Policy-Details zur externen Datenbank
Dieses Thema enthält die Details zum Schreiben von OCI Identity and Access Management-(IAM-)Policys, um den Zugriff auf externe Datenbankressourcen zu kontrollieren.
Eine Beispiel-Policy finden Sie unter Verwalten von externen Oracle Cloud-Datenbankressourcen für Datenbankadministratoren zulässig.
Ressourcentypen
Ein aggregierter Ressourcentyp umfasst die Liste der individuellen Ressourcentypen, die direkt danach aufgeführt werden. Beispiel: Wenn Sie eine Policy schreiben, um zuzulassen, dass eine Gruppe Zugriff auf die Ressourcentypen external-database-family hat, entspricht das dem Schreiben von vier separaten Policys, die der Gruppe Zugriff auf die Ressourcentypen external-container-databases, external-pluggable-databases, external-non-container-databases und external-database-connectors erteilen.
Weitere Informationen finden Sie unter Ressourcentypen in Funktionsweise von Policys.
Aggregierter Ressourcentyp
external-database-family
Einzelne Ressourcentypen
external-container-databasesexternal-pluggable-databasesexternal-non-container-databasesexternal-database-connectors
Unterstützte Variablen
Nur die allgemeinen Variablen werden unterstützt. Weitere Informationen finden Sie unter Allgemeine Variablen für alle Anforderungen in der Policy-Referenz.
Details zu Kombinationen aus Verb und Ressourcentyp
In den folgenden Tabellen sind die Berechtigungen und API-Vorgänge aufgeführt, die von den einzelnen Verben abgedeckt werden. Die Zugriffsebene ist kumulativ von inspect > read > use > manage. Ein Pluszeichen (+) in einer Tabellenzelle gibt einen inkrementellen Zugriff im Vergleich zur direkt davor liegenden Zelle an, während "Keine zusätzlichen" keinen inkrementellen Zugriff angibt.
Beispiel: Das Verb use für den Ressourcentyp external-container-databases deckt dieselben Berechtigungen und API-Vorgänge wie das Verb read sowie die Berechtigung EXTERNAL_CONTAINER_DATABASE_UPDATE ab. Das Verb use umfasst teilweise den Vorgang ScanPluggableDatabases, der auch external-pluggable-databases-Berechtigungen für read benötigt.
Externe Datenbank-Connectors
Tabelle 4-1: Externe Datenbank-Connectors
| Verbs | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
|---|---|---|---|
|
inspect |
EXTERNAL_DATABASE_CONNECTOR_INSPECT |
|
keine zusätzlichen |
|
gelesen |
PRÜFEN + EXTERNAL_DATABASE_CONNECTOR_CONTENT_READ |
keiner |
keine zusätzlichen |
|
verwenden |
LESEN + EXTERNAL_DATABASE_CONNECTOR_CONTENT_WRITE EXTERNAL_DATABASE_CONNECTOR_UPDATE |
|
|
|
verwalten |
USE + EXTERNAL_DATABASE_CONNECTOR_CREATE EXTERNAL_DATABASE_CONNECTOR_DELETE |
|
keine zusätzlichen |
externe Nicht-Containerdatenbanken
Tabelle 4-2: externe Nicht-Containerdatenbanken
| Verbs | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
|---|---|---|---|
|
inspect |
EXTERNAL_NON_CONTAINER_DATABASE_INSPECT |
|
keine zusätzlichen |
|
gelesen |
UNTERSUCHEN + EXTERNAL_NON_CONTAINER_DATABASE_CONTENT_READ |
keine |
keine zusätzlichen |
|
verwenden |
LESEN + EXTERNAL_NON_CONTAINER_DATABASE_CONTENT_WRITE EXTERNAL_NON_CONTAINER_DATABASE_UPDATE |
|
|
|
verwalten |
BENUTZEN + EXTERNAL_NON_CONTAINER_DATABASE_CREATE EXTERNAL_NON_CONTAINER_DATABASE_DELETE |
|
keine zusätzlichen |
externe Container-Datenbanken
Tabelle 4-3: Externe Containerdatenbanken
| Verbs | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
|---|---|---|---|
|
inspizieren |
EXTERNAL_CONTAINER_DATABASE_INSPECT |
|
keine zusätzlichen |
|
gelesen |
UNTERSUCHEN + EXTERNAL_CONTAINER_DATABASE_CONTENT_READ |
keine |
keine zusätzlichen |
|
verwenden |
LESEN + EXTERNAL_CONTAINER_DATABASE_CONTENT_WRITE EXTERNAL_CONTAINER_DATABASE_UPDATE |
|
|
|
verwalten |
USE + EXTERNAL_CONTAINER_DATABASE_CREATE EXTERNAL_CONTAINER_DATABASE_DELETE |
|
keine zusätzlichen |
externe pluggable-databases
Tabelle 4-4: external-pluggable-databases
| Verbs | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
|---|---|---|---|
|
inspect |
EXTERNAL_PLUGGABLE_DATABASE_INSPECT |
|
keine zusätzlichen |
|
gelesen |
PRÜFEN + EXTERNAL_PLUGGABLE_DATABASE_CONTENT_READ |
keine |
keine zusätzlichen |
|
verwenden |
LESEN + EXTERNAL_PLUGGABLE_DATABASE_CONTENT_WRITE EXTERNAL_PLUGGABLE_DATABASE_UPDATE |
|
|
|
verwalten |
USE + EXTERNAL_PLUGGABLE_DATABASE_CREATE EXTERNAL_PLUGGABLE_DATABASE_DELETE |
|
keine zusätzlichen |
Weitere Informationen zu Berechtigungen und Verben finden Sie unter Erweiterte Policy-Features.
Für jeden API-Vorgang erforderliche Berechtigungen
API-Vorgänge für externen Datenbank-Connector
Tabelle 4-5: API-Vorgänge für externen Datenbank-Connector
| API-Vorgänge | Für den Vorgang erforderliche Berechtigungen |
|---|---|
|
ListExternalDatabaseConnectors |
EXTERNAL_DATABASE_CONNECTOR_INSPECT |
|
|
EXTERNAL_DATABASE_CONNECTOR_INSPECT |
|
|
EXTERNAL_DATABASE_CONNECTOR_UPDATE |
|
|
Mindestens eine der folgenden drei Berechtigungen:
and EXTERNAL_DATABASE_CONNECTOR_CREATE |
|
|
Mindestens eine der folgenden drei Berechtigungen:
and EXTERNAL_DATABASE_CONNECTOR_DELETE |
|
|
EXTERNAL_DATABASE_CONNECTOR_UPDATE |
API-Vorgänge für externe Nicht-Containerdatenbank
Tabelle 4-6: API-Vorgänge für externe Nicht-Containerdatenbank
| API-Vorgänge | Für den Vorgang erforderliche Berechtigungen |
|---|---|
|
|
EXTERNAL_NON_CONTAINER_DATABASE_INSPECT |
|
|
EXTERNAL_NON_CONTAINER_DATABASE_INSPECT |
|
|
EXTERNAL_NON_CONTAINER_DATABASE_INSPECT EXTERNAL_NON_CONTAINER_DATABASE_UPDATE |
|
|
EXTERNAL_NON_CONTAINER_DATABASE_INSPECT EXTERNAL_NON_CONTAINER_DATABASE_UPDATE EXTERNAL_DATABASE_CONNECTOR_INSPECT EXTERNAL_DATABASE_CONNECTOR_UPDATE |
|
|
EXTERNAL_NON_CONTAINER_DATABASE_INSPECT EXTERNAL_NON_CONTAINER_DATABASE_CREATE |
|
|
EXTERNAL_NON_CONTAINER_DATABASE_INSPECT EXTERNAL_NON_CONTAINER_DATABASE_DELETE |
|
and
|
EXTERNAL_NON_CONTAINER_DATABASE_INSPECT EXTERNAL_NON_CONTAINER_DATABASE_UPDATE EXTERNAL_DATABASE_CONNECTOR_DELETE EXTERNAL_DATABASE_CONNECTOR_UPDATE |
API-Vorgänge für externe Containerdatenbanken
Tabelle 4-7: API-Vorgänge für externe Containerdatenbanken
| API-Vorgänge | Für den Vorgang erforderliche Berechtigungen |
|---|---|
|
|
EXTERNAL_CONTAINER_DATABASE_INSPECT |
|
|
EXTERNAL_CONTAINER_DATABASE_INSPECT |
|
|
EXTERNAL_CONTAINER_DATABASE_INSPECT EXTERNAL_CONTAINER_DATABASE_UPDATE |
|
|
EXTERNAL_CONTAINER_DATABASE_INSPECT EXTERNAL_CONTAINER_DATABASE_UPDATE EXTERNAL_DATABASE_CONNECTOR_INSPECT EXTERNAL_DATABASE_CONNECTOR_UPDATE |
|
|
EXTERNAL_CONTAINER_DATABASE_INSPECT EXTERNAL_PLUGGABLE_DATABASE_INSPECT |
|
|
EXTERNAL_CONTAINER_DATABASE_INSPECT EXTERNAL_CONTAINER_DATABASE_CREATE |
|
|
EXTERNAL_CONTAINER_DATABASE_INSPECT EXTERNAL_CONTAINER_DATABASE_DELETE |
|
and
|
EXTERNAL_CONTAINER_DATABASE_INSPECT EXTERNAL_CONTAINER_DATABASE_UPDATE EXTERNAL_DATABASE_CONNECTOR_INSPECT EXTERNAL_DATABASE_CONNECTOR_UPDATE |
API-Vorgänge für externe integrierbare Datenbank
Tabelle 4-8: API-Vorgänge für externe integrierbare Datenbank
| API-Vorgänge | Für den Vorgang erforderliche Berechtigungen |
|---|---|
|
|
EXTERNAL_PLUGGABLE_DATABASE_INSPECT |
|
|
EXTERNAL_PLUGGABLE_DATABASE_INSPECT |
|
|
EXTERNAL_PLUGGABLE_DATABASE_UPDATE |
|
|
EXTERNAL_PLUGGABLE_DATABASE_INSPECT EXTERNAL_PLUGGABLE_DATABASE_UPDATE EXTERNAL_DATABASE_CONNECTOR_INSPECT EXTERNAL_DATABASE_CONNECTOR_UPDATE |
|
|
EXTERNAL_CONTAINER_DATABASE_INSPECT EXTERNAL_CONTAINER_DATABASE_UPDATE EXTERNAL_PLUGGABLE_DATABASE_CREATE |
|
|
EXTERNAL_CONTAINER_DATABASE_INSPECT EXTERNAL_CONTAINER_DATABASE_UPDATE EXTERNAL_PLUGGABLE_DATABASE_DELETE |
|
and
|
EXTERNAL_CONTAINER_DATABASE_INSPECT EXTERNAL_CONTAINER_DATABASE_UPDATE EXTERNAL_PLUGGABLE_DATABASE_UPDATE EXTERNAL_DATABASE_CONNECTOR_UPDATE |
Weitere Informationen zu Berechtigungen und Verben finden Sie unter Erweiterte Policy-Features.