 그룹을 누릅니다.
  • 동적 그룹 생성을 누르고 이름, 설명 및 규칙을 입력하거나 규칙 작성기를 사용하여 규칙을 추가합니다.
  • [생성]을 누릅니다.
    규칙 조건을 충족하는 리소스는 동적 그룹의 멤버입니다. 동적 그룹에 대한 규칙을 정의할 때 다른 리소스에 대한 액세스 권한을 부여할 리소스를 고려하십시오. 규칙 생성의 몇 가지 예는 다음과 같습니다.

    1. 함수에 대한 일치 규칙:

       ALL {resource.type = 'fnfunc',resource.compartment.id =
       'ocid1.compartment.oc1..aaaaaaaafml3tca3zcxyifmdff3aadp5uojimgx3cdnirgup6rhptxwnandq'} 

       이 규칙은 지정된 구획의 fnfunc 리소스 유형(위에서 지정된 ID)이 동적 그룹의 멤버임을 의미합니다.

       주:

       여러 리소스 유형에 대한 자세한 내용은 Resource Types을 참조하십시오.
    2. 인스턴스 주체에 대한 인스턴스를 추가할 때의 규칙:

       ALL { instance.compartment.id =
             'ocid1.compartment.oc1..aaaaaaaa4mlehopmvdluv2wjcdp4tnh2ypjz3nhhpahb4ss7yvxaa3be3diq'}

       이 규칙은 위에 지정된 구획 ID를 가진 인스턴스가 동적 그룹의 멤버임을 의미합니다.

    3. 함수와 함께 API Gateway를 사용할 때의 규칙:

       ALL {resource.type = 'ApiGateway',resource.compartment.id =
             'ocid1.compartment.oc1..aaaaaaaafml3tca3zcxyifmdff3aadp5uojimgx3cdnirgup6rhptxwnandq'}

       이 규칙은 지정된 구획의 ApiGateway 리소스 유형(위에서 지정된 ID)이 동적 그룹의 멤버임을 의미합니다.

    4. 컨테이너 인스턴스 사용 시 규칙:

       ALL {resource.type = 'computecontainerinstance', 
       resource.compartment.id = 
       'ocid1.compartment.oc1..aaaaaaaa4mlehopmvdluv2wjcdp4tnh2ypjz3nhhpahb4ss7yvxaa3be3diq'}

       이 규칙은 지정된 구획의 computecontainerinstance 리소스 유형(위에서 지정된 ID)이 동적 그룹의 멤버임을 의미합니다.

  주:

  동적 그룹에는 상속이 적용되지 않습니다. IAM Access 정책을 사용하는 동안 상위 구획의 정책은 모든 하위 구획에 자동으로 적용됩니다. 동적 그룹을 사용하는 경우에는 그렇지 않습니다. 자격을 얻으려면 동적 그룹의 각 구획을 별도로 나열해야 합니다.

  예:상위-하위 구획의 함수에 대한 일치 규칙:

  ALL {resource.type = 'fnfunc',
  ANY{resource.compartment.id = '<parent-compid>',  resource.compartment.id = '<child-compid1>',
  resource.compartment.id = '<child-compid2>', ...}}

• Oracle Cloud Infrastructure 리소스에 액세스할 수 있도록 동적 그룹에 대한 정책 문을 작성합니다.
  • Oracle Cloud Infrastructure 콘솔에서 ID 및 보안을 누르고 정책을 누릅니다.
  • 동적 그룹에 대한 정책을 작성하려면 정책 생성을 누르고 이름과 설명을 입력합니다.
  • 정책 작성기를 사용하여 정책을 작성합니다. 정책 정의에 대한 일반적인 구문은 다음과 같습니다.

    Allow <subject> to <verb> <resource-type> in <location> where <conditions>

    • 제목 구문: 이름 또는 OCID별로 하나 이상의 콤마로 구분된 그룹입니다.
    • 동사: 값은 검사, 읽기, 사용 또는 관리입니다.
    • resource-type: 개별 리소스 유형, 패밀리 리소스 유형(예: nosql-family) 또는 모든 리소스입니다.
    • 구획: 이름 또는 OCID별 단일 구획 또는 구획 경로
    예: 이 정책은 동적 그룹 nosql_application을 허용하고 fnfunc는 UATnosql 구획의 리소스에 대한 액세스를 사용합니다.

    allow dynamic-group nosql_application to use  fnfunc in compartment UATnosql

    예: 이 정책은 UATnosql 구획의 패밀리 리소스 nosql-family에 대한 동적 그룹 nosql_application의 manage 액세스를 허용합니다.

  • [생성]을 누릅니다. 정책에 대한 자세한 내용은 정책 관리를 참조하십시오.

---

제목 및 저작권 정보

사용자 그룹 및 정책 설정 정보

Copyright ©2022,2024,

Oracle and/or its affiliates.