關於 Oracle NoSQL Database Cloud Service 安全性模型
瞭解 Oracle NoSQL Database Cloud Service 的安全模型。
原則
Oracle NoSQL Database Cloud Service 使用以原則為基礎的 Oracle Cloud Infrastructure Identity and Access Management 安全模型。原則是一份文件,指定誰可以存取哪些 Oracle Cloud Infrastructure 資源,包括貴公司擁有的 NoSQL 表格,以及他們如何存取這些資源。原則允許群組以特定類型資源 (例如特定區間中的 NoSQL 表格) 的特定方式運作。
為了管理表格的控制,您的公司至少會有一個原則。每個原則都是由一或多個原則敘述句組成,這類敘述句的基本語法如下:
Allow group <group_name> to <verb> <resource-type> in compartment <compartment_name>若要瞭解原則的運作方式,請參閱 Oracle Cloud Infrastructure 文件中的原則簡介。
群組
在 Oracle Cloud Infrastructure Identity and Access Management 中,您可以在群組中組織使用者,這些使用者通常會共用一組特定 NoSQL 表格或區間的相同存取類型。
您可以撰寫將特定區間內特定類型存取權提供給群組的原則,或授予租用戶本身的原則,以授予群組和區間層次的 NoSQL 表格存取權。如果您將租用戶的存取權授予群組,則群組會自動取得與租用戶內所有區間相同的存取類型。例如,在 ProjectA 區間中建立表格之後,您必須編寫原則,將存取權授予想要管理或使用該表格的群組。否則,即使無法存取的群組也看不到表格。例如,若要允許「開發人員」群組管理所有 NoSQL 資源,您可以建立下列原則:
allow group Developers to manage nosql-family in compartment ProjectAVerbs
動詞可指定原則所授予的存取類型。例如,inspect nosql-tables 可讓您列出 NoSQL 表格。檢查、讀取、使用及管理 Oracle NoSQL Database Cloud Service 支援的動詞。請參閱 Oracle Cloud Infrastructure 文件中的 Verbs 。
資源型態
資源是貴公司員工在與 Oracle Cloud Infrastructure (OCI) 互動時所建立及使用的雲端物件。Oracle 定義可在原則中使用的資源類型。nosql-tables、nosql-rows 以及 nosql-indexes 是 NoSQL Database Cloud Service 支援的三個個別資源類型。
透過在原則中指定資源類型,您可以單獨授予該資源類型的存取權限。例如,若要將租用戶中所有 NoSQL 表格資料列的讀取權限授予檢視者群組,您可以建立下列原則:
allow group viewers to read nosql-rows in tenancy為了簡化寫入原則,NoSQL Database Cloud Service 也提供稱為 nosql-family 的聚總資源類型。nosql-family 包含經常一起管理的 nosql-tables、nosql-indexes 和 nosql-rows。例如,若要將租用戶中 NoSQL 表格的完整存取權授予檢視者群組,您可以將原則撰寫為:
allow group viewers to manage nosql-family in tenancy區間
區間是 Oracle Cloud Infrastructure 的基礎元件。您可以組織區間內的 Oracle NoSQL Database Cloud Service 資源。區間可用來分隔表格,以測量用量與計費、定義存取權,以及隔離不同專案或業務單位之間的資源。
注意:租用戶是包含您組織所有 Oracle Cloud Infrastructure 資源的根區間。
所有 Oracle Cloud Infrastructure Identity and Access Management 資源、使用者、群組、區間和原則都是全球性的,且適用於所有區域,但主要定義集則位於單一區域 (原建立區域)。您必須在原建立區域中對 IAM 資源進行所有變更。若要深入瞭解 IAM 元件,請參閱Oracle Cloud Infrastructure Identity and Access Management 概要。下列備註提供您應讀取之文件版本的相關資訊。
注意:管理 Oracle NoSQL Database Cloud Service 使用者和群組的方式,取決於您的雲端帳戶或租用戶是否位於已更新為使用識別網域的 OCI 區域中。部分 OCI 區域已更新為使用識別網域。如果您在其中一個 OCI 區域擁有雲端帳戶或租用戶,則可以使用識別網域來管理在 Oracle Cloud Infrastructure 中執行作業的使用者。如需有關如何設定 Oracle NoSQL Database Cloud Service 使用者和群組的詳細資訊,請參閱使用身分識別與存取管理設定使用者、群組和原則。
秘訣:
輕鬆判斷您的 OCI 區域是否已更新為使用身分識別與存取管理 (IAM) 識別網域。如需詳細資訊,請參閱您是否有識別網域的存取權?