创建 Oracle Cloud 资源
创建区间
您可以通过区间组织和控制对您的云资源的访问。它是一个逻辑容器,可用于将相关的云资源分组在一起,并允许特定用户组访问。
注册 Oracle Cloud Infrastructure 时,Oracle 将创建您的租户,该租户是存储所有云资源的根区间。然后,您可以在租户中创建其他区间以及相应的策略来控制对每个区间中资源的访问。
要创建区间,请执行以下操作:创建虚拟云网络和子网
虚拟云网络 (Virtual Cloud Network,VCN) 是您在特定区域的 Oracle Cloud Infrastructure 数据中心中设置的网络。子网是 VCN 的细分。
- 打开 Oracle Cloud 控制台导航菜单,单击网络,然后选择虚拟云网络。
- 在 Virtual Cloud Networks(虚拟云网络)页面上,确认所选区间,或选择其他区间。
- 从操作菜单中,选择启动 VCN 向导。
- 在“启动 VCN 向导”面板中,选择创建具有 Internet 连接的 VCN ,然后单击启动 VCN 向导。
- 在“配置”页上,在基本信息下,输入 VCN 名称。
- 对于区间,选择要在其中创建此 VCN 的区间。
- 单击下一步。
- 在“复查并创建”页上,验证配置详细信息,然后单击创建。
单击查看 VCN 详细信息以验证是否已创建公共子网和专用子网。
创建用户
创建用户以添加到可以访问 OCI GoldenGate 资源的组。
在创建用户之前,请了解:
- OCI GoldenGate 部署用户管理取决于您的租户是否将 OCI IAM 与身份域结合使用。请参阅管理部署用户。
- 用户名在您的租户内的所有用户中必须唯一
- 用户名不可更改
- 用户在被放置到组中之前没有权限
- 打开 Oracle Cloud 控制台导航菜单,单击身份和安全,然后在身份下,单击域。
- 在“域”页上,确认区间选择,或者更改为其他区间。
- 在“域”列表中,单击默认以访问默认域,或者单击创建域以创建新域。
- 从列表中选择该域。
- 在“域详细信息”页上,单击用户管理。
- 在“用户”页上,单击创建用户。
- 在“创建用户”页面上,按如下方式填写字段:
- 单击创建。
创建组
组是需要对一组资源或区间进行相同类型访问的用户的集合。
- 组名称在租户内必须是唯一的。
- 创建组名称后无法更改。
- 如果组没有权限,则您至少可以编写一个权限来授予组对租户或区间的权限。
- 打开 Oracle Cloud 控制台导航菜单,单击身份和安全,然后在身份下,单击域。
- 在“域”页上,确认区间选择,或者更改区间。
- 从列表中选择一个域。
- 在“域详细信息”页上,单击用户管理。
- 在“组”下,单击创建组。
- 在“创建”组页上:
- 选择用户是否可以请求访问此组。
- 在用户列表中,选择要分配给此组的用户。
- 单击创建。
创建策略
策略定义组成员可以执行哪些操作以及哪些区间。
使用 Oracle Cloud 控制台创建策略。在 Oracle Cloud 控制台导航菜单中,依次选择身份和安全和身份,然后选择策略。策略使用以下语法编写:
allow group <identity-domain>/<group-name> to <verb> <resource-type> in <location> where <condition>
参数定义如下:
<identity-domain>
:(可选)如果使用 OCI IAM 进行身份管理,则包括用户组的身份域。如果省略,则 OCI 使用默认域。<group-name>
:要为其授予权限的用户组的名称。<verb>
:为组提供对资源类型的特定级别的访问权限。当动词从inspect
到read
到use
到manage
时,访问级别增加和授予的权限是累积的。单击此处的链接,可以了解有关 permissions 和 verbs 关系的更多信息。
<resource-type>
:授予组处理权限的资源类型。有个人资源,例如goldengate-deployments
、goldengate-pipelines
和goldengate-connections
,也有资源系列,例如goldengate-family
,其中包括前面提到的个人资源。有关更多信息,请参见 resource-types 。
<location>
:将策略附加到区间或租户。您可以按名称或 OCID 指定单个区间或区间路径,也可以指定tenancy
来覆盖整个租户。<condition>
:可选。此策略将适用的一个或多个条件。
单击此处的链接,可以了解有关策略语法的更多信息。
建议的最低策略
提示:
要使用公用策略模板添加所有必需的策略,请执行以下操作:- 对于策略用例,从下拉列表中选择 GoldenGate 服务。
- 对于常用模板,从下拉列表中选择允许用户管理 GoldenGate 资源的必需策略。
至少,您需要策略来:
- 允许用户使用或管理 GoldenGate 资源,以便他们可以处理部署和连接。例如:
allow group <identity-domain>/<group-name> to manage goldengate-family in <location>
- 允许用户管理网络资源,以便他们在创建 GoldenGate 资源时查看和选择区间和子网,以及创建和删除专用端点。例如:
allow group <identity-domain>/<group-name> to manage virtual-network-family in <location>
(可选)您可以结合使用细粒度策略来进一步保护网络资源。请参见 Policy Examples for Securing Network Resources 。
- 创建动态组以根据定义的规则向资源授予权限,从而允许您的 GoldenGate 部署和/或管道访问租户中的资源。将
<dynamic-group-name>
替换为您选择的名称。您可以根据需要创建任意数量的动态组,例如,控制不同区间或租户中的部署权限。name: <dynamic-group-name> Matching rule: ALL {resource.type = 'goldengatedeployment', resource.compartment.id = '<location>'}
提示:
此列表后面的策略请参阅
<dynamic-group-name>
。如果创建多个动态组,请确保在添加以下任何策略时引用正确的动态组名称。 - 如果使用具有密码密钥的连接,则您分配给该连接的部署必须能够访问该连接的密码密钥。确保将策略添加到区间或租户:
allow dynamic-group <identity-domain>/<dynamic-group-name> to read secret-bundles in <location>
- 允许用户读取身份和访问管理 (Identity and Access Management,IAM) 用户和组以在启用了 IAM 的租户中验证:
allow service goldengate to {idcs_user_viewer, domain_resources_viewer} in <location>
allow dynamic-group <identity-domain>/<dynamic-group-name> to {idcs_user_viewer, domain_resources_viewer} in <location>
- Oracle Vault,用于访问客户管理的加密密钥和密码密钥。例如:
allow group <identity-domain>/<group-name> to manage secret-family in <location> allow group <identity-domain>/<group-name> to use keys in <location> allow group <identity-domain>/<group-name> to use vaults in <location> allow dynamic-group <identity-domain>/<dynamic-group-name> to use keys in <location> allow dynamic-group <identity-domain>/<dynamic-group-name> to use vaults in <location> allow dynamic-group <identity-domain>/<dynamic-group-name> to read secret-bundles in <location>
您可能还需要为以下服务添加策略,具体取决于您是否打算使用以下服务:
- Oracle 数据库,适用于源和/或目标数据库。例如:
allow group <identity-domain>/<group-name> to read database-family in <location>
allow group <identity-domain>/<group-name> to read autonomous-database-family in <location>
- Oracle 对象存储,用于存储手动 OCI GoldenGate 备份。例如:
allow group <identity-domain>/<group-name> to manage objects in <location> allow dynamic-group <identity-domain>/<dynamic-group-name> to manage objects in <location> allow group <identity-domain>/<group-name> to inspect buckets in <location>
- OCI 日志记录,用于访问日志组。例如:
allow group <identity-domain>/<group-name> to read log-groups in <location> allow group <identity-domain>/<group-name> to read log-content in <location>
- 负载平衡器,如果启用对部署控制台的公共访问:
allow group <identity-domain>/<group-name> to manage load-balancers in <location> allow group <identity-domain>/<group-name> to manage public-ips in <location> allow group <identity-domain>/<group-name> to manage network-security-groups in <location> allow group <identity-domain>/<group-name> to manage vcns in <location> where ANY {request.operation = 'CreateNetworkSecurityGroup', request.operation = 'DeleteNetworkSecurityGroup'}
- 工作请求:
allow group <identity-domain>/<group-name> to inspect work-requests in <location>
以下语句授予组管理工作区的标记名称空间和标记的权限:
allow group <identity-domain>/<group-name> to manage tag-namespaces in <location>
要添加定义的标记,您必须具有使用标记名称空间的权限。要了解有关标记的更多信息,请参阅资源标记。
有关更多信息和其他示例策略,请参见 OCI GoldenGate Policies 。