关于 Oracle NoSQL Database Cloud Service 安全模型
了解 Oracle NoSQL Database Cloud Service 的安全模型。
策略
Oracle NoSQL Database Cloud Service 使用基于策略构建的 Oracle Cloud Infrastructure Identity and Access Management 安全模型。策略是指定谁可以访问哪些 Oracle Cloud Infrastructure 资源(包括贵公司拥有的 NoSQL 表)以及他们如何访问这些资源的文档。策略允许组以特定方式使用特定类型的资源(例如特定区间中的 NoSQL 表)。
为了控制表的控制,贵公司将至少有一个策略。每个策略都包含一个或多个策略语句,策略语句遵循以下基本语法:
Allow group <group_name> to <verb> <resource-type> in compartment <compartment_name>要了解策略的工作原理,请参阅 Oracle Cloud Infrastructure 文档中的策略概述。
组
在 Oracle Cloud Infrastructure Identity and Access Management 中,您可以在组中组织用户,这些用户通常共享对特定 NoSQL 表或区间的相同类型的访问。
您可以在组和区间级别授予对 NoSQL 表的访问权限,方法是编写为组授予特定区间中特定类型的访问权限的策略,或者授予租户本身的访问权限。如果您向组授予对租户的访问权限,则组将自动获得对租户内所有区间的相同访问权限类型。例如,在区间 ProjectA 中创建表后,必须编写策略来授予您希望他们管理或使用表的组的访问权限。否则,这些表甚至对没有访问权限的组不可见。例如,要允许 Developer 组管理所有 NoSQL 资源,可以创建以下策略:
allow group Developers to manage nosql-family in compartment ProjectA动词
动词指定策略授予的访问类型。例如,inspect nosql-tables 可用于列出 NoSQL 表。检查、读取、使用和管理是 Oracle NoSQL Database Cloud Service 支持的动词。请参阅 Oracle Cloud Infrastructure 文档中的动词。
资源类型
资源是公司员工在与 Oracle Cloud Infrastructure (OCI) 交互时创建和使用的云对象。Oracle 定义可在策略中使用的资源类型。nosql-tables、nosql-rows 和 nosql-indexes 是 NoSQL Database Cloud Service 支持的三个单独资源类型。
通过在策略中指定资源类型,可以仅对该资源类型授予访问权限。例如,要向查看者组授予对租户中所有 NoSQL 表行的读取权限,可以创建如下策略:
allow group viewers to read nosql-rows in tenancy为了简化编写策略,NoSQL Database Cloud Service 还提供了名为 nosql-family 的聚合资源类型。nosql-family 包括通常一起管理的 nosql-tables、nosql-indexes 和 nosql-rows。例如,要向查看者组授予对租户中 NoSQL 表的完全访问权限,您可以将策略编写为:
allow group viewers to manage nosql-family in tenancy划分
区间是 Oracle Cloud Infrastructure 的基本组件。您可以在区间内组织 Oracle NoSQL Database Cloud Service 资源。区间用于分隔表,用于测量使用情况和开单、定义访问权限以及隔离不同项目或业务单位之间的资源。
注:租户是包含组织的所有 Oracle Cloud Infrastructure 资源的根区间。
所有 Oracle Cloud Infrastructure Identity and Access Management 资源、用户、组、区间和策略均为全局资源,可在所有区域中使用,但主定义集位于主区域中。必须在您的主区域中对 IAM 资源进行所有更改。要了解有关 IAM 组件的更多信息,请参阅 Oracle Cloud Infrastructure Identity and Access Management 概述。以下说明提供了有关应阅读的文档版本的信息。
注:管理 Oracle NoSQL Database Cloud Service 用户和组的方式取决于您的云账户或租户是否位于已更新为使用身份域的 OCI 区域中。某些 OCI 区域已更新为使用身份域。如果您在其中一个 OCI 区域中有 Cloud 账户或租户,则可以使用身份域管理在 Oracle Cloud Infrastructure 中执行任务的用户。有关如何为 Oracle NoSQL Database Cloud Service 设置用户和组的更多信息,请参阅使用身份和访问管理设置用户、组和策略。
提示:
您可以轻松确定您的 OCI 区域是否已更新为使用身份和访问管理 (Identity and Access Management,IAM) 身份域。有关详细信息,请参阅是否可以访问身份域?