사용자 그룹 및 정책 설정 정보

Oracle NoSQL Database Cloud Service는 Oracle Cloud Infrastructure Identity and Access Management(IAM)를 사용하여 Oracle Cloud에 대한 보안 액세스를 제공합니다. Oracle Cloud Infrastructure IAM을 사용하면 사용자 계정을 생성하고 사용자에게 테이블을 검사, 읽기, 사용 또는 관리할 수 있는 권한을 부여할 수 있습니다.

Oracle NoSQL Database Cloud Service에 대한 사용자, 그룹 및 동적 그룹을 관리하는 방법은 클라우드 계정 또는 테넌시가 Oracle Cloud Infrastructure Identity and Access Management(IAM) ID 도메인을 사용하도록 업데이트되었는지 여부에 따라 달라집니다. OCI 테넌시가 ID 및 액세스 관리(IAM) ID 도메인을 사용하도록 업데이트된 시기를 쉽게 확인할 수 있습니다.

ID 도메인이 있는 테넌시에 대한 OCI 콘솔은 다음과 같습니다.

IAM ID 도메인을 사용하여 OCI에서 사용자 생성

ID 도메인이 없는 테넌시에 대한 OCI 콘솔이 아래에 표시됩니다.

IAM을 사용하여 OCI에서 유저 생성

자세한 내용은 ID 도메인에 대한 액세스 권한이 있습니까?를 참조하십시오.

Identity and Access Management를 사용하여 유저, 그룹, 동적 그룹 및 정책 설정

API 서명 키를 사용하여 사용자 주체로 인증하는 경우 사용자, 그룹 및 정책 설정을 참조하십시오. 또는 인스턴스 주체 또는 리소스 주체로 인증하는 경우 동적 그룹 및 정책 설정을 참조하십시오.

유저, 그룹 및 정책 설정

클라우드 계정 관리자로 클라우드 계정에 로그인합니다.
Oracle Cloud Infrastructure 콘솔에서 사용자를 한 명 이상 추가합니다.
- ID 도메인이 있는지 여부 또는 ID 도메인이 없는지 여부에 관계없이 테넌시에 따라 다음 중 하나를 선택합니다.
  - ID 도메인 테넌시: 다음을 수행합니다.
    - 탐색 메뉴를 열고 ID 및 보안을 선택합니다.
    - ID에서 도메인을 선택합니다. 그러면 Domains 페이지가 열립니다.
    - 적용된 필터 옆에 있는 컴파트먼트 필터를 선택합니다. 드롭다운 목록에서 컴파트먼트를 선택하고 필터 적용을 선택합니다.
    - 작업할 ID 도메인을 선택합니다. User management(사용자 관리) 탭에서 Users(사용자) 섹션으로 이동합니다.
  - ID 도메인이 없는 테넌시: 탐색 메뉴를 열고 ID 및 보안을 선택합니다. ID에서 사용자를 선택합니다.
- 생성을 선택합니다.
- 사용자에 대한 세부정보를 입력하고 생성을 선택합니다.
Oracle Cloud Infrastructure 콘솔에서 OCI 그룹을 생성합니다.
- ID 도메인이 있는지 여부 또는 ID 도메인이 없는지 여부에 관계없이 테넌시에 따라 다음 중 하나를 선택합니다.
  - ID 도메인 테넌시: 다음을 수행합니다.
    - 탐색 메뉴를 열고 ID 및 보안을 선택합니다.
    - ID에서 도메인을 선택합니다. 그러면 Domains 페이지가 열립니다.
    - 적용된 필터 옆에 있는 컴파트먼트 필터를 선택합니다. 드롭다운 목록에서 컴파트먼트를 선택하고 필터 적용을 선택합니다.
    - 작업할 ID 도메인을 선택합니다. 사용자 관리 탭에서 아래로 스크롤하여 그룹 섹션을 찾습니다.
  - ID 도메인이 없는 테넌시: 탐색 메뉴를 열고 ID 및 보안을 선택합니다. ID에서 그룹을 선택합니다.
- 그룹 생성을 선택합니다.
- 그룹에 대한 세부 정보를 입력합니다. For example, if you're creating a policy that gives users permissions to fully manage Oracle NoSQL Database Cloud Service tables you might name the group nosql_service_admin (or similar) and include a short description such as “Users with permissions to set up and manageOracle NoSQL Database Cloud Servicetables onOracle Cloud Infrastructure” (or similar).
- 생성을 선택합니다.
OCI 그룹에 속한 사용자에게 Oracle NoSQL Database Cloud Service 테이블 또는 구획에 대한 특정 액세스 권한을 부여하는 정책을 생성합니다.
- 탐색 메뉴를 열고 ID 및 보안을 선택합니다.
- ID에서 정책을 선택합니다.
- 적용된 필터 옆에 있는 컴파트먼트 필터를 선택합니다. 드롭다운 목록에서 컴파트먼트를 선택하고 필터 적용을 선택합니다.
- 정책 생성을 선택합니다.
  
  자세한 내용과 예는 정책 참조 및 테이블 관리를 위한 일반적인 정책 문을 참조하십시오.
  
  정책 작동 방식에 익숙하지 않은 경우 정책 작동 방식을 참조하십시오.
Oracle NoSQL Database Cloud Service SDK를 통해 NoSQL 테이블을 관리하고 사용하려면 사용자가 API 키를 설정해야 합니다. Oracle NoSQL Database에 연결하기 위한 인증을 참조하십시오.

주: 페더레이션 사용자는 Oracle NoSQL Database Cloud Service 테이블을 관리하고 사용할 수도 있습니다. 이를 위해서는 서비스 관리자가 Oracle Cloud Infrastructure Identity and Access Management에서 페더레이션을 설정해야 합니다. ID 제공자와 통합을 참조하십시오.

정책 문에 언급된 그룹에 속한 사용자는 다음에 콘솔에 사인인할 때 새 권한을 얻습니다.

동적 그룹 및 정책 설정

리소스 주체 또는 인스턴스 주체를 사용하여 Oracle Cloud Infrastructure 리소스를 호출하기 전에 Oracle Cloud Infrastructure 테넌시 관리자는 리소스 주체 또는 인스턴스 주체 권한을 정의하는 Oracle Cloud Infrastructure 정책, 동적 그룹 및 규칙을 생성해야 합니다.

클라우드 계정 관리자에게 로그인하여 클라우드 계정에 로그인합니다.
Oracle Cloud Infrastructure 콘솔에서 동적 그룹을 생성합니다.
- ID 도메인이 있는지 여부 또는 ID 도메인이 없는지 여부에 관계없이 테넌시에 따라 다음 중 하나를 선택합니다.
  - ID 도메인이 있는 테넌시:
    - 탐색 메뉴를 열고 ID 및 보안을 선택합니다.
    - ID에서 도메인을 선택합니다. 그러면 Domains 페이지가 열립니다.
    - 적용된 필터 옆에 있는 컴파트먼트 필터를 선택합니다. 드롭다운 목록에서 컴파트먼트를 선택하고 필터 적용을 선택합니다.
    - 작업할 ID 도메인을 선택하고 동적 그룹 탭을 선택합니다.
  - ID 도메인이 없는 테넌시: 탐색 메뉴를 열고 ID 및 보안을 선택합니다. ID에서 동적 그룹을 선택합니다.
- 동적 그룹 생성을 선택하고 이름, 설명 및 규칙을 입력하거나 규칙 빌더를 사용하여 규칙을 추가합니다.
- 생성을 선택합니다.
규칙 조건을 충족하는 리소스는 동적 그룹의 멤버입니다. 동적 그룹에 대한 규칙을 정의할 때 다른 리소스에 대한 액세스 권한이 부여될 리소스를 고려합니다. 규칙 생성 예제는 다음과 같습니다.
1. 함수에 대한 대응 규칙:
```
ALL {resource.type = 'fnfunc',resource.compartment.id =
    'ocid1.compartment.oc1..aaaaaaaafml3tca3zcxyifmdff3aadp5uojimgx3cdnirgup6rhptxwnandq'}
```
  이 규칙은 지정된 컴파트먼트(위에서 지정된 ID)에서 fnfunc이라는 모든 리소스 유형이 동적 그룹의 멤버임을 의미합니다.
  
  주: 여러 리소스 유형에 대한 자세한 내용은 리소스 유형을 참조하십시오.
2. 인스턴스 주체에 대한 인스턴스를 추가할 때의 규칙:
```
ALL { instance.compartment.id =
      'ocid1.compartment.oc1..aaaaaaaa4mlehopmvdluv2wjcdp4tnh2ypjz3nhhpahb4ss7yvxaa3be3diq'}
```
  이 규칙은 위에 지정된 컴파트먼트 ID를 가진 모든 인스턴스가 동적 그룹의 멤버임을 의미합니다.
3. 함수와 함께 API Gateway를 사용할 때의 규칙:
```
ALL {resource.type = 'ApiGateway',resource.compartment.id =
      'ocid1.compartment.oc1..aaaaaaaafml3tca3zcxyifmdff3aadp5uojimgx3cdnirgup6rhptxwnandq'}
```
  이 규칙은 지정된 컴파트먼트(위에서 지정된 ID)에서 ApiGateway라는 리소스 유형이 동적 그룹의 멤버임을 의미합니다.
4. 컨테이너 인스턴스를 사용할 때의 규칙:
```
ALL {resource.type = 'computecontainerinstance',
resource.compartment.id =
'ocid1.compartment.oc1..aaaaaaaa4mlehopmvdluv2wjcdp4tnh2ypjz3nhhpahb4ss7yvxaa3be3diq'}
```
  이 규칙은 지정된 컴파트먼트(위에서 지정된 ID)에서 computecontainerinstance라는 리소스 유형이 동적 그룹의 멤버임을 의미합니다.
주: 상속은 동적 그룹에 적용되지 않습니다. IAM 액세스 정책을 사용하는 동안 상위 컴파트먼트의 정책은 모든 하위 컴파트먼트에 자동으로 적용됩니다. 동적 그룹을 사용하는 경우는 그렇지 않습니다. 적격 심사를 위해서는 동적 그룹의 각 컴파트먼트를 별도로 나열해야 합니다.

예: 상위-하위 구획의 함수에 대한 일치 규칙:
```
ALL {resource.type = 'fnfunc',
ANY{resource.compartment.id = '<parent-compid>', resource.compartment.id = '<child-compid1>',
resource.compartment.id = '<child-compid2>', ...}}
```
Oracle Cloud Infrastructure 리소스에 대한 액세스를 사용으로 설정하려면 동적 그룹에 대해 정책 문을 작성합니다.
- Oracle Cloud Infrastructure 콘솔에서 ID 및 보안을 선택하고 정책을 선택합니다.
- 적용된 필터 옆에 있는 컴파트먼트 필터를 선택합니다. 드롭다운 목록에서 컴파트먼트를 선택하고 필터 적용을 선택합니다.
- 동적 그룹에 대한 정책을 작성하려면 정책 생성을 선택하고 이름 및 설명을 입력합니다.
- 정책 작성기를 사용하여 정책을 생성합니다. 정책을 정의하는 일반적인 구문은 다음과 같습니다.
```
Allow <subject> to <verb> <resource-type> in <location> where <conditions>
```
  - 과목 구문: 이름 또는 OCID별로 콤마로 구분된 하나 이상의 그룹입니다.
  - 동사: 값은 검사, 읽기, 사용 또는 관리입니다.
  - resource-type: 개별 리소스 유형, 패밀리 리소스 유형(예: nosql-family) 또는 모든 리소스입니다.
  - 구획: 이름 또는 OCID별 단일 구획 또는 구획 경로
  예:이 정책은 UATnosql 컴파트먼트의 리소스에 대한 fnfunc사용 액세스를 동적 그룹 nosql_application에 허용합니다.
```
allow dynamic-group nosql_application to use  fnfunc in compartment UATnosql
```
  예: 이 정책은 UATnosql 컴파트먼트의 패밀리 리소스 nosql-family에서 동적 그룹 nosql_application에 대한 manage 액세스를 허용합니다.
- 생성을 선택합니다. 정책에 대한 자세한 내용은 정책 관리를 참조하십시오.