建立 Oracle Cloud 資源
建立區間
區間可讓您組織與控制對雲端資源的存取.這是一個邏輯容器,可用來將相關的雲端資源群組在一起,並讓特定使用者群組存取。
當您註冊 Oracle Cloud Infrastructure 時,Oracle 會建立您的租用戶,這是保存所有雲端資源的根區間。接著,您可以在您的租用戶內建立額外的區間和對應的原則,以控制對每個區間中資源的存取。
建立區間:建立虛擬雲端網路和子網路
虛擬雲端網路 (VCN) 是您在特定區域的 Oracle Cloud Infrastructure 資料中心中設定的網路。子網路是 VCN 的子分割。
- 開啟 Oracle Cloud 主控台導覽功能表,按一下網路,然後選取虛擬雲端網路。
- 在「虛擬雲端網路」頁上,確認選取的區間,或選取其他區間。
- 從動作功能表中,選取啟動 VCN 精靈。
- In the Start VCN Wizard panel, select Create VCN with Internet Connectivity, and then click Start VCN Wizard.
- 在「組態」頁面的基本資訊底下,輸入 VCN 名稱。
- 若為區間,請選取要在其中建立此 VCN 的區間。
- 按下一步。
- 在「複查並建立」頁面上,驗證組態詳細資訊,然後按一下建立。
按一下檢視 VCN 詳細資訊,確認已建立公用子網路和專用子網路。
建立使用者
建立使用者以新增至可存取您 OCI GoldenGate 資源的群組。
在您建立使用者之前,請先瞭解:
- OCI GoldenGate 部署使用者管理取決於您的租用戶是否使用 OCI IAM 搭配識別網域。請參閱管理部署使用者。
- 使用者名稱在您租用戶內的所有使用者中必須是唯一的
- 使用者名稱不可變更
- 使用者在置於群組之前沒有權限
- 開啟 Oracle Cloud 主控台導覽功能表,按一下識別與安全性,然後在識別下,按一下網域。
- 在「網域」頁面中,確認區間選擇項目,或變更為其他區間。
- 在「網域」清單中,按一下預設以存取預設網域,或按一下建立網域以建立新的網域。
- 從清單中選取網域。
- 在「網域詳細資訊」頁面上,按一下使用者管理。
- 在「使用者」頁面上,按一下建立使用者。
- 在「建立使用者」頁面上,依下列方式完成欄位:
- 按一下建立。
建立群組
群組是需要一組資源或區間相同類型存取權的使用者集合。
- 此群組名稱在租用戶內必須是唯一的。
- 群組名稱建立後即無法變更。
- 群組沒有權限,因此您至少必須寫入一個授予租用戶或區間群組權限的權限。
- 開啟 Oracle Cloud 主控台導覽功能表,按一下識別與安全性,然後在識別下,按一下網域。
- 在「網域」頁面中,確認區間選擇項目,或變更區間。
- 從清單中選取網域。
- 在「網域詳細資訊」頁面上,按一下使用者管理。
- 在「群組」下,按一下建立群組。
- 在「建立群組」頁面上:
- 選取使用者是否可以要求此群組的存取權。
- 從使用者清單中,選取要指定給此群組的使用者。
- 按一下建立。
建立原則
原則定義群組成員可以執行的動作,以及區間。
使用 Oracle Cloud 主控台來建立原則。在 Oracle Cloud 主控台導覽功能表中,選取身分識別與安全性,然後在身分識別下,選取原則。原則的撰寫語法如下:
allow group <identity-domain>/<group-name> to <verb> <resource-type> in <location> where <condition>
參數定義如下:
<identity-domain>
:(選擇性) 如果使用 OCI IAM 進行識別管理,請包含使用者群組的識別網域。如果省略,OCI 會使用預設網域。<group-name>
:您授予權限的使用者群組名稱。<verb>
:為群組提供特定層次的資源類型存取權。動詞從inspect
變成read
到use
到manage
時,存取層次會增加,而授與的權限則是累計的。進一步瞭解 . 權限與動詞之間的關係。
<resource-type>
:您授予群組使用權限的資源類型。還有個別資源 (例如goldengate-deployments
、goldengate-pipelines
和goldengate-connections
),而且有資源系列 (例如goldengate-family
),其中包含先前提及的個別資源。有關詳細資訊,請參閱 resource-types 。
<location>
:將原則附加至區間或租用戶。您可以依名稱或 OCID 指定單一區間或區間路徑,或指定tenancy
以涵蓋整個租用戶。<condition>
:選擇性。將套用此原則的一或多個條件。
進一步瞭解原則語法。
建議的最低原則
秘訣:
若要使用通用原則樣板來新增所有必要的原則,請執行下列動作:- 對於原則使用案例,請從下拉式清單中選取 GoldenGate 服務。
- 若為一般使用樣板,請從下拉式清單中選取讓使用者管理 GoldenGate 資源所需的原則。
您至少需要原則:
- 允許使用者使用或管理 GoldenGate 資源,讓他們能夠使用部署和連線。舉例而言:
allow group <identity-domain>/<group-name> to manage goldengate-family in <location>
- 允許使用者管理網路資源,讓使用者能夠檢視及選取區間和子網路,以及在建立 GoldenGate 資源時建立及刪除專用端點。舉例而言:
allow group <identity-domain>/<group-name> to manage virtual-network-family in <location>
您也可以選擇使用精細原則組合進一步保護網路資源。請參閱 Securing Network Resources 的原則範例。
- 建立動態群組:可根據定義的規則將權限授予資源,讓您的 GoldenGate 部署和 (或) 管線能夠存取租用戶中的資源。以您選擇的名稱取代
<dynamic-group-name>
。您可以視需要建立任意數目的動態群組,例如控制不同區間或租用戶部署中的權限。name: <dynamic-group-name> Matching rule: ALL {resource.type = 'goldengatedeployment', resource.compartment.id = '<location>'}
秘訣:
此清單中所遵循的原則指的是
<dynamic-group-name>
。如果您建立多個動態群組,請確定在新增任何後續的原則時,參照正確的動態群組名稱。 - 如果使用密碼加密密碼連線,您指定給連線的部署必須能夠存取連線的密碼加密密碼。請確定已將原則新增至您的區間或租用戶:
allow dynamic-group <identity-domain>/<dynamic-group-name> to read secret-bundles in <location>
- 允許使用者讀取身分識別與存取管理 (IAM) 使用者和群組,以便對啟用 IAM 的租用戶進行驗證:
allow service goldengate to {idcs_user_viewer, domain_resources_viewer} in <location>
allow dynamic-group <identity-domain>/<dynamic-group-name> to {idcs_user_viewer, domain_resources_viewer} in <location>
- Oracle 保存庫,可存取客戶管理的加密金鑰和密碼加密密碼。舉例而言:
allow group <identity-domain>/<group-name> to manage secret-family in <location> allow group <identity-domain>/<group-name> to use keys in <location> allow group <identity-domain>/<group-name> to use vaults in <location> allow dynamic-group <identity-domain>/<dynamic-group-name> to use keys in <location> allow dynamic-group <identity-domain>/<dynamic-group-name> to use vaults in <location> allow dynamic-group <identity-domain>/<dynamic-group-name> to read secret-bundles in <location>
視您是否想要使用下列服務而定,您可能也需要為下列項目新增原則:
- 來源和 (或) 目標資料庫的 Oracle 資料庫。舉例而言:
allow group <identity-domain>/<group-name> to read database-family in <location>
allow group <identity-domain>/<group-name> to read autonomous-database-family in <location>
- Oracle Object Storage,用於儲存手動 OCI GoldenGate 備份。舉例而言:
allow group <identity-domain>/<group-name> to manage objects in <location> allow dynamic-group <identity-domain>/<dynamic-group-name> to manage objects in <location> allow group <identity-domain>/<group-name> to inspect buckets in <location>
- OCI 日誌記錄,以存取日誌群組。舉例而言:
allow group <identity-domain>/<group-name> to read log-groups in <location> allow group <identity-domain>/<group-name> to read log-content in <location>
- 負載平衡器 - 如果您啟用對部署主控台的公用存取權:
allow group <identity-domain>/<group-name> to manage load-balancers in <location> allow group <identity-domain>/<group-name> to manage public-ips in <location> allow group <identity-domain>/<group-name> to manage network-security-groups in <location> allow group <identity-domain>/<group-name> to manage vcns in <location> where ANY {request.operation = 'CreateNetworkSecurityGroup', request.operation = 'DeleteNetworkSecurityGroup'}
- 工作要求:
allow group <identity-domain>/<group-name> to inspect work-requests in <location>
下列敘述句提供管理工作區之標記命名空間和標記的群組權限:
allow group <identity-domain>/<group-name> to manage tag-namespaces in <location>
若要新增定義的標記,您必須具有使用標記命名空間的權限。若要進一步瞭解標記功能,請參閱資源標記。
如需更多資訊和其他範例政策,請參閱 OCI GoldenGate 政策。