管理对 Oracle NoSQL Database Cloud Service 表的访问
访问跨租户的 NoSQL 表
本主题介绍如何编写允许租户访问其他租户中的 NoSQL 表的策略。
如果您不熟悉策略,请参阅策略入门。
跨租户策略
您的组织可能希望与其他具有自己的租户的组织共享资源。它可以是公司的另一个业务单位、公司的客户、向公司提供服务的公司等。在此类情况下,除了前面所述的必需用户和服务策略外,您还需要跨租户策略。
要访问和共享资源,两个租户的管理员都需要创建特殊策略语句来显式指定可访问和共享的资源。这些特殊语句使用单词定义、背书和入学。
背书、入学和定义对帐单
下面概述了跨租户语句中使用的特殊动词:
背书:说明您自己的租户中的组可以在其他租户中执行的一般功能集。“背书”语句始终属于租户,其中用户组跨越边界进入其他租户以使用该租户的资源。在示例中,您将此租户称为源。
入学:说明您自己的租户中要从其他租户授予组的那种能力。“入学”语句属于向租户授予“入学”的租户。“入学”语句标识需要从源租户访问资源并使用相应的“背书”语句标识的用户组。在示例中,您将此租户称为目标。
定义:为租户 OCID 分配“背书”和“入学”策略语句的别名。在目标租户中,还需要使用 Define 语句为 Admit 语句的源 IAM 组 OCID 分配别名。
注意:
除了策略语句,您还必须订阅区域才能跨区域共享资源。源租户策略语句
注意:
跨租户策略也可以与其他策略主题一起编写。有关策略主题的更多详细信息,请参阅 Oracle Cloud Infrastructure 文档中的策略语法。Endorse group NoSQLAdmins to manage nosql-family in any-tenancy
Define tenancy DestinationTenancy as ocid1.tenancy.oc1..<destination_tenancy_OCID>
Endorse group NoSQLAdmins to manage nosql-family in tenancy DestinationTenancy
目标租户策略语句
- 定义允许访问租户中资源的源租户和 IAM 组。源管理员必须提供此信息。
- 允许这些定义的源访问您要在租户中允许访问的 NoSQL 表。
Define tenancy SourceTenancy as ocid1.tenancy.oc1..<source_tenancy_OCID>
Define group NoSQLAdmins as ocid1.group.oc1..<group_OCID>
Admit group NoSQLAdmins of tenancy SourceTenancy to manage nosql-family in tenancy
Define tenancy SourceTenancy as ocid1.tenancy.oc1..<source_tenancy_OCID>
Define group NoSQLAdmins as ocid1.group.oc1..<group_OCID>
Admit group NoSQLAdmins of tenancy SourceTenancy to manage nosql-family in compartment Develop
向其他用户授予管理 NoSQL 表的权限
为 Oracle NoSQL Database Cloud Service 激活订单时,默认情况下,您(第一个用户)在 "Administrators"(管理员)组中。通过加入 Administrators 组,您可以在 Oracle Cloud Infrastructure 中获得全部管理权限,以便管理 Oracle NoSQL Database Cloud Service 表等。无需委派此责任,但如果需要,您可以通过 manage nosql-tables
权限为其他人授予创建和管理 Oracle NoSQL Database Cloud Service 表的权限。
在 Oracle Cloud Infrastructure 中,您可以使用 IAM 安全策略授予权限。首先,您必须将用户添加到组,然后创建安全策略来向组授予对特定区间或租户(租户中的任何区间)的 manage nosql-tables
权限。例如,您可以创建如下所示的策略语句:
allow group MyAdminGroup to manage nosql-tables in tenancy
allow group MyAdminGroup to manage nosql-tables in compartment MyOracleNoSQL
要了解如何专门为 Oracle NoSQL Database Cloud Service 创建安全策略语句,请参阅使用身份和访问管理设置用户、组和策略。
用于管理表的典型策略语句
以下是可用于授权访问 Oracle NoSQL Database Cloud Service 表的典型策略语句。
为租户创建策略时,您会通过策略继承授予用户对所有区间的访问权限。或者,您可以限制对单个 Oracle NoSQL Database Cloud Service 表或区间的访问。
示例 - 允许组管理员完全管理任何 Oracle NoSQL Database Cloud Service 表
allow group Administrators to manage nosql-tables in tenancy
allow group Administrators to manage nosql-rows in tenancy
allow group Administrators to manage nosql-indexes in tenancy
示例 - 要允许组管理员对区间开发中的 NoSQL 表执行任何操作,请使用系列资源类型。
allow group Admins to manage nosql-family in compartment Dev
示例 - 允许组分析对区间开发中的 NoSQL 表执行只读操作
allow group Analytics to read nosql-rows in compartment Dev
示例 - 仅允许 Developer 中的 Joe 在区间开发中创建、获取和删除 NoSQL 表的索引
allow group Developer to manage nosql-indexes in compartment Dev
where request.user.id = '<OCID of Joe>'
示例 - 允许组管理员仅创建、删除和移动 NoSQL 表,但不允许在区间开发中进行更改。
allow group Admins to manage nosql-tables in compartment Dev
where any {request.permission = 'NOSQL_TABLE_CREATE',
request.permission = 'NOSQL_TABLE_DROP',
request.permission = 'NOSQL_TABLE_MOVE'}
示例 - 允许组开发人员读取、更新和删除区间开发中表“客户”的行,但不允许删除其他行。
allow group Developer to manage nosql-rows in compartment Dev
where target.nosql-table.name = 'customer'