IAM-Policys für autonome KI-Datenbank
Enthält Informationen zu IAM-Policys, die für API-Vorgänge in einer autonomen KI-Datenbank erforderlich sind.
Oracle Autonomous AI Database nutzt den IAM-Service (Identity and Access Management), um Cloud-Benutzer zu authentifizieren und zu autorisieren, Vorgänge auszuführen, die einer der Oracle Cloud Infrastructure-Schnittstellen (Konsole, REST-API, CLI oder SDK) entsprechen.
Sie können Benutzern Rollen basierend auf den spezifischen Datenbankaktivitäten zuweisen, die sie ausführen dürfen, wie Backup- und Recovery-Vorgänge, Schlüsselverwaltung und Lebenszyklusvorgänge (wie Stoppen, Starten und Skalieren).
Der IAM-Service verwendet Gruppen, Compartments und Policys, um zu kontrollieren, welche Cloud-Benutzer auf welche Ressourcen zugreifen können.
Policy-Details für autonome KI-Datenbank
In diesem Thema werden Details zum Schreiben von Policys beschrieben, um den Zugriff auf autonome KI-Datenbankressourcen zu kontrollieren.
Eine Policy definiert, welche Art von Zugriff eine Benutzergruppe auf eine bestimmte Ressource in einem einzelnen Compartment hat. Weitere Informationen finden Sie unter Erste Schritte mit Policys.
Ressourcentypen
Ein aggregierter Ressourcentyp umfasst die Liste der individuellen Ressourcentypen, die direkt danach aufgeführt werden. Beispiel: Das Schreiben einer Policy, um dem Zugriff einer Gruppe zu autonomous-database-family zuzulassen, entspricht dem Schreiben von vier separaten Policys für die Gruppe, die Zugriff auf den Ressourcentyp autonomous-databases, autonomous-backups erteilen würde. Weitere Informationen finden Sie unter Ressourcentypen.
Ressourcentypen für autonome KI-Datenbank
Aggregierter Ressourcentyp:
autonomous-database-family
Individuelle Ressourcentypen:
autonomous-databases
autonomous-backups
Details zu Kombinationen aus Verb und Ressourcentyp
Die Zugriffsebene ist kumulativ von inspect > read > use > manage. Ein Pluszeichen (+) in einer Tabellenzelle gibt den inkrementelle Zugriff im Vergleich zur Zelle direkt darüber inkrementellen Zugriff an, während "Keine zusätzlichen" keinen inkrementellen Zugriff angibt.
Beispiel: Das Verb read für den Ressourcentyp autonomous-databases deckt dieselben Berechtigungen und API-Vorgänge wie das Verb inspect sowie die Berechtigung AUTONOMOUS_DATABASE_CONTENT_READ ab. Das Verb read deckt teilweise den Vorgang CreateAutonomousDatabaseBackup ab, für die auch Verwaltungsberechtigungen für autonomous-backups erforderlich ist.
In die folgenden Tabellen werden die von jedem Verb abgedeckten Berechtigungen und API-Vorgänge aufgeführt. Informationen zu Berechtigungen finden Sie unter Berechtigungen.
Hinweis
Hinweis: Mit der Ressourcenfamilie, die von autonomous-database-family abgedeckt wird, können Sie Zugriff auf Datenbankressourcen erteilen, die mit allen Workload-Typen der autonomen KI-Datenbank verknüpft sind.
Ressourcentypen für autonome Datenbanken
| Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
|---|---|---|---|
| inspect | AUTONOMOUS_DATABASE_INSPECT |
GetAutonomousDatabase, GetAutonomousDatabaseBackupConfig, GetAutonomousDatabaseCapability, ListAutonomousDatabases, ListAutonomousDatabaseClones, ListAutonomousDatabasePeers, ListAutonomousDatabaseRefreshableClones, ResourcePoolShapes |
keine |
| lesen |
|
GenerateAutonomousDatabasePerformanceData, GenerateAutonomousDatabaseWallet, GetAutonomousDatabaseRegionalWallet, GetAutonomousDatabaseWallet, RetrieveDatabasePerformanceBulkData |
CreateAutonomousDatabaseBackup (erfordert auch manage autonomous-backups) |
| verwenden |
|
AutonomousDatabaseManualRefresh, CancelAutonomousDatabaseSession, ChangeDisasterRecoveryConfiguration, ConfigureAutonomousDatabaseVaultKey, DeregisterAutonomousDatabaseDataSafe, DisableAutonomousDatabaseOperationsInsights, DisableDatabaseManagement, EnableAutonomousDatabaseOperationsInsights, EnableDatabaseManagement, FailOverAutonomousDatabase, GetAutonomousDatabaseConsoleToken, RegisterAutonomousDatabaseDataSafe, RestartAutonomousDatabase, RotateAutonomousDatabaseEncryptionKey, ShrinkAutonomousDatabase, StartAutonomousDatabase, StopAutonomousDatabase, SwitchOverAutonomousDatabase, UpdateAutonomousDatabaseRegionalWallet, UpdateAutonomousDatabase |
|
| verwalten |
|
CreateAutonomousDatabase, DeleteAutonomousDatabase |
keine |
autonome Backups
| Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
|---|---|---|---|
| inspect | AUTONOMOUS_DB_BACKUP_INSPECT |
ListAutonomousDatabaseBackups, GetAutonomousDatabaseBackup |
keine |
| verwalten |
|
DeleteAutonomousDatabaseBackup |
CreateAutonomousDatabaseBackup (benötigt auch read autonomous-databases) |
| lesen |
|
kein Extra |
|
| verwenden | READ + kein Extra |
kein Extra | keine |
Unterstützte Variablen
Alle allgemeinen OCI Identity and Access Management-Variablen werden unterstützt. Weitere Informationen finden Sie unter Allgemeine Variablen für alle Anforderungen.
Darüber hinaus können Sie die Variable target.id mit der OCID einer Datenbank nach dem Erstellen einer Datenbank und die Variable target.workloadType mit einem Wert verwenden, wie in der folgenden Tabelle dargestellt:
| target.workloadType-Wert | Beschreibung |
|---|---|
OLTP |
Online-Transaktionsverarbeitung, die für autonome KI-Datenbanken mit Transaktionsverarbeitungs-Workload verwendet wird. |
LH |
Lakehouse für autonome KI-Datenbank mit Analyse- und Datenplattform-Workloads. |
DW |
Data Warehouse, das für autonome KI-Datenbanken mit Data Warehouse-Workload verwendet wird. |
AJD |
Autonome JSON-Datenbank für autonome KI-Datenbanken mit JSON-Workload. |
APEX |
APEX-Service für den APEX-Service der autonomen KI-Datenbank. |
Beispiel-Policy mit der Variablen target.id:
Allow group ADB-Admins to manage autonomous-databases in tenancy where target.id = 'OCID'Beispiel-Policy mit der Variablen target.workloadType:
Allow group ADB-Admins to manage autonomous-databases in tenancy where target.workloadType = 'AJD'Sie können die Variable request.operation.actiontype verwenden, die den spezifischen Untervorgang oder die Konfigurationsänderung angibt, die innerhalb eines Vorgangs wie updateAutonomousDatabase oder createAutonomousDatabase angefordert wird. Sie können diese Aktionstypen in Policys mit dem Parameter request.operation.actiontype steuern. Auf diese Weise können Sie Aktionen im Detail steuern und sicherstellen, dass Sie über den für Ihre Rolle erforderlichen Zugriff verfügen.
Beispiel für Policys mit der Variablen request.operation.actiontype:
Wenn eine Policy mit request.operation.actiontype Zugriff auf einen bestimmten Aktionstyp erteilt, sind Sie auf diesen Untervorgang beschränkt und können keine anderen Aktualisierungsaktionen ausführen, es sei denn, diese sind explizit in der Policy enthalten. Beispiel:
allow group MyGroup to manage autonomous-database-family where request.operation.actiontype =
'adminPassword'Die oben genannte Policy erteilt der Gruppe die Berechtigung, das ADMIN-Kennwort zu ändern, aber keine anderen Attribute wie Compute-, Speicher- oder Netzwerkkonfiguration zu ändern.
Ebenso ist es möglich, eine sensible Operation auszuschließen, während andere, zum Beispiel:
allow group MyGroup to manage autonomous-database-family where request.operation.actiontype
!= 'adminPassword'In der folgenden Tabelle ist die Variable ActionType aufgeführt, die jeweils einen bestimmten Untervorgang darstellt, und kann mit CreateAutonomousDatabase oder UpdateAutonomousDatabase verwendet werden:
| ActionType | Arbeitsvorgang |
|---|---|
adminPassword |
Legen Sie das Admin-Kennwort fest, oder legen Sie secretID für den Vault fest. |
scheduledOperations |
Legen Sie den Zeitplan für langfristige Backups fest. |
customerContacts |
Verwalten Sie die Kundenkontaktinformationen für betriebliche Mitteilungen, Ankündigungen und ungeplante Wartung. |
dbToolsConfigure |
Datenbank-Tools aktivieren oder deaktivieren. |
licenseModel |
Aktualisieren Sie die Bring Your Own License-(BYOL-)Optionen und die ECPU-Anzahl für BYOL. |
updateElasticPool |
Aktualisieren Sie die Elastic Pool-Optionen. |
upgradeToPaid |
Lassen Sie ein Upgrade vom Entwickler oder der kostenlosen Version auf die kostenpflichtige Version zu. |
displayName |
Anzeigenamen aktualisieren. |
joinElasticPool |
Verbinden Sie einen elastischen Pool als Mitglied. |
disasterRecoveryType |
Update auf Autonomous Data Guard für Disaster Recovery. |
manageEncryptionKeys |
Verwalten Sie Verschlüsselungsschlüssel (von Oracle verwaltet oder vom Kunden verwaltet). |
openMode |
Ändern Sie die Datenbankbetriebsmodi zwischen Lese- oder Schreibzugriff und Schreibzugriff. |
whitelistedIps |
Ändern Sie zulässige IPs in Access Control-Listen der autonomen KI-Datenbank, um den Netzwerkzugriff zu kontrollieren. |
networkConfig |
Aktualisieren Sie die Netzwerkkonfiguration, einschließlich öffentlicher oder privater Optionen. |
dbName |
Datenbank umbenennen. |
computeCount |
Skalieren Sie die Compute-Limits. |
autoScalingConfig |
Compute-Autoscaling aktivieren oder deaktivieren |
dataStorageSize |
Skalieren Sie die Speicherlimits. |
autoScalingForStorageConfig |
Aktivieren oder deaktivieren Sie die Autoscaling-Option. |
dbWorkload |
Ändern Sie den Workload-Typ. |
scheduleDbVersionUpgrade |
Bestimmte Datumsangaben oder die frühesten verfügbaren Zeitpläne für geplante Datenbankversionsupgrades festlegen. |
vanityUrl |
Legen Sie die Vanity-URL fest, oder ändern Sie Vanity-URL-Details. |
maintenanceScheduleType |
Wechseln Sie zwischen den Wartungsfenstern early und regular zum Patching-Zeitplan. |
Erforderliche IAM-Policys zum Verwalten einer autonomen KI-Datenbankinstanz
| Arbeitsvorgang | Erforderliche IAM-Policys |
|---|---|
| Peerdatenbank hinzufügen | use autonomous-databases |
| Sicherheitsattribute hinzufügen | use autonomous-databases |
| Compute-Modell ändern | use autonomous-databases |
| Datenbankmodus ändern | use autonomous-databases |
| Netzwerk ändern | use autonomous-databases |
| Workload-Typ ändern | use autonomous-databases |
| Autonome KI-Datenbank klonen |
Weitere Klonberechtigungen für autonome KI-Datenbank finden Sie unter IAM-Berechtigungen und API-Vorgänge für autonome KI-Datenbank. |
| Autonome KI-Datenbank erstellen |
|
| Datenbanktoolkonfiguration bearbeiten | use autonomous-databases |
| Start-/Stoppplan bearbeiten | use autonomous-databases |
| Elastischen Pool aktivieren | use autonomous-databases |
| Autoscaling für eine autonome KI-Datenbank aktivieren oder deaktivieren | use autonomous-databases |
| Elastischen Pool beitreten | use autonomous-databases |
| Kundenkontakte verwalten | use autonomous-databases |
| Verschlüsselungsschlüssel verwalten | use autonomous-databases |
| Autonome KI-Datenbank in ein anderes Compartment verschieben |
|
| Autonome KI-Datenbank umbenennen | use autonomous-databases |
| Autonome KI-Datenbank neu starten | use autonomous-databases |
| Autonome KI-Datenbank wiederherstellen |
|
| ECPU-Anzahl oder -Speicher einer autonomen KI-Datenbank skalieren | use autonomous-databases |
| ADMIN-Benutzerkennwort festlegen | use autonomous-databases |
| Autonome KI-Datenbank stoppen oder starten | use autonomous-databases |
| Switchover | use autonomous-databases |
| Autonome KI-Datenbank beenden | manage autonomous-databases |
| Disaster Recovery aktualisieren | use autonomous-databases |
| Anzeigenamen aktualisieren | use autonomous-databases |
| Update-Lizenz und Oracle AI Database Edition | use autonomous-databases |
| Netzwerkzugriff für ACLs aktualisieren | use autonomous-databases |
| Netzwerkzugriff für einen privaten Endpunkt aktualisieren | use autonomous-databases |
| Liste der autonomen KI-Datenbanken anzeigen | inspect autonomous-databases |
| Details einer autonomen KI-Datenbank anzeigen | inspect autonomous-databases |
IAM-Berechtigungen und API-Vorgänge für autonome KI-Datenbank
In diesem Thema werden die verfügbaren IAM-Berechtigungen für Vorgänge in einer autonomen KI-Datenbank behandelt.
Diese Vorgänge werden in Berechtigungen gruppiert, damit typische Rollen diese Vorgänge ausführen können. Wenn detailliertere Berechtigungen erforderlich sind, können diese mit Unteroperationen und Aktionstypen kombiniert werden. UpdateAutonomousDatabase umfasste mehrere Vorgänge, die jedoch basierend auf den Aktionstypen, wie im vorherigen Abschnitt beschrieben, begrenzt werden können.
Im Folgenden werden die IAM-Berechtigungen für autonome KI-Datenbank aufgeführt:
-
AUTONOMOUS_DATABASE_CONTENT_READ -
AUTONOMOUS_DATABASE_CONTENT_WRITE -
AUTONOMOUS_DATABASE_CREATEWeitere Einschränkungen beim Klonen finden Sie unter Klonberechtigungen.
-
AUTONOMOUS_DATABASE_DELETE -
AUTONOMOUS_DATABASE_INSPECT -
AUTONOMOUS_DATABASE_UPDATE -
AUTONOMOUS_DB_BACKUP_CONTENT_READ -
AUTONOMOUS_DB_BACKUP_CREATE -
AUTONOMOUS_DB_BACKUP_INSPECT -
NETWORK_SECURITY_GROUP_UPDATE_MEMBERS -
VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP
Beispiel-Policy für eine Gruppe, die Berechtigungen zum Erstellen von Oracle Autonomous AI Database in einem Compartment hat:
Allow group group-name to manage autonomous-database in compartment id compartment-ocid
where all{request.permission = 'AUTONOMOUS_DATABASE_UPDATE'}| API-Vorgang | Für den Vorgang benötigte Berechtigungen |
|---|---|
GenerateAutonomousDatabaseWalletGetAutonomousDatabaseRegionalWalletGetAutonomousDatabaseWalletRetrieveDatabasePerformanceBulkData |
AUTONOMOUS_DATABASE_CONTENT_READ |
CreateAutonomousDatabase |
AUTONOMOUS_DATABASE_CREATE |
DeleteAutonomousDatabase |
AUTONOMOUS_DATABASE_DELETE |
GetAutonomousDatabaseListAutonomousDatabaseClonesListAutonomousDatabasePeersListAutonomousDatabaseRefreshableClonesResourcePoolShapes |
AUTONOMOUS_DATABASE_INSPECT |
AutonomousDatabaseManualRefreshConfigureAutonomousDatabaseVaultKeyDeregisterAutonomousDatabaseDataSafeDisableAutonomousDatabaseOperationsInsightsDisableDatabaseManagementEnableAutonomousDatabaseOperationsInsightsEnableDatabaseManagementFailOverAutonomousDatabaseRegisterAutonomousDatabaseDataSafeRestartAutonomousDatabaseRotateAutonomousDatabaseEncryptionKeyShrinkAutonomousDatabaseStartAutonomousDatabaseStopAutonomousDatabaseSwitchOverAutonomousDatabaseUpdateAutonomousDatabaseWalletUpdateAutonomousDatabaseRegionalWallet |
AUTONOMOUS_DATABASE_UPDATE |
GetAutonomousDatabaseBackupListAutonomousDatabaseBackups |
AUTONOMOUS_DB_BACKUP_INSPECT |
UpdateAutonomousDatabaseBackup |
AUTONOMOUS_DB_BACKUP_UPDATE |
CreateAutonomousDatabaseBackup |
AUTONOMOUS_DB_BACKUP_CREATEAUTONOMOUS_DATABASE_CONTENT_READ |
DeleteAutonomousDatabaseBackup |
AUTONOMOUS_DB_BACKUP_INSPECTAUTONOMOUS_DB_BACKUP_DELETE |
RestoreAutonomousDatabase |
AUTONOMOUS_DB_BACKUP_INSPECTAUTONOMOUS_DB_BACKUP_CONTENT_READAUTONOMOUS_DATABASE_CONTENT_WRITE |
ChangeAutonomousDatabaseCompartment |
Für das Quell- und Ziel-Compartment erforderlich:
Erforderlich sowohl im Quell- als auch im Ziel-Compartment, wenn der private Endpunkt aktiviert ist: |
Hinweis: Um genauere Berechtigungen zu erhalten, verwenden Sie diese Unteroperationen als
|
Drei mögliche Fälle:
|
ChangeAutonomousDatabaseSubscription |
erfordert changeAutonomousDatabaseSubscription |
SaasAdminUserStatus |
erfordert getSaasAdminUser |
|
erfordert updateSaasAdminUser |
Berechtigungen klonen
Allgemeine IAM-Berechtigungen werden für autonome KI-Datenbank unterstützt. Darüber hinaus können Sie target.autonomous-database.cloneType mit den unterstützten Berechtigungswerten verwenden, um die Zugriffsebene zu steuern, wie in der folgenden Tabelle dargestellt.
| target.autonomous-database.cloneType Wert | Beschreibung |
|---|---|
CLONE-FULL |
Nur vollständigen Klon zulassen. |
CLONE-METADATA |
Nur Metadatenklon zulassen. |
CLONE-REFRESHABLE |
Nur aktualisierbaren Klon zulassen. |
/CLONE*/ |
Lassen Sie jede Art von Klon zu. |
Beispiel-Policys mit den unterstützten target.autonomous-database.cloneType-Berechtigungswerten:
Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
where all {request.permission = 'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-FULL'}Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
where all {request.permission = 'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-METADATA'}Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
where all {request.permission = 'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-REFRESHABLE'}Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
where all {request.permission = 'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = /CLONE*/}Weitere Informationen finden Sie unter Berechtigungen.
Bestimmte Berechtigungen in IAM-Policys zur Verwaltung einer autonomen KI-Datenbank bereitstellen
Listet IAM-Policys auf, die Sie mit einem Autorisierungsverb und einer Bedingung verwenden können, um einer Gruppe detailliertere Vorgänge zu erteilen.
Beispiel: Damit die Gruppe MyGroup autonome KI-Datenbanken mit der StartAutonomousDatabase-API starten kann:
Allow MyGroup to manage autonomous-databases where request.operation = 'StartAutonomousDatabase'Weitere Informationen finden Sie unter Verben und Bedingungen.
autonomousDatabaseManualRefreshchangeAutonomousDatabaseCompartmentchangeAutonomousDatabaseSubscriptionchangeDisasterRecoveryConfigurationconfigureAutonomousDatabaseVaultKeyconfigureSaasAdminUsercreateAutonomousDatabasecreateAutonomousDatabaseBackupdeleteAutonomousDatabasedeleteAutonomousDatabaseBackupderegisterAutonomousDatabaseDataSafedisableAutonomousDatabaseManagementdisableAutonomousDatabaseOperationsInsightsenableAutonomousDatabaseManagementenableAutonomousDatabaseOperationsInsightsfailOverAutonomousDatabasegenerateAutonomousDatabaseWalletgetAutonomousDatabasegetAutonomousDatabaseBackupgetAutonomousDatabaseRegionalWalletgetAutonomousDatabaseWalletlistAutonomousDatabaseBackupslistAutonomousDatabaseCharacterSetslistAutonomousDatabaseCloneslistAutonomousDatabaseMaintenanceWindowslistAutonomousDatabasePeerslistAutonomousDatabaseRefreshableCloneslistAutonomousDatabasesregisterAutonomousDatabaseDataSaferesourcePoolShapesrestartAutonomousDatabaserestoreAutonomousDatabaserotateAutonomousDatabaseEncryptionKeySaasAdminUserStatusshrinkAutonomousDatabasestartAutonomousDatabasestopAutonomousDatabaseswitchoverAutonomousDatabaseupdateAutonomousDatabaseupdateAutonomousDatabaseBackupupdateAutonomousDatabaseRegionalWalletupdateAutonomousDatabaseWallet
Das Autorisierungsverb updateAutonomousDatabase gruppiert Berechtigungen zur Verwendung mehrerer API-Vorgänge.
DeregisterAutonomousDatabaseDataSafeDisableAutonomousDatabaseOperationsInsightsDisableDatabaseManagementEnableAutonomousDatabaseOperationsInsightsRegisterAutonomousDatabaseDataSafe
Beispiel:
Allow MyGroup to manage autonomous-databases where request.operation = 'updateAutonomousDatabase'