關於設定使用者群組和原則

Oracle NoSQL Database Cloud Service 使用 Oracle Cloud Infrastructure 身分識別與存取管理 (IAM) 提供對 Oracle Cloud 的安全存取。Oracle Cloud Infrastructure IAM 可讓您建立使用者帳戶,並授予使用者檢查、讀取、使用或管理表格的權限。

您管理 Oracle NoSQL Database Cloud Service 使用者、群組及動態群組的方式,取決於您的雲端帳戶或租用戶是否已更新為使用 Oracle Cloud Infrastructure Identity and Access Management (IAM) 識別網域。輕鬆判斷 OCI 租用戶何時更新為使用身分識別與存取管理 (IAM) 識別網域。

下方顯示使用識別網域之租用戶的 OCI 主控台。

使用 IAM 識別網域在 OCI 中建立使用者

下面顯示沒有識別網域的租用戶 OCI 主控台。

使用 IAM 在 OCI 中建立使用者

如需詳細資訊,請參閱您是否有身分識別網域的存取權?

使用識別和存取管理來設定使用者、群組、動態群組和原則

Oracle NoSQL Database Cloud Service 使用 Oracle Cloud Infrastructure Identity and Access Management (IAM) 提供對 Oracle Cloud 的安全存取。Oracle Cloud Infrastructure IAM 可讓您建立使用者帳戶,並授予使用者檢查、讀取、使用或管理表格的權限。

如果您認證為使用者主體 (使用 API 簽署金鑰),請參閱設定使用者、群組和原則。或者,如果您認證為「執行處理主體」或「資源主體」,請參閱設定動態群組和原則

設定使用者、群組和原則

  1. 以雲端帳戶管理員身分登入您的雲端帳戶。
  2. Oracle Cloud Infrastructure 主控台中,新增一或多個使用者。
    • 根據您的租用戶選擇下列其中一項 (不論是具有識別網域還是沒有識別網域):
      • 使用識別網域的租用戶:開啟導覽功能表,然後按一下識別與安全。在識別底下,按一下網域。選取您要使用的識別網域,然後按一下使用者
      • 沒有識別網域的租用戶:開啟導覽功能表,然後按一下識別與安全。在識別下方,按一下使用者
    • 按一下「建立使用者」。
    • 輸入使用者的詳細資訊,然後按一下建立
  3. Oracle Cloud Infrastructure 主控台中,建立 OCI 群組。
    • 根據您的租用戶選擇下列其中一項 (不論是具有識別網域還是沒有識別網域):
      • 使用識別網域的租用戶:開啟導覽功能表,然後按一下識別與安全。在識別底下,按一下網域。選取您要使用的識別網域,然後按一下群組
      • 沒有識別網域的租用戶:開啟導覽功能表,然後按一下識別與安全。在識別下方,按一下群組
    • 按一下建立群組
    • 輸入群組的相關詳細資訊。例如,如果您建立的原則賦予使用者完全管理 Oracle NoSQL Database Cloud Service 表格的權限,您可以將群組命名為 nosql_service_admin (或類似),並包括簡短描述,例如 具備在 Oracle Cloud Infrastructure 上設定和管理 Oracle NoSQL Database Cloud Service 表格權限的使用者 (或類似)。
  4. 建立一個原則,讓屬於 OCI 群組的使用者、Oracle NoSQL Database Cloud Service 表格或區間的特定存取權限。
  5. 若要透過 Oracle NoSQL Database Cloud Service SDK 管理及使用 NoSQL 表格,使用者必須設定 API 金鑰。請參閱連線至 Oracle NoSQL Database 的認證

    附註:

    同盟使用者也可以管理和使用 Oracle NoSQL Database Cloud Service 表格。這需要服務管理員在 Oracle Cloud Infrastructure Identity and Access Management 中設定同盟。請參閱與身分識別提供者聯合

    屬於原則敘述句中提及之任何群組的使用者在下次登入主控台時,會取得其新權限。

設定動態群組和原則

在使用資源主體或執行處理主體呼叫 Oracle Cloud Infrastructure 資源之前,Oracle Cloud Infrastructure 租用戶管理員必須先建立 Oracle Cloud Infrastructure 原則、動態群組,以及定義資源主體或執行處理主體權限的規則。
  • 以雲端帳戶管理員身分登入您的雲端帳戶。
  • 在 Oracle Cloud Infrastructure 主控台中,建立動態群組。
    • 根據您的租用戶選擇下列其中一項 (不論是具有識別網域還是沒有識別網域):
      • 使用識別網域的租用戶:開啟導覽功能表,然後按一下識別與安全。在識別底下,按一下網域。選取您要使用的識別網域,然後按一下動態群組
      • 沒有識別網域的租用戶:開啟導覽功能表,然後按一下識別與安全。在識別下,按一下動態群組
    • 按一下建立動態群組並輸入名稱、描述和規則,或使用「規則建置器」來新增規則。
    • 按一下「建立」。
      符合規則條件的資源是動態群組的成員。當您定義動態群組的規則時,請考量將授予其他資源存取權的資源。建立規則的一些範例:
      1. 函數的比對規則:
        ALL {resource.type = 'fnfunc',resource.compartment.id =
'ocid1.compartment.oc1..aaaaaaaafml3tca3zcxyifmdff3aadp5uojimgx3cdnirgup6rhptxwnandq'}
        此規則表示指定區間 (上面指定的 ID) 中,任何名為 fnfunc 的資源類型都是動態群組的成員。

        附註:

        如需不同資源類型的詳細資訊,請參閱資源類型
      2. 新增執行處理主體執行處理時的規則:
        ALL { instance.compartment.id =
      'ocid1.compartment.oc1..aaaaaaaa4mlehopmvdluv2wjcdp4tnh2ypjz3nhhpahb4ss7yvxaa3be3diq'}

        此規則表示以上指定之區間 ID 的所有執行處理都是動態群組的成員。

      3. 使用 API 閘道搭配函數時的規則:
        ALL {resource.type = 'ApiGateway',resource.compartment.id =
      'ocid1.compartment.oc1..aaaaaaaafml3tca3zcxyifmdff3aadp5uojimgx3cdnirgup6rhptxwnandq'}

        此規則表示指定區間中 (上面指定的 ID) 中,任何名為 ApiGateway 的資源類型都是動態群組的成員。

      4. 使用容器執行處理時的規則:
        ALL {resource.type = 'computecontainerinstance', 
resource.compartment.id = 
'ocid1.compartment.oc1..aaaaaaaa4mlehopmvdluv2wjcdp4tnh2ypjz3nhhpahb4ss7yvxaa3be3diq'}

        此規則表示指定區間中 (上面指定的 ID) 中,任何名為 computecontainerinstance 的資源類型都是動態群組的成員。

    附註:

    繼承不適用於動態群組。使用 IAM 存取原則時,父項區間的原則會自動套用至所有子項區間。這不是您使用「動態」群組的情況。您必須分別列出動態群組中的每個區間,區間才有資格。
    範例:父項 - 子項區間之函數的比對規則:
    ALL {resource.type = 'fnfunc',
ANY{resource.compartment.id = '<parent-compid>',  resource.compartment.id = '<child-compid1>',
resource.compartment.id = '<child-compid2>', ...}}
  • 撰寫動態群組的原則敘述句以啟用 Oracle Cloud Infrastructure 資源的存取。
    • 在 Oracle Cloud Infrastructure 主控台中,按一下識別與安全,然後按一下原則
    • 若要撰寫動態群組的原則,請按一下建立原則,然後輸入「名稱」和「描述」。
    • 您可以使用「原則產生器」來建立原則。定義原則的一般語法如下所示:
      Allow <subject> to <verb> <resource-type> in <location> where <conditions>
      • 主旨語法:一或多個以逗號區隔的群組 (依名稱或 OCID)。
      • 動詞:值為檢驗、讀取、使用或管理。
      • resource-type:個別的 resource-type、A 系列資源類型 (例如 nosql-family) 或 all-resources。
      • 區間:依名稱或 OCID 區分的單一區間或區間路徑
      Example: This policy allows the dynamic group nosql_application the fnfuncuse access on the resource in the compartment UATnosql.
      allow dynamic-group nosql_application to use  fnfunc in compartment UATnosql

      範例:此原則可讓動態群組 nosql_application 存取 UATnosql 區間中 nosql-family 系列資源的 manage

    • 按一下「建立」。如需有關原則的詳細資訊,請參閱管理原則