Sobre a Configuração de Grupos de Usuários e Políticas.

Oracle NoSQL Database Cloud Service uses Oracle Cloud Infrastructure Identity and Access Management (IAM) to provide secure access to Oracle Cloud. O Oracle Cloud Infrastructure IAM permite criar contas de usuário e conceder aos usuários permissão para inspecionar, ler, usar ou gerenciar tabelas.

A maneira como você gerencia usuários, grupos e grupos dinâmicos para o Oracle NoSQL Database Cloud Service depende da atualização ou não da sua conta ou tenancy da nuvem para usar os domínios de identidade do Oracle Cloud Infrastructure Identity and Access Management (IAM). É fácil determinar quando sua tenancy do OCI foi atualizada para usar Domínios de Identidade do IAM (Identity and Access Management).

A console do OCI para Tenancy com Domínio de Identidades é mostrada a seguir.

A console do OCI para Tenancy sem Domínio de Identidades é mostrada a seguir.

Para obter mais informações, consulte Você tem acesso a domínios de identidade?

Configurando Usuários, Grupos, Grupos Dinâmicos e Políticas com o Serviço Identity and Access Management

O Oracle NoSQL Database Cloud Service usa o Oracle Cloud Infrastructure Identity and Access Management (IAM) para oferecer acesso seguro ao Oracle Cloud. O Oracle Cloud Infrastructure IAM permite criar contas de usuário e conceder aos usuários permissão para inspecionar, ler, usar ou gerenciar tabelas.

Se você estiver autenticando como Controlador de Usuários (usando a chave de assinatura da API), consulte Configurando Usuários, Grupos e Políticas. Como alternativa, se você estiver autenticando como Controlador de Instâncias ou Controlador de Recursos, consulte Configurando Grupo Dinâmico e Políticas.

Configurando Usuários, Grupos e Políticas

1. Acesse sua Conta do Cloud como Administrador de Conta no Cloud.
2. Na Console doOracle Cloud Infrastructure, adicione um ou mais usuários.
   • Escolha um dos seguintes itens com base em sua tenancy (seja com Domínios de Identidades ou não com Domínios de Identidades):
     • Tenancy com Domínios de Identidade: Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Domínios. Selecione o domínio de identidades no qual você deseja trabalhar e clique em Usuários.
     • Tenancy sem Domínios de Identidade: Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Usuários.
   • Clique em Criar Usuário.
   • Informe detalhes sobre o usuário e clique em Criar.
3. Na Console do Oracle Cloud Infrastructure, crie um grupo do OCI.
   • Escolha um dos seguintes itens com base em sua tenancy (seja com Domínios de Identidades ou não com Domínios de Identidades):
     • Tenancy com Domínios de Identidade: Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Domínios. Selecione o domínio de identidades no qual você deseja trabalhar e clique em Grupos.
     • Tenancy sem Domínios de Identidade: Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Grupos.
   • Clique em Criar Grupo.
   • Informe detalhes sobre o grupo. Por exemplo, se você estiver criando uma política que concede aos usuários permissões para gerenciar completamente tabelas do Oracle NoSQL Database Cloud Service, poderá nomear o grupo como nosql_service_admin (ou um nome semelhante) e incluir uma descrição curta, como " Usuários com permissões para configurar e gerenciar tabelas do Oracle NoSQL Database Cloud Service no Oracle Cloud Infrastructure" (ou uma descrição semelhante).
4. Crie uma política que permita aos usuários pertencentes a um grupo do OCI ter acesso específico a tabelas ou compartimentos do Oracle NoSQL Database Cloud Service.
   • Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Políticas.
   • Selecione um compartimento e clique em Criar Política.

     Para obter detalhes e exemplos, consulte Referência de Políticas e Instruções de Política Típicas para Gerenciar Tabelas.

     Se você não estiver familiarizado sobre como as políticas funcionam, consulte Como as Políticas Funcionam.

5. Para gerenciar e usar tabelas NoSQL por meio de SDKs do Oracle NoSQL Database Cloud Service, o usuário deve configurar as chaves de API. Consulte Autenticação para estabelecer conexão com o Oracle NoSQL Database.

   Observação:

   Os usuários federados também podem gerenciar e usar tabelas do Oracle NoSQL Database Cloud Service. Para isso, o administrador do serviço deve configurar a federação no Oracle Cloud Infrastructure Identity and Access Management. Consulte Federando com Fornecedores de Identidade.

   Os usuários pertencentes a qualquer grupo mencionado na instrução de política obterão sua nova permissão na próxima vez que eles acessarem a Console.

Configurando Grupo Dinâmico e Políticas

Antes de fazer uma chamada para um recurso do Oracle Cloud Infrastructure usando principais de recursos ou principais de instâncias, um administrador de tenancy do Oracle Cloud Infrastructure deve criar políticas, grupos dinâmicos e regras do Oracle Cloud Infrastructure que definam o principal de recursos ou os privilégios do principal de instâncias.

• Acesse sua Conta do Cloud como Administrador de Conta no Cloud.
• Na Console do Oracle Cloud Infrastructure, crie um grupo dinâmico.
  • Escolha um dos seguintes itens com base em sua tenancy (seja com Domínios de Identidades ou não com Domínios de Identidades):
    • Tenancy com Domínios de Identidade: Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Domínios. Selecione o domínio de identidades no qual você deseja trabalhar e clique em Grupos Dinâmicos.
    • Tenancy sem Domínios de Identidade: Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Grupos Dinâmicos.
  • Clique em Criar Grupo Dinâmico e insira um Nome, uma Descrição e uma regra ou use o Criador de Regras para adicionar uma regra.
  • Clique em Criar.
    Os recursos que atendem aos critérios da regra são membros do grupo dinâmico. Ao definir uma regra para um grupo dinâmico, considere qual recurso terá acesso a outros recursos. Alguns exemplos de criação de regras:

    1. Uma regra de correspondência para funções:

       ALL {resource.type = 'fnfunc',resource.compartment.id =
       'ocid1.compartment.oc1..aaaaaaaafml3tca3zcxyifmdff3aadp5uojimgx3cdnirgup6rhptxwnandq'} 

       Essa regra implica que qualquer tipo de recurso chamado fnfunc no compartimento fornecido (com o id especificado acima) é membro do grupo dinâmico.

       Observação:

       Consulte Tipos de Recursos para obter mais informações sobre diferentes tipos de recursos.
    2. Uma regra ao adicionar instâncias para Controladores de Instâncias:

       ALL { instance.compartment.id =
             'ocid1.compartment.oc1..aaaaaaaa4mlehopmvdluv2wjcdp4tnh2ypjz3nhhpahb4ss7yvxaa3be3diq'}

       Essa regra implica que qualquer instância com o id de compartimento especificado acima é membro do grupo dinâmico.

    3. Uma regra ao usar o Gateway de API com funções:

       ALL {resource.type = 'ApiGateway',resource.compartment.id =
             'ocid1.compartment.oc1..aaaaaaaafml3tca3zcxyifmdff3aadp5uojimgx3cdnirgup6rhptxwnandq'}

       Essa regra implica que qualquer tipo de recurso chamado ApiGateway no compartimento fornecido (com o id especificado acima) é membro do grupo dinâmico.

    4. Uma regra ao usar Container Instances:

       ALL {resource.type = 'computecontainerinstance', 
       resource.compartment.id = 
       'ocid1.compartment.oc1..aaaaaaaa4mlehopmvdluv2wjcdp4tnh2ypjz3nhhpahb4ss7yvxaa3be3diq'}

       Essa regra implica que qualquer tipo de recurso chamado computecontainerinstance no compartimento fornecido (com o id especificado acima) é membro do grupo dinâmico.

  Observação:

  A herança não se aplica a grupos dinâmicos. Ao usar políticas de Acesso do IAM, a política de um compartimento pai se aplica automaticamente a todos os compartimentos filhos. Esse não é o caso quando você usa grupos dinâmicos. Você precisa listar cada compartimento no grupo Dinâmico separadamente para que o compartimento se qualifique.

  Exemplo:Uma regra de correspondência para funções de compartimentos pai-filho:

  ALL {resource.type = 'fnfunc',
  ANY{resource.compartment.id = '<parent-compid>',  resource.compartment.id = '<child-compid1>',
  resource.compartment.id = '<child-compid2>', ...}}

• Crie instruções de política para o grupo dinâmico para permitir o acesso aos recursos do Oracle Cloud Infrastructure.
  • Na console, do Oracle Cloud Infrastructure, clique em Identidade e Segurança e em Políticas.
  • Para gravar políticas para um grupo dinâmico, clique em Criar Política e digite um Nome e uma Descrição.
  • Use o Criador de Política para criar uma política. A sintaxe geral da definição de uma política é mostrada abaixo:

    Allow <subject> to <verb> <resource-type> in <location> where <conditions>

    • Sintaxe de assunto: Um ou mais grupos separados por vírgulas por nome ou OCID.
    • Verbos: Os valores são inspecionar, ler, usar ou gerenciar.
    • tipo de recurso: Um tipo de recurso individual, Um tipo de recurso da família (como nosql-family) ou todos os recursos.
    • compartment: Um único compartimento ou caminho do compartimento por nome ou OCID
    Exemplo: Esta política permite que o grupo dinâmico nosql_application use o acesso fnfuncno recurso no compartimento UATnosql.

    allow dynamic-group nosql_application to use  fnfunc in compartment UATnosql

    Exemplo: Esta política permite que o grupo dinâmico nosql_application acesse manage no recurso da família nosql-family no compartimento UATnosql.

  • Clique em Criar. Consulte Gerenciar Políticas para obter mais informações sobre políticas.

---

Título e Informações de Copyright

Sobre a Configuração de Grupos de Usuários e Políticas.

Copyright ©2022,2024,

Oracle e/ou suas empresas afiliadas.