Documentação do Oracle Cloud Infrastructure

Criar Grupos e Políticas do Serviço IAM (Identity and Access Management) para Usuários do IAM

Descreve as etapas para gravar instruções de política para um grupo do serviço IAM a fim de permitir que o usuário do serviço IAM acesse os recursos da Oracle Cloud Infrastructure, especificamente as instâncias do Autonomous AI Database.

Uma política é um grupo de instruções que especifica quem pode acessar recursos específicos e como. O acesso pode ser concedido para toda a tenancy, bancos de dados em um compartimento ou bancos de dados individuais. Isso significa que você grava uma instrução de política que dá a um grupo específico um determinado tipo de acesso a um tipo de recurso definido dentro de um compartimento específico.

Observação

É necessário definir uma política para usar tokens do IAM para acessar o Autonomous AI Database. Não é necessária uma política ao utilizar senhas de banco de dados do IAM para acessar o Autonomous AI Database.

Para permitir que o Autonomous AI Database permita que os usuários do IAM se conectem ao banco de dados usando tokens do serviço IAM:

  1. Execute os pré-requisitos do Oracle Cloud Infrastructure Identity and Access Management criando um grupo e adicionando usuários ao grupo.

    Por exemplo, crie o grupo sales_dbusers.

    Consulte Gerenciando Grupos para obter mais informações.

  2. Grave instruções de política para permitir o acesso aos recursos do Oracle Cloud Infrastructure.
    1. Na console do Oracle Cloud Infrastructure, clique em Identidade, Segurança.
    2. Em Identidade e Segurança, clique em Políticas.
    3. Para uma política de gravação, clique em Criar Política.
    4. Na página Criar Política, informe um Nome e uma Descrição.
    5. Na página Criar Política, selecione Mostrar editor manual.
    6. Use o Criador de Política para criar uma política.

      Por exemplo, para criar uma política que permita que os usuários do grupo DBUsers do IAM acessem qualquer Autonomous AI Database em sua tenancy: 

      Allow group DBUsers to use autonomous-database-family in tenancy
      Por exemplo, para criar uma política que limita membros do grupo DBUsers a acessar Autonomous AI Databases no compartimento testing_compartment somente:
      allow group DBUsers to use autonomous-database-family in compartment testing_compartment
      Por exemplo, para criar uma política que limite o acesso do grupo a um único banco de dados em um compartimento:
      allow group DBUsers to use autonomous-database-family in compartment testing_compartment 
               where target.id = 'ocid1.autonomousdatabase.oc1.iad.aaaabbbbcccc...b5678ca'

      Consulte Creating an IAM Policy to Authorize Users Authenticating with Tokens no Database Security Guide para obter mais informações sobre políticas do IAM para acessar o banco de dados.

    7. Clique em Criar.

      Consulte Gerenciando Políticas para obter mais informações sobre políticas.

Observações sobre a criação de políticas para uso com usuários do IAM no Autonomous AI Database:

  • As políticas podem permitir que os usuários do serviço IAM acessem instâncias do Autonomous AI Database em toda a tenancy, em um compartimento, ou podem limitar o acesso a uma única instância do Autonomous AI Database.

  • Você pode usar a controladora de instâncias ou a controladora de recursos para recuperar tokens para estabelecer uma conexão do seu aplicativo com uma instância do Autonomous AI Database. Se estiver usando um controlador de instâncias ou um controlador de recursos, você deverá mapear um grupo dinâmico. Portanto, você não pode mapear exclusivamente instâncias e controladores de recursos; só pode mapeá-los por meio de um mapeamento compartilhado e colocar a instância ou instância de recurso em um grupo dinâmico do serviço IAM.

    Você pode criar Grupos Dinâmicos e fazer referência a grupos dinâmicos nas políticas criadas para acessar o Oracle Cloud Infrastructure. Consulte Configurar Políticas e Atribuições para Acessar Recursos e Gerenciando Grupos Dinâmicos para obter detalhes.