IAM-Policys für Autonomous Database

Enthält Informationen zu IAM-Policys, die für API-Vorgänge in Autonomous Database erforderlich sind.

Oracle Autonomous Database nutzt den IAM-Service (Identity and Access Management), um Cloud-Benutzer zu authentifizieren und zu autorisieren, Vorgänge auszuführen, die eine der Oracle Cloud Infrastructure-Schnittstellen verwenden (Konsole, REST-API, CLI, oder SDK).

Der IAM-Service verwendet Gruppen, Compartments, und Policys, um zu steuern, welche Cloud-Benutzer auf welche Ressourcen zugreifen können.

Policy-Details für Autonomous Database
In diesem Thema werden Details zum Schreiben von Policys beschrieben, um den Zugriff auf Autonomous Database-Ressourcen zu kontrollieren.
IAM-Berechtigungen und API-Vorgänge für Autonomous Database
In diesem Thema werden die verfügbaren IAM-Berechtigungen für Vorgänge in Autonomous Database behandelt.
Spezifische Berechtigungen in IAM-Policys zur Verwaltung von Autonomous Database bereitstellen
Listet IAM-Policys auf, die Sie mit einem Autorisierungsverb und einer Bedingung verwenden können, um einer Gruppe detailliertere Vorgänge zu erteilen.

Übergeordnetes Thema: Sicherheit

Policy-Details für Autonomous Database

In diesem Thema werden Details zum Schreiben von Policys beschrieben, mit denen der Zugriff auf Autonomous Database-Ressourcen kontrolliert wird.

Eine Policy definiert, welche Art von Zugriff eine Benutzergruppe auf eine bestimmte Ressource in einem einzelnen Compartment hat. Weitere Informationen finden Sie unter Erste Schritte mit Policys.

Ressourcentypen

Ein aggregierter Ressourcentyp umfasst die Liste der individuellen Ressourcentypen, die direkt danach aufgeführt werden. Beispiel: Der Schreibvorgang einer Policy, um dem Zugriff einer Gruppe zu autonomous-database-family zuzulassen, entspricht dem Schreiben von vier separaten Policys für die Gruppe, die Zugriff auf den Ressourcentyp autonomous-databases, autonomous-backups erteilen würde. Weitere Informationen finden Sie unter Ressourcentypen.

Ressourcentypen für Autonomous Database

Aggregierter Ressourcentyp:

autonomous-database-family

Individuelle Ressourcentypen:

autonomous-databases

autonomous-backups

Details zu Kombinationen aus Verb und Ressourcentyp

Die Zugriffsebene ist kumulativ von inspect > read > use > manage. Ein Pluszeichen (+) in einer Tabellenzelle gibt den inkrementellen Zugriff im Vergleich zur Zelle direkt darüber an, während "Keine zusätzlichen" keinen inkrementellen Zugriff angibt.

Beispiel: Das Verb read für den Ressourcentyp autonomous-databases deckt dieselben Berechtigungen und API-Vorgänge wie das Verb inspect sowie die Berechtigung AUTONOMOUS_DATABASE_CONTENT_READ ab. Das Verb read deckt teilweise den Vorgang CreateAutonomousDatabaseBackup ab, für die auch Verwaltungsberechtigungen für autonomous-backups erforderlich ist.

In die folgenden Tabellen werden die von jedem Verb abgedeckten Berechtigungen und API-Vorgänge aufgeführt. Informationen zu Berechtigungen finden Sie unter Berechtigungen.

Hinweis

Mit der Ressourcenfamilie, die von autonomous-database-family abgedeckt wird, können Sie dem Zugriff auf Datenbankressourcen erteilen, die mit allen Autonomous Database-Workload-Typen verknüpft sind.

Ressourcentypen für autonome Datenbanken

Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
inspect	`AUTONOMOUS_DATABASE_INSPECT`	`GetAutonomousDatabase, GetAutonomousDatabaseBackupConfig, GetAutonomousDatabaseCapability, ListAutonomousDatabases, ListAutonomousDatabaseClones, ListAutonomousDatabasePeers, ListAutonomousDatabaseRefreshableClones, ResourcePoolShapes`	Keine
lesen	`INSPECT +` `AUTONOMOUS_DATABASE_CONTENT_READ`	`GenerateAutonomousDatabasePerformanceData, GenerateAutonomousDatabaseWallet, GetAutonomousDatabaseRegionalWallet, GetAutonomousDatabaseWallet, RetrieveDatabasePerformanceBulkData`	`CreateAutonomousDatabaseBackup` (erfordert auch `manage autonomous-backups`)
verwenden	`READ +` `AUTONOMOUS_DATABASE_CONTENT_WRITE` `AUTONOMOUS_DATABASE_UPDATE`	AutonomousDatabaseManualRefresh, CancelAutonomousDatabaseSession, ChangeDisasterRecoveryConfiguration, ConfigureAutonomousDatabaseVaultKey, DeregisterAutonomousDatabaseDataSafe, DisableAutonomousDatabaseOperationsInsights, DisableDatabaseManagement, EnableAutonomousDatabaseOperationsInsights, EnableDatabaseManagement, FailOverAutonomousDatabase, GetAutonomousDatabaseConsoleToken, RegisterAutonomousDatabaseDataSafe, RestartAutonomousDatabase, RotateAutonomousDatabaseEncryptionKey, ShrinkAutonomousDatabase, StartAutonomousDatabase, StopAutonomousDatabase, SwitchOverAutonomousDatabase, UpdateAutonomousDatabaseRegionalWallet, UpdateAutonomousDatabase	`RestoreAutonomousDatabase` (erfordert auch `read autonomous-backups`) `ChangeAutonomousDatabaseCompartment` (erfordert auch `read autonomous-backups`)
verwalten	`USE +` `AUTONOMOUS_DATABASE_CREATE` `AUTONOMOUS_DATABASE_DELETE`	`CreateAutonomousDatabase, DeleteAutonomousDatabase`	Keine

Liste der Vorgänge und erforderlichen IAM-Policys zum Verwalten einer Autonomous Database-Instanz

Arbeitsvorgang	Erforderliche IAM-Policys
Peerdatenbank hinzufügen	`use autonomous-databases`
Sicherheitsattribute hinzufügen	`use autonomous-databases`
Compute-Modell ändern	`use autonomous-databases`
Datenbankmodus ändern	`use autonomous-databases`
Netzwerk ändern	`use autonomous-databases`
Workload-Typ ändern	`use autonomous-databases`
Autonome Datenbank klonen	`manage autonomous-databases` Weitere Klonberechtigungen für Autonomous Database finden Sie unter IAM-Berechtigungen und API-Vorgänge für Autonomous Database.
Autonome Datenbank erstellen	`manage autonomous-databases` `read autonomous-databases`
Datenbanktoolkonfiguration bearbeiten	`use autonomous-databases`
Start-/Stoppplan bearbeiten	`use autonomous-databases`
Elastischen Pool aktivieren	`use autonomous-databases`
Automatische Skalierung für eine autonome Datenbank aktivieren oder deaktivieren	`use autonomous-databases`
Elastischen Pool beitreten	`use autonomous-databases`
Kundenkontakte verwalten	`use autonomous-databases`
Verschlüsselungsschlüssel verwalten	`use autonomous-databases`
Autonome Datenbank in ein anderes Compartment verschieben	`use autonomous-databases` im aktuellen Compartment der Datenbank und im Compartment, in das Sie sie verschieben `read autonomous-backups`
Autonomous Database umbenennen	`use autonomous-databases`
Autonome Datenbank neu starten	`use autonomous-databases`
Autonome Datenbank wiederherstellen	`use autonomous-databases` `read autonomous-backups`
ECPU-Anzahl oder -Speicher einer Autonomous Database skalieren	`use autonomous-databases`
ADMIN-Benutzerkennwort festlegen	`use autonomous-databases`
Autonome Datenbank stoppen oder starten	`use autonomous-databases`
Switchover	`use autonomous-databases`
Autonome Datenbank beenden	`manage autonomous-databases`
Disaster Recovery aktualisieren	`use autonomous-databases`
Anzeigenamen aktualisieren	`use autonomous-databases`
Lizenz und Oracle Database-Edition aktualisieren	`use autonomous-databases`
Netzwerkzugriff für ACLs aktualisieren	`use autonomous-databases`
Netzwerkzugriff für einen privaten Endpunkt aktualisieren	`use autonomous-databases`
Liste der autonomen Datenbanken anzeigen	`inspect autonomous-databases`
Details zu einer autonomen Datenbank anzeigen	`inspect autonomous-databases`

autonome Backups

Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
inspect	`AUTONOMOUS_DB_BACKUP_INSPECT`	`ListAutonomousDatabaseBackups, GetAutonomousDatabaseBackup`	Keine
verwalten	`USE +` `AUTONOMOUS_DB_BACKUP_CREATE` `AUTONOMOUS_DB_BACKUP_DELETE`	`DeleteAutonomousDatabaseBackup`	`CreateAutonomousDatabaseBackup` (benötigt auch `read autonomous-databases`)
lesen	`INSPECT +` `AUTONOMOUS_DB_BACKUP_CONTENT_READ`	kein Extra	`RestoreAutonomousDatabase` (benötigt auch `use autonomous-databases`) `ChangeAutonomousDatabaseCompartment` (benötigt auch `use autonomous-databases`)
verwenden	READ + kein Extra	kein Extra	Keine

Unterstützte Variablen

Alle allgemeinen OCI Identity and Access Management-Variablen werden unterstützt. Weitere Informationen finden Sie unter Allgemeine Variablen für alle Anforderungen.

Darüber hinaus können Sie die Variable target.id mit der OCID einer Datenbank nach dem Erstellen einer Datenbank und die Variable target.workloadType mit einem Wert verwenden, wie in der folgenden Tabelle dargestellt:

target.workloadType-Wert	Beschreibung
`OLTP`	Online-Transaktionsverarbeitung, die für autonome Datenbanken mit Transaktionsverarbeitungs-Workload verwendet wird.
`DW`	Data Warehouse für autonome Datenbanken mit Data Warehouse-Workload.
`AJD`	Autonome JSON-Datenbank für autonome Datenbanken mit JSON-Workload.
`APEX`	APEX-Service für Autonomous Database APEX-Service.

Beispiel-Policy mit der Variablen target.id:

Allow group ADB-Admins to manage autonomous-databases in tenancy where target.id = 'OCID'

Beispiel-Policy mit der Variablen target.workloadType:

Allow group ADB-Admins to manage autonomous-databases in tenancy where target.workloadType = 'AJD'

Übergeordnetes Thema: IAM-Policys für Autonomous Database

IAM-Berechtigungen und API-Vorgänge für Autonomous Database

In diesem Thema werden die verfügbaren IAM-Berechtigungen für Vorgänge in Autonomous Database behandelt.

Im Folgenden werden die IAM-Berechtigungen für Autonomous Database aufgeführt:

AUTONOMOUS_DATABASE_CONTENT_READ
AUTONOMOUS_DATABASE_CONTENT_WRITE
AUTONOMOUS_DATABASE_CREATE

Weitere Einschränkungen beim Klonen finden Sie unter Klonberechtigungen.
AUTONOMOUS_DATABASE_DELETE
AUTONOMOUS_DATABASE_INSPECT
AUTONOMOUS_DATABASE_UPDATE
AUTONOMOUS_DB_BACKUP_CONTENT_READ
AUTONOMOUS_DB_BACKUP_CREATE
AUTONOMOUS_DB_BACKUP_INSPECT
NETWORK_SECURITY_GROUP_UPDATE_MEMBERS
VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP

Beispiel-Policy für eine Gruppe, die Berechtigungen zum Erstellen von Autonomous Database in einem Compartment hat:

Allow group group-name to manage autonomous-database in compartment id compartment-ocid 
    where all{request.permission = 'AUTONOMOUS_DATABASE_UPDATE'}

Für den Vorgang erforderliche Berechtigungen	API-Vorgang
`AUTONOMOUS_DATABASE_CONTENT_READ`	`GenerateAutonomousDatabaseWallet` `GetAutonomousDatabaseRegionalWallet` `GetAutonomousDatabaseWallet` `RetrieveDatabasePerformanceBulkData`
`AUTONOMOUS_DATABASE_CREATE`	`CreateAutonomousDatabase`
`AUTONOMOUS_DATABASE_DELETE`	`DeleteAutonomousDatabase`
`AUTONOMOUS_DATABASE_INSPECT`	`GetAutonomousDatabase` `ListAutonomousDatabaseClones` `ListAutonomousDatabasePeers` `ListAutonomousDatabaseRefreshableClones` `ListAutonomousDatabases` `ResourcePoolShapes`
`AUTONOMOUS_DATABASE_UPDATE`	`AutonomousDatabaseManualRefresh` `ConfigureAutonomousDatabaseVaultKey` `DeregisterAutonomousDatabaseDataSafe` `DisableAutonomousDatabaseOperationsInsights` `DisableDatabaseManagement` `EnableAutonomousDatabaseOperationsInsights` `EnableDatabaseManagement` `FailOverAutonomousDatabase` `RegisterAutonomousDatabaseDataSafe` `RestartAutonomousDatabase` `RotateAutonomousDatabaseEncryptionKey` `ShrinkAutonomousDatabase` `StartAutonomousDatabase` `StopAutonomousDatabase` `SwitchOverAutonomousDatabase` `UpdateAutonomousDatabaseWallet` `UpdateAutonomousDatabaseRegionalWallet`
`AUTONOMOUS_DB_BACKUP_INSPECT`	`GetAutonomousDatabaseBackup` `ListAutonomousDatabaseBackups`
`AUTONOMOUS_DB_BACKUP_UPDATE`	`UpdateAutonomousDatabaseBackup`
`AUTONOMOUS_DB_BACKUP_CREATE` `AUTONOMOUS_DATABASE_CONTENT_READ`	`CreateAutonomousDatabaseBackup`
`AUTONOMOUS_DB_BACKUP_INSPECT` `AUTONOMOUS_DB_BACKUP_DELETE`	`DeleteAutonomousDatabaseBackup`
`AUTONOMOUS_DB_BACKUP_INSPECT` `AUTONOMOUS_DB_BACKUP_CONTENT_READ` `AUTONOMOUS_DATABASE_CONTENT_WRITE`	`RestoreAutonomousDatabase`
Für das Quell- und Ziel-Compartment erforderlich: `AUTONOMOUS_DATABASE_UPDATE` `AUTONOMOUS_DB_BACKUP_INSPECT` `AUTONOMOUS_DB_BACKU_CREATE` `AUTONOMOUS_DATABASE_CONTENT_WRITE` Erforderlich sowohl im Quell- als auch im Ziel-Compartment, wenn der private Endpunkt aktiviert ist: `WNIC_ASSOCIATE_NETOWRK_SECURITY_GROUP` `NETWORK_SECURITY_GROUP_UPDATE_MEMBERS`	`ChangeAutonomousDatabaseCompartment`
Drei mögliche Fälle: Wenn Workload `NULL` ist: `AUTONOMOUS_DATABASE_UPDATE` Wenn Workload nicht `NULL` ist: `AUTONOMOUS_DATABASE_CREATE` `AUTONOMOUS_DATABASE_UPDATE` Wenn Tagging aktiviert ist: `AUTONOMOUS_DATABASE_UPDATE` `AUTONOMOUS_DATABASE_INSPECT`	`UpdateAutonomousDatabase`: Verwenden Sie diese API für Änderungen oder Updates für einen der folgenden Vorgänge: Admin-Kennwort festlegen (`adminPassword`) Zeitplan für automatischen Start/Stopp (`scheduledOperations`) Kundenkontakte managen (`customerContacts`) Werkzeugkonfiguration bearbeiten (`dbToolsDetails`) BYOL-Lizenzoptionen aktualisieren (`licenseModel` und `byolComputeCountLimit`) Anzeigename aktualisieren (`displayName`) elastischen Pool verbinden Elastic Pool-Optionen aktualisieren Verschlüsselungsschlüssel bearbeiten Update auf Autonomous Data Guard für Disaster Recovery (`isLocalDataGuardEnabled` und `disasterRecoveryType`) Schreibgeschützte Schreib-/Lesevorgänge im Modus des Datenbankvorgangs ändern (`openMode`) Netzwerkzugriff mit ACLs aktualisieren (`whitelistedIps`) Netzwerkzugriff mit privatem Endpunkt aktualisieren (`privateEndpointLabel`) Datenbank umbenennen (`dbName`) Compute-Grenzwerte skalieren (`computeCount`) Compute-Autoscaling-Option verwalten (`isAutoScalingEnabled`) Speicherlimits skalieren ( `dataStorageSizeInTBs`) Speicher-Autoscaling-Optionen verwalten (`isAutoScalingForStorageEnabled`) Arbeitslasttyp ändern (`dbWorkload`)
erfordert `changeAutonomousDatabaseSubscription`	`ChangeAutonomousDatabaseSubscription`
erfordert `getSaasAdminUser`	`SaasAdminUserStatus`
erfordert `updateSaasAdminUser`	`ConfigureSaasAdminUser` `ListAutonomousDatabaseCharacterSets` `ListAutonomousDatabaseMaintenanceWindows`

Berechtigungen klonen

Allgemeine IAM-Berechtigungen werden für Autonomous Database unterstützt. Darüber hinaus können Sie target.autonomous-database.cloneType mit den unterstützten Berechtigungswerten verwenden, um die Zugriffsebene zu steuern, wie in der folgenden Tabelle dargestellt.

target.autonomous-database.cloneType Wert	Beschreibung
`CLONE-FULL`	Nur vollständigen Klon zulassen.
`CLONE-METADATA`	Nur Metadatenklon zulassen.
`CLONE-REFRESHABLE`	Nur aktualisierbaren Klon zulassen.
`/CLONE*/`	Lassen Sie jede Art von Klon zu.

Beispiel-Policys mit den unterstützten target.autonomous-database.cloneType-Berechtigungswerten:

Allow group group-name to manage autonomous-databases in compartment id compartment-ocid 
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-FULL'}

Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-METADATA'}

Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-REFRESHABLE'}

Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = /CLONE*/}

Weitere Informationen finden Sie unter Berechtigungen.

Übergeordnetes Thema: IAM-Policys für Autonomous Database

Bestimmte Berechtigungen in IAM-Policys zur Verwaltung von Autonomous Database bereitstellen

Listet IAM-Policys auf, die Sie mit einem Autorisierungsverb und einer Bedingung verwenden können, um einer Gruppe detailliertere Vorgänge zu erteilen.

Beispiel: Damit die Gruppe MyGroup autonome Datenbanken mit der StartAutonomousDatabase-API starten kann:

Allow MyGroup to manage autonomous-databases where request.operation = 'StartAutonomousDatabase'

Weitere Informationen finden Sie unter Verben und Bedingungen.

Autorisierungsverb-Liste
`autonomousDatabaseManualRefresh`
`changeAutonomousDatabaseCompartment`
`changeAutonomousDatabaseSubscription`
`changeDisasterRecoveryConfiguration`
`configureAutonomousDatabaseVaultKey`
`configureSaasAdminUser`
`createAutonomousDatabase`
`createAutonomousDatabaseBackup`
`deleteAutonomousDatabase`
`deleteAutonomousDatabaseBackup`
`deregisterAutonomousDatabaseDataSafe`
`disableAutonomousDatabaseManagement`
`disableAutonomousDatabaseOperationsInsights`
`enableAutonomousDatabaseManagement`
`enableAutonomousDatabaseOperationsInsights`
`failOverAutonomousDatabase`
`generateAutonomousDatabaseWallet`
`getAutonomousDatabase`
`getAutonomousDatabaseBackup`
`getAutonomousDatabaseRegionalWallet`
`getAutonomousDatabaseWallet`
`listAutonomousDatabaseBackups`
`listAutonomousDatabaseCharacterSets`
`listAutonomousDatabaseClones`
`listAutonomousDatabaseMaintenanceWindows`
`listAutonomousDatabasePeers`
`listAutonomousDatabaseRefreshableClones`
`listAutonomousDatabases`
`registerAutonomousDatabaseDataSafe`
`resourcePoolShapes`
`restartAutonomousDatabase`
`restoreAutonomousDatabase`
`rotateAutonomousDatabaseEncryptionKey`
`SaasAdminUserStatus`
`shrinkAutonomousDatabase`
`startAutonomousDatabase`
`stopAutonomousDatabase`
`switchoverAutonomousDatabase`
`updateAutonomousDatabase`
`updateAutonomousDatabaseBackup`
`updateAutonomousDatabaseRegionalWallet`
`updateAutonomousDatabaseWallet`

Das Autorisierungsverb updateAutonomousDatabase gruppiert Berechtigungen zur Verwendung mehrerer API-Vorgänge.

Arbeitsvorgang
`DeregisterAutonomousDatabaseDataSafe`
`DisableAutonomousDatabaseOperationsInsights`
`DisableDatabaseManagement`
`EnableAutonomousDatabaseOperationsInsights`
`RegisterAutonomousDatabaseDataSafe`

Beispiel:

Allow MyGroup to manage autonomous-databases where request.operation =  'updateAutonomousDatabase'

Übergeordnetes Thema: IAM-Policys für Autonomous Database

Oracle Cloud Infrastructure-Dokumentation

IAM-Policys für Autonomous Database

Policy-Details für Autonomous Database

IAM-Berechtigungen und API-Vorgänge für Autonomous Database

Bestimmte Berechtigungen in IAM-Policys zur Verwaltung von Autonomous Database bereitstellen