Sobre a Configuração dos Grupos de Usuários e Políticas

O Oracle NoSQL Database Cloud Service tem o Oracle Cloud Infrastructure Identity and Access Management (IAM) para oferecer acesso seguro ao Oracle Cloud. O Oracle Cloud Infrastructure IAM permite que você crie contas e conceda aos usuários permissão para inspecionar, ler, usar ou gerenciar tabelas.

A maneira como você gerencia usuários, grupos e grupos dinâmicos para o Oracle NoSQL Database Cloud Service depende de sua conta ou tenancy da nuvem ter sido atualizada ou não para usar os domínios de identidade do Oracle Cloud Infrastructure Identity and Access Management (IAM). É fácil determinar quando sua tenancy do OCI foi atualizada para usar Domínios de Identidade do IAM (Identity and Access Management).

A console do OCI para Tenancy com Domínio de Identidades é mostrada a seguir.

A console do OCI para Tenancy sem Domínio de Identidades é mostrada a seguir.

Para obter mais informações, consulte Você Tem Acesso a Domínios de Identidades?

Configurando Usuários, Grupos, Grupos Dinâmicos e Políticas Usando o Identity and Access Management

O Oracle NoSQL Database Cloud Service usa Oracle Cloud Infrastructure Identity and Access Management (IAM) para fornecer acesso seguro ao Oracle Cloud. O Oracle Cloud Infrastructure IAM permite que você crie contas e dê aos usuários permissão para inspecionar, ler, usar ou gerenciar tabelas.

Se você estiver autenticando como um Controlador de Usuários (usando a chave de assinatura de API), consulte Configurando Usuários, Grupos e Políticas. Como alternativa, se você estiver autenticando como Controlador de Instâncias ou Controlador de Recursos, consulte Configurando Grupo Dinâmico e Políticas.

Configurando Usuários, Grupos e Políticas

1. Acesse a sua Conta da Nuvem como Administrador da Conta da Nuvem.

2. Na Console do Oracle Cloud Infrastructure, adicione um ou mais usuários.

   • Escolha um dos seguintes com base na sua tenancy (tendo Domínios de Identidade ou não tendo Domínios de Identidade):

     • Tenancy com Domínios de Identidade: Execute o seguinte:

       • Abra o menu de navegação e selecione Identidade e Segurança.

       • Em Identidade, selecione Domínios. Isso abre a página Domínios.

       • Selecione o filtro Compartimento ao lado de Filtros aplicados. Selecione seu compartimento na lista drop-down e selecione Aplicar filtro.

       • Selecione o domínio da identidade no qual você deseja trabalhar. Na guia Gerenciamento de usuários, vá para a seção Usuários.

     • Tenancy sem Domínios de Identidades: Abra o menu de navegação e selecione Identidade e Segurança. Em Identidade, selecione Usuários.

   • Selecione Criar.

   • Informe os detalhes sobre o usuário e selecione Criar.

3. Na Console do Oracle Cloud Infrastructure, crie um grupo de OCI.

   • Escolha um dos seguintes com base na sua tenancy (tendo Domínios de Identidade ou não tendo Domínios de Identidade):

     • Tenancy com Domínios de Identidade: Execute o seguinte:

       • Abra o menu de navegação e selecione Identidade e Segurança.

       • Em Identidade, selecione Domínios. Isso abre a página Domínios.

       • Selecione o filtro Compartimento ao lado de Filtros aplicados. Selecione seu compartimento na lista drop-down e selecione Aplicar filtro.

       • Selecione o domínio da identidade no qual você deseja trabalhar. Na guia Gerenciamento de usuários, role para baixo até a seção Grupos.

     • Tenancy sem Domínios de Identidades: Abra o menu de navegação e selecione Identidade e Segurança. Em Identity, selecione Groups.

   • Selecione Criar grupo.

   • Informe detalhes sobre o grupo. Por exemplo, se você estiver criando uma política que dê aos usuários permissões para gerenciar totalmente as tabelas do Oracle NoSQL Database Cloud Service, poderá nomear o grupo nosql_service_admin (ou similar) e incluir uma descrição curta, como "Usuários com permissões para configurar e gerenciar o Oracle NoSQL Database Cloud Servicetables no Oracle Cloud Infrastructure" (ou similar).

   • Selecione Criar.

4. Crie uma política que atribua aos usuários pertencentes a um grupo da OCI permissões de acesso específicas às tabelas ou compartimentos do Oracle NoSQL Database Cloud Service.

   • Abra o menu de navegação e selecione Identidade e Segurança.

   • Em Identity, selecione Policies.

   • Selecione o filtro Compartimento ao lado de Filtros aplicados. Selecione seu compartimento na lista drop-down e selecione Aplicar filtro.

   • Selecione Criar Política.

     Para obter detalhes e exemplos, consulte Referência de Políticas e Instruções de Políticas Típicas para Gerenciar Tabelas.

     Se você não estiver familiarizado sobre como as políticas funcionam, consulte Como as Políticas Funcionam.

5. Para gerenciar e usar tabelas NoSQL por meio dos SDKs do Oracle NoSQL Database Cloud Service, o usuário deve configurar as chaves de API. Consulte Autenticação para estabelecer conexão com o Oracle NoSQL Database.

Observação: Usuários federados também podem gerenciar e usar tabelas do Oracle NoSQL Database Cloud Service. Isso requer que o administrador de serviços configure a federação no Oracle Cloud Infrastructure Identity and Access Management. Consulte Federando com Provedores de Identidades.

Os usuários pertencentes a quaisquer grupos mencionados na instrução de política obterão sua nova permissão na próxima vez que eles acessarem a Console.

Configurando Grupo Dinâmico e Políticas

Antes de fazer uma chamada para um recurso do Oracle Cloud Infrastructure usando controladores de recursos ou controladores de instâncias, um administrador da tenancy do Oracle Cloud Infrastructure deve criar políticas, grupos dinâmicos e regras do Oracle Cloud Infrastructure que definam o controlador de recursos ou os privilégios de controlador de instâncias.

• Acesse a sua Conta para o Cloud como Administrador da Conta para o Cloud

• Na Console do Oracle Cloud Infrastructure, crie uma grupo dinâmico.

  • Escolha um dos seguintes com base na sua tenancy (tendo Domínios de Identidade ou não tendo Domínios de Identidade):

    • Tenancy com Domínios de Identidades:

      • Abra o menu de navegação e selecione Identidade e Segurança.

      • Em Identidade, selecione Domínios. Isso abre a página Domínios.

      • Selecione o filtro Compartimento ao lado de Filtros aplicados. Selecione seu compartimento na lista drop-down e selecione Aplicar filtro.

      • Selecione o domínio em que deseja trabalhar e selecione a guia Grupos dinâmicos.

    • Tenancy sem Domínios de Identidades: Abra o menu de navegação e selecione Identidade e Segurança. Em Identidade, selecione Grupos Dinâmicos.

  • Selecione Criar grupo dinâmico e informe um Nome, uma Descrição e uma regra ou use o Criador de Regras para adicionar uma regra.

  • Selecione Criar.

  Os recursos que atendem aos critérios de regra são membros do grupo dinâmico. Ao definir uma regra para um grupo dinâmico, considere qual recurso terá acesso a outros recursos. Alguns exemplos de criação de regras:

  1. Uma regra de correspondência para funções:

     ALL {resource.type = 'fnfunc',resource.compartment.id =
         'ocid1.compartment.oc1..aaaaaaaafml3tca3zcxyifmdff3aadp5uojimgx3cdnirgup6rhptxwnandq'}

     Essa regra implica que qualquer tipo de recurso chamado fnfunc no compartimento fornecido (com o id especificado acima) é membro do grupo dinâmico.

     Observação: Consulte Tipos de Recurso para obter mais informações sobre diferentes tipos de recurso.

  2. Uma regra ao adicionar instâncias para Controladores de Instâncias:

     ALL { instance.compartment.id =
           'ocid1.compartment.oc1..aaaaaaaa4mlehopmvdluv2wjcdp4tnh2ypjz3nhhpahb4ss7yvxaa3be3diq'}

     Essa regra implica que qualquer instância com o id de compartimento especificado acima é membro do grupo dinâmico.

  3. Uma regra ao usar o Gateway de API com funções:

     ALL {resource.type = 'ApiGateway',resource.compartment.id =
           'ocid1.compartment.oc1..aaaaaaaafml3tca3zcxyifmdff3aadp5uojimgx3cdnirgup6rhptxwnandq'}

     Essa regra implica que qualquer tipo de recurso chamado ApiGateway no compartimento fornecido (com o id especificado acima) é membro do grupo dinâmico.

  4. Uma regra ao usar Container Instances:

     ALL {resource.type = 'computecontainerinstance',
     resource.compartment.id =
     'ocid1.compartment.oc1..aaaaaaaa4mlehopmvdluv2wjcdp4tnh2ypjz3nhhpahb4ss7yvxaa3be3diq'}

     Essa regra implica que qualquer tipo de recurso chamado computecontainerinstance no compartimento fornecido (com o id especificado acima) é membro do grupo dinâmico.

  Observação: A herança não se aplica a grupos Dinâmicos. Ao usar políticas de Acesso do IAM, a política de um compartimento pai se aplica automaticamente a todos os compartimentos filhos. Este não é o caso quando você usa grupos dinâmicos. Você precisa listar cada compartimento no grupo Dinâmico separadamente para que o compartimento se qualifique.

  Exemplo: Uma regra de correspondência para funções para compartimentos pai-filho:

  ALL {resource.type = 'fnfunc',
  ANY{resource.compartment.id = '<parent-compid>', resource.compartment.id = '<child-compid1>',
  resource.compartment.id = '<child-compid2>', ...}}

• Grave instruções de política para o grupo dinâmico a fim de permitir o acesso aos recursos do Oracle Cloud Infrastructure.

  • Na console do Oracle Cloud Infrastructure, selecione Identidade e Segurança e selecione Políticas.

  • Selecione o filtro Compartimento ao lado de Filtros aplicados. Selecione seu compartimento na lista drop-down e selecione Aplicar filtro.

  • Para gravar políticas para um grupo dinâmico, selecione Criar Política e informe um Nome e uma Descrição.

  • Use o Policy Builder para criar uma política. A sintaxe geral da definição de uma política é mostrada abaixo:

    Allow <subject> to <verb> <resource-type> in <location> where <conditions>

    • Sintaxe do assunto: Um ou mais grupos separados em vírgulas por nome ou OCID.

    • Verbos: Os valores são inspect, read, use ou manage.

    • resource-type: Um resource-type individual, Um resource-type familiar (como nosql-family) ou all-resources.

    • compartimento: Um caminho de compartimento único ou compartimento por nome ou OCID

    Exemplo:Esta política permite que o grupo dinâmico nosql_application use o acesso fnfuncno recurso do compartimento UATnosql.

    allow dynamic-group nosql_application to use  fnfunc in compartment UATnosql

    Exemplo: Esta política permite que o grupo dinâmico nosql_application acesse manage no recurso de família nosql-family no compartimento UATnosql.

  • Selecione Criar. Consulte Gerenciar Políticas para mais informações sobre políticas.