Criar recursos do Oracle Cloud

Aprenda a criar um compartimento, uma VCN, uma sub-rede, usuários e grupos de usuários antes de começar a usar o Oracle Cloud Infrastructure GoldenGate.

Tópicos Relacionados

Crie um compartimento

Os compartimentos permitem organizar e controlar o acesso aos recursos da nuvem. É um contêiner lógico que você pode usar para agrupar recursos de nuvem relacionados e permitir que grupos de usuários específicos acessem.

Ao se inscrever no Oracle Cloud Infrastructure, a Oracle cria sua tenancy, que é o compartimento raiz que contém todos os seus recursos de nuvem. Você então cria compartimentos adicionais na tenancy e as políticas correspondentes para controlar o acesso aos recursos em cada compartimento.

Para criar um compartimento:
  1. Abra o menu de navegação da console do Oracle Cloud e clique em Identidade e Segurança.
  2. Em Identidade, clique em Compartimentos. É exibida uma lista dos compartimentos aos quais você tem acesso.
  3. Navegue até o compartimento no qual você deseja criar o novo compartimento.
    • Para criar o compartimento na tenancy (compartimento raiz), clique em Criar Compartimento.
    • Para criar o compartimento em outro que não seja o da tenancy (compartimento raiz), clique na hierarquia de compartimentos até chegar à página de detalhes daquele no qual você deseja criar o compartimento. Na página Detalhes do Compartimento, clique em Criar Compartimento.
  4. Na caixa de diálogo Criar Compartimento, preencha os campos da seguinte forma:
    1. Para Nome, digite um nome exclusivo para o compartimento, com no máximo 100 caracteres (incluindo letras, números, pontos, hifens e sublinhados). O nome deve ser exclusivo entre todos os compartimentos da tenancy. Evite digitar informações confidenciais.
    2. Para Descrição, digite uma descrição que ajude a distinguir o compartimento de outros.
    3. Para Compartimento principal, verifique se esse é o compartimento no qual você deseja criar seu compartimento. Para escolher outro compartimento, selecione um na lista drop-down.
    4. (Opcional) Para Namespace de Tag, você pode adicionar uma tag de formato livre para ajudar a procurar recursos na console do Oracle Cloud. Clique em + Outra Tag para adicionar mais tags..
    5. Clique em Criar Compartimento.
O compartimento aparece na lista Compartimentos após sua criação. Agora você pode criar políticas e adicionar recursos ao seu compartimento.

Criar uma Rede Virtual na Nuvem e uma sub-rede

Uma rede virtual na nuvem (VCN) é uma rede que você configura nos data centers do Oracle Cloud Infrastructure em determinada região. Uma sub-rede é uma subdivisão de uma VCN.

O OCI GoldenGate requer uma VCN e pelo menos uma sub-rede privada com um Gateway NAT. Uma tabela de roteamento com uma regra de roteamento redirecionando o tráfego para o Gateway NAT da sub-rede privada deve estar disponível. Se você quiser ativar a conectividade usando um ponto final público, uma sub-rede pública também será necessária e a VCN deverá incluir um Gateway de Internet. Uma tabela de roteamento com uma regra de roteamento redirecionando o tráfego para o Gateway de Internet da sub-rede pública deve estar disponível.
Para criar uma VCN e uma sub-rede:
  1. Abra o cardápio de navegação da Console do Oracle Cloud, clique em Rede e selecione Redes virtuais na nuvem.
  2. Na página Redes Virtuais na Nuvem, confirme a seleção de compartimento ou selecione outro compartimento.
  3. No menu Ações, selecione Iniciar Assistente de VCN.
  4. No painel Iniciar Assistente da VCN, selecione Criar VCN com Conectividade com a Internet e clique em Iniciar Assistente da VCN.
  5. Na página Configuração, em Informações Básicas, informe um nome de VCN.
  6. Para Compartimento, selecione o compartimento no qual criar essa VCN.
  7. Clique em Próximo.
  8. Na página Revisar e Criar, verifique os detalhes da configuração e clique em Criar.

Clique em Exibir Detalhes da VCN para verificar se uma sub-rede Pública e Privada foram criadas.

Criar usuários

Crie usuários para adicionar a grupos que possam acessar seus recursos do OCI GoldenGate.

Antes de criar usuários, entenda que:

  • O gerenciamento de usuários de implantação do OCI GoldenGate depende se sua tenancy usa o OCI IAM com Domínios de Identidade ou não. Consulte Gerenciar usuários de implantação.
  • Os nomes de usuário devem ser exclusivos entre todos os usuários da tenancy
  • Os nomes de usuário não podem ser alterados
  • Os usuários não têm permissões até que sejam colocados em um grupo
Para criar usuários:
  1. Abra o menu da navegação da Console do Oracle Cloud, clique em Identity & Security e, em Identity, clique em Domains.
  2. Na página Domínios, confirme a seleção de Compartimento ou altere para outro compartimento.
  3. Na lista Domínios, clique em Padrão para acessar o domínio padrão ou clique em Criar Domínio para criar um novo domínio.
  4. Selecione o domínio na lista.
  5. Na página de detalhes Domínios, clique em Gerenciamento de usuários.
  6. Na página Users, clique em Create user.
  7. Na página Criar usuário, preencha os campos da seguinte forma:
    1. Informe o Nome, o Sobrenome e o Endereço de e-mail do usuário, que também podem ser usados como o Nome do Usuário.

      Observação:

      O nome deve ser exclusivo entre todos os usuários da tenancy. Você não pode alterar esse valor posteriormente. O nome do usuário não pode conter espaços e só pode consistir em letras latinas básicas (ASCII), números, hifens, pontos, sublinhados, + e @.
    2. Para Grupos, selecione os grupos aos quais o usuário será atribuído.
  8. Clique em Criar.
Em seguida, você pode adicionar o usuário a um grupo e criar políticas que concedam ao grupo acesso a recursos. Para obter informações sobre usuários, consulte Gerenciando usuários.

Criar grupos

Grupo é uma coleção de usuários que exigem o mesmo tipo de acesso a um conjunto de recursos ou compartimentos.

Antes de criar um grupo, entenda que:
  • O nome do grupo deve ser exclusivo na tenancy.
  • O nome do grupo não pode ser alterado depois de criado.
  • Um grupo não terá permissões, a menos que você grave pelo menos uma permissão que dê ao grupo permissão para uma tenancy ou compartimento.
Para criar um grupo:
  1. Abra o menu da navegação da Console do Oracle Cloud, clique em Identity & Security e, em Identity, clique em Domains.
  2. Na página Domínios, confirme a seleção de Compartimento ou altere o compartimento.
  3. Selecione um domínio na lista.
  4. Na página de detalhes Domínio, clique em Gerenciamento de usuários.
  5. Em Groups, clique em Create Group.
  6. Na página Criar grupo:
    1. Em Nome, digite um nome exclusivo para o grupo.

      Observação:

      Depois que o grupo for criado, você não poderá alterar o nome. O nome do grupo deve ser exclusivo na tenancy. O nome do grupo pode ter de 1 a 100 caracteres alfanuméricos, em letras maiúsculas ou minúsculas e pode conter pontos, traços, hifens, mas sem espaços
    2. Em Descrição, digite uma descrição simples.
  7. Selecione se um Usuário pode solicitar acesso a este grupo.
  8. Na lista Usuários, selecione os usuários a serem atribuídos a este grupo.
  9. Clique em Criar.
Um grupo não terá permissões até que você grave uma política que dê ao grupo permissão para um compartimento ou tenancy. Para obter informações sobre grupos, consulte Gerenciando grupos.

Criar políticas

As políticas definem quais ações os membros de um grupo podem executar e em quais compartimentos.

Use a console do Oracle Cloud para criar políticas. No menu de navegação da console do Oracle Cloud, selecione Identidade e Segurança e, em Identidade, selecione Políticas. As políticas são escritas na seguinte sintaxe: 

allow group <identity-domain>/<group-name> to <verb> <resource-type> in <location> where <condition>

As definições de parâmetro são as seguintes:

  • <identity-domain>: (Opcional) Se estiver usando o OCI IAM para gerenciamento de identidades, inclua o domínio de identidades do grupo de usuários. Se for omitido, o OCI usará o domínio padrão.
  • <group-name>: O nome do grupo de usuários ao qual você está concedendo permissões.
  • <verb>: Dá ao grupo um determinado nível de acesso a um resource-type. À medida que os verbos vão de inspect a read a use a manage, o nível de acesso aumenta e as permissões concedidas são cumulativas.

    Saiba mais sobre o relacionamento entre .permissions and verbs.

  • <resource-type>: O tipo de recurso com o qual você está dando a um grupo permissão para trabalhar. Existem recursos individuais, como goldengate-deployments, goldengate-pipelines e goldengate-connections, e há famílias de recursos, como goldengate-family, que inclui os recursos individuais mencionados anteriormente.

    Para obter mais informações, consulte resource-types.

  • <location>: Anexa a política a um compartimento ou tenancy. Você pode especificar um único compartimento ou caminho de compartimento por nome ou OCID ou especificar tenancy para abranger toda a tenancy.
  • <condition>: Opcional. Uma ou mais condições às quais essa política será aplicada.

Saiba mais sobre sintaxe da política.

Como criar uma política

Para criar uma política:
  1. No menu de navegação do Oracle Cloud, selecione Identidade e Segurança e, em Identificar, clique em Políticas.
  2. Na página Políticas, clique em Criar Política.
  3. Na página Criar Política, informe um nome e uma descrição para a política.
  4. Selecione o Compartimento no qual criar esta política.
  5. Na seção Policy Builder, você pode
    • Selecione GoldenGate Service na lista drop-down Caso de uso da política e um modelo de política comum, como Políticas obrigatórias para permitir que os usuários gerenciem recursos do GoldenGate.
    • Clique em Mostrar editor manual para informar uma regra de política no seguinte formato:
      allow <subject> to <verb> <resource-type> in <location> where <condition>

      As condições são opcionais. Consulte Detalhes das Combinações de Verbos e Resource-Type.

    Dica:

    Consulte Políticas mínimas recomendadas para obter mais informações.
  6. Clique em Criar.

Para obter mais informações sobre políticas, consulte como as políticas funcionam, sintaxe de políticas e referência de políticas.

Políticas mínimas recomendadas

Dica:

Para usar um modelo de política comum para adicionar todas as políticas necessárias:
  1. Para Casos de uso da política, selecione GoldenGate Service na lista drop-down.
  2. Para Modelos de uso comum, selecione Políticas obrigatórias para permitir que os usuários gerenciem recursos do GoldenGate na lista suspensa.

No mínimo, você precisa de políticas para:

  • Permitir aos usuários usar ou gerenciar recursos GoldenGate, para que eles possam trabalhar com implantações e conexões. Por exemplo:
    allow group <identity-domain>/<group-name> to manage goldengate-family in <location>
  • Permitir aos usuários gerenciar recursos de rede para que eles possam exibir e selecionar compartimentos e sub-redes, bem como criar e excluir pontos finais privados ao criar recursos GoldenGate. Por exemplo:
    allow group <identity-domain>/<group-name> to manage virtual-network-family in <location>

    Se preferir, você poderá proteger ainda mais os recursos de rede usando uma combinação de políticas granulares. Consulte Exemplos de Política para Proteger Recursos de Rede.

  • Crie um Grupo Dinâmico para conceder permissões a recursos com base em regras definidas, permitindo que suas implantações e/ou pipelines do GoldenGate acessem recursos em sua tenancy. Substitua <dynamic-group-name> pelo nome de sua escolha. Você pode criar quantos grupos dinâmicos precisar, por exemplo, para controlar permissões em implantações em diferentes compartimentos ou tenancies.
    name: <dynamic-group-name>
Matching rule: ALL {resource.type = 'goldengatedeployment', resource.compartment.id = '<location>'}

    Dica:

    As políticas a seguir nesta lista se referem à <dynamic-group-name>. Se você criar mais de um grupo dinâmico, certifique-se de consultar o nome correto do grupo dinâmico ao adicionar qualquer uma das políticas a seguir.

  • Se estiver usando conexões com segredos de senha, a implantação que você está designando à conexão deverá ser capaz de acessar os segredos de senha da conexão. Certifique-se de adicionar a política ao seu compartimento ou tenancy:
    allow dynamic-group <identity-domain>/<dynamic-group-name> to read secret-bundles in <location>
  • Permita que os usuários leiam o usuário e o grupo do serviço IAM (Identity and Access Management) para validações em tenancies ativadas para o serviço IAM:
    allow service goldengate to {idcs_user_viewer, domain_resources_viewer} in <location>
    allow dynamic-group <identity-domain>/<dynamic-group-name> to {idcs_user_viewer, domain_resources_viewer} in <location>
  • Oracle Vault, para acessar chaves e segredos de senha de criptografia gerenciados pelo cliente. Por exemplo:
    allow group <identity-domain>/<group-name> to manage secret-family in <location>
allow group <identity-domain>/<group-name> to use keys in <location>
allow group <identity-domain>/<group-name> to use vaults in <location>
allow dynamic-group <identity-domain>/<dynamic-group-name> to use keys in <location>
allow dynamic-group <identity-domain>/<dynamic-group-name> to use vaults in <location> 
allow dynamic-group <identity-domain>/<dynamic-group-name> to read secret-bundles in <location>

Se você planeja usar os seguintes recursos, poderá precisar também adicionar políticas para:

  • Bancos de Dados Oracle, para seus bancos de dados de origem e/ou de destino. Por exemplo: 
    allow group <identity-domain>/<group-name> to read database-family in <location>
    allow group <identity-domain>/<group-name> to read autonomous-database-family in <location>
  • Oracle Object Storage, para armazenar backups manuais e programados do OCI GoldenGate. Por exemplo:
    allow group <identity-domain>/<group-name> to manage objects in <location>
allow dynamic-group <identity-domain>/<dynamic-group-name> to manage objects in <location> where target.bucket.name = '<bucket-name>'
allow group <identity-domain>/<group-name> to inspect buckets in <location>
  • OCI Logging, para acessar grupos de logs. Por exemplo:
    allow group <identity-domain>/<group-name> to read log-groups in <location>
allow group <identity-domain>/<group-name> to read log-content in <location>
  • Balanceador de Carga, se você ativar o acesso público à console de implantação:
    allow group <identity-domain>/<group-name> to manage load-balancers in <location>
allow group <identity-domain>/<group-name> to manage public-ips in <location> 
 
allow group <identity-domain>/<group-name> to manage network-security-groups in <location>
allow group <identity-domain>/<group-name> to manage vcns in <location> where ANY {request.operation = 'CreateNetworkSecurityGroup', request.operation = 'DeleteNetworkSecurityGroup'}
  • Solicitações de serviço:
    allow group <identity-domain>/<group-name> to inspect work-requests in <location>

A instrução a seguir fornece uma permissão de grupo para gerenciar namespaces de tag e tags para espaços de trabalho:

allow group <identity-domain>/<group-name> to manage tag-namespaces in <location>

Para adicionar uma tag definida, você deverá ter permissões para usar o namespace de tag. Para saber mais sobre tags, consulte Tags de Recursos.

Para obter mais informações e exemplos de políticas adicionais, consulte Políticas do OCI GoldenGate.