Oracle Cloud Infrastructure-Dokumentation

IAM-Rollen in Autonomous AI Database hinzufügen

Erstellen Sie optional globale Rollen, um zusätzliche Datenbankrollen und -berechtigungen für IAM-Benutzer bereitzustellen, wenn mehrere IAM-Benutzer demselben gemeinsamen globalen Benutzer zugeordnet werden.

Die Verwendung globaler Rollen ist optional, wenn entweder eine exklusive IAM-Zuordnung zu Benutzer (Schema) oder eine gemeinsame Benutzerzuordnung in einer autonomen KI-Datenbank verwendet wird. Beispiel: Alle Berechtigungen und Rollen können dem gemeinsamen Schema erteilt werden, und allen IAM-Benutzern, die dem gemeinsamen Schema zugeordnet sind, werden die Berechtigungen und Rollen erteilt, die dem gemeinsamen Schema zugewiesen sind.

Sie können eine globale Rolle verwenden, um optional Benutzer zu unterscheiden, die dasselbe gemeinsame Schema verwenden. Beispiel: Eine Reihe von Benutzern kann dasselbe gemeinsame Schema haben, und das gemeinsame Schema kann die Berechtigung CREATE SESSION besitzen. Mit globalen Rollen können dann unterschiedliche Berechtigungen und Rollen bereitgestellt und verschiedenen Benutzergruppen zugewiesen werden, die alle dasselbe gemeinsame Schema verwenden.

Um IAM-Benutzern in Autonomous AI Database zusätzliche Rollen zu erteilen, müssen globale Rollen in Autonomous AI Database IAM-Gruppen zugewiesen wird.

So ordnen Sie autonome AI-Datenbank globale Rollen zu IAM-Gruppen zu:

  1. Melden Sie sich als ADMIN-Benutzer bei der Datenbank an, die für die Verwendung von IAM aktiviert ist (der ADMIN-Benutzer verfügt über die Systemberechtigungen CREATE USER und ALTER USER, die Sie für diese Schritte benötigen).
  2. Legen Sie eine Datenbankautorisierung für autonome AI-Datenbankrollen mit CREATE ROLE- oder ALTER ROLE-Anweisungen fest, und geben Sie dabei die Klausel IDENTIFIED GLOBALLY AS an. Geben Sie dabei den IAM-Gruppennamen ein.

    Verwenden Sie die folgende Syntax, um eine globale Rolle einer IAM-Gruppe zuzuordnen:

    CREATE ROLE global_role IDENTIFIED GLOBALLY AS
    'IAM_GROUP_NAME=IAM_GROUP_of_WHICH_the_IAM_USER_IS_a_MEMBER';

    Beispiel: So ordnen Sie eine IAM-Gruppe namens ExporterGroup einer gemeinsamen globalen Datenbankrolle namens export_role zu: 

    CREATE ROLE export_role IDENTIFIED GLOBALLY AS
     'IAM_GROUP_NAME=ExporterGroup';

    Das folgende Beispiel zeigt, wie die Rolle durch Angabe einer Nicht-Standarddomain sales_domain erstellt wird: 

    CREATE ROLE export_role IDENTIFIED GLOBALLY AS
     'IAM_GROUP_NAME=sales_domain/ExporterGroup';

    Alle Mitglieder der ExporterGroup in der Domain sales_domain werden mit der globalen Datenbankrolle export_role autorisiert, wenn sie sich bei der Datenbank anmelden.

  3. Verwenden Sie GRANT-Anweisungen, um der globalen Rolle die erforderlichen Berechtigungen oder andere Rollen zu erteilen.
    GRANT CREATE SESSION TO export_role;
GRANT DWROLE TO export_role;
  4. Wenn Sie eine vorhandene Datenbankrolle mit einer IAM-Gruppe verknüpfen möchten, verwenden Sie die ALTER ROLE-Anweisung, um die vorhandene Datenbankrolle zu ändern und die Rolle einer IAM-Gruppe zuzuordnen. Mit der folgenden Syntax können Sie eine vorhandene Datenbankrolle ändern, um sie einer IAM-Gruppe zuzuordnen:
    ALTER ROLE existing_database_role 
   IDENTIFIED GLOBALLY AS 'IAM_GROUP_NAME=IAM_Group_Name';

Wenn Sie zusätzliche globale Rollenzuordnungen für andere IAM-Gruppen erstellen möchten, führen Sie die folgenden Schritte für jede IAM-Gruppe aus.