Sobre o Modelo de Segurança do Oracle NoSQL Database Cloud Service
Saiba mais sobre o modelo de segurança do Oracle NoSQL Database Cloud Service.
Políticas
O Oracle NoSQL Database Cloud Service usa o modelo de segurança do Oracle Cloud Infrastructure Identity and Access Management criado com base nas políticas. Uma política é um documento que especifica quem pode acessar quais recursos do Oracle Cloud Infrastructure, incluindo as tabelas do NoSQL que a sua empresa tem e como é possível acessar esses recursos. Uma política permite a um grupo trabalhar de determinadas maneiras com tipos específicos de recursos, como Tabelas NoSQL em um compartimento específico.
Para conduzir o controle das tabelas, a sua empresa terá pelo menos uma política. Cada política consiste em uma ou mais instruções de política que seguem esta sintaxe básica:
Allow group <group_name> to <verb> <resource-type> in compartment <compartment_name>Para saber como funcionam as políticas, consulte Visão Geral das Políticas no Documentação do Oracle Cloud Infrastructure.
Grupos
No Oracle Cloud Infrastructure Identity and Access Management, você organiza Usuários em grupos que geralmente compartilham o mesmo tipo de acesso a um determinado conjunto de tabelas ou compartimentos NoSQL.
Você pode conceder acesso às Tabelas do NoSQL no nível de grupo e compartimento. Para isso, você pode criar uma política para permitir que um grupo tenha um tipo específico de acesso em determinado compartimento ou na tenancy. Se você conceder a um grupo acesso à tenancy, o grupo obterá automaticamente o mesmo tipo de acesso a todos os compartimentos na tenancy. Por exemplo, depois de criar uma tabela no compartimento ProjectA, você deverá gravar uma política para conceder acesso aos grupos que deseja que eles gerenciem ou usem as tabelas. Caso contrário, as tabelas não ficarão visíveis para os grupos que não têm acesso. Por exemplo, para permitir que o grupo Desenvolvedor gerencie todos os recursos do NoSQL, você poderá criar a seguinte política:
allow group Developers to manage nosql-family in compartment ProjectAVerbos
Um verbo especifica o tipo de acesso concedido pela política. Por exemplo, inspect nosql-tables permite listar as tabelas do NoSQL. Inspect, read, use e manage são os verbos suportados pelo Oracle NoSQL Database Cloud Service. Consulte Verbos na Documentação do Oracle Cloud Infrastructure.
Tipos de recursos
Recursos são os objetos da nuvem que os funcionários da sua empresa criam e usam ao interagir com o Oracle Cloud Infrastructure (OCI). O Oracle define tipos de recursos que você pode usar em políticas. nosql-tables, nosql-rows e nosql-indexes são três tipos de recursos individuais suportados pelo NoSQL Database Cloud Service.
Ao especificar um tipo de recurso em uma política, você concede permissões para acesso somente a esse tipo de recurso. Por exemplo, para conceder permissões de leitura ao grupo de visualizadores nas linhas de todas as tabelas de NoSQL da tenancy, você poderá criar uma política como:
allow group viewers to read nosql-rows in tenancyPara simplificar a gravação de políticas, o NoSQL Database Cloud Service também fornece um tipo de recurso agregado chamado nosql-family. O nosql-family inclui nosql-tables, nosql-indexes e nosql-rows, que geralmente são gerenciados juntos. Por exemplo, para conceder acesso total a Tabelas NoSQL na tenancy, ao grupo de visualizadores, você pode gravar uma política como:
allow group viewers to manage nosql-family in tenancyCompartimentos
Um compartimento é o componente fundamental do Oracle Cloud Infrastructure. Você pode organizar os recursos do Oracle NoSQL Database Cloud Service dentro de compartimentos. Os compartimentos são usados para separar tabelas a fim de medir uso e faturamento, definir acesso e isolar os recursos entre diferentes projetos ou unidades de negócios.
Observação: A tenancy é o compartimento-raiz que contém todos os recursos do Oracle Cloud Infrastructure da sua organização.
Todos os recursos, usuários, grupos, compartimentos e políticas do Oracle Cloud Infrastructure Identity and Access Management são globais e disponíveis em todas as regiões, mas o conjunto mestre de definições reside em uma única região, a região home. Todas as alterações em seus recursos do serviço IAM devem ser feitas na sua região home. Para saber mais sobre os componentes do IAM, consulte Visão Geral do Oracle Cloud Infrastructure Identity and Access Management. A nota a seguir fornece informações sobre qual versão da documentação você deve ler.
Observação: A maneira como você gerencia usuários e grupos para o Oracle NoSQL Database Cloud Service depende de sua conta ou tenancy do Cloud estar ou não na região do OCI que foi atualizada para usar domínios de identidade. Algumas regiões do OCI foram atualizadas para usar domínios de identidades. Se você tiver uma conta ou tenancy na nuvem em uma dessas regiões do OCI, poderá usar os domínios de identidade para gerenciar os usuários que executam tarefas no Oracle Cloud Infrastructure. Para obter mais informações sobre como configurar usuários e grupos para o Oracle NoSQL Database Cloud Service, consulte Configurando Usuários, Grupos e Políticas Usando o Identity and Access Management.
Dica:
É fácil determinar se a sua região da OCI foi atualizada para usar Domínios de Identidade do IAM (Identity and Access Management). Para obter mais informações, consulte Você Tem Acesso a Domínios de Identidades?