IAM-Policys für autonome KI-Datenbank
Enthält Informationen zu IAM-Policys, die für API-Vorgänge in einer autonomen KI-Datenbank erforderlich sind.
Oracle Autonomous AI Database nutzt den IAM-Service (Identity and Access Management), um Cloud-Benutzer zu authentifizieren und zu autorisieren, Vorgänge auszuführen, die einer der Oracle Cloud Infrastructure-Schnittstellen (Konsole, REST-API, CLI oder SDK) entsprechen.
Sie können Benutzern Rollen basierend auf den spezifischen Datenbankaktivitäten zuweisen, die sie ausführen dürfen, wie Backup- und Recovery-Vorgänge, Schlüsselverwaltung und Lebenszyklusvorgänge (wie Stoppen, Starten und Skalieren).
Der IAM-Service verwendet Gruppen, Compartments, und Policys, um zu steuern, welche Cloud-Benutzer auf welche Ressourcen zugreifen können.
- Policy-Details für autonome KI-Datenbank
In diesem Thema werden Details zum Schreiben von Policys beschrieben, um den Zugriff auf autonome KI-Datenbankressourcen zu kontrollieren. - IAM-Berechtigungen und API-Vorgänge für autonome KI-Datenbank
In diesem Thema werden die verfügbaren IAM-Berechtigungen für Vorgänge in einer autonomen KI-Datenbank behandelt. - Spezifische Berechtigungen in IAM-Policys zur Verwaltung einer autonomen KI-Datenbank bereitstellen
Listet IAM-Policys auf, die Sie mit einem Autorisierungsverb und einer Bedingung verwenden können, um einer Gruppe detailliertere Vorgänge zu erteilen.
Übergeordnetes Thema: Sicherheit
Policy-Details für autonome KI-Datenbank
In diesem Thema werden Details zum Schreiben von Policys beschrieben, um den Zugriff auf autonome KI-Datenbankressourcen zu kontrollieren.
Eine Policy definiert, welche Art von Zugriff eine Benutzergruppe auf eine bestimmte Ressource in einem einzelnen Compartment hat. Weitere Informationen finden Sie unter Erste Schritte mit Policys.
Ressourcentypen
Ein aggregierter Ressourcentyp umfasst die Liste der individuellen Ressourcentypen, die direkt danach aufgeführt werden. Beispiel: Der Schreibvorgang einer Policy, um dem Zugriff einer Gruppe zu autonomous-database-family zuzulassen, entspricht dem Schreiben von vier separaten Policys für die Gruppe, die Zugriff auf den Ressourcentyp autonomous-databases, autonomous-backups erteilen würde. Weitere Informationen finden Sie unter Ressourcentypen.
Aggregierter Ressourcentyp:
autonomous-database-family
Individuelle Ressourcentypen:
autonomous-databases
autonomous-backups
Details zu Kombinationen aus Verb und Ressourcentyp
Die Zugriffsebene ist kumulativ von inspect > read > use > manage. Ein Pluszeichen (+) in einer Tabellenzelle gibt den inkrementellen Zugriff im Vergleich zur Zelle direkt darüber an, während "Keine zusätzlichen" keinen inkrementellen Zugriff angibt.
Beispiel: Das Verb read für den Ressourcentyp autonomous-databases deckt dieselben Berechtigungen und API-Vorgänge wie das Verb inspect sowie die Berechtigung AUTONOMOUS_DATABASE_CONTENT_READ ab. Das Verb read deckt teilweise den Vorgang CreateAutonomousDatabaseBackup ab, für die auch Verwaltungsberechtigungen für autonomous-backups erforderlich ist.
In die folgenden Tabellen werden die von jedem Verb abgedeckten Berechtigungen und API-Vorgänge aufgeführt. Informationen zu Berechtigungen finden Sie unter Berechtigungen.
Mit der Ressourcenfamilie, die von autonomous-database-family abgedeckt wird, können Sie Zugriff auf Datenbankressourcen erteilen, die mit allen Workload-Typen der autonomen KI-Datenbank verknüpft sind.
| Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
|---|---|---|---|
|
inspect |
|
|
Keine |
|
lesen |
|
|
|
|
verwenden |
|
|
|
|
verwalten |
|
|
Keine |
Liste der Vorgänge und erforderlichen IAM-Policys zur Verwaltung einer autonomen KI-Datenbankinstanz
| Arbeitsvorgang | Erforderliche IAM-Policys |
|---|---|
|
Peerdatenbank hinzufügen |
|
|
Sicherheitsattribute hinzufügen |
|
|
Compute-Modell ändern |
|
|
Datenbankmodus ändern |
|
|
Netzwerk ändern |
|
|
Workload-Typ ändern |
|
|
Autonome KI-Datenbank klonen |
Weitere Klonberechtigungen für autonome KI-Datenbank finden Sie unter IAM-Berechtigungen und API-Vorgänge für autonome KI-Datenbank. |
|
Autonome KI-Datenbank erstellen |
|
|
Datenbanktoolkonfiguration bearbeiten |
|
|
Start-/Stoppplan bearbeiten |
|
| Elastischen Pool aktivieren |
|
|
Autoscaling für eine autonome KI-Datenbank aktivieren oder deaktivieren |
|
| Elastischen Pool beitreten |
|
|
Kundenkontakte verwalten |
|
|
Verschlüsselungsschlüssel verwalten |
|
|
Autonome KI-Datenbank in ein anderes Compartment verschieben |
|
|
Autonome KI-Datenbank umbenennen |
|
|
Autonome KI-Datenbank neu starten |
|
|
Autonome KI-Datenbank wiederherstellen |
|
|
ECPU-Anzahl oder -Speicher einer autonomen KI-Datenbank skalieren |
|
|
ADMIN-Benutzerkennwort festlegen |
|
|
Autonome KI-Datenbank stoppen oder starten |
|
|
Switchover |
|
|
Autonome KI-Datenbank beenden |
|
|
Disaster Recovery aktualisieren |
|
|
Anzeigenamen aktualisieren |
|
|
Lizenz und Oracle Database-Edition aktualisieren |
|
|
Netzwerkzugriff für ACLs aktualisieren |
|
|
Netzwerkzugriff für einen privaten Endpunkt aktualisieren |
|
|
Liste der autonomen KI-Datenbanken anzeigen |
|
|
Details einer autonomen KI-Datenbank anzeigen |
|
autonome Backups
| Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
|---|---|---|---|
|
inspect |
|
|
Keine |
|
verwalten |
|
|
|
|
lesen |
|
kein Extra |
|
|
verwenden |
READ + kein Extra |
kein Extra |
Keine |
Unterstützte Variablen
Alle allgemeinen OCI Identity and Access Management-Variablen werden unterstützt. Weitere Informationen finden Sie unter Allgemeine Variablen für alle Anforderungen.
Darüber hinaus können Sie die Variable target.id mit der OCID einer Datenbank nach dem Erstellen einer Datenbank und die Variable target.workloadType mit einem Wert verwenden, wie in der folgenden Tabelle dargestellt:
| target.workloadType-Wert | Beschreibung |
|---|---|
OLTP |
Online-Transaktionsverarbeitung, die für autonome KI-Datenbanken mit Transaktionsverarbeitungs-Workload verwendet wird. |
LH |
Lakehouse für autonome KI-Datenbank mit Analyse- und Datenplattform-Workloads. |
DW |
Data Warehouse, das für autonome KI-Datenbanken mit Data Warehouse-Workload verwendet wird. |
AJD |
Autonome JSON-Datenbank für autonome KI-Datenbanken mit JSON-Workload. |
APEX |
APEX-Service für Autonomous AI Database APEX-Service. |
Beispiel-Policy mit der Variablen target.id:
Allow group ADB-Admins to manage autonomous-databases in tenancy where target.id = 'OCID'Beispiel-Policy mit der Variablen target.workloadType:
Allow group ADB-Admins to manage autonomous-databases in tenancy where target.workloadType = 'AJD'Sie können die Variable request.operation.actiontype verwenden, die den spezifischen Untervorgang oder die Konfigurationsänderung angibt, die innerhalb eines Vorgangs wie updateAutonomousDatabase oder createAutonomousDatabase angefordert wird. Sie können diese Aktionstypen in Policys mit dem Parameter request.operation.actiontype steuern. Auf diese Weise können Sie Aktionen im Detail steuern und sicherstellen, dass Sie über den für Ihre Rolle erforderlichen Zugriff verfügen.
Beispiel für Policys mit der Variablen request.operation.actiontype:
request.operation.actiontype Zugriff auf einen bestimmten Aktionstyp erteilt, sind Sie auf diesen Untervorgang beschränkt und können keine anderen Aktualisierungsaktionen ausführen, es sei denn, diese sind explizit in der Policy enthalten. Beispiel: allow group MyGroup to manage autonomous-database-family where request.operation.actiontype =
'adminPassword'Die oben genannte Policy erteilt der Gruppe die Berechtigung, das ADMIN-Kennwort zu ändern, aber keine anderen Attribute wie Compute-, Speicher- oder Netzwerkkonfiguration zu ändern.
allow group MyGroup to manage autonomous-database-family where request.operation.actiontype
!= 'adminPassword'In der folgenden Tabelle ist die Variable ActionType aufgeführt, die jeweils einen bestimmten Untervorgang darstellt, und kann mit CreateAutonomousDatabase oder UpdateAutonomousDatabase verwendet werden:
| ActionType | Arbeitsvorgang |
|---|---|
adminPassword |
Legen Sie das Admin-Kennwort fest, oder legen Sie secretID für den Vault fest.
|
scheduledOperations |
Legen Sie den Zeitplan für langfristige Backups fest. |
customerContacts |
Verwalten Sie die Kundenkontaktinformationen für betriebliche Mitteilungen, Ankündigungen und ungeplante Wartung. |
dbToolsConfigure |
Datenbank-Tools aktivieren oder deaktivieren. |
licenseModel |
Aktualisieren Sie die Bring Your Own License-(BYOL-)Optionen und die ECPU-Anzahl für BYOL. |
updateElasticPool |
Aktualisieren Sie die Elastic Pool-Optionen. |
upgradeToPaid |
Lassen Sie ein Upgrade vom Entwickler oder der kostenlosen Version auf die kostenpflichtige Version zu. |
displayName |
Anzeigenamen aktualisieren. |
joinElasticPool |
Verbinden Sie einen elastischen Pool als Mitglied. |
disasterRecoveryType |
Update auf Autonomous Data Guard für Disaster Recovery. |
manageEncryptionKeys |
Verwalten Sie Verschlüsselungsschlüssel (von Oracle verwaltet oder vom Kunden verwaltet). |
openMode |
Ändern Sie die Datenbankbetriebsmodi zwischen Lese- oder Schreibzugriff und Schreibzugriff. |
whitelistedIps |
Ändern Sie zulässige IPs in Access Control-Listen der autonomen KI-Datenbank, um den Netzwerkzugriff zu kontrollieren. |
networkConfig |
Aktualisieren Sie die Netzwerkkonfiguration, einschließlich öffentlicher oder privater Optionen. |
dbName |
Datenbank umbenennen. |
computeCount |
Skalieren Sie die Compute-Limits. |
autoScalingConfig |
Compute-Autoscaling aktivieren oder deaktivieren |
dataStorageSize |
Skalieren Sie die Speicherlimits. |
autoScalingForStorageConfig |
Aktivieren oder deaktivieren Sie die Autoscaling-Option. |
dbWorkload |
Ändern Sie den Workload-Typ. |
scheduleDbVersionUpgrade |
Bestimmte Datumsangaben oder die frühesten verfügbaren Zeitpläne für geplante Datenbankversionsupgrades festlegen. |
vanityUrl |
Legen Sie die Vanity-URL fest, oder ändern Sie Vanity-URL-Details. |
maintenanceScheduleType |
Wechseln Sie zwischen den Wartungsfenstern early und regular zum Patching-Zeitplan.
|
Übergeordnetes Thema: IAM-Policys für autonome KI-Datenbank
IAM-Berechtigungen und API-Vorgänge für autonome KI-Datenbank
In diesem Thema werden die verfügbaren IAM-Berechtigungen für Vorgänge in einer autonomen KI-Datenbank behandelt.
Diese Vorgänge werden in Berechtigungen gruppiert, damit typische Rollen diese Vorgänge ausführen können. Wenn detailliertere Berechtigungen erforderlich sind, können diese mit Unteroperationen und Aktionstypen kombiniert werden. UpdateAutonomousDatabase umfasste mehrere Vorgänge, die jedoch basierend auf den Aktionstypen, wie im vorherigen Abschnitt beschrieben, begrenzt werden können.
Im Folgenden werden die IAM-Berechtigungen für autonome KI-Datenbank aufgeführt:
-
AUTONOMOUS_DATABASE_CONTENT_READ -
AUTONOMOUS_DATABASE_CONTENT_WRITE -
AUTONOMOUS_DATABASE_CREATEWeitere Einschränkungen beim Klonen finden Sie unter Klonberechtigungen.
-
AUTONOMOUS_DATABASE_DELETE -
AUTONOMOUS_DATABASE_INSPECT -
AUTONOMOUS_DATABASE_UPDATE -
AUTONOMOUS_DB_BACKUP_CONTENT_READ -
AUTONOMOUS_DB_BACKUP_CREATE -
AUTONOMOUS_DB_BACKUP_INSPECT -
NETWORK_SECURITY_GROUP_UPDATE_MEMBERS -
VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP
Beispiel-Policy für eine Gruppe, die Berechtigungen zum Erstellen von Oracle Autonomous AI Database in einem Compartment hat:
Allow group group-name to manage autonomous-database in compartment id compartment-ocid
where all{request.permission = 'AUTONOMOUS_DATABASE_UPDATE'}| API-Vorgang | Für den Vorgang benötigte Berechtigungen |
|---|---|
|
|
AUTONOMOUS_DATABASE_CONTENT_READ |
|
|
AUTONOMOUS_DATABASE_CREATE |
|
|
AUTONOMOUS_DATABASE_DELETE |
|
|
AUTONOMOUS_DATABASE_INSPECT |
|
|
AUTONOMOUS_DATABASE_UPDATE |
|
|
AUTONOMOUS_DB_BACKUP_INSPECT |
|
|
AUTONOMOUS_DB_BACKUP_UPDATE |
|
|
AUTONOMOUS_DB_BACKUP_CREATE
|
|
|
AUTONOMOUS_DB_BACKUP_INSPECT
|
|
|
|
|
|
Für das Quell- und Ziel-Compartment erforderlich:
Erforderlich sowohl im Quell- als auch im Ziel-Compartment, wenn der private Endpunkt aktiviert ist:
|
|
Hinweis
Um detailliertere Berechtigungen zu erhalten, verwenden Sie diese Unteroperationen als actiontype, wenn Sie eine Policy für den Benutzer definieren.
|
Drei mögliche Fälle:
|
|
|
erfordert changeAutonomousDatabaseSubscription |
|
|
erfordert |
|
|
erfordert updateSaasAdminUser |
Berechtigungen klonen
Allgemeine IAM-Berechtigungen werden für Autonomous AI Database unterstützt. Darüber hinaus können Sie target.autonomous-database.cloneType mit den unterstützten Berechtigungswerten verwenden, um die Zugriffsebene zu steuern, wie in der folgenden Tabelle dargestellt.
| target.autonomous-database.cloneType Wert | Beschreibung |
|---|---|
CLONE-FULL |
Nur vollständigen Klon zulassen. |
CLONE-METADATA |
Nur Metadatenklon zulassen. |
CLONE-REFRESHABLE |
Nur aktualisierbaren Klon zulassen. |
/CLONE*/ |
Lassen Sie jede Art von Klon zu. |
Beispiel-Policys mit den unterstützten target.autonomous-database.cloneType-Berechtigungswerten:
Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
where all {request.permission = 'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-FULL'}Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
where all {request.permission = 'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-METADATA'}Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
where all {request.permission = 'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-REFRESHABLE'}Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
where all {request.permission = 'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = /CLONE*/}Weitere Informationen finden Sie unter Berechtigungen.
Übergeordnetes Thema: IAM-Policys für autonome KI-Datenbank
Bestimmte Berechtigungen in IAM-Policys zur Verwaltung einer autonomen KI-Datenbank bereitstellen
Listet IAM-Policys auf, die Sie mit einem Autorisierungsverb und einer Bedingung verwenden können, um einer Gruppe detailliertere Vorgänge zu erteilen.
Beispiel: Damit die Gruppe MyGroup autonome KI-Datenbanken mit der StartAutonomousDatabase-API starten kann:
Allow MyGroup to manage autonomous-databases where request.operation = 'StartAutonomousDatabase'Weitere Informationen finden Sie unter Verben und Bedingungen.
| Autorisierungsverb-Liste |
|---|
autonomousDatabaseManualRefresh |
changeAutonomousDatabaseCompartment |
changeAutonomousDatabaseSubscription |
changeDisasterRecoveryConfiguration |
configureAutonomousDatabaseVaultKey |
configureSaasAdminUser |
createAutonomousDatabase |
createAutonomousDatabaseBackup |
deleteAutonomousDatabase |
deleteAutonomousDatabaseBackup |
deregisterAutonomousDatabaseDataSafe |
disableAutonomousDatabaseManagement |
disableAutonomousDatabaseOperationsInsights |
enableAutonomousDatabaseManagement |
enableAutonomousDatabaseOperationsInsights |
failOverAutonomousDatabase |
generateAutonomousDatabaseWallet |
getAutonomousDatabase |
getAutonomousDatabaseBackup |
getAutonomousDatabaseRegionalWallet |
getAutonomousDatabaseWallet |
listAutonomousDatabaseBackups |
listAutonomousDatabaseCharacterSets |
listAutonomousDatabaseClones |
listAutonomousDatabaseMaintenanceWindows |
listAutonomousDatabasePeers |
listAutonomousDatabaseRefreshableClones |
listAutonomousDatabases |
registerAutonomousDatabaseDataSafe |
resourcePoolShapes |
restartAutonomousDatabase |
restoreAutonomousDatabase |
rotateAutonomousDatabaseEncryptionKey |
SaasAdminUserStatus |
shrinkAutonomousDatabase |
startAutonomousDatabase |
stopAutonomousDatabase |
switchoverAutonomousDatabase |
updateAutonomousDatabase |
updateAutonomousDatabaseBackup |
updateAutonomousDatabaseRegionalWallet |
updateAutonomousDatabaseWallet |
Das Autorisierungsverb updateAutonomousDatabase gruppiert Berechtigungen zur Verwendung mehrerer API-Vorgänge.
| Arbeitsvorgang |
|---|
DeregisterAutonomousDatabaseDataSafe |
DisableAutonomousDatabaseOperationsInsights |
DisableDatabaseManagement |
EnableAutonomousDatabaseOperationsInsights |
RegisterAutonomousDatabaseDataSafe |
Beispiel:
Allow MyGroup to manage autonomous-databases where request.operation = 'updateAutonomousDatabase'Übergeordnetes Thema: IAM-Policys für autonome KI-Datenbank