IAM-Policys für Autonomous Database

Enthält Informationen zu IAM-Policys, die für API-Vorgänge in Autonomous Database erforderlich sind.

Oracle Autonomous Database nutzt den IAM-Service (Identity and Access Management), um Cloud-Benutzer zu authentifizieren und zu autorisieren, Vorgänge auszuführen, die eine der Oracle Cloud Infrastructure-Schnittstellen verwenden (Konsole, REST-API, CLI, oder SDK).

Der IAM-Service verwendet Gruppen, Compartments, und Policys, um zu steuern, welche Cloud-Benutzer auf welche Ressourcen zugreifen können.

Policy-Details für Autonomous Database
In diesem Thema werden Details zum Schreiben von Policys beschrieben, die den Zugriff auf Autonomous Database-Ressourcen kontrollieren.
IAM-Berechtigungen und API-Vorgänge für Autonomous Database
In diesem Thema werden die verfügbaren IAM-Berechtigungen für Vorgänge in Autonomous Database beschrieben.
Bestimmte Berechtigungen in IAM-Policys zur Verwaltung von Autonomous Database angeben
Listet IAM-Policys auf, die Sie mit einem Autorisierungsverb und einer Bedingung verwenden können, um einer Gruppe detailliertere Vorgänge zu erteilen.

Übergeordnetes Thema: Sicherheit

Policy-Details für Autonomous Database

In diesem Thema werden Details zum Schreiben von Policys beschrieben, die den Zugriff auf Autonomous Database-Ressourcen kontrollieren.

Eine Policy definiert, welche Art von Zugriff eine Benutzergruppe auf eine bestimmte Ressource in einem einzelnen Compartment hat. Weitere Informationen finden Sie unter Erste Schritte mit Policys.

Ressourcentypen

Ein aggregierter Ressourcentyp umfasst die Liste der individuellen Ressourcentypen, die direkt danach aufgeführt werden. Beispiel: Wenn Sie eine Policy schreiben, um den Zugriff einer Gruppe auf autonomous-database-family zu ermöglichen, entspricht das dem Schreiben von vier separaten Policys, die der Gruppe Zugriff auf die Ressourcentypen autonomous-databases und autonomous-backups erteilen. Weitere Informationen finden Sie unter Ressourcentypen.

Ressourcentypen für Autonomous Database

Aggregierter Ressourcentyp:

autonomous-database-family

Einzelne Ressourcentypen:

autonomous-databases

autonomous-backups

Details zu Kombinationen aus Verb und Ressourcentyp

Die Zugriffsebene ist kumulativ von inspect > read > use > manage. Ein Pluszeichen (+) in einer Tabellenzelle gibt den inkrementellen Zugriff im Vergleich zur Zelle direkt darüber an, während "Keine zusätzlichen" keinen inkrementellen Zugriff angibt.

Beispiel: Das Verb read für den Ressourcentyp autonomous-databases deckt dieselben Berechtigungen und API-Vorgänge wie das Verb inspect sowie die Berechtigung "AUTONOMOUS_DATABASE_CONTENT_READ" ab. Das Verb read umfasst teilweise den Vorgang CreateAutonomousDatabaseBackup, für den auch Verwaltungsberechtigungen für autonomous-backups erforderlich sind.

In den folgenden Tabellen sind die Berechtigungen und API-Vorgänge aufgeführt, die von den einzelnen Verben abgedeckt werden. Informationen zu Berechtigungen finden Sie unter Berechtigungen.

Hinweis

Mit der Ressourcenfamilie, die von autonomous-database-family abgedeckt wird, können Sie den Zugriff auf Datenbankressourcen erteilen, die mit allen Autonomous Database-Workload-Typen verknüpft sind.

autonome Datenbanken - Ressourcentypen

Verbs	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
inspizieren	`AUTONOMOUS_DATABASE_INSPECT`	`GetAutonomousDatabase, GetAutonomousDatabaseBackupConfig, GetAutonomousDatabaseCapability, ListAutonomousDatabases, ListAutonomousDatabaseClones, ListAutonomousDatabasePeers, ListAutonomousDatabaseRefreshableClones, ResourcePoolShapes`	keine
gelesen	`INSPECT +` `AUTONOMOUS_DATABASE_CONTENT_READ`	`GenerateAutonomousDatabasePerformanceData, GenerateAutonomousDatabaseWallet, GetAutonomousDatabaseRegionalWallet, GetAutonomousDatabaseWallet, RetrieveDatabasePerformanceBulkData`	`CreateAutonomousDatabaseBackup` (erfordert auch `manage autonomous-backups`)
verwenden	`READ +` `AUTONOMOUS_DATABASE_CONTENT_WRITE` `AUTONOMOUS_DATABASE_UPDATE`	AutonomousDatabaseManualRefresh, CancelAutonomousDatabaseSession, ChangeDisasterRecoveryConfiguration, ConfigureAutonomousDatabaseVaultKey, DeregisterAutonomousDatabaseDataSafe, DisableAutonomousDatabaseOperationsInsights, DisableDatabaseManagement, EnableAutonomousDatabaseOperationsInsights, EnableDatabaseManagement, FailOverAutonomousDatabase, GetAutonomousDatabaseConsoleToken, RegisterAutonomousDatabaseDataSafe, RestartAutonomousDatabase, RotateAutonomousDatabaseEncryptionKey, ShrinkAutonomousDatabase, StartAutonomousDatabase, StopAutonomousDatabase, SwitchOverAutonomousDatabase, UpdateAutonomousDatabaseRegionalWallet, UpdateAutonomousDatabase	`RestoreAutonomousDatabase` (benötigt auch `read autonomous-backups`) `ChangeAutonomousDatabaseCompartment` (benötigt auch `read autonomous-backups`)
verwalten	`USE +` `AUTONOMOUS_DATABASE_CREATE` `AUTONOMOUS_DATABASE_DELETE`	`CreateAutonomousDatabase, DeleteAutonomousDatabase`	keine

Liste der Vorgänge und erforderlichen IAM-Policys zur Verwaltung einer Autonomous Database-Instanz

Vorgang	Erforderliche IAM Policys
Peerdatenbank hinzufügen	`use autonomous-databases`
Sicherheitsattribute hinzufügen	`use autonomous-databases`
Compute-Modell ändern	`use autonomous-databases`
Datenbankmodus ändern	`use autonomous-databases`
Netzwerk ändern	`use autonomous-databases`
Workload-Typ ändern	`use autonomous-databases`
Autonome Datenbank klonen	`manage autonomous-databases` Weitere Klonberechtigungen für Autonomous Database finden Sie unter IAM-Berechtigungen und API-Vorgänge für Autonomous Database.
Autonome Datenbank erstellen	`manage autonomous-databases` `read autonomous-databases`
Konfiguration von Datenbanktools bearbeiten	`use autonomous-databases`
Start- und Stoppplan bearbeiten	`use autonomous-databases`
Elastischen Pool aktivieren	`use autonomous-databases`
Automatische Skalierung für eine autonome Datenbank aktivieren oder deaktivieren	`use autonomous-databases`
Elastischen Pool verbinden	`use autonomous-databases`
Kundenkontakte verwalten	`use autonomous-databases`
Verschlüsselungsschlüssel verwalten	`use autonomous-databases`
Autonome Datenbank in ein anderes Compartment verschieben	`use autonomous-databases` im aktuellen Compartment der Datenbank und im Compartment, in das Sie sie verschieben `read autonomous-backups`
Autonomous Database umbenennen	`use autonomous-databases`
Autonome Datenbank neu starten	`use autonomous-databases`
Autonome Datenbank wiederherstellen	`use autonomous-databases` `read autonomous-backups`
ECPU-Anzahl oder Speicher einer Autonomous Database skalieren	`use autonomous-databases`
Kennwort für ADMIN-Benutzer einrichten	`use autonomous-databases`
Autonome Datenbank stoppen oder starten	`use autonomous-databases`
Switchover	`use autonomous-databases`
Autonome Datenbank beenden	`manage autonomous-databases`
Disaster Recovery aktualisieren	`use autonomous-databases`
Anzeigenamen aktualisieren	`use autonomous-databases`
Lizenz und Oracle Database-Edition aktualisieren	`use autonomous-databases`
Netzwerkzugriff für ACLs aktualisieren	`use autonomous-databases`
Netzwerkzugriff für einen privaten Endpunkt aktualisieren	`use autonomous-databases`
Liste autonomer Datenbanken anzeigen	`inspect autonomous-databases`
Details zu einer autonomen Datenbank anzeigen	`inspect autonomous-databases`

autonome Backups

Verbs	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
inspect	`AUTONOMOUS_DB_BACKUP_INSPECT`	`ListAutonomousDatabaseBackups, GetAutonomousDatabaseBackup`	keine
verwalten	`USE +` `AUTONOMOUS_DB_BACKUP_CREATE` `AUTONOMOUS_DB_BACKUP_DELETE`	`DeleteAutonomousDatabaseBackup`	`CreateAutonomousDatabaseBackup` (auch benötigt `read autonomous-databases`)
gelesen	`INSPECT +` `AUTONOMOUS_DB_BACKUP_CONTENT_READ`	keine zusätzlichen	`RestoreAutonomousDatabase` (benötigt auch `use autonomous-databases`) `ChangeAutonomousDatabaseCompartment` (benötigt auch `use autonomous-databases`)
verwenden	LESEN + keine zusätzlichen	keine zusätzlichen	keine

Unterstützte Variablen

Alle allgemeinen OCI Identity and Access Management-Variablen werden unterstützt. Weitere Informationen finden Sie unter Allgemeine Variablen für alle Anforderungen.

Außerdem können Sie die Variable target.id mit der OCID einer Datenbank nach dem Erstellen einer Datenbank und die Variable target.workloadType mit einem Wert verwenden, wie in der folgenden Tabelle gezeigt:

Wert target.workloadType	Beschreibung
`OLTP`	Online-Transaktionsverarbeitung, für autonome Datenbanken mit Workload in der Transaktionsverarbeitung.
`DW`	Data Warehouse (Data Warehouse) für autonome Datenbanken mit Data Warehouse-Workload.
`AJD`	Autonomous JSON Database, die für autonome Datenbanken mit JSON-Workload verwendet wird.
`APEX`	APEX-Service für den Autonomous Database-APEX-Service.

Beispiel-Policy mit der Variable target.id:

Allow group ADB-Admins to manage autonomous-databases in tenancy where target.id = 'OCID'

Beispiel-Policy mit der Variablen target.workloadType:

Allow group ADB-Admins to manage autonomous-databases in tenancy where target.workloadType = 'AJD'

Übergeordnetes Thema: IAM-Policys für Autonomous Database

IAM-Berechtigungen und API-Vorgänge für Autonomous Database

In diesem Thema werden die verfügbaren IAM-Berechtigungen für Vorgänge in Autonomous Database beschrieben.

Im Folgenden sind die IAM-Berechtigungen für Autonomous Database aufgeführt:

AUTONOMOUS_DATABASE_CONTENT_READ
AUTONOMOUS_DATABASE_CONTENT_WRITE
AUTONOMOUS_DATABASE_CREATE

Weitere Einschränkungen beim Klonen finden Sie unter Berechtigungen klonen.
AUTONOMOUS_DATABASE_DELETE
AUTONOMOUS_DATABASE_INSPECT
AUTONOMOUS_DATABASE_UPDATE
AUTONOMOUS_DB_BACKUP_CONTENT_READ
AUTONOMOUS_DB_BACKUP_CREATE
AUTONOMOUS_DB_BACKUP_INSPECT
NETWORK_SECURITY_GROUP_UPDATE_MEMBERS
VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP

Beispiel-Policy für eine Gruppe mit Berechtigungen zum Erstellen von Autonomous Database in einem Compartment:

Allow group group-name to manage autonomous-database in compartment id compartment-ocid 
    where all{request-permission = 'AUTONOMOUS_DATABASE_UPDATE'}

Für den Vorgang erforderliche Berechtigungen	API-Vorgänge
`AUTONOMOUS_DATABASE_CONTENT_READ`	`GenerateAutonomousDatabaseWallet` `GetAutonomousDatabaseRegionalWallet` `GetAutonomousDatabaseWallet` `RetrieveDatabasePerformanceBulkData`
`AUTONOMOUS_DATABASE_CREATE`	`CreateAutonomousDatabase`
`AUTONOMOUS_DATABASE_DELETE`	`DeleteAutonomousDatabase`
`AUTONOMOUS_DATABASE_INSPECT`	`GetAutonomousDatabase` `ListAutonomousDatabaseClones` `ListAutonomousDatabasePeers` `ListAutonomousDatabaseRefreshableClones` `ListAutonomousDatabases` `ResourcePoolShapes`
`AUTONOMOUS_DATABASE_UPDATE`	`AutonomousDatabaseManualRefresh` `ConfigureAutonomousDatabaseVaultKey` `DeregisterAutonomousDatabaseDataSafe` `DisableAutonomousDatabaseOperationsInsights` `DisableDatabaseManagement` `EnableAutonomousDatabaseOperationsInsights` `EnableDatabaseManagement` `FailOverAutonomousDatabase` `RegisterAutonomousDatabaseDataSafe` `RestartAutonomousDatabase` `RotateAutonomousDatabaseEncryptionKey` `ShrinkAutonomousDatabase` `StartAutonomousDatabase` `StopAutonomousDatabase` `SwitchOverAutonomousDatabase` `UpdateAutonomousDatabaseWallet` `UpdateAutonomousDatabaseRegionalWallet`
`AUTONOMOUS_DB_BACKUP_INSPECT`	`GetAutonomousDatabaseBackup` `ListAutonomousDatabaseBackups`
`AUTONOMOUS_DB_BACKUP_UPDATE`	`UpdateAutonomousDatabaseBackup`
`AUTONOMOUS_DB_BACKUP_CREATE` `AUTONOMOUS_DATABASE_CONTENT_READ`	`CreateAutonomousDatabaseBackup`
`AUTONOMOUS_DB_BACKUP_INSPECT` `AUTONOMOUS_DB_BACKUP_DELETE`	`DeleteAutonomousDatabaseBackup`
`AUTONOMOUS_DB_BACKUP_INSPECT` `AUTONOMOUS_DB_BACKUP_CONTENT_READ` `AUTONOMOUS_DATABASE_CONTENT_WRITE`	`RestoreAutonomousDatabase`
Erforderlich für die Quelle und das Ziel-Compartment: `AUTONOMOUS_DATABASE_UPDATE` `AUTONOMOUS_DB_BACKUP_INSPECT` `AUTONOMOUS_DB_BACKU_CREATE` `AUTONOMOUS_DATABASE_CONTENT_WRITE` Erforderlich sowohl im Quell- als auch im Ziel-Compartment, wenn der private Endpunkt aktiviert ist: `WNIC_ASSOCIATE_NETOWRK_SECURITY_GROUP` `NETWORK_SECURITY_GROUP_UPDATE_MEMBERS`	`ChangeAutonomousDatabaseCompartment`
Drei mögliche Fälle: Wenn die Workload `NULL` ist: `AUTONOMOUS_DATABASE_UPDATE` Wenn die Workload nicht `NULL` ist: `AUTONOMOUS_DATABASE_CREATE` `AUTONOMOUS_DATABASE_UPDATE` Wenn Tagging aktiviert ist: `AUTONOMOUS_DATABASE_UPDATE` `AUTONOMOUS_DATABASE_INSPECT`	`UpdateAutonomousDatabase`: Verwenden Sie diese API für Änderungen oder Updates für einen der folgenden Vorgänge: Admin-Kennwort festlegen (`adminPassword`) Plan für automatischen Start/Stop (`scheduledOperations`) Kundenkontakte verwalten (`customerContacts`) Toolkonfiguration bearbeiten (`dbToolsDetails`) BYOL-Lizenzoptionen aktualisieren (`licenseModel` und `byolComputeCountLimit`) Anzeigenamen aktualisieren (`displayName`) einem elastischen Pool beitreten Optionen für elastischen Pool aktualisieren Verschlüsselungsschlüssel verwalten Aktualisierung auf Autonomous Data Guard für Disaster Recovery (`isLocalDataGuardEnabled` und `disasterRecoveryType`) Datenbankbetriebsmodus mit Lese-/Schreibzugriff ändern (`openMode`) Netzwerkzugriff mit ACLs aktualisieren (`whitelistedIps`) Netzwerkzugriff mit privatem Endpunkt aktualisieren (`privateEndpointLabel`) Datenbank umbenennen (`dbName`) Compute-Grenzwerte skalieren (`computeCount`) Compute-Autoscaling-Option verwalten (`isAutoScalingEnabled`) Speicherlimits skalieren ( `dataStorageSizeInTBs`) Speicher-Autoscaling-Optionen verwalten (`isAutoScalingForStorageEnabled`) Workload-Typ ändern (`dbWorkload`)
erfordert `changeAutonomousDatabaseSubscription`	`ChangeAutonomousDatabaseSubscription`
erfordert `getSaasAdminUser`	`SaasAdminUserStatus`
erfordert `updateSaasAdminUser`	`ConfigureSaasAdminUser` `ListAutonomousDatabaseCharacterSets` `ListAutonomousDatabaseMaintenanceWindows`

Berechtigungen klonen

Allgemeine IAM-Berechtigungen werden für Autonomous Database unterstützt. Darüber hinaus können Sie target.autonomous-database.cloneType mit den unterstützten Berechtigungswerten verwenden, um die Zugriffsebene zu steuern, wie in der folgenden Tabelle gezeigt.

target.autonomous-database.cloneType Wert	Beschreibung
`CLONE-FULL`	Nur vollständigen Klon zulassen.
`CLONE-METADATA`	Nur Klonen von Metadaten zulassen.
`CLONE-REFRESHABLE`	Nur aktualisierbaren Klon zulassen.
`/CLONE*/`	Erlauben Sie jede Art von Klon.

Beispiel-Policys mit den unterstützten target.autonomous-database.cloneType-Berechtigungswerten:

Allow group group-name to manage autonomous-databases in compartment id compartment-ocid 
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-FULL'}

Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-METADATA'}

Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-REFRESHABLE'}

Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = /CLONE*/}

Weitere Informationen finden Sie unter Berechtigungen.

Übergeordnetes Thema: IAM-Policys für Autonomous Database

Bestimmte Berechtigungen in IAM-Policys zur Verwaltung von Autonomous Database angeben

Listet IAM-Policys auf, die Sie mit einem Autorisierungsverb und einer Bedingung verwenden können, um einer Gruppe detailliertere Vorgänge zu erteilen.

Beispiel: So lassen Sie zu, dass die Gruppe MyGroup autonome Datenbanken mit der API StartAutonomousDatabase startet:

Allow MyGroup to manage autonomous-databases where request.operation = 'StartAutonomousDatabase'

Weitere Informationen finden Sie unter Verben und Bedingungen.

Autorisierungsverb - Liste
`autonomousDatabaseManualRefresh`
`changeAutonomousDatabaseCompartment`
`changeAutonomousDatabaseSubscription`
`changeDisasterRecoveryConfiguration`
`configureAutonomousDatabaseVaultKey`
`configureSaasAdminUser`
`createAutonomousDatabase`
`createAutonomousDatabaseBackup`
`deleteAutonomousDatabase`
`deleteAutonomousDatabaseBackup`
`deregisterAutonomousDatabaseDataSafe`
`disableAutonomousDatabaseManagement`
`disableAutonomousDatabaseOperationsInsights`
`enableAutonomousDatabaseManagement`
`enableAutonomousDatabaseOperationsInsights`
`failOverAutonomousDatabase`
`generateAutonomousDatabaseWallet`
`getAutonomousDatabase`
`getAutonomousDatabaseBackup`
`getAutonomousDatabaseRegionalWallet`
`getAutonomousDatabaseWallet`
`listAutonomousDatabaseBackups`
`listAutonomousDatabaseCharacterSets`
`listAutonomousDatabaseClones`
`listAutonomousDatabaseMaintenanceWindows`
`listAutonomousDatabasePeers`
`listAutonomousDatabaseRefreshableClones`
`listAutonomousDatabases`
`registerAutonomousDatabaseDataSafe`
`resourcePoolShapes`
`restartAutonomousDatabase`
`restoreAutonomousDatabase`
`rotateAutonomousDatabaseEncryptionKey`
`SaasAdminUserStatus`
`shrinkAutonomousDatabase`
`startAutonomousDatabase`
`stopAutonomousDatabase`
`switchoverAutonomousDatabase`
`updateAutonomousDatabase`
`updateAutonomousDatabaseBackup`
`updateAutonomousDatabaseRegionalWallet`
`updateAutonomousDatabaseWallet`

Das Autorisierungsverb updateAutonomousDatabase gruppiert Berechtigungen zur Verwendung mehrerer API-Vorgänge.

Vorgang
`DeregisterAutonomousDatabaseDataSafe`
`DisableAutonomousDatabaseOperationsInsights`
`DisableDatabaseManagement`
`EnableAutonomousDatabaseOperationsInsights`
`RegisterAutonomousDatabaseDataSafe`

Beispiele:

Allow MyGroup to manage autonomous-databases where request.operation =  'updateAutonomousDatabase'

Übergeordnetes Thema: IAM-Policys für Autonomous Database

Oracle Cloud Infrastructure-Dokumentation