關於設定使用者群組和原則

Oracle NoSQL Database Cloud Service 使用 Oracle Cloud Infrastructure 身分識別與存取管理 (IAM) 提供對 Oracle Cloud 的安全存取。Oracle Cloud Infrastructure IAM 可讓您建立使用者帳戶,並授予使用者檢查、讀取、使用或管理表格的權限。

您管理 Oracle NoSQL Database Cloud Service 使用者、群組及動態群組的方式,取決於您的雲端帳戶或租用戶是否已更新為使用 Oracle Cloud Infrastructure Identity and Access Management (IAM) 識別網域。輕鬆判斷 OCI 租用戶何時更新為使用身分識別與存取管理 (IAM) 識別網域。

下方顯示使用識別網域之租用戶的 OCI 主控台。

使用 IAM 識別網域在 OCI 建立使用者

下面顯示沒有識別網域的租用戶 OCI 主控台。

使用 IAM 在 OCI 中建立使用者

如需詳細資訊,請參閱您是否有身分識別網域的存取權?

使用識別和存取管理來設定使用者、群組、動態群組和原則

Oracle NoSQL Database Cloud Service 使用 Oracle Cloud Infrastructure Identity and Access Management (IAM) 提供對 Oracle Cloud 的安全存取。Oracle Cloud Infrastructure IAM 可讓您建立使用者帳戶,並授予使用者檢查、讀取、使用或管理表格的權限。

如果您認證為使用者主體 (使用 API 簽署金鑰),請參閱設定使用者、群組和原則。或者,如果您認證為「執行處理主體」或「資源主體」,請參閱設定動態群組和原則

設定使用者、群組和原則

  1. 以雲端帳戶管理員身分登入您的雲端帳戶。
  2. Oracle Cloud Infrastructure 主控台中,新增一或多個使用者。
    • 根據您的租用戶選擇下列其中一項 (不論是具有識別網域還是沒有識別網域):
      • 識別網域的租用戶:執行下列作業:
        • 開啟導覽功能表,然後選取識別與安全性
        • 識別下,選取網域。這會開啟「網域」頁面。
        • 選取套用的篩選條件旁邊的區間篩選條件。從下拉式清單中選取您的區間,然後選取套用篩選條件
        • 選取您要處理的識別網域。在使用者管理頁籤上,移至使用者區段。
      • 沒有識別網域的租用戶:開啟導覽功能表並選取識別與安全性。在識別下,選取使用者
    • 選取建立
    • 輸入使用者的詳細資訊,然後選取建立
  3. Oracle Cloud Infrastructure 主控台中,建立 OCI 群組。
    • 根據您的租用戶選擇下列其中一項 (不論是具有識別網域還是沒有識別網域):
      • 識別網域的租用戶:執行下列作業:
        • 開啟導覽功能表,然後選取識別與安全性
        • 識別下,選取網域。這會開啟「網域」頁面。
        • 選取套用的篩選條件旁邊的區間篩選條件。從下拉式清單中選取您的區間,然後選取套用篩選條件
        • 選取您要處理的識別網域。在使用者管理頁籤上,向下捲動至群組區段。
      • 沒有識別網域的租用戶:開啟導覽功能表並選取識別與安全性。在識別下,選取群組
    • 選取建立群組
    • 輸入群組的相關詳細資訊。例如,如果您建立的原則賦予使用者完全管理 Oracle NoSQL Database Cloud Service 表格的權限,您可以將群組命名為 nosql_service_admin (或類似),並包括簡短描述,例如 具備在 Oracle Cloud Infrastructure 上設定和管理 Oracle NoSQL Database Cloud Service 表格權限的使用者 (或類似)。
    • 選取建立
  4. 建立一個原則,讓屬於 OCI 群組的使用者、Oracle NoSQL Database Cloud Service 表格或區間的特定存取權限。
    • 開啟導覽功能表,然後選取識別與安全性
    • 識別下,選取原則
    • 選取套用的篩選條件旁邊的區間篩選條件。從下拉式清單中選取您的區間,然後選取套用篩選條件
    • 選取建立原則

      如需詳細資訊和範例,請參閱原則參照管理表格的一般原則敘述句

      如果您不熟悉原則的運作方式,請參閱原則的運作方式

  5. 若要透過 Oracle NoSQL Database Cloud Service SDK 管理及使用 NoSQL 表格,使用者必須設定 API 金鑰。請參閱連線至 Oracle NoSQL Database 的認證

    附註:

    同盟使用者也可以管理和使用 Oracle NoSQL Database Cloud Service 表格。這需要服務管理員在 Oracle Cloud Infrastructure Identity and Access Management 中設定同盟。請參閱與身分識別提供者聯合

    屬於原則敘述句中提及之任何群組的使用者在下次登入主控台時,會取得其新權限。

設定動態群組和原則

在使用資源主體或執行處理主體呼叫 Oracle Cloud Infrastructure 資源之前,Oracle Cloud Infrastructure 租用戶管理員必須先建立 Oracle Cloud Infrastructure 原則、動態群組,以及定義資源主體或執行處理主體權限的規則。
  • 以雲端帳戶管理員身分登入您的雲端帳戶。
  • 在 Oracle Cloud Infrastructure 主控台中,建立動態群組。
    • 根據您的租用戶選擇下列其中一項 (不論是具有識別網域還是沒有識別網域):
      • 使用識別網域的租用戶:
        • 開啟導覽功能表,然後選取識別與安全性
        • 識別下,選取網域。這會開啟「網域」頁面。
        • 選取套用的篩選條件旁邊的區間篩選條件。從下拉式清單中選取您的區間,然後選取套用篩選條件
        • 選取您要使用的識別網域,然後選取動態群組頁籤。
      • 沒有識別網域的租用戶:開啟導覽功能表並選取識別與安全性。在識別下,選取動態群組
    • 選取建立動態群組,然後輸入「名稱」、「說明」和規則,或使用「規則建置器」來新增規則。
    • 選取建立
      符合規則條件的資源是動態群組的成員。當您定義動態群組的規則時,請考量將授予其他資源存取權的資源。建立規則的一些範例:
      1. 函數的比對規則:
        ALL {resource.type = 'fnfunc',resource.compartment.id =
'ocid1.compartment.oc1..aaaaaaaafml3tca3zcxyifmdff3aadp5uojimgx3cdnirgup6rhptxwnandq'}
        此規則表示指定區間 (上面指定的 ID) 中,任何名為 fnfunc 的資源類型都是動態群組的成員。

        附註:

        如需不同資源類型的詳細資訊,請參閱資源類型
      2. 新增執行處理主體執行處理時的規則:
        ALL { instance.compartment.id =
      'ocid1.compartment.oc1..aaaaaaaa4mlehopmvdluv2wjcdp4tnh2ypjz3nhhpahb4ss7yvxaa3be3diq'}

        此規則表示以上指定之區間 ID 的所有執行處理都是動態群組的成員。

      3. 使用 API 閘道搭配函數時的規則:
        ALL {resource.type = 'ApiGateway',resource.compartment.id =
      'ocid1.compartment.oc1..aaaaaaaafml3tca3zcxyifmdff3aadp5uojimgx3cdnirgup6rhptxwnandq'}

        此規則表示指定區間中 (上面指定的 ID) 中,任何名為 ApiGateway 的資源類型都是動態群組的成員。

      4. 使用容器執行處理時的規則:
        ALL {resource.type = 'computecontainerinstance', 
resource.compartment.id = 
'ocid1.compartment.oc1..aaaaaaaa4mlehopmvdluv2wjcdp4tnh2ypjz3nhhpahb4ss7yvxaa3be3diq'}

        此規則表示指定區間中 (上面指定的 ID) 中,任何名為 computecontainerinstance 的資源類型都是動態群組的成員。

    附註:

    繼承不適用於動態群組。使用 IAM 存取原則時,父項區間的原則會自動套用至所有子項區間。這不是您使用「動態」群組的情況。您必須分別列出動態群組中的每個區間,區間才有資格。
    範例:父項 - 子項區間之函數的比對規則:
    ALL {resource.type = 'fnfunc',
ANY{resource.compartment.id = '<parent-compid>',  resource.compartment.id = '<child-compid1>',
resource.compartment.id = '<child-compid2>', ...}}
  • 撰寫動態群組的原則敘述句以啟用 Oracle Cloud Infrastructure 資源的存取。
    • 在 Oracle Cloud Infrastructure 主控台中,選取身分識別與安全性,然後選取原則
    • 選取套用的篩選條件旁邊的區間篩選條件。從下拉式清單中選取您的區間,然後選取套用篩選條件
    • 若要撰寫動態群組的原則,請選取建立原則,然後輸入「名稱」和「描述」。
    • 您可以使用「原則產生器」來建立原則。定義原則的一般語法如下所示:
      Allow <subject> to <verb> <resource-type> in <location> where <conditions>
      • 主旨語法:一或多個以逗號區隔的群組 (依名稱或 OCID)。
      • 動詞:值為檢驗、讀取、使用或管理。
      • resource-type:個別的 resource-type、A 系列資源類型 (例如 nosql-family) 或 all-resources。
      • 區間:依名稱或 OCID 區分的單一區間或區間路徑
      範例:此原則允許動態群組 nosql_application 使用區間 UATnosql 中資源的 fnfunc 存取權。
      allow dynamic-group nosql_application to use  fnfunc in compartment UATnosql

      範例:此原則可讓動態群組 nosql_application 存取 UATnosql 區間中 nosql-family 系列資源的 manage

    • 選取建立。如需原則的詳細資訊,請參閱管理原則