Oracle Cloud Infrastructure-Dokumentation

OCI Database with PostgreSQL-Policys

Verwenden Sie den Oracle Cloud Infrastructure Identity and Access Management-(IAM-)Service, um Policys für OCI Database with PostgreSQL-Ressourcen zu erstellen.

In diesem Thema werden Details zum Schreiben von Policys beschrieben. Dadurch wird der Zugriff auf den OCI Database with PostgreSQL-Service kontrolliert. Weitere Informationen finden Sie unter Erste Schritte mit Policys.

Überblick über die Policy-Syntax

Die allgemeine Syntax einer Policy-Anweisung lautet:

allow <subject> to <verb> <resource-type> in <location> where <condition>

Beispiel: Sie können Folgendes angeben:

  • Eine Gruppe oder dynamische Gruppe nach Name oder OCID als <subject>. Sie können auch any-user verwenden, um alle Benutzer im Mandanten abzudecken.

  • inspect, read, use und manage als <verb>, um <subject> Zugriff auf Berechtigungen zu erteilen.

    Die Zugriffsebene erhöht sich im Allgemeinen in der Reihenfolge der Verben inspect > read > use > manage, und die erteilten Berechtigungen sind kumulativ. Beispiel: use umfasst read sowie die Möglichkeit zum Aktualisieren.

  • Eine Ressourcenfamilie wie virtual-network-family als resource-type. Sie können auch eine einzelne Ressource in einer Familie angeben, wie vcns und subnets.

  • Ein Compartment nach Name oder OCID als <location>. Sie können auch tenancy verwenden, um den gesamten Mandanten abzudecken.

Weitere Informationen zum Erstellen von Policys finden Sie unter Erste Schritte mit Policys und in der Policy-Referenz.

Ressourcentypen

Um Benutzern Zugriff auf OCI Database with PostgreSQL-Ressourcen zu erteilen, erstellen Sie IAM-Policys mit OCI Database with PostgreSQL-Ressourcentypen.

Für den Zugriff auf OCI Database with PostgreSQL-Ressourcen verwenden Sie die folgenden Ressourcentypen:

  • postgres-db-systeme
  • Postgres-Backups
  • postgres-Konfigurationen
  • postgres-work-requests

Weitere Informationen finden Sie unter Policy-Beispiele.

Unterstützte Variablen

Der OCI Database with PostgreSQL-Service unterstützt alle allgemeinen Variablen.

Weitere Informationen zu allgemeinen Variablen, die von OCI-Services unterstützt werden, finden Sie unter Allgemeine Variablen für alle Anforderungen.

Details zu Kombinationen aus Verben und Ressourcentypen

Zum Erstellen einer Policy können verschiedene Oracle Cloud Infrastructure-Verben und -Ressourcentypen verwendet werden.

Die folgenden Tabellen zeigen die Berechtigungen und API-Vorgänge, die von jedem Verb für OCI Database with PostgreSQL abgedeckt werden. Die Zugriffsebene ist kumulativ von inspect zu read zu use zu manage. Ein Pluszeichen (+) in einer Tabellenzelle gibt einen inkrementellen Zugriff im Vergleich zur Zelle direkt davor an, während "Keine zusätzlichen" keinen inkrementellen Zugriff angibt.

postgres-db-systems
Verben Berechtigungen Vollständig abgedeckte APIs Teilweise abgedeckte APIs
inspect

POSTGRES_DB_SYSTEM_INSPECT

ListDbSystems

keine
lesen

INSPECT +

POSTGRES_DB_SYSTEM_READ

INSPECT +

GetDbSystem

GetConnectionDetails

GetManagementPolicy

GetPrimaryDbInstance

keine
verwenden

READ +

POSTGRES_DB_SYSTEM_UPDATE

POSTGRES_DB_SYSTEM_RESTART

READ +

UpdateDbSystem

UpdateManagementPolicy

FailoverDbSystem

RestoreDbSystem

ResetMasterUserPassword

UpdateDbSystemDbInstance

RestartDbInstanceInDbSystem

GetConfiguration

GetBackup

verwalten

USE +

POSTGRES_DB_SYSTEM_CREATE

POSTGRES_DB_SYSTEM_DELETE

POSTGRES_DB_SYSTEM_MOVE

USE +

CreateDbsystem

DeleteDbSystem

ChangeDbSystemCompartment

GetConfiguration

GetBackup

postgres-backups
Verben Berechtigungen Vollständig abgedeckte APIs Teilweise abgedeckte APIs
inspect

POSTGRES_BACKUP_INSPECT

ListBackups

keine
lesen

INSPECT +

POSTGRES_BACKUP_READ

INSPECT +

GetBackup

keine
verwenden

READ +

POSTGRES_BACKUP_UPDATE

READ +

UpdateBackup

keine
verwalten

USE +

POSTGRES_BACKUP_CREATE

POSTGRES_BACKUP_DELETE

POSTGRES_BACKUP_MOVE

POSTGRES_BACKUP_COPY

USE +

CreateBackup

DeleteBackup

ChangeBackupCompartment

BackupCopy

GetDbSystem

postgres-configurations
Verben Berechtigungen Vollständig abgedeckte APIs Teilweise abgedeckte APIs
inspect

POSTGRES_CONFIGURATION_INSPECT

ListConfigurations

keine
lesen

INSPECT +

POSTGRES_CONFIGURATION_READ

INSPECT +

GetConfiguration

keine
verwenden

READ +

POSTGRES_CONFIGURATION_UPDATE

READ +

UpdateConfiguration

keine
verwalten

USE +

POSTGRES_CONFIGURATION_CREATE

POSTGRES_CONFIGURATION_DELETE

POSTGRES_CONFIGURATION_MOVE

USE +

CreateConfiguration

DeleteConfiguration

ChangeConfigurationCompartment

keine
postgres-work-requests
Verben Berechtigungen Vollständig abgedeckte APIs Teilweise abgedeckte APIs
inspect

POSTGRES_WORK_REQUEST_INSPECT

ListWorkRequests

ListWorkRequestErrors

ListWorkRequestLogs

keine
lesen

INSPECT +

POSTGRES_WORK_REQUEST_READ

INSPECT +

GetWorkRequest

keine

Für jeden API-Vorgang erforderliche Berechtigungen

In dieser Tabelle werden die API-Vorgänge für OCI Database with PostgreSQL in einer logischen Reihenfolge nach Ressourcentyp gruppiert aufgeführt.

Die Ressourcentypen sind postgres-db-systems, postgres-backups, postgres-configurations und postgres-work-requests.

Informationen zu Berechtigungen finden Sie unter Berechtigungen.

Erforderliche Berechtigungen
API-Vorgang Für den Vorgang erforderliche Berechtigungen
ListDbSystems POSTGRES_DB_SYSTEM_INSPECT
GetDbSystem POSTGRES_DB_SYSTEM_READ
CreateDbsystem POSTGRES_DB_SYSTEM_CREATE
UpdateDbSystem POSTGRES_DB_SYSTEM_UPDATE
DeleteDbSystem POSTGRES_DB_SYSTEM_DELETE
GetConnectionDetails POSTGRES_DB_SYSTEM_READ
GetManagementPolicy POSTGRES_DB_SYSTEM_READ
CreateManagementPolicy POSTGRES_DB_SYSTEM_CREATE
UpdateManagementPolicy POSTGRES_DB_SYSTEM_UPDATE
DeleteManagementPolicy POSTGRES_DB_SYSTEM_DELETE
ChangeDbSystemCompartment POSTGRES_DB_SYSTEM_MOVE
FailoverDbSystem POSTGRES_DB_SYSTEM_UPDATE
RestartDbSystem POSTGRES_DB_SYSTEM_RESTART
ListShapes Keine. Jeder authentifizierte Benutzer kann Ausprägungen auflisten.
ListBackups POSTGRES_BACKUP_INSPECT
GetBackup POSTGRES_BACKUP_READ
CreateBackup POSTGRES_BACKUP_CREATE
UpdateBackup POSTGRES_BACKUP_UPDATE
DeleteBackup POSTGRES_BACKUP_DELETE
BackupCopy POSTGRES_BACKUP_COPY
ChangeBackupCompartment POSTGRES_BACKUP_MOVE
ListConfigurations POSTGRES_CONFIGURATION_INSPECT
GetConfiguration POSTGRES_CONFIGURATION_READ
CreateConfiguration POSTGRES_CONFIGURATION_CREATE
UpdateConfiguration POSTGRES_CONFIGURATION_UPDATE
DeleteConfiguration POSTGRES_CONFIGURATION_DELETE
ChangeConfigurationCompartment POSTGRES_CONFIGURATION_MOVE
ListWorkRequests POSTGRES_WORK_REQUEST_INSPECT
GetWorkRequest POSTGRES_WORK_REQUEST_READ
ListWorkRequestErrors POSTGRES_WORK_REQUEST_READ
ListWorkRequestLogs POSTGRES_WORK_REQUEST_READ

Policy-Beispiele

Mit den folgenden Policy-Anweisungen kann eine Gruppe von Administratoren OCI Database with PostgreSQL-Datenbanksystemen verwalten:

Allow group <postgresql-admin-group> to read compartments in tenancy
Allow group <postgresql-admin-group> to manage postgres-db-systems in [ tenancy | compartment <compartment_name> | compartment id <compartment_OCID> ]
Allow group <postgresql-admin-group> to manage postgres-backups in [ tenancy | compartment <compartment_name> | compartment id <compartment_OCID> ]
Allow group <postgresql-admin-group> to read postgres-work-requests in [ tenancy | compartment <compartment_name> | compartment id <compartment_OCID> ]
Allow group <postgresql-admin-group> to manage postgres-configuration in [ tenancy | compartment <compartment_name> | compartment id <compartment_OCID> ]
Allow group <postgresql-admin-group> to manage virtual-network-family in [ tenancy | compartment <compartment_name> | compartment id <compartment_OCID> ]
Allow group <postgresql-admin-group> to read secret-family in [ tenancy | compartment <compartment_name> | compartment id <compartment_OCID> ]
Allow group <postgresql-admin-group> to read vaults in [ tenancy | compartment <compartment_name> | compartment id <compartment_OCID> ]
Allow group <postgresql-admin-group> to read metrics in [ tenancy | compartment <compartment_name> | compartment id <compartment_OCID> ]
Allow group <postgresql-admin-group> to use tag-namespaces in tenancy

Mit den folgenden Policy-Anweisungen kann eine Gruppe von Administratoren OCI Database with PostgreSQL-Datenbankbackups verwalten:

Allow group <postgresql-admin-group> to read compartments in tenancy
Allow group <postgresql-admin-group> to manage postgres-backups in [ tenancy | compartment <compartment_name> | compartment id <compartment_OCID> ]
Allow group <postgresql-admin-group> to read postgres-db-systems in [ tenancy | compartment <compartment_name> | compartment id <compartment_OCID> ]
Allow group <postgresql-admin-group> to use tag-namespaces in tenancy

Mit den folgenden Policy-Anweisungen kann eine Gruppe von Administratoren OCI Database with PostgreSQL-Datenbankkonfigurationen verwalten:

Allow group <postgresql-admin-group> to read compartments in tenancy
Allow group <postgresql-admin-group> to manage postgres-configuration in [ tenancy | compartment <compartment_name> | compartment id <compartment_OCID> ]
Allow group <postgresql-admin-group> to use tag-namespaces in tenancy

Mit den folgenden Policy-Anweisungen kann eine Gruppe von Administratoren OCI Database with PostgreSQL-Ressourcen im angegebenen Compartment verwalten:

Allow group <postgresql-admin-group> to manage postgres-db-systems in compartment <database_compartment>
Allow group <postgresql-admin-group> to manage postgres-backups in compartment <database_compartment>
Allow group <postgresql-admin-group> to manage postgres-configurations in compartment <database_compartment>
Allow group <postgresql-admin-group> to read postgres-work-requests in compartment <database_compartment>

Mit der folgenden Anweisung kann eine Benutzergruppe Datenbanken verwenden. Dies bedeutet, dass sie eine vorhandene Datenbank aktualisieren oder neu starten können, jedoch keine Datenbank erstellen oder löschen:

Allow group <postgresql-user-group> to use postgres-db-systems in compartment <database_compartment>