IAM-Rollen in Autonomous AI Database hinzufügen
Erstellen Sie optional globale Rollen, um zusätzliche Datenbankrollen und -berechtigungen für IAM-Benutzer bereitzustellen, wenn mehrere IAM-Benutzer demselben gemeinsamen globalen Benutzer zugeordnet werden.
Die Verwendung globaler Rollen ist optional, wenn entweder eine exklusive IAM-Zuordnung zu Benutzer (Schema) oder eine gemeinsame Benutzerzuordnung in einer autonomen KI-Datenbank verwendet wird. Beispiel: Alle Berechtigungen und Rollen können dem gemeinsamen Schema erteilt werden, und allen IAM-Benutzern, die dem gemeinsamen Schema zugeordnet sind, werden die Berechtigungen und Rollen erteilt, die dem gemeinsamen Schema zugewiesen sind.
Sie können eine globale Rolle verwenden, um optional Benutzer zu unterscheiden, die dasselbe gemeinsame Schema verwenden. Beispiel: Eine Reihe von Benutzern kann dasselbe gemeinsame Schema haben, und das gemeinsame Schema kann die Berechtigung CREATE SESSION besitzen. Mit globalen Rollen können dann unterschiedliche Berechtigungen und Rollen bereitgestellt und verschiedenen Benutzergruppen zugewiesen werden, die alle dasselbe gemeinsame Schema verwenden.
Um IAM-Benutzern in Autonomous AI Database zusätzliche Rollen zu erteilen, müssen globale Rollen in Autonomous AI Database IAM-Gruppen zugewiesen wird.
So ordnen Sie autonome AI-Datenbank globale Rollen zu IAM-Gruppen zu:
-
Melden Sie sich als ADMIN-Benutzer bei der Datenbank an, die für die Verwendung von IAM aktiviert ist (der ADMIN-Benutzer verfügt über die Systemberechtigungen
CREATE USERundALTER USER, die Sie für diese Schritte benötigen). -
Legen Sie eine Datenbankautorisierung für autonome AI-Datenbankrollen mit
CREATE ROLE- oderALTER ROLE-Anweisungen fest, und geben Sie dabei die KlauselIDENTIFIED GLOBALLY ASan. Geben Sie dabei den IAM-Gruppennamen ein.Verwenden Sie die folgende Syntax, um eine globale Rolle einer IAM-Gruppe zuzuordnen:
CREATE ROLE global_role IDENTIFIED GLOBALLY AS 'IAM_GROUP_NAME=IAM_GROUP_of_WHICH_the_IAM_USER_IS_a_MEMBER';Beispiel: So ordnen Sie eine IAM-Gruppe namens
ExporterGroupeiner gemeinsamen globalen Datenbankrolle namensexport_rolezu:CREATE ROLE export_role IDENTIFIED GLOBALLY AS 'IAM_GROUP_NAME=ExporterGroup';Das folgende Beispiel zeigt, wie die Rolle durch Angabe einer Nicht-Standarddomain
sales_domainerstellt wird:CREATE ROLE export_role IDENTIFIED GLOBALLY AS 'IAM_GROUP_NAME=sales_domain/ExporterGroup';Alle Mitglieder der
ExporterGroupin der Domainsales_domainwerden mit der globalen Datenbankrolleexport_roleautorisiert, wenn sie sich bei der Datenbank anmelden. -
Verwenden Sie
GRANT-Anweisungen, um der globalen Rolle die erforderlichen Berechtigungen oder andere Rollen zu erteilen.GRANT CREATE SESSION TO export_role; GRANT DWROLE TO export_role; -
Wenn Sie eine vorhandene Datenbankrolle mit einer IAM-Gruppe verknüpfen möchten, verwenden Sie die
ALTER ROLE-Anweisung, um die vorhandene Datenbankrolle zu ändern und die Rolle einer IAM-Gruppe zuzuordnen. Mit der folgenden Syntax können Sie eine vorhandene Datenbankrolle ändern, um sie einer IAM-Gruppe zuzuordnen:ALTER ROLE existing_database_role IDENTIFIED GLOBALLY AS 'IAM_GROUP_NAME=*IAM_Group_Name';
Wenn Sie zusätzliche globale Rollenzuordnungen für andere IAM-Gruppen erstellen möchten, führen Sie die folgenden Schritte für jede IAM-Gruppe aus.