注：

• 此教程需要访问 Oracle Cloud。要注册免费账户，请参阅开始使用 Oracle Cloud Infrastructure 免费层。
• 它使用 Oracle Cloud Infrastructure 身份证明、租户和区间示例值。完成实验室后，请使用特定于您的云环境的这些值替换这些值。

身份和访问管理

简介

Oracle Cloud Infrastructure Identity and Access Management (IAM) Service 允许您控制有权访问您的云资源的人员。您可以控制一组用户具有的访问类型以及特定资源的访问类型。此实验的目的是概述 IAM 服务组件，并提供示例方案来帮助您了解它们如何协同工作。

下面是教师通过此练习的记录：

Lab100 01 身份访问和管理视频

先决条件

• Oracle Cloud Infrastructure 账户身份证明（用户、密码和租户）
• 要登录到控制台，需要满足以下条件：
  • 方案使用方、用户名和密码
  • 控制台的 URL：https://oracle.com
  • Oracle Cloud Infrastructure 支持 Google Chrome、Firefox 和 Internet Explorer 11 的最新版本

登录控制台

在此步骤中，您使用身份证明登录 Oracle Cloud Infrastructure 控制台。

1. 转到 cloud.oracle.com。

2. 单击登录云。

3. 输入 Cloud 账户名，然后单击 Next。这是您在上一节中创建账户时选择的名称。这不是您的电子邮件地址。如果您忘记了姓名，请检查确认电子邮件。

4. 打开支持的浏览器并转到控制台 URL：https://oracle.com。

5. 单击浏览器窗口右上角的纵向图标，然后单击登录云链接。

6. 输入租户的名称（输入您的账户名称，而不是您的用户名），然后单击下一步按钮。

7. Oracle Cloud Infrastructure 与 Identity Cloud Services 集成，您将看到一个验证身份提供者的屏幕。输入用户名和口令。单击登录。

8. 登录控制台时，将显示 Oracle Cloud 仪表盘。

   

创建区间

区间是云资产的集合，例如计算实例、负载平衡器、数据库等。默认情况下，创建租户（即注册试用账户）时会为您创建根区间。可以在根区间中创建所有内容，但 Oracle 建议您创建子区间来帮助更高效地管理资源。

1. 从菜单中选择 Identity 和 Compartments。单击蓝色的创建区间按钮以创建子区间。

   

2. 将区间命名为 Demo 并提供简短说明。确保您的根区间显示为父区间。准备就绪后，按蓝色的创建区间按钮。

3. 您刚刚为自己的所有工作创建了一个演示区间。

管理用于控制访问权限的用户、组和策略

用户访问服务的权限来自它们所属的组。组的权限由策略定义。策略定义组的成员可以执行的操作以及区间在哪些区间中执行的操作。用户可以根据为其成员组的策略集访问服务和执行操作。

我们将创建用户、组和安全策略来了解概念。

1. 登录控制台，在菜单上单击身份，然后选择组。

   

2. 单击创建组。

3. 在创建组对话框中，输入以下内容：

   • 名称：为组输入唯一名称，例如“oci-group”。请注意，组名称不能包含空格。
   • 说明：输入说明（例如，“新组用于 OCI 用户”）。
   • 单击创建。

4. 单击新组以显示它。此时将显示新组。

   

5. 让我们创建一个安全策略，向您分配的区间中授予组权限。例如，创建一个策略，将区间 Demo 权限授予成员或组 oci-group：

   1. 在菜单上，单击身份，然后单击策略。

   2. 在左侧，选择 Demo 区间。

      

      注意：您可能需要单击主区间名称旁边的 + 号，才能看到子区间 演示。如果仍看不到子区间，请刷新浏览器。有时，浏览器会缓存区间信息，而不会更新其内部缓存。

   3. 选择演示区间后，单击创建策略。

      

   4. 为策略输入唯一的名称（例如“策略 -for-oci-group”）请注意，名称不能包含空格。

   5. 输入说明（例如“OCI 组策略”）。

   6. 输入以下语句：

      Allow group oci-group to manage all-resources in compartment Demo
      

   7. 单击创建。

6. 创建新用户。

   1. 在菜单上，单击身份，然后单击用户。

      

   2. 单击创建用户。

   3. 在新用户对话框中，输入以下内容：

      • 名称：输入新用户的唯一名称或电子邮件地址。此值是控制台的用户登录名，在租户中的所有其他用户之间必须唯一。
      • 描述：输入描述。例如，新 oci 用户。
      • 电子邮件：您可以使用您有权访问的个人电子邮件地址（GMail、Yahoo 等）。

      

   4. 单击创建。

7. 为新创建的用户设置临时密码。

   1. 从用户列表中，单击您创建的用户以显示其详细信息。

   2. 单击 Create/Reset Password（创建 / 重置密码）。

      

   3. 在该对话框中，单击创建 / 重置密码。

   4. 此时将显示新的一次性密码。

      

   5. 单击复制链接，然后单击关闭。确保将此密码复制到记事本。

   6. 从用户菜单中单击注销，然后完全注销管理用户帐户。

8. 使用其他 Web 浏览器或 incognito 窗口以新用户身份登录。

   1. 打开支持的浏览器并转到控制台 URL：https://oracle.com。

   2. 单击浏览器窗口右上角的纵向图标，然后单击登录云链接。

      

   3. 输入租户的名称（使用账户名称，而不是用户名），然后单击下一步按钮。

   4. 这次，您将与您创建的用户一起使用本地身份证明框登录。请注意，您创建的用户不是 Identity Cloud Services 的一部分。

   5. 输入您复制的密码。

      

      注意：由于这是首次以用户身份登录，因此系统将提示您更改临时密码，如屏幕捕获中所示。

   6. 将新口令设置为 Welc0me2*bmcs。单击 Save New Password。

9. 验证用户权限。

   1. 转到菜单，依次单击计算和实例。

   2. 尝试从左侧菜单中选择任何区间。

   3. 此时将显示消息“您没有查看这些资源的权限”。这很正常，因为您没有将用户添加到关联策略的组。

      

   4. 从控制台注销。

10. 将用户添加到组。

    1. 使用 admin 帐户登录。

    2. 从用户列表中，单击刚刚创建的用户帐户（例如 user01）以转到用户详细信息页面。

       

    3. 在左侧的资源菜单下，单击组。

    4. 单击将用户添加到组。

    5. 从组下拉列表中，选择您创建的 oci-group。

    6. 单击 Add（添加）。

    7. 注销 Oracle Cloud 网站。

11. 在用户属于特定组时验证用户权限。

    1. 使用您创建的本地 user01 帐户登录。请记住使用您分配给此用户的最新密码 (Welc0me2*bmcs)。

    2. 转到菜单，依次单击计算和实例。

    3. 从左侧的区间列表中选择区间 Demo。

       

    4. 没有与权限相关的消息，您可以创建新实例。

    5. 转到菜单，单击标识，然后选择组。

    6. 此时将显示消息 Authorization failed or request resource not found。这是预期的，因为您的用户无权修改组。注：您可以改为收到“发生了意外错误”消息。也不错。

       

    7. 注销。

致谢

• Authors-Flavio Pereira, Larry Beausoleil

• 内容提供者 - DB 产品管理部产品经理 Intern Arabella Yao

更多学习资源

在 docs.oracle.com/learn 上浏览其他实验室，或者在 Oracle Learning YouTube 渠道上访问更多免费学习内容。此外，访问 education.oracle.com/learning-explorer 以成为 Oracle Learning Explorer。

有关产品文档，请访问 Oracle 帮助中心。

---

标题和版权信息

Identity and Access Management

F51411-01

December 2021

Copyright © 2021, Oracle and/or its affiliates.