Oracle Cloud Infrastructure-Dokumentation

IAM-Policys für autonome KI-Datenbank

Enthält Informationen zu IAM-Policys, die für API-Vorgänge in einer autonomen KI-Datenbank erforderlich sind.

Oracle Autonomous AI Database nutzt den IAM-Service (Identity and Access Management), um Cloud-Benutzer zu authentifizieren und zu autorisieren, Vorgänge auszuführen, die einer der Oracle Cloud Infrastructure-Schnittstellen (Konsole, REST-API, CLI oder SDK) entsprechen.

Der IAM-Service verwendet Gruppen, Compartments, und Policys, um zu steuern, welche Cloud-Benutzer auf welche Ressourcen zugreifen können.

Übergeordnetes Thema: Sicherheit

Policy-Details für autonome KI-Datenbank

In diesem Thema werden Details zum Schreiben von Policys beschrieben, um den Zugriff auf autonome KI-Datenbankressourcen zu kontrollieren.

Eine Policy definiert, welche Art von Zugriff eine Benutzergruppe auf eine bestimmte Ressource in einem einzelnen Compartment hat. Weitere Informationen finden Sie unter Erste Schritte mit Policys.

Ressourcentypen

Ein aggregierter Ressourcentyp umfasst die Liste der individuellen Ressourcentypen, die direkt danach aufgeführt werden. Beispiel: Der Schreibvorgang einer Policy, um dem Zugriff einer Gruppe zu autonomous-database-family zuzulassen, entspricht dem Schreiben von vier separaten Policys für die Gruppe, die Zugriff auf den Ressourcentyp autonomous-databases, autonomous-backups erteilen würde. Weitere Informationen finden Sie unter Ressourcentypen.

Ressourcentypen für autonome KI-Datenbank

Aggregierter Ressourcentyp:

autonomous-database-family

Individuelle Ressourcentypen:

autonomous-databases

autonomous-backups

Details zu Kombinationen aus Verb und Ressourcentyp

Die Zugriffsebene ist kumulativ von inspect > read > use > manage. Ein Pluszeichen (+) in einer Tabellenzelle gibt den inkrementellen Zugriff im Vergleich zur Zelle direkt darüber an, während "Keine zusätzlichen" keinen inkrementellen Zugriff angibt.

Beispiel: Das Verb read für den Ressourcentyp autonomous-databases deckt dieselben Berechtigungen und API-Vorgänge wie das Verb inspect sowie die Berechtigung AUTONOMOUS_DATABASE_CONTENT_READ ab. Das Verb read deckt teilweise den Vorgang CreateAutonomousDatabaseBackup ab, für die auch Verwaltungsberechtigungen für autonomous-backups erforderlich ist.

In die folgenden Tabellen werden die von jedem Verb abgedeckten Berechtigungen und API-Vorgänge aufgeführt. Informationen zu Berechtigungen finden Sie unter Berechtigungen.

Hinweis

Mit der Ressourcenfamilie, die von autonomous-database-family abgedeckt wird, können Sie Zugriff auf Datenbankressourcen erteilen, die mit allen Workload-Typen der autonomen KI-Datenbank verknüpft sind.
Ressourcentypen für autonome Datenbanken
Verben Berechtigungen Vollständig abgedeckte APIs Teilweise abgedeckte APIs

inspect

AUTONOMOUS_DATABASE_INSPECT

GetAutonomousDatabase, GetAutonomousDatabaseBackupConfig, GetAutonomousDatabaseCapability, ListAutonomousDatabases, ListAutonomousDatabaseClones, ListAutonomousDatabasePeers, ListAutonomousDatabaseRefreshableClones, ResourcePoolShapes

Keine

lesen

INSPECT +

AUTONOMOUS_DATABASE_CONTENT_READ

GenerateAutonomousDatabasePerformanceData, GenerateAutonomousDatabaseWallet, GetAutonomousDatabaseRegionalWallet, GetAutonomousDatabaseWallet, RetrieveDatabasePerformanceBulkData

CreateAutonomousDatabaseBackup (erfordert auch manage autonomous-backups)

verwenden

READ +

AUTONOMOUS_DATABASE_CONTENT_WRITE

AUTONOMOUS_DATABASE_UPDATE

AutonomousDatabaseManualRefresh, CancelAutonomousDatabaseSession, ChangeDisasterRecoveryConfiguration, ConfigureAutonomousDatabaseVaultKey, DeregisterAutonomousDatabaseDataSafe, DisableAutonomousDatabaseOperationsInsights, DisableDatabaseManagement, EnableAutonomousDatabaseOperationsInsights, EnableDatabaseManagement, FailOverAutonomousDatabase, GetAutonomousDatabaseConsoleToken, RegisterAutonomousDatabaseDataSafe, RestartAutonomousDatabase, RotateAutonomousDatabaseEncryptionKey, ShrinkAutonomousDatabase, StartAutonomousDatabase, StopAutonomousDatabase, SwitchOverAutonomousDatabase, UpdateAutonomousDatabaseRegionalWallet, UpdateAutonomousDatabase

RestoreAutonomousDatabase (erfordert auch read autonomous-backups)

ChangeAutonomousDatabaseCompartment (erfordert auch read autonomous-backups)

verwalten

USE +

AUTONOMOUS_DATABASE_CREATE

AUTONOMOUS_DATABASE_DELETE

CreateAutonomousDatabase, DeleteAutonomousDatabase

Keine

Liste der Vorgänge und erforderlichen IAM-Policys zur Verwaltung einer autonomen KI-Datenbankinstanz

Arbeitsvorgang Erforderliche IAM-Policys

Peerdatenbank hinzufügen

use autonomous-databases

Sicherheitsattribute hinzufügen

use autonomous-databases

Compute-Modell ändern

use autonomous-databases

Datenbankmodus ändern

use autonomous-databases

Netzwerk ändern

use autonomous-databases

Workload-Typ ändern

use autonomous-databases

Autonome KI-Datenbank klonen

manage autonomous-databases

Weitere Klonberechtigungen für autonome KI-Datenbank finden Sie unter IAM-Berechtigungen und API-Vorgänge für autonome KI-Datenbank.

Autonome KI-Datenbank erstellen

manage autonomous-databases

read autonomous-databases

Datenbanktoolkonfiguration bearbeiten

use autonomous-databases

Start-/Stoppplan bearbeiten

use autonomous-databases
Elastischen Pool aktivieren

use autonomous-databases

Autoscaling für eine autonome KI-Datenbank aktivieren oder deaktivieren

use autonomous-databases
Elastischen Pool beitreten

use autonomous-databases

Kundenkontakte verwalten

use autonomous-databases

Verschlüsselungsschlüssel verwalten

use autonomous-databases

Autonome KI-Datenbank in ein anderes Compartment verschieben

use autonomous-databases im aktuellen Compartment der Datenbank und im Compartment, in das Sie sie verschieben

read autonomous-backups

Autonome KI-Datenbank umbenennen

use autonomous-databases

Autonome KI-Datenbank neu starten

use autonomous-databases

Autonome KI-Datenbank wiederherstellen

use autonomous-databases

read autonomous-backups

ECPU-Anzahl oder -Speicher einer autonomen KI-Datenbank skalieren

use autonomous-databases

ADMIN-Benutzerkennwort festlegen

use autonomous-databases

Autonome KI-Datenbank stoppen oder starten

use autonomous-databases

Switchover

use autonomous-databases

Autonome KI-Datenbank beenden

manage autonomous-databases

Disaster Recovery aktualisieren

use autonomous-databases

Anzeigenamen aktualisieren

use autonomous-databases

Lizenz und Oracle Database-Edition aktualisieren

use autonomous-databases

Netzwerkzugriff für ACLs aktualisieren

use autonomous-databases

Netzwerkzugriff für einen privaten Endpunkt aktualisieren

use autonomous-databases

Liste der autonomen KI-Datenbanken anzeigen

inspect autonomous-databases

Details einer autonomen KI-Datenbank anzeigen

inspect autonomous-databases

autonome Backups

Verben Berechtigungen Vollständig abgedeckte APIs Teilweise abgedeckte APIs

inspect

AUTONOMOUS_DB_BACKUP_INSPECT

ListAutonomousDatabaseBackups, GetAutonomousDatabaseBackup

Keine

verwalten

USE +

AUTONOMOUS_DB_BACKUP_CREATE

AUTONOMOUS_DB_BACKUP_DELETE

DeleteAutonomousDatabaseBackup

CreateAutonomousDatabaseBackup (benötigt auch read autonomous-databases)

lesen

INSPECT +

AUTONOMOUS_DB_BACKUP_CONTENT_READ

kein Extra

RestoreAutonomousDatabase (benötigt auch use autonomous-databases)

ChangeAutonomousDatabaseCompartment (benötigt auch use autonomous-databases)

verwenden

READ +

kein Extra

kein Extra

Keine

Unterstützte Variablen

Alle allgemeinen OCI Identity and Access Management-Variablen werden unterstützt. Weitere Informationen finden Sie unter Allgemeine Variablen für alle Anforderungen.

Darüber hinaus können Sie die Variable target.id mit der OCID einer Datenbank nach dem Erstellen einer Datenbank und die Variable target.workloadType mit einem Wert verwenden, wie in der folgenden Tabelle dargestellt:

target.workloadType-Wert Beschreibung
OLTP Online-Transaktionsverarbeitung, die für autonome KI-Datenbanken mit Transaktionsverarbeitungs-Workload verwendet wird.
LH Lakehouse für autonome KI-Datenbank mit Analyse- und Datenplattform-Workloads.
DW Data Warehouse, das für autonome KI-Datenbanken mit Data Warehouse-Workload verwendet wird.
AJD

Autonome JSON-Datenbank für autonome KI-Datenbanken mit JSON-Workload.

APEX

APEX-Service für Autonomous AI Database APEX-Service.

Beispiel-Policy mit der Variablen target.id: 

Allow group ADB-Admins to manage autonomous-databases in tenancy where target.id = 'OCID'

Beispiel-Policy mit der Variablen target.workloadType: 

Allow group ADB-Admins to manage autonomous-databases in tenancy where target.workloadType = 'AJD'

IAM-Berechtigungen und API-Vorgänge für autonome KI-Datenbank

In diesem Thema werden die verfügbaren IAM-Berechtigungen für Vorgänge in einer autonomen KI-Datenbank behandelt.

Im Folgenden werden die IAM-Berechtigungen für autonome KI-Datenbank aufgeführt:

  • AUTONOMOUS_DATABASE_CONTENT_READ

  • AUTONOMOUS_DATABASE_CONTENT_WRITE

  • AUTONOMOUS_DATABASE_CREATE

    Weitere Einschränkungen beim Klonen finden Sie unter Klonberechtigungen.

  • AUTONOMOUS_DATABASE_DELETE

  • AUTONOMOUS_DATABASE_INSPECT

  • AUTONOMOUS_DATABASE_UPDATE

  • AUTONOMOUS_DB_BACKUP_CONTENT_READ

  • AUTONOMOUS_DB_BACKUP_CREATE

  • AUTONOMOUS_DB_BACKUP_INSPECT

  • NETWORK_SECURITY_GROUP_UPDATE_MEMBERS

  • VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP

Beispiel-Policy für eine Gruppe, die Berechtigungen zum Erstellen von Oracle Autonomous AI Database in einem Compartment hat: 

Allow group group-name to manage autonomous-database in compartment id compartment-ocid 
    where all{request.permission = 'AUTONOMOUS_DATABASE_UPDATE'}
Für den Vorgang benötigte Berechtigungen API-Vorgang
AUTONOMOUS_DATABASE_CONTENT_READ

GenerateAutonomousDatabaseWallet

GetAutonomousDatabaseRegionalWallet

GetAutonomousDatabaseWallet

RetrieveDatabasePerformanceBulkData
AUTONOMOUS_DATABASE_CREATE

CreateAutonomousDatabase
AUTONOMOUS_DATABASE_DELETE

DeleteAutonomousDatabase
AUTONOMOUS_DATABASE_INSPECT

GetAutonomousDatabase

ListAutonomousDatabaseClones

ListAutonomousDatabasePeers

ListAutonomousDatabaseRefreshableClones

ListAutonomousDatabases

ResourcePoolShapes
AUTONOMOUS_DATABASE_UPDATE

AutonomousDatabaseManualRefresh

ConfigureAutonomousDatabaseVaultKey

DeregisterAutonomousDatabaseDataSafe

DisableAutonomousDatabaseOperationsInsights

DisableDatabaseManagement

EnableAutonomousDatabaseOperationsInsights

EnableDatabaseManagement

FailOverAutonomousDatabase

RegisterAutonomousDatabaseDataSafe

RestartAutonomousDatabase

RotateAutonomousDatabaseEncryptionKey

ShrinkAutonomousDatabase

StartAutonomousDatabase

StopAutonomousDatabase

SwitchOverAutonomousDatabase

UpdateAutonomousDatabaseWallet

UpdateAutonomousDatabaseRegionalWallet
AUTONOMOUS_DB_BACKUP_INSPECT

GetAutonomousDatabaseBackup

ListAutonomousDatabaseBackups
AUTONOMOUS_DB_BACKUP_UPDATE

UpdateAutonomousDatabaseBackup
AUTONOMOUS_DB_BACKUP_CREATE

AUTONOMOUS_DATABASE_CONTENT_READ

CreateAutonomousDatabaseBackup
AUTONOMOUS_DB_BACKUP_INSPECT

AUTONOMOUS_DB_BACKUP_DELETE

DeleteAutonomousDatabaseBackup

AUTONOMOUS_DB_BACKUP_INSPECT

AUTONOMOUS_DB_BACKUP_CONTENT_READ

AUTONOMOUS_DATABASE_CONTENT_WRITE

RestoreAutonomousDatabase

Für das Quell- und Ziel-Compartment erforderlich:

AUTONOMOUS_DATABASE_UPDATE

AUTONOMOUS_DB_BACKUP_INSPECT

AUTONOMOUS_DB_BACKU_CREATE

AUTONOMOUS_DATABASE_CONTENT_WRITE

Erforderlich sowohl im Quell- als auch im Ziel-Compartment, wenn der private Endpunkt aktiviert ist:

WNIC_ASSOCIATE_NETOWRK_SECURITY_GROUP

NETWORK_SECURITY_GROUP_UPDATE_MEMBERS

ChangeAutonomousDatabaseCompartment

Drei mögliche Fälle:

  • Wenn Workload NULL ist: AUTONOMOUS_DATABASE_UPDATE
  • Wenn Workload nicht NULL ist:

    AUTONOMOUS_DATABASE_CREATE

    AUTONOMOUS_DATABASE_UPDATE

  • Wenn Tagging aktiviert ist:

    AUTONOMOUS_DATABASE_UPDATE

    AUTONOMOUS_DATABASE_INSPECT

UpdateAutonomousDatabase: Verwenden Sie diese API für Änderungen oder Updates für einen der folgenden Vorgänge:

  • Admin-Kennwort festlegen (adminPassword)
  • Zeitplan für automatischen Start/Stopp (scheduledOperations)
  • Kundenkontakte managen (customerContacts)
  • Werkzeugkonfiguration bearbeiten (dbToolsDetails)
  • BYOL-Lizenzoptionen aktualisieren (licenseModel und byolComputeCountLimit)
  • Anzeigename aktualisieren (displayName)
  • elastischen Pool verbinden
  • Elastic Pool-Optionen aktualisieren
  • Verschlüsselungsschlüssel bearbeiten
  • Update auf Autonomous Data Guard für Disaster Recovery (isLocalDataGuardEnabled und disasterRecoveryType)
  • Schreibgeschützte Schreib-/Lesevorgänge im Modus des Datenbankvorgangs ändern (openMode)
  • Netzwerkzugriff mit ACLs aktualisieren (whitelistedIps)
  • Netzwerkzugriff mit privatem Endpunkt aktualisieren (privateEndpointLabel)
  • Datenbank umbenennen (dbName)
  • Compute-Grenzwerte skalieren (computeCount)
  • Compute-Autoscaling-Option verwalten (isAutoScalingEnabled)
  • Speicherlimits skalieren ( dataStorageSizeInTBs)
  • Speicher-Autoscaling-Optionen verwalten (isAutoScalingForStorageEnabled)
  • Arbeitslasttyp ändern (dbWorkload)
erfordert changeAutonomousDatabaseSubscription

ChangeAutonomousDatabaseSubscription

erfordert getSaasAdminUser

SaasAdminUserStatus
erfordert updateSaasAdminUser

ConfigureSaasAdminUser

ListAutonomousDatabaseCharacterSets

ListAutonomousDatabaseMaintenanceWindows

Berechtigungen klonen

Allgemeine IAM-Berechtigungen werden für Autonomous AI Database unterstützt. Darüber hinaus können Sie target.autonomous-database.cloneType mit den unterstützten Berechtigungswerten verwenden, um die Zugriffsebene zu steuern, wie in der folgenden Tabelle dargestellt.

target.autonomous-database.cloneType Wert Beschreibung
CLONE-FULL

Nur vollständigen Klon zulassen.
CLONE-METADATA

Nur Metadatenklon zulassen.
CLONE-REFRESHABLE

Nur aktualisierbaren Klon zulassen.
/CLONE*/

Lassen Sie jede Art von Klon zu.

Beispiel-Policys mit den unterstützten target.autonomous-database.cloneType-Berechtigungswerten: 

Allow group group-name to manage autonomous-databases in compartment id compartment-ocid 
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-FULL'}
Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-METADATA'}
Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-REFRESHABLE'}
Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = /CLONE*/}

Weitere Informationen finden Sie unter Berechtigungen.

Bestimmte Berechtigungen in IAM-Policys zur Verwaltung einer autonomen KI-Datenbank bereitstellen

Listet IAM-Policys auf, die Sie mit einem Autorisierungsverb und einer Bedingung verwenden können, um einer Gruppe detailliertere Vorgänge zu erteilen.

Beispiel: Damit die Gruppe MyGroup autonome KI-Datenbanken mit der StartAutonomousDatabase-API starten kann: 

Allow MyGroup to manage autonomous-databases where request.operation = 'StartAutonomousDatabase'

Weitere Informationen finden Sie unter Verben und Bedingungen.

Autorisierungsverb-Liste
autonomousDatabaseManualRefresh
changeAutonomousDatabaseCompartment
changeAutonomousDatabaseSubscription
changeDisasterRecoveryConfiguration
configureAutonomousDatabaseVaultKey
configureSaasAdminUser
createAutonomousDatabase
createAutonomousDatabaseBackup
deleteAutonomousDatabase
deleteAutonomousDatabaseBackup
deregisterAutonomousDatabaseDataSafe
disableAutonomousDatabaseManagement
disableAutonomousDatabaseOperationsInsights
enableAutonomousDatabaseManagement
enableAutonomousDatabaseOperationsInsights
failOverAutonomousDatabase
generateAutonomousDatabaseWallet
getAutonomousDatabase
getAutonomousDatabaseBackup
getAutonomousDatabaseRegionalWallet
getAutonomousDatabaseWallet
listAutonomousDatabaseBackups
listAutonomousDatabaseCharacterSets
listAutonomousDatabaseClones
listAutonomousDatabaseMaintenanceWindows
listAutonomousDatabasePeers
listAutonomousDatabaseRefreshableClones
listAutonomousDatabases
registerAutonomousDatabaseDataSafe
resourcePoolShapes
restartAutonomousDatabase
restoreAutonomousDatabase
rotateAutonomousDatabaseEncryptionKey
SaasAdminUserStatus
shrinkAutonomousDatabase
startAutonomousDatabase
stopAutonomousDatabase
switchoverAutonomousDatabase
updateAutonomousDatabase
updateAutonomousDatabaseBackup
updateAutonomousDatabaseRegionalWallet
updateAutonomousDatabaseWallet

Das Autorisierungsverb updateAutonomousDatabase gruppiert Berechtigungen zur Verwendung mehrerer API-Vorgänge.

Arbeitsvorgang
DeregisterAutonomousDatabaseDataSafe
DisableAutonomousDatabaseOperationsInsights
DisableDatabaseManagement
EnableAutonomousDatabaseOperationsInsights
RegisterAutonomousDatabaseDataSafe

Beispiel:

Allow MyGroup to manage autonomous-databases where request.operation =  'updateAutonomousDatabase'