Principales de recurso
Los sistemas de base de datos pueden utilizar principales de recursos para autenticar otros recursos de Oracle Cloud Infrastructure y acceder a ellos. Para utilizar principales de recursos, el usuario o el administrador de arrendamiento deben definir las políticas y los grupos dinámicos de Oracle Cloud Infrastructure que permiten a los principales acceder a los recursos de Oracle Cloud Infrastructure.
La entidad de recurso se utiliza en las siguientes funciones del servicio HeatWave:
- Traiga su propio certificado: permite a los sistemas de base de datos leer los certificados definidos en el servicio de certificados de Oracle Cloud Infrastructure (OCI).
- HeatWave Lakehouse: permite a los sistemas de base de datos leer datos de Object Storage.
- Exportación de resultados de consulta a Object Storage: permite al servicio HeatWave exportar resultados de consulta a Object Storage.
- Acceso al servicio OCI Generative AI: permite a HeatWave GenAI utilizar cualquier modelo básico preentrenado disponible en OCI Generative AI Service.
Las entidades de recurso tienen dos componentes:
Grupos dinámicos
Los grupos dinámicos permiten agrupar sistemas de base de datos de servicio HeatWave como actores principales, de forma similar a los grupos de usuarios.
A continuación, puede crear políticas para permitir que los sistemas de base de datos de los grupos dinámicos realicen llamadas de API a los servicios de Oracle Cloud Infrastructure, como certificados o almacenamiento de objetos. La pertenencia al grupo viene determinada por un conjunto de criterios definidos, denominados reglas de coincidencia.
"ALL{resource.type='mysqldbsystem', resource.compartment.id = 'ocid1.compartment.oc1..alphanumericString'}"Para obtener más información, consulte Escritura de reglas de coincidencia para definir grupos dinámicos.
Los grupos dinámicos necesitan un nombre, una descripción y una regla de coincidencia. Consulte Creación de un grupo dinámico.
Políticas
Las políticas definen lo que los grupos o grupos dinámicos pueden y no pueden hacer.
Definición de una política para traer su propio certificado
Para que los sistemas de base de datos accedan a los certificados desde el servicio Certificates, debe definir una política que permita al grupo dinámico leer los certificados.
Allow dynamic-group MYSQL_DG to read leaf-certificate-family in compartment C8Definición de una política para HeatWave Lakehouse
Para que HeatWave Lakehouse acceda a Object Storage, debe definir una política que permita al grupo dinámico acceder a los cubos y su contenido.
Allow dynamic-group MYSQL_DG to read buckets in compartment C8
Allow dynamic-group MYSQL_DG to read objects in compartment C8Definición de una política para exportar resultados de consultas a Object Storage
Para permitir que HeatWave exporte los resultados de la consulta a Object Storage, la política debe otorgar permisos para crear y suprimir objetos del cubo en el grupo dinámico.
Allow dynamic-group MYSQL_DG to read buckets in compartment C8
Allow dynamic-group MYSQL_DG to manage objects in compartment C8 where
any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT',
request.permission='OBJECT_DELETE'}Allow dynamic-group MYSQL_DG to read buckets in compartment C8
Allow dynamic-group MYSQL_DG to manage objects in compartment C8 where
all {target.bucket.name='BucketA',
any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT',
request.permission='OBJECT_DELETE'} }Definición de una política para acceder al servicio OCI Generative AI
Para que HeatWave GenAI utilice cualquier modelo básico previamente entrenado disponible en OCI Generative AI, debe definir una política que permita al grupo dinámico acceder al servicio OCI Generative AI.
Allow dynamic-group MYSQL_DG to use generative-ai-chat in compartment C8
Allow dynamic-group MYSQL_DG to use generative-ai-text-embedding in compartment C8El uso de OCI Generative AI se medirá y facturará en el compartimento seleccionado.