Rollen und Berechtigungen bei der Migration zu einer autonomen KI-Datenbank verwalten

Beschreibt, wie Rollen und Berechtigungen bei der Migration zu einer autonomen KI-Datenbank verwaltet werden, einschließlich Details zu nicht unterstützten Rollen, Berechtigungskonvertierung und automatisierter Verarbeitung während der Migration.

Bei der Migration von anderen Oracle-Datenbanken zu Autonomous AI Database können Sie Unterschiede bei der Unterstützung von Rollen und Systemberechtigungen feststellen. Einige Rollen und Berechtigungen, die in herkömmlichen Oracle-Datenbanken üblich sind, sind in Autonomous AI Database nicht verfügbar. Dies liegt in erster Linie daran:

  • Autonome KI-Datenbank wird vollständig verwaltet: Viele Datenbankverwaltungsvorgänge, die mit diesen Berechtigungen und Rollen ausgeführt werden, werden automatisch verarbeitet, und wenn sie erteilt werden, kann dies die Sicherheit der autonomen KI-Datenbank beeinträchtigen.

  • Ersatz und Verbesserung durch neue Rollen: Bestimmte ältere Rollen werden durch autonome KI-Datenbankspezifische Rollen ersetzt oder erweitert, die äquivalente Funktionen bieten.

Um eine nahtlose Migrationserfahrung zu gewährleisten, verwaltet Autonomous AI Database automatisch nicht unterstützte Rollen und Berechtigungen durch eine der folgenden Optionen:

  • Nicht unterstützte Anweisungen werden ignoriert: Anweisungen, die sich auf Rollen oder Berechtigungen beziehen, die in der autonomen KI-Datenbank nicht unterstützt werden, werden ignoriert.

  • Zuordnung zu unterstützten Äquivalenten: In vielen Fällen werden nicht unterstützte Rollen durch die entsprechenden Äquivalente der autonomen KI-Datenbank ersetzt. Beispiel: Die Rolle DBA wird durch die Rolle PDB_DBA ersetzt.

Diese Konvertierungen werden transparent ausgeführt, und Sie können alle automatisch konvertierten Anweisungen in der Ansicht DBA_CONVERTED_STATEMENTS nach der Migration prüfen. In der Tabelle wird eine Liste der Rollen aus anderen Oracle-Datenbanken und ihrer zugeordneten Entsprechungen in Autonomous AI Database angezeigt:

Quelldatenbankrolle Zugeordnete Rolle in autonomer KI-Datenbank
DBA PDB_DBA
DATAPUMP_EXP_FULL_DATABASE DATAPUMP_CLOUD_EXP
DATAPUMP_IMP_FULL_DATABASE DATAPUMP_CLOUD_IMP
EXP_FULL_DATABASE DATAPUMP_CLOUD_EXP
IMP_FULL_DATABASE DATAPUMP_CLOUD_IMP

Eine Liste der Rollen und Berechtigungen, die in der autonomen KI-Datenbank nicht unterstützt werden und daher bei Migrations- oder Importvorgängen nicht aufgelöst werden können, finden Sie unter Einschränkungen.

Die folgenden Hauptvorteile sind die automatische Rollen- und Berechtigungsverarbeitung während der Migration zu einer autonomen KI-Datenbank:

  • Nahtlose Migration: Die automatische Anpassung nicht unterstützter Rollen und Berechtigungen reduziert die Migrationskomplexität und hilft, Fehler aufgrund nicht unterstützter Grant- oder Revoke-Vorgänge zu vermeiden.

  • Reduzierter manueller Aufwand: Keine manuelle Prüfung und Bearbeitung von SQL-Anweisungen erforderlich, sodass schnellere, fehlerfreie Migrationen möglich sind.

  • Betriebskontinuität: Durch die Unterdrückung von Fehlern und die Zuordnung von Rollen stellt Autonomous AI Database sicher, dass der Geschäftsbetrieb nicht durch Berechtigungsprobleme unterbrochen wird.

  • Verbesserte Transparenz: Alle automatischen Anpassungen sind über die DBA_CONVERTED_STATEMENTS-Ansicht auditierbar und bieten einen klaren Einblick in Änderungen, die während der Migration vorgenommen wurden.

Konvertierte Anweisungen abfragen und verwalten

Sie können die View DBA_CONVERTED_STATEMENTS abfragen, um ursprüngliche und konvertierte SQL-Anweisungen sowie die während der Migration ausgeführte Aktion zu prüfen.

Sie können prüfen, welche Anweisungen zum Erteilen und Entziehen während der Migration geändert oder ignoriert wurden, indem Sie die View DBA_CONVERTED_STATEMENTS abfragen. In dieser Ansicht werden die ursprüngliche SQL-Anweisung, die konvertierte Anweisung (sofern zutreffend) und die ausgeführte Aktion angezeigt. So können Sie Änderungen prüfen und die Abstimmung mit von der autonomen KI-Datenbank unterstützten Rollen und Berechtigungen sicherstellen.

Die folgenden Beispiele zeigen, wie diese Informationen abgefragt und interpretiert werden:

Beispiel1:

SELECT
    DBMS_LOB.SUBSTR(original_sql_text, 1000, 1) AS original_sql_text,
    DBMS_LOB.SUBSTR(converted_sql_text, 1000, 1) AS converted_sql_text,
    action_taken
FROM
    DBA_CONVERTED_STATEMENTS;

Die Beispielausgabe zeigt, dass die ursprüngliche SQL-Anweisung durch eine neue Anweisung ersetzt wurde, die nur die unterstützten Rollen und Berechtigungen in der autonomen KI-Datenbank enthält.

ORIGINAL_SQL_TEXT
-----------------------------------------------------------------------------------------------------------------------------------------------------------
grant DBA, DATAPUMP_EXP_FULL_DATABASE, DATAPUMP_IMP_FULL_DATABASE, CDB_DBA, EM_EXPRESS_ALL, CREATE ANY LIBRARY, SYSDBA, ALTER SESSION, ALTER SYSTEM to usr1

CONVERTED_SQL_TEXT
-----------------------------------------------------------------------------------------------------------------------------------------------------------
GRANT ALTER SYSTEM, ALTER SESSION, UNLIMITED TABLESPACE, DATAPUMP_CLOUD_EXP, DATAPUMP_CLOUD_IMP, PDB_DBA TO USR1

ACTION_TAKEN
-----------------------------------------------------------------------------------------------------------------------------------------------------------
REPLACED

Die Rollen DATAPUMP_EXP_FULL_DATABASE und DATAPUMP_IMP_FULL_DATABASE sind in der autonomen KI-Datenbank nicht anwendbar. Diese Rollen werden automatisch den Rollen DATAPUMP_CLOUD_EXP bzw. DATAPUMP_CLOUD_IMP zugeordnet.

Beispiel2:

SELECT
    DBMS_LOB.SUBSTR(original_sql_text, 1000, 1) AS original_sql_text,
    DBMS_LOB.SUBSTR(converted_sql_text, 1000, 1) AS converted_sql_text,
    action_taken
FROM
    DBA_CONVERTED_STATEMENTS;

Die Beispielausgabe zeigt, dass die ursprüngliche SQL-Anweisung ignoriert wurde, weil keine der angegebenen Rollen oder Berechtigungen in der autonomen KI-Datenbank unterstützt wird.

ORIGINAL_SQL_TEXT
--------------------------------------------------------------------------------
grant CREATE LIBRARY, CDB_DBA, EM_EXPRESS_ALL, XDB_WEBSERVICES from usr1

CONVERTED_SQL_TEXT
--------------------------------------------------------------------------------
(null)

ACTION_TAKEN
--------------------------------------------------------------------------------
IGNORED

Die Ausgabe zeigt, dass die ursprüngliche SQL-Anweisung, die Berechtigungen wie CREATE LIBRARY, EM_EXPRESS_ALL und XDB_WEBSERVICES anfordert, ignoriert wurde. Diese Rollen und Berechtigungen werden in der autonomen KI-Datenbank nicht unterstützt. Daher ist die entsprechende konvertierte SQL null, und die ausgeführte Aktion wird als IGNORED markiert.

  • original_sql_text ist die ursprüngliche SQL-Anweisung (bis zu den ersten 1000 Zeichen).

  • converted_sql_text ist die konvertierte SQL-Anweisung (bis zu den ersten 1000 Zeichen).

  • action_taken gibt an, ob die Anweisung IGNORED oder REPLACED war.

Weitere Informationen finden Sie unter Ansicht PURGE_CONVERTED_STMTS.

Nachdem Sie die konvertierten Anweisungen in der Ansicht DBA_CONVERTED_STATEMENTS geprüft haben, können Sie alle Anweisungen oder nur die Anweisungen entfernen, die älter als ein angegebener Aufbewahrungszeitraum sind, indem Sie die Prozedur purge_converted_stmts nach Bedarf ausführen. Beispiel:

BEGIN
  DBMS_CLOUD_ADMIN.PURGE_CONVERTED_STMTS(
    retention_date => SYSTIMESTAMP - INTERVAL '1' DAY
  );
END;
/

Dadurch werden Einträge aus der DBA_CONVERTED_STATEMENTS-Ansicht entfernt, die älter als ein Tag sind, basierend auf dem aktuellen Zeitstempel.

Weitere Informationen finden Sie unter PURGE_CONVERTED_STMTS.

Einschränkungen

Listet die Rollen und Berechtigungen auf, die bei der Migration von anderen Oracle-Datenbanken zu Autonomous AI Database nicht unterstützt werden.

Berechtigungen:

  • SYSDBA
  • SYSOPER
  • GRANT ANY PRIVILEGE
  • CREATE LIBRARY
  • CREATE ANY LIBRARY
  • EXPORT FULL DATABASE
  • IMPORT FULL DATABASE
  • CREATE EXTERNAL JOB
  • SYSBACKUP
  • SYSDG
  • SYSKM
  • ADMINISTER KEY MANAGEMENT
  • FLASHBACK ARCHIVE ADMINISTER
  • INHERIT ANY REMOTE PRIVILEGE
  • CREATE CREDENTIAL
  • CREATE ANY CREDENTIAL
  • SYSRAC
  • TEXT DATASTORE ACCESS
  • ENABLE DIAGNOSTICS
  • CREATE TRUE CACHE

Rollen:

  • CDB_DBA
  • EM_EXPRESS_ALL
  • EM_EXPRESS_BASIC
  • XDB_SET_INVOKER
  • XDB_WEBSERVICES
  • XDB_WEBSERVICES_WITH_PUBLIC
  • XDB_WEBSERVICES_OVER_HTTP
  • EXECUTE_CATALOG_ROLE
  • SCHEDULER_ADMIN
  • OEM_MONITOR
  • GDS_CATALOG_SELECT
  • HS_ADMIN_EXECUTE_ROLE
  • DBMS_MDX_INTERNAL
  • EJBCLIENT
  • JMXSERVER
  • GGSYS_ROLE
  • XDBADMIN