Oracle Cloud Infrastructure GoldenGate 政策
若要控制對 Oracle Cloud Infrastructure GoldenGate 的存取以及每個使用者群組的存取類型,您必須建立原則。
例如,您可以建立一個「管理員」群組,其成員可以存取所有 OCI GoldenGate 資源。接著,您可以為涉及 OCI GoldenGate 的所有人員建立個別群組,並建立限制其存取不同區間中 OCI GoldenGate 資源的原則。
如需 Oracle Cloud Infrastructure 原則的完整清單,請參閱原則參考。
建立原則
原則定義群組成員可以執行的動作,以及區間。
使用 Oracle Cloud 主控台來建立原則。在 Oracle Cloud 主控台導覽功能表中,選取身分識別與安全性,然後在身分識別下,選取原則。原則的撰寫語法如下:
allow group <identity-domain>/<group-name> to <verb> <resource-type> in <location> where <condition>參數定義如下:
<identity-domain>:(選擇性) 如果使用 OCI IAM 進行識別管理,請包含使用者群組的識別網域。如果省略,OCI 會使用預設網域。<group-name>:您授予權限的使用者群組名稱。<verb>:為群組提供特定層次的資源類型存取權。動詞從inspect變成read到use到manage時,存取層次會增加,而授與的權限則是累計的。進一步瞭解 . 權限與動詞之間的關係。
<resource-type>:您授予群組使用權限的資源類型。還有個別資源 (例如goldengate-deployments、goldengate-pipelines和goldengate-connections),而且有資源系列 (例如goldengate-family),其中包含先前提及的個別資源。有關詳細資訊,請參閱 resource-types 。
<location>:將原則附加至區間或租用戶。您可以依名稱或 OCID 指定單一區間或區間路徑,或指定tenancy以涵蓋整個租用戶。<condition>:選擇性。將套用此原則的一或多個條件。
進一步瞭解原則語法。
建議的最低原則
秘訣:
若要使用通用原則樣板來新增所有必要的原則,請執行下列動作:- 對於原則使用案例,請從下拉式清單中選取 GoldenGate 服務。
- 若為一般使用樣板,請從下拉式清單中選取讓使用者管理 GoldenGate 資源所需的原則。
您至少需要原則:
- 允許使用者使用或管理 GoldenGate 資源,讓他們能夠使用部署和連線。舉例而言:
allow group <identity-domain>/<group-name> to manage goldengate-family in <location> - 允許使用者管理網路資源,讓使用者能夠檢視及選取區間和子網路,以及在建立 GoldenGate 資源時建立及刪除專用端點。舉例而言:
allow group <identity-domain>/<group-name> to manage virtual-network-family in <location>您也可以選擇使用精細原則組合進一步保護網路資源。請參閱 Securing Network Resources 的原則範例。
- 建立動態群組:可根據定義的規則將權限授予資源,讓您的 GoldenGate 部署和 (或) 管線能夠存取租用戶中的資源。以您選擇的名稱取代
<dynamic-group-name>。您可以視需要建立任意數目的動態群組,例如控制不同區間或租用戶部署中的權限。name: <dynamic-group-name> Matching rule: ALL {resource.type = 'goldengatedeployment', resource.compartment.id = '<location>'}秘訣:
此清單中所遵循的原則指的是
<dynamic-group-name>。如果您建立多個動態群組,請確定在新增任何後續的原則時,參照正確的動態群組名稱。 - 如果使用密碼加密密碼連線,您指定給連線的部署必須能夠存取連線的密碼加密密碼。請確定已將原則新增至您的區間或租用戶:
allow dynamic-group <identity-domain>/<dynamic-group-name> to read secret-bundles in <location> - 允許使用者讀取身分識別與存取管理 (IAM) 使用者和群組,以便對啟用 IAM 的租用戶進行驗證:
allow service goldengate to {idcs_user_viewer, domain_resources_viewer} in <location>allow dynamic-group <identity-domain>/<dynamic-group-name> to {idcs_user_viewer, domain_resources_viewer} in <location> - Oracle 保存庫,可存取客戶管理的加密金鑰和密碼加密密碼。舉例而言:
allow group <identity-domain>/<group-name> to manage secret-family in <location> allow group <identity-domain>/<group-name> to use keys in <location> allow group <identity-domain>/<group-name> to use vaults in <location> allow dynamic-group <identity-domain>/<dynamic-group-name> to use keys in <location> allow dynamic-group <identity-domain>/<dynamic-group-name> to use vaults in <location> allow dynamic-group <identity-domain>/<dynamic-group-name> to read secret-bundles in <location>
視您是否想要使用下列服務而定,您可能也需要為下列項目新增原則:
- 來源和 (或) 目標資料庫的 Oracle 資料庫。舉例而言:
allow group <identity-domain>/<group-name> to read database-family in <location>allow group <identity-domain>/<group-name> to read autonomous-database-family in <location> - Oracle Object Storage,用於儲存手動 OCI GoldenGate 備份。舉例而言:
allow group <identity-domain>/<group-name> to manage objects in <location> allow dynamic-group <identity-domain>/<dynamic-group-name> to manage objects in <location> allow group <identity-domain>/<group-name> to inspect buckets in <location> - OCI 日誌記錄,以存取日誌群組。舉例而言:
allow group <identity-domain>/<group-name> to read log-groups in <location> allow group <identity-domain>/<group-name> to read log-content in <location> - 負載平衡器 - 如果您啟用對部署主控台的公用存取權:
allow group <identity-domain>/<group-name> to manage load-balancers in <location> allow group <identity-domain>/<group-name> to manage public-ips in <location> allow group <identity-domain>/<group-name> to manage network-security-groups in <location> allow group <identity-domain>/<group-name> to manage vcns in <location> where ANY {request.operation = 'CreateNetworkSecurityGroup', request.operation = 'DeleteNetworkSecurityGroup'} - 工作要求:
allow group <identity-domain>/<group-name> to inspect work-requests in <location>
下列敘述句提供管理工作區之標記命名空間和標記的群組權限:
allow group <identity-domain>/<group-name> to manage tag-namespaces in <location>若要新增定義的標記,您必須具有使用標記命名空間的權限。若要進一步瞭解標記功能,請參閱資源標記。
如需更多資訊和其他範例政策,請參閱 OCI GoldenGate 政策。
保護網路資源的原則範例
您可以使用以下原則,輕鬆允許使用者存取區間內的網路資源:
allow group <group-name> to use virtual-network-family in compartment <compartment-name>或者,您可以使用下列原則來保護更精細的網路資源:
| 操作 | 基礎資源的必要存取權 |
|---|---|
| 建立專用端點 | 針對專用端點區間:
對於子網路區間:
|
| 更新專用端點 | 針對專用端點區間:
|
| 刪除專用端點 | 針對專用端點區間:
對於子網路區間:
|
| 變更專用端點區間 | 如果從一個區間移到另一個區間,原始區間中的所有權限也必須存在於新區間中。 |
資源類型
Oracle Cloud Infrastructure GoldenGate 提供用於撰寫原則的聚總和個別資源類型。
| 聚總資源類型 | 個別資源類型 |
|---|---|
goldengate-family |
|
聚總 goldengate-family 資源類型所涵蓋的 API 也涵蓋每個個別資源類型的 API。範例:
allow group gg-admins to manage goldengate-family in compartment <compartment-name>與撰寫下列原則相同:
allow group gg-admins to manage goldengate-deployments in compartment <compartment-name>
allow group gg-admins to manage goldengate-connections in compartment <compartment-name>
allow group gg-admins to manage goldengate-connection-assignments in compartment <compartment-name>
allow group gg-admins to manage goldengate-deployment-upgrades in compartment <compartment-name>
allow group gg-admins to manage goldengate-deployment-backups in compartment <compartment-name>
allow group gg-admins to manage goldengate-pipeline in compartment <compartment-name>
支援的變數
當您將條件新增至原則時,可以使用 Oracle Cloud Infrastructure 一般或服務特定變數。
Oracle Cloud Infrastructure GoldenGate 支援所有一般變數。如需詳細資訊,請參閱所有要求的一般變數。
動詞明細 + 資源類型組合
當您建立原則時,可以使用各種 Oracle Cloud Infrastructure 動詞和資源類型。
下表顯示 Oracle Cloud Infrastructure GoldenGate 每個動詞所涵蓋的權限和 API 作業。存取層次是累計的,因為您是從 inspect 到 read 到 use 到 manage。
金門 - 部署
| 權限 | 完全涵蓋的 API |
|---|---|
| INSPECT | |
| GOLDENGATE_DEPLOYMENT_INSPECT | ListDeployments |
| READ | |
| 檢查 + | 檢查 + |
| GOLDENGATE_DEPLOYMENT_READ | GetDeployment |
| USE | |
| 已閱讀 + | 已閱讀 + |
| GOLDENGATE_DEPLOYMENT_UPDATE | UpdateDeployment |
| StartDeployment | |
| StopDeployment | |
| RestoreDeployment | |
| 管理 | |
| USE + | USE + |
| GOLDENGATE_DEPLOYMENT_CREATE | CreateDeployment |
| GetWorkRequest | |
| ListWorkRequests | |
| ListWorkRequestErrors | |
| ListWorkRequestLogs | |
| GOLDENGATE_DEPLOYMENT_DELETE | DeleteDeployment |
| GOLDENGATE_DEPLOYMENT_MOVE | ChangeDeploymentCompartment |
黃金連接
| 權限 | 完全涵蓋的 API |
|---|---|
| INSPECT | |
| GOLDENGATE_CONNECTION_INSPECT | ListConnections |
| READ | |
| 檢查 + | 檢查 + |
| GOLDENGATE_CONNECTION_READ | GetConnection |
| USE | |
| 已閱讀 + | 已閱讀 + |
| GOLDENGATE_CONNECTION_UPDATE | UpdateConnection |
| 管理 | |
| USE + | USE + |
| GOLDENGATE_CONNECTION_CREATE | CreateConnection |
| GOLDENGATE_CONNECTION_DELETE | DeleteConnection |
| GOLDENGATE_CONNECTION_MOVE | ChangeConnectionCompartment |
goldengate-connection-assign
| 權限 | 完全涵蓋的 API |
|---|---|
| INSPECT | |
| GOLDENGATE_CONNECTION_ASSIGNMENT_INSPECT | ListConnectionAssignments |
| READ | |
| 檢查 + | 檢查 + |
| GOLDENGATE_CONNECTION_ASSIGNMENT_READ | GetConnectionAssignment |
| USE | |
| 已閱讀 + | 已閱讀 + |
| n/a | n/a |
| 管理 | |
| USE + | USE + |
| GOLDENGATE_CONNECTION_ASSIGNMENT_CREATE | CreateConnectionAssignment |
| GOLDENGATE_CONNECTION_ASSIGNMENT_DELETE | DeleteConnectionAssignment |
goldengate-deployment-backups
| 權限 | 完全涵蓋的 API |
|---|---|
| INSPECT | |
| GOLDENGATE_DEPLOYMENT_BACKUP_INSPECT | ListDeploymentBackups |
| READ | |
| 檢查 + | 檢查 + |
| GOLDENGATE_DEPLOYMENT_BACKUP_READ | GetDeploymentBackup |
| RestoreDeployment | |
| USE | |
| 已閱讀 + | 已閱讀 + |
| GOLDENGATE_DEPLOYMENT_BACKUP_UPDATE | UpdateDeploymentBackup |
| 管理 | |
| USE + | USE + |
| GOLDENGATE_DEPLOYMENT_BACKUP_CREATE | CreateDeploymentBackup |
| GOLDENGATE_DEPLOYMENT_BACKUP_DELETE | DeleteDeploymentBackup |
| GOLDENGATE_DEPLOYMENT_BACKUP_MOVE | ChangeDeploymentBackupCompartment |
每個 API 作業所需的權限
以下是依資源類型分組的邏輯順序,Oracle Cloud Infrastructure GoldenGate 的 API 作業清單。
資源類型為 goldengate-deployments、goldengate-connections 和 goldengate-deployment-backups。
| API 作業 | 權限 |
|---|---|
ListDeployments |
GOLDENGATE_DEPLOYMENT_INSPECT |
CreateDeployment |
GOLDENGATE_DEPLOYMENT_CREATE |
GetDeployment |
GOLDENGATE_DEPLOYMENT_READ |
UpdateDeployment |
GOLDENGATE_DEPLOYMENT_UPDATE |
DeleteDeployment |
GOLDENGATE_DEPLOYMENT_DELETE |
StartDeployment |
GOLDENGATE_DEPLOYMENT_UPDATE |
StopDeployment |
GOLDENGATE_DEPLOYMENT_UPDATE |
RestoreDeployment |
GOLDENGATE_DEPLOYMENT_BACKUP_READ 和 GOLDENGATE_DEPLOYMENT_UPDATE |
ChangeDeploymentCompartment |
GOLDENGATE_DEPLOYMENT_MOVE |
UpgradeDeployment |
GOLDENGATE_DEPLOYMENT_UPDATE |
ListConnections |
GOLDENGATE_CONNECTION_INSPECT |
CreateConnection |
GOLDENGATE_CONNECTION_CREATE |
GetConnection |
GOLDENGATE_CONNECTION_READ |
UpdateConnection |
GOLDENGATE_CONNECTION_UPDATE |
DeleteConnection |
GOLDENGATE_CONNECTION_DELETE |
ChangeConnectionCompartment |
GOLDENGATE_CONNECTION_MOVE |
ListConnectionAssignments |
GOLDENGATE_CONNECTION_ASSIGNMENT_INSPECT |
CreateConnectionAssignment |
GOLDENGATE_CONNECTION_ASSIGNMENT_CREATE, GOLDENGATE_DEPLOYMENT_UPDATE, GOLDENGATE_CONNECTION_UPDATE |
GetConnectionAssignment |
GOLDENGATE_CONNECTION_ASSIGNMENT_READ |
DeleteConnectionAssignment |
GOLDENGATE_CONNECTION_ASSIGNMENT_DELETE, GOLDENGATE_DEPLOYMENT_UPDATE, GOLDENGATE_CONNECTION_UPDATE |
ListDeploymentBackups |
GOLDENGATE_DEPLOYMENT_BACKUP_INSPECT |
GetDeploymentBackup |
GOLDENGATE_DEPLOYMENT_BACKUP_READ |
CreateDeploymentBackup |
GOLDENGATE_DEPLOYMENT_BACKUP_CREATE, GOLDENGATE_DEPLOYMENT_READ |
UpdateDeploymentBackup |
GOLDENGATE_DEPLOYMENT_BACKUP_UPDATE |
CancelDeploymentBackup |
GOLDENGATE_DEPLOYMENT_BACKUP_UPDATE |
DeleteDeploymentBackup |
GOLDENGATE_DEPLOYMENT_BACKUP_DELETE |
ChangeDeploymentBackupCompartment |
GOLDENGATE_DEPLOYMENT_BACKUP_MOVE |
GetDeploymentUpgrade |
GOLDENGATE_DEPLOYMENT_UPGRADE_READ |
ListDeploymentUpgrades |
GOLDENGATE_DEPLOYMENT_UPGRADE_INSPECT |
GetWorkRequest |
GOLDENGATE_DEPLOYMENT_CREATE |
ListWorkRequests |
GOLDENGATE_DEPLOYMENT_CREATE |
ListWorkRequestErrors |
GOLDENGATE_DEPLOYMENT_CREATE |
ListWorkRequestLogs |
GOLDENGATE_DEPLOYMENT_CREATE |