Pré-requisitos:
Para usar o plug-in authentication_oci
, você precisa de um par de chaves de autenticação, de um arquivo de configuração e de instruções de política definidas corretamente.
Para usar o plug-in authentication_oci
, é necessário o seguinte:
- Uma das seguintes credenciais:
- Um par de chaves de API: Usuários locais ou provisionados podem usar um par de chaves de API público-privado que esteja registrado corretamente no IAM e uma impressão digital de API. Você precisa do par de chaves e da impressão digital para cada usuário individual e membro do grupo mapeado. Consulte Chaves e OCIDs Obrigatórios.
- Um token de segurança do IAM: Usuários locais, federados ou provisionados podem usar um token de segurança do IAM gerado usando a interface de linha de comando do Oracle Cloud Infrastructure. Consulte Gerando um Token de Segurança do Serviço IAM.
- Um arquivo de configuração com uma impressão digital válida e um valor key_file. Para autenticação usando um token de segurança do IAM, especifique um valor security_token_file válido. Consulte o arquivo de configuração da CLI e do SDK.
- A seguinte declaração de política definida em cada tenancy que você pretende conectar:
Allow service mysql_dp_auth to {AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT, DYNAMIC_GROUP_INSPECT} IN TENANCY
Esta instrução de política deve ser anexada ao compartimento raiz para que abranja toda a tenancy. Para fazer isso, você precisa selecionar o compartimento raiz ao adicionar a política e usar o parâmetro
IN TENANCY
. Ele não funcionará se for criado em um subcompartimento comIN COMPARTMENT <CompartmentName>
no lugar deIN TENANCY
.A política acima foi descontinuada na versão 9.4.0 e será removida em uma versão posterior. Para a versão 9.4.0 ou posterior, recomenda-se usar a seguinte política:Allow any-user to {AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT, DYNAMIC_GROUP_INSPECT} in tenancy where request.principal.type = 'mysqldbsystem'
Observação
Se quiser usar os principais entre diferentes tenancies, você precisará de uma políticaAdmit
na tenancy de destino (em que usuários e grupos são definidos) e de uma políticaEndorse
na tenancy em que o recurso (sistema de banco de dados HeatWave) é instanciado conforme descrito abaixo.- Defina o seguinte na tenancy de destino que contém os usuários e grupos:
Define tenancy <resource_tenancy_name> AS <resource_tenancy_OCID> Admit any-user of tenancy <resource_tenancy_name> TO {AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT, DYNAMIC_GROUP_INSPECT} in tenancy where request.principal.type = 'mysqldbsystem'
- Defina o seguinte na tenancy de recursos que contém o sistema de BD:
Define tenancy <target_tenancy_name> AS <target_tenancy_OCID> Endorse any-user to {AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT, DYNAMIC_GROUP_INSPECT} in tenancy <target_tenancy_name> where request.principal.type = 'mysqldbsystem'
- Defina o seguinte na tenancy de destino que contém os usuários e grupos:
Tópicos Relacionados