Oracle Cloud Infrastructure GoldenGate 政策
若要控制對 Oracle Cloud Infrastructure GoldenGate 的存取,以及每個使用者群組的存取類型,您必須建立原則。
例如,您可以建立管理員群組,其成員可以存取所有 OCI GoldenGate 資源。接著,您可以為其他參與 OCI GoldenGate 的人員建立獨立群組,並建立限制其存取不同區間中 OCI GoldenGate 資源的原則。
如需 Oracle Cloud Infrastructure 原則的完整清單,請參閱原則參照。
建立原則
原則定義群組成員可執行的動作,以及區間。
使用 Oracle Cloud 主控台建立原則。在 Oracle Cloud 主控台導覽功能表中,選取識別與安全性,然後在識別下,選取原則。原則的撰寫語法如下:
allow group <identity-domain>/<group-name> to <verb> <resource-type> in <location> where <condition>參數定義如下:
-
<identity-domain>:(選擇性) 如果使用 OCI IAM 進行識別管理,請包含使用者群組的識別網域。如果省略,OCI 會使用預設網域。 -
<group-name>:您授予權限的使用者群組名稱。 -
<verb>:將特定層次的資源類型存取權提供給群組。當動詞從inspect到read到use到manage時,存取層次會隨之增加,而授予的權限則會是累計的。進一步瞭解權限與動詞之間的關係。
-
<resource-type>:您授予群組使用權限的資源類型。有個別資源 (例如goldengate-deployments、goldengate-pipelines和goldengate-connections),且有資源系列 (例如goldengate-family),包含先前提及的個別資源。如需詳細資訊,請參閱資源類型。
-
<location>:將原則附加至區間或租用戶。您可以依名稱或 OCID 指定單一區間或區間路徑,或指定tenancy以涵蓋整個租用戶。 -
<condition>:選擇性。將套用此原則的一或多個條件。
進一步瞭解原則語法。
如何建立原則
請依下列步驟建立原則:
-
在 Oracle Cloud 導覽功能表中,選取識別與安全性,然後在「識別」底下,選取原則。
-
在「原則」頁面上,選取建立原則。
-
在「建立政策」頁面上,輸入政策的名稱和說明。
-
選取要建立此原則的區間。
-
在 Policy Builder 區段中,您可以:
-
從原則使用案例下拉式清單和一般原則樣板 (例如讓使用者管理 GoldenGate 資源所需的原則 ),選取 GoldenGate 服務。
-
選取顯示手動編輯器,以下列格式輸入原則規則:
allow <subject> to <verb> <resource-type> in <location> where <condition>條件是選擇性的。請參閱動詞詳細資訊 + 資源類型組合。
提示:請參閱最低建議原則以瞭解詳細資訊。
-
-
選取建立。
如需有關原則的詳細資訊,請參閱原則如何運作、原則語法以及原則參照。
建議的最小原則
提示:
若要使用通用原則樣板來新增所有必要的原則,請執行下列動作:
-
若為原則使用案例,請從下拉式清單中選取 GoldenGate 服務。
-
對於一般使用樣板,請從下拉式清單中選取讓使用者管理 GoldenGate 資源所需的原則。
您至少需要原則:
-
允許使用者使用或管理 GoldenGate 資源,讓他們能夠使用部署和連線。舉例而言:
allow group <identity-domain>/<group-name> to manage goldengate-family in <location> -
允許使用者管理網路資源,讓使用者能夠檢視及選取區間和子網路,以及在建立 GoldenGate 資源時建立及刪除專用端點。舉例而言:
allow group <identity-domain>/<group-name> to manage virtual-network-family in <location>注意:
-
使用專用端點建立部署或連線時,會在選取的子網路中配置一或多個 IP。您必須在子網路和部署或連線的區間中提供必要的網路存取權限,才能讓服務建立網路資源。
-
同樣地,使用專用端點刪除部署或連線時,需要適當的網路存取權限,以允許服務刪除網路資源。
您也可以選擇結合精細原則,進一步保護網路資源。請參閱保護網路資源的原則範例。
-
-
建立動態群組:可根據定義的規則將權限授予資源,讓您的 GoldenGate 部署和 (或) 管線能夠存取租用戶中的資源。以您選擇的名稱取代
<dynamic-group-name>。您可以視需要建立任意數量的動態群組,例如控制不同區間或租用戶部署中的權限。name: <dynamic-group-name> Matching rule: ALL {resource.type = 'goldengatedeployment', resource.compartment.id = '<location>'}提示:此清單中遵循的原則是指
<dynamic-group-name>。如果您建立多個動態群組,請確定在新增任何後續的原則時,參照正確的動態群組名稱。 -
如果使用密碼加密密碼連線,您指定給連線的部署必須能夠存取連線的密碼加密密碼。請確定已將原則新增至您的區間或租用戶:
allow dynamic-group <identity-domain>/<dynamic-group-name> to read secret-bundles in <location> -
在啟用 IAM 的租用戶中,讓使用者能夠讀取 Identity and Access Management (IAM) 使用者和群組以進行驗證:
allow service goldengate to {idcs_user_viewer, domain_resources_viewer} in <location>allow dynamic-group <identity-domain>/<dynamic-group-name> to {idcs_user_viewer, domain_resources_viewer} in <location> -
存取 Oracle Vault 中由客戶管理的加密金鑰和密碼加密密碼。舉例而言:
allow group <identity-domain>/<group-name> to manage secret-family in <location> allow group <identity-domain>/<group-name> to use keys in <location> allow group <identity-domain>/<group-name> to use vaults in <location> allow dynamic-group <identity-domain>/<dynamic-group-name> to use keys in <location> allow dynamic-group <identity-domain>/<dynamic-group-name> to use vaults in <location> allow dynamic-group <identity-domain>/<dynamic-group-name> to read secret-bundles in <location>
視您是否要使用下列服務而定,您可能也需要新增原則:
-
適用於來源和 (或) 目標資料庫的 Oracle AI 資料庫。舉例而言:
allow group <identity-domain>/<group-name> to read database-family in <location>allow group <identity-domain>/<group-name> to read autonomous-database-family in <location> -
Oracle Object Storage,用於儲存手動和排定的 OCI GoldenGate 備份。舉例而言:
allow group <identity-domain>/<group-name> to manage objects in <location> allow dynamic-group <identity-domain>/<dynamic-group-name> to manage objects in <location> where target.bucket.name = '<bucket-name>' allow group <identity-domain>/<group-name> to inspect buckets in <location> -
OCI 日誌記錄,以存取日誌群組。舉例而言:
allow group <identity-domain>/<group-name> to read log-groups in <location> allow group <identity-domain>/<group-name> to read log-content in <location> -
負載平衡器 (如果您啟用建置主控台的公用存取):
allow group <identity-domain>/<group-name> to manage load-balancers in <location> allow group <identity-domain>/<group-name> to manage public-ips in <location> allow group <identity-domain>/<group-name> to manage network-security-groups in <location> allow group <identity-domain>/<group-name> to manage vcns in <location> where ANY {request.operation = 'CreateNetworkSecurityGroup', request.operation = 'DeleteNetworkSecurityGroup'} -
工作要求:
allow group <identity-domain>/<group-name> to inspect work-requests in <location> -
零信任封包路由 (ZPR) 。只有在您已將安全屬性新增至 VCN 和 (或) 負載平衡器以控制連線和公用部署的存取時,才需要指定:新增下列原則以允許負載平衡器的公用網際網路流量,以及負載平衡器與專用端點之間的流量:
-
如果已為 VCN 和負載平衡器新增安全屬性:
in <vcn-sa-key>:<vcn-sa-value> VCN allow <lb-sa-key>:<lb-sa-value> endpoints to connect to <pe-sa-key>:<pe-sa-value> endpoints in <vcn-sa-key>:<vcn-sa-value> VCN allow all-endpoints to connect to <lb-sa-key>:<lb-sa-value> endpoints -
如果只為 VCN 新增安全屬性而不為負載平衡器,且負載平衡器位於 CIDR 為 10.0.1.0/24 的公用子網路中:
in <vcn-sa-key>:<vcn-sa-value> VCN allow '10.0.1.0/24' to connect to <pe-sa-key>:<pe-sa-value> endpoints注意:對於其他資源 (例如專用連線和專用部署),安全屬性會新增至建立的專用端點。依預設,不會使用專用部署建立負載平衡器,因此不適用上述的 ZPR 範例。在此情況下,ZPR 會保護專用端點,因此您可能需要 ZPR 原則。實際的原則取決於您的使用案例。
深入瞭解 ZPR 原則語法。
-
下列敘述句提供管理工作區之標記命名空間和標記的群組權限:
allow group <identity-domain>/<group-name> to manage tag-namespaces in <location>若要新增定義的標記,您必須具有使用標記命名空間的權限。若要深入瞭解標記功能,請參閱資源標記。
網路資源的原則範例
您可以讓使用者輕鬆存取內含以下原則的區間網路資源:
allow group <group-name> to use virtual-network-family in compartment <compartment-name>或者,您也可以使用下列原則,更精細地保護網路資源:
| 操作 | 基礎資源的必要存取權 |
|---|---|
| 建立專用端點 | 專用端點區間:
子網路區間:
|
| 更新專用端點 | 專用端點區間:
|
| 刪除私有端點 | 專用端點區間:
子網路區間:
|
| 變更專用端點區間 | 如果從一個區間移至另一個區間,則原始區間中的所有權限也必須存在於新區間中。 |
資源型態
Oracle Cloud Infrastructure GoldenGate 提供用於編寫原則的聚總和個別資源類型。
| 聚總資源類型 | 個別資源類型 |
|---|---|
goldengate-family |
|
聚總 goldengate-family 資源類型所涵蓋的 API 也涵蓋每個個別資源類型的 API。範例:
allow group gg-admins to manage goldengate-family in compartment <compartment-name>與撰寫下列原則相同:
allow group gg-admins to manage goldengate-deployments in compartment <compartment-name>
allow group gg-admins to manage goldengate-connections in compartment <compartment-name>
allow group gg-admins to manage goldengate-connection-assignments in compartment <compartment-name>
allow group gg-admins to manage goldengate-deployment-upgrades in compartment <compartment-name>
allow group gg-admins to manage goldengate-deployment-backups in compartment <compartment-name>
allow group gg-admins to manage goldengate-pipelines in compartment <compartment-name>支援的變數
當您新增條件至原則時,可以使用 Oracle Cloud Infrastructure 一般變數或服務特定變數。
Oracle Cloud Infrastructure GoldenGate 支援所有一般變數。如需詳細資訊,請參閱所有要求的一般變數。
動詞 + 資源類型組合的詳細資訊
您可以在建立原則時使用各種 Oracle Cloud Infrastructure 動詞和資源類型。
下表顯示 Oracle Cloud Infrastructure GoldenGate 的每個動詞所涵蓋的權限和 API 作業。當從 inspect 到 read 到 use 到 manage 時,存取層次是累積的。
goldengate-deployments
| 權限 | 完全涵蓋的 API |
|---|---|
| INSPECT | |
| 中文版 _ ENGLISH | 清單部署 |
| ListWorkRequests | |
| READ | |
| 檢驗 + | 檢驗 + |
| 繁體中文 (台灣) | 取得部署 |
| 取得工作要求清單 | |
| 工作要求錯誤清單 | |
| 工作要求日誌 | |
| USE | |
| 讀取 + | 讀取 + |
| 更新 GOLDENGATE_DEPLOYMENT_UPDATE | 更新部署 |
| 開始部署 | |
| 停止部署 | |
| 回復部署 | |
| 管理 | |
| 使用 + | 使用 + |
| GOLDENGATE_DEPLOYMENT_ 建立 | 建立部署 |
| 刪除 GOLDENGATE_DEPLOYMENT | 刪除部署 |
| 高端部署 _ 移動 | 變更部署區間 |
GoldenGate 互連
| 權限 | 完全涵蓋的 API |
|---|---|
| INSPECT | |
| 中文 _ ENGLISH | 清單連線 |
| READ | |
| 檢驗 + | 檢驗 + |
| 繁體中文 (台灣) | 取得連線 |
| USE | |
| 讀取 + | 讀取 + |
| GOLDENGATE_CONNECTION_ 更新 | 更新連線 |
| 管理 | |
| 使用 + | 使用 + |
| 黃金地段連接 _ 建立 | 建立連線 |
| GOLDENGATE_CONNECTION_ 刪除 | 刪除連線 |
| 黃金地段連接 _ 移動 | 變更連線區間 |
黃金連接指定
| 權限 | 完全涵蓋的 API |
|---|---|
| INSPECT | |
| 中文 _ ENGLISH | 清單連線指派 |
| READ | |
| 檢驗 + | 檢驗 + |
| 黃金地段連接 _ 分配 _ 讀取 | 取得連線指派 |
| USE | |
| 讀取 + | 讀取 + |
| n/a | n/a |
| 管理 | |
| 使用 + | 使用 + |
| GOLDENGATE_CONNECTION_ASSIGNMENT_ 建立 | 建立連線指派 |
| GOLDENGATE_CONNECTION_ASSIGNMENT_ 刪除 | 刪除連線指派 |
goldengate-deployment-backups
| 權限 | 完全涵蓋的 API |
|---|---|
| INSPECT | |
| 中文版 _ ENGLISH | 列出部署備份 |
| READ | |
| 檢驗 + | 檢驗 + |
| GOLDENGATE_DEPLOYMENT_BACKUP_READ | 取得部署備份 |
| 回復部署 | |
| USE | |
| 讀取 + | 讀取 + |
| GOLDENGATE_DEPLOYMENT_BACKUP_ 更新 | 更新部署備份 |
| 管理 | |
| 使用 + | 使用 + |
| GOLDENGATE_DEPLOYMENT_BACKUP_ 建立 | 建立部署備份 |
| GOLDENGATE_DEPLOYMENT_BACKUP_ 刪除 | 刪除部署備份 |
| GOLDENGATE_DEPLOYMENT_ 備份 _ 移動 | 變更部署備份區間 |
每個 API 作業所需的權限
以下是依資源類型分組的 Oracle Cloud Infrastructure GoldenGate 邏輯順序 API 作業清單。
資源類型為 goldengate-deployments、goldengate-connections 和 goldengate-deployment-backups。
| API 作業 | 權限 |
|---|---|
ListDeployments |
中文版 _ ENGLISH |
CreateDeployment |
GOLDENGATE_DEPLOYMENT_ 建立 |
GetDeployment |
繁體中文 (台灣) |
UpdateDeployment |
更新 GOLDENGATE_DEPLOYMENT_UPDATE |
DeleteDeployment |
刪除 GOLDENGATE_DEPLOYMENT |
StartDeployment |
更新 GOLDENGATE_DEPLOYMENT_UPDATE |
StopDeployment |
更新 GOLDENGATE_DEPLOYMENT_UPDATE |
RestoreDeployment |
GOLDENGATE_DEPLOYMENT_BACKUP_READ 和 GOLDENGATE_DEPLOYMENT_UPDATE |
ChangeDeploymentCompartment |
高端部署 _ 移動 |
UpgradeDeployment |
更新 GOLDENGATE_DEPLOYMENT_UPDATE |
ListConnections |
中文 _ ENGLISH |
CreateConnection |
黃金地段連接 _ 建立 |
GetConnection |
繁體中文 (台灣) |
UpdateConnection |
GOLDENGATE_CONNECTION_ 更新 |
DeleteConnection |
GOLDENGATE_CONNECTION_ 刪除 |
ChangeConnectionCompartment |
黃金地段連接 _ 移動 |
ListConnectionAssignments |
中文 _ ENGLISH |
CreateConnectionAssignment |
GOLDENGATE_CONNECTION_ASSIGNMENT_CREATE, GOLDENGATE_DEPLOYMENT_UPDATE, GOLDENGATE_CONNECTION_UPDATE |
GetConnectionAssignment |
黃金地段連接 _ 分配 _ 讀取 |
DeleteConnectionAssignment |
GOLDENGATE_CONNECTION_ASSIGNMENT_DELETE、GOLDENGATE_DEPLOYMENT_UPDATE、GOLDENGATE_CONNECTION_UPDATE |
ListDeploymentBackups |
中文版 _ ENGLISH |
GetDeploymentBackup |
GOLDENGATE_DEPLOYMENT_BACKUP_READ |
CreateDeploymentBackup |
GOLDENGATE_DEPLOYMENT_BACKUP_CREATE、GOLDENGATE_DEPLOYMENT_READ |
UpdateDeploymentBackup |
GOLDENGATE_DEPLOYMENT_BACKUP_ 更新 |
CancelDeploymentBackup |
GOLDENGATE_DEPLOYMENT_BACKUP_ 更新 |
DeleteDeploymentBackup |
GOLDENGATE_DEPLOYMENT_BACKUP_ 刪除 |
ChangeDeploymentBackupCompartment |
GOLDENGATE_DEPLOYMENT_ 備份 _ 移動 |
GetDeploymentUpgrade |
GOLDENGATE_DEPLOYMENT_ 升級 _READ |
ListDeploymentUpgrades |
中文版 _ ENGLISH |
GetWorkRequest |
繁體中文 (台灣) |
ListWorkRequests |
中文版 _ ENGLISH |
ListWorkRequestErrors |
繁體中文 (台灣) |
ListWorkRequestLogs |
繁體中文 (台灣) |