關於設定使用者群組和原則

Oracle NoSQL Database Cloud Service 使用 Oracle Cloud Infrastructure Identity and Access Management (IAM) 提供對 Oracle Cloud 的安全存取。Oracle Cloud Infrastructure IAM 可讓您建立使用者帳戶，並授予使用者檢查、讀取、使用或管理表格的權限。

您管理 Oracle NoSQL Database Cloud Service 使用者、群組及動態群組的方式，取決於您的雲端帳戶或租用戶是否已更新為使用 Oracle Cloud Infrastructure Identity and Access Management (IAM) 身分識別網域。您可以輕鬆判斷 OCI 租用戶何時更新為使用身分識別與存取管理 (IAM) 識別網域。

使用識別網域之租用戶的 OCI 主控台顯示如下。

以下顯示沒有識別網域之租用戶的 OCI 主控台。

如需詳細資訊，請參閱您是否有識別網域的存取權？

使用身分識別與存取管理來設定使用者、群組、動態群組及原則

Oracle NoSQL Database Cloud Service 使用 Oracle Cloud Infrastructure Identity and Access Management (IAM) 提供對 Oracle Cloud 的安全存取。Oracle Cloud Infrastructure IAM 可讓您建立使用者帳戶，並授予使用者檢查、讀取、使用或管理表格的權限。

如果您要認證為使用者委派人 (使用 API 簽署金鑰)，請參閱設定使用者、群組和原則。或者，如果您要認證為執行處理主要項目或資源主要項目，請參閱設定動態群組和原則。

設定使用者、群組和原則

1. 以雲端帳戶管理員身份登入您的雲端帳戶。

2. 在 Oracle Cloud Infrastructure 主控台中，新增一或多個使用者。

   • 請根據您的租用戶選擇下列其中一項 (無論是否有識別網域或沒有識別網域)：

     • 識別網域的租用戶：請執行下列作業：

       • 開啟導覽功能表，然後選取識別與安全性。

       • 在識別下，選取網域。這會開啟「網域 (Domains)」頁面。

       • 選取套用的篩選條件旁邊的區間篩選條件。從下拉式清單中選取您的區間，然後選取套用篩選條件。

       • 選取您要處理的識別網域。在使用者管理頁籤上，移至使用者區段。

     • 沒有識別網域的租用戶：開啟導覽功能表並選取識別與安全性。在識別下，選取使用者。

   • 選取建立。

   • 輸入使用者的詳細資訊，然後選取建立。

3. 在 Oracle Cloud Infrastructure 主控台中，建立 OCI 群組。

   • 請根據您的租用戶選擇下列其中一項 (無論是否有識別網域或沒有識別網域)：

     • 識別網域的租用戶：請執行下列作業：

       • 開啟導覽功能表，然後選取識別與安全性。

       • 在識別下，選取網域。這會開啟「網域」頁面。

       • 選取套用的篩選條件旁邊的區間篩選條件。從下拉式清單中選取您的區間，然後選取套用篩選條件。

       • 選取您要處理的識別網域。在使用者管理頁籤上，向下捲動至群組區段。

     • 沒有識別網域的租用戶：開啟導覽功能表並選取識別與安全性。在識別下，選取群組。

   • 選取建立群組。

   • 輸入群組的相關詳細資訊。例如，如果您建立的原則賦予使用者完全管理 Oracle NoSQL Database Cloud Service 表格的權限，您可以將群組命名為 nosql_service_admin (或類似)，並包含簡短描述，例如「在 Oracle Cloud Infrastructure 上設定和管理 NoSQL Database Cloud Servicetables 的權限使用者」(或類似)。

   • 選取建立。

4. 建立提供屬於 OCI 群組之使用者、Oracle NoSQL Database Cloud Service 表格或區間特定存取權限的原則。

   • 開啟導覽功能表，然後選取識別與安全性。

   • 在識別下，選取原則。

   • 選取套用的篩選條件旁邊的區間篩選條件。從下拉式清單中選取您的區間，然後選取套用篩選條件。

   • 選取建立原則。

     如需詳細資訊和範例，請參閱 Policies Reference 和 Typical Policy Statements to Manage Tables 。

     如果您不熟悉原則的運作方式，請參閱原則的運作方式。

5. 若要透過 Oracle NoSQL Database Cloud Service SDK 管理及使用 NoSQL 表格，使用者必須設定 API 金鑰。請參閱連線至 Oracle NoSQL Database 的認證。

注意：同盟使用者也可以管理及使用 Oracle NoSQL Database Cloud Service 表格。這需要服務管理員在 Oracle Cloud Infrastructure Identity and Access Management 中設定同盟。請參閱與身分識別提供者聯合。

屬於原則敘述句中提及之任何群組的使用者在下次登入主控台時，會取得新的權限。

設定動態群組和原則

在使用資源主體或執行處理主體呼叫 Oracle Cloud Infrastructure 資源之前，Oracle Cloud Infrastructure 租用戶管理員必須先建立定義資源主體或執行處理主體權限的 Oracle Cloud Infrastructure 原則、動態群組以及規則。

• 以雲端帳戶管理員身份登入您的雲端帳戶。

• 在 Oracle Cloud Infrastructure 主控台中，建立動態群組。

  • 請根據您的租用戶選擇下列其中一項 (無論是否有識別網域或沒有識別網域)：

    • 使用識別網域的租用戶：

      • 開啟導覽功能表，然後選取識別與安全性。

      • 在識別下，選取網域。這會開啟「網域」頁面。

      • 選取套用的篩選條件旁邊的區間篩選條件。從下拉式清單中選取您的區間，然後選取套用篩選條件。

      • 選取您要使用的識別網域，然後選取動態群組頁籤。

    • 沒有識別網域的租用戶：開啟導覽功能表並選取識別與安全性。在識別下，選取動態群組。

  • 選取建立動態群組並輸入「名稱」、「描述」和規則，或使用「規則建置器」來新增規則。

  • 選取建立。

  符合規則準則的資源是動態群組的成員。當您為動態群組定義規則時，請考慮要將哪些資源授予其他資源的存取權。建立規則的一些範例：

  1. 函數的比對規則：

     ALL {resource.type = 'fnfunc',resource.compartment.id =
         'ocid1.compartment.oc1..aaaaaaaafml3tca3zcxyifmdff3aadp5uojimgx3cdnirgup6rhptxwnandq'}

     此規則表示指定區間中任何稱為 fnfunc 的資源類型 (上面指定的 ID) 都是動態群組的成員。

     備註：如需不同資源類型的詳細資訊，請參閱資源類型。

  2. 新增執行處理主體執行處理的規則：

     ALL { instance.compartment.id =
           'ocid1.compartment.oc1..aaaaaaaa4mlehopmvdluv2wjcdp4tnh2ypjz3nhhpahb4ss7yvxaa3be3diq'}

     此規則表示上面指定之區間 ID 的所有執行處理都是動態群組的成員。

  3. 將 API 閘道與函數搭配使用的規則：

     ALL {resource.type = 'ApiGateway',resource.compartment.id =
           'ocid1.compartment.oc1..aaaaaaaafml3tca3zcxyifmdff3aadp5uojimgx3cdnirgup6rhptxwnandq'}

     此規則意味著指定區間中任何稱為 ApiGateway 的資源類型 (上面指定的 ID) 都是動態群組的成員。

  4. 使用容器執行處理時的規則：

     ALL {resource.type = 'computecontainerinstance',
     resource.compartment.id =
     'ocid1.compartment.oc1..aaaaaaaa4mlehopmvdluv2wjcdp4tnh2ypjz3nhhpahb4ss7yvxaa3be3diq'}

     此規則意味著指定區間中任何稱為 computecontainerinstance 的資源類型 (上面指定的 ID) 都是動態群組的成員。

  注意：繼承不適用於動態群組。使用 IAM 存取原則時，父項區間的原則會自動套用至所有子項區間。當您使用「動態」群組時，並不會發生這種情況。您必須在動態群組中分別列出每個區間，才能讓區間符合資格。

  範例：父項 - 子項區間的函數比對規則：

  ALL {resource.type = 'fnfunc',
  ANY{resource.compartment.id = '<parent-compid>', resource.compartment.id = '<child-compid1>',
  resource.compartment.id = '<child-compid2>', ...}}

• 撰寫動態群組的原則敘述句，以啟用 Oracle Cloud Infrastructure 資源的存取。

  • 在 Oracle Cloud Infrastructure 主控台中，選取身分識別與安全性，然後選取原則。

  • 選取套用的篩選條件旁邊的區間篩選條件。從下拉式清單中選取您的區間，然後選取套用篩選條件。

  • 若要撰寫動態群組的原則，請選取建立原則，然後輸入「名稱」和「描述」。

  • 您可以使用「原則產生器」來建立原則。定義原則的一般語法如下所示：

    Allow <subject> to <verb> <resource-type> in <location> where <conditions>

    • 主旨語法：依名稱或 OCID，一或多個以逗號區隔的群組。

    • 動詞：值為檢驗、讀取、使用或管理。

    • resource-type：個別的資源類型、系列資源類型 (例如 nosql-family) 或所有資源。

    • 區間：依名稱或 OCID 區分的單一區間或區間路徑

    範例：此原則允許動態群組 nosql_application fnfunc 存取區間 UATnosql 中的資源。

    allow dynamic-group nosql_application to use  fnfunc in compartment UATnosql

    範例：此原則允許動態群組 nosql_application 存取 UATnosql 區間中 nosql-family 系列資源的 manage。

  • 選取建立。如需原則的詳細資訊，請參閱管理原則。