IAM-Policys für Autonomous AI Database auf dedizierter Exadata-Infrastruktur
In diesem Artikel werden die IAM-Policys aufgeführt, die zum Verwalten der Infrastrukturressourcen der autonomen KI-Datenbank auf einer dedizierten Exadata-Infrastruktur erforderlich sind.
Oracle Autonomous AI Database on Dedicated Exadata Infrastructure nutzt den IAM-(Identity and Access Management-)Service, um Cloud-Benutzer zu authentifizieren und zu autorisieren, Vorgänge auszuführen, die eine der Oracle Cloud Infrastructure-Schnittstellen (Konsole, REST-API, CLI oder SDK) verwenden. Der IAM-Service verwendet Gruppen, Compartments und Policys, um zu kontrollieren, welche Cloud-Benutzer auf welche Ressourcen zugreifen können.
Policy-Details für autonome KI-Datenbank
In diesem Thema werden Details zum Schreiben von Policys beschrieben, mit denen der Zugriff auf autonome KI-Datenbankressourcen kontrolliert wird.
Eine Policy definiert, welche Art von Zugriff eine Benutzergruppe auf eine bestimmte Ressource in einem einzelnen Compartment hat. Weitere Informationen finden Sie unter Erste Schritte mit Policys.
Tipp: Eine Beispiel-Policy finden Sie unter Verwalten von autonomen KI-Datenbanken durch Datenbank- und Flottenadministratoren gewähren.
Ressourcentypen
Ein aggregierter Ressourcentyp umfasst die Liste der individuellen Ressourcentypen, die direkt danach aufgeführt werden. Beispiel: Wenn Sie eine Policy schreiben, um den Zugriff einer Gruppe auf die Ressourcenfamilie autonomous-database-family zuzulassen, entspricht das dem Schreiben von vier separaten Policys, die der Gruppe Zugriff auf die Ressourcentypen autonomous-databases, autonomous-backups, autonomous-container-databases und cloud-autonomous-vmclusters erteilen. Weitere Informationen finden Sie unter Ressourcentypen.
Ressourcentypen für autonome KI-Datenbank
Aggregierter Ressourcentyp:
autonomous-database-family
Individuelle Ressourcentypen:
autonomous-databases
autonomous-backups
autonomous-container-databases
cloud-autonomous-vmclusters (nur Oracle Public Cloud-Deployments)
autonomous-vmclusters (nur Oracle Exadata Cloud@Customer-Deployments)
autonomous-virtual-machine
Tipp: Die Ressourcentypen cloud-exadata-infrastructures und exadata-infrastructures, die zum Provisioning der autonomen KI-Datenbank auf Oracle Public Cloud bzw. Exadata Cloud@Customer erforderlich sind, werden vom aggregierten Ressourcentyp database-family abgedeckt. Weitere Informationen zu den von database-family abgedeckten Ressourcen finden Sie unter Policy-Details für Exadata Cloud Service-Instanzen und Policy-Details für Base Database Service.
Unterstützte Variablen
Allgemeine Variablen werden unterstützt. Weitere Informationen finden Sie unter Allgemeine Variablen für alle Anforderungen.
Außerdem können Sie die Variable target.workloadType verwenden, wie in der folgenden Tabelle dargestellt:
| Wert für target.workloadType | Beschreibung |
|---|---|
OLTP |
Online Transaction Processing (für autonome AI-Datenbanken mit Autonomous Transaction Processing-Workload). |
DW |
Data Warehouse, das für autonome KI-Datenbanken mit Autonomous Data Warehouse-Workload verwendet wird. |
Beispiel-Policy mit der Variablen target.workloadType:
Allow group ADB-Admins
to manage autonomous-database
in tenancy where target.workloadType = 'workload_type'Details zu Kombinationen aus Verb und Ressourcentyp
Die Zugriffsebene ist kumulativ von inspect > read > use > manage. Ein Pluszeichen (+) in einer Tabellenzelle gibt den inkrementelle Zugriff im Vergleich zur Zelle direkt darüber inkrementellen Zugriff an, während "Keine zusätzlichen" keinen inkrementellen Zugriff angibt.
Beispiel: Das Verb read für den Ressourcentyp autonomous-databases deckt dieselben Berechtigungen und API-Vorgänge wie das Verb inspect sowie die Berechtigung "AUTONOMOUS_DATABASE_CONTENT_READ" Ab. Das Verb read deckt teilweise den Vorgang CreateAutonomousDatabaseBackup ab, für den auch Verwaltungsberechtigungen für autonomous-backups erforderlich sind.
In die folgenden Tabellen werden die von jedem Verb abgedeckten Berechtigungen und API-Vorgänge aufgeführt. Informationen zu Berechtigungen finden Sie unter Berechtigungen.
Für Ressourcentypen der Familie "autonomous-database-family"
Hinweis: Mit der Ressourcenfamilie, die von autonomous-database-family abgedeckt wird, können Sie Zugriff auf Datenbankressourcen erteilen, die mit allen Autonomous AI Database-Workload-Typen verknüpft sind.
autonomous-databases
| Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
|---|---|---|---|
| inspect | AUTONOMOUS_DATABASE_INSPECT |
GetAutonomousDatabase, ListAutonomousDatabases |
Kein |
| lesen |
|
Keine zusätzlichen | CreateAutonomousDatabaseBackup (erfordert auch manage autonomous-backups) |
| verwenden |
|
UpdateAutonomousDatabase |
|
| manage |
|
CreateAutonomousDatabase |
Kein |
autonome Backups
| Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
|---|---|---|---|
| inspect | AUTONOMOUS_DB_BACKUP_INSPECT |
ListAutonomousDatabaseBackups, GetAutonomousDatabaseBackup |
Kein |
| lesen |
|
Keine zusätzlichen |
|
| verwenden | READ + Keine zusätzlichen |
Keine zusätzlichen | Kein |
| manage |
|
DeleteAutonomousDatabaseBackup |
CreateAutonomousDatabaseBackup (benötigt auch read autonomous-databases) |
autonomous-container-databases
| Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
|---|---|---|---|
| inspect | AUTONOMOUS_CONTAINER_DATABASE_INSPECT |
ListAutonomousContainerDatabases, GetAutonomousContainerDatabase |
Kein |
| lesen | INSPECT + Keine zusätzlichen |
Keine zusätzlichen | Kein |
| verwenden | READ +
|
|
CreateAutonomousDatabase (erfordert auch manage autonomous-databases) |
| manage |
|
Keine zusätzlichen | CreateAutonomousContainerDatabase, TerminateAutonomousContainerDatabase (beide benötigen auch use cloud-autonomous-vmclusters, use cloud-exadata-infrastructures) |
cloud-autonom-vmcluster
| Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
|---|---|---|---|
| inspect | CLOUD_AUTONOMOUS_VM_CLUSTER_INSPECT |
|
Kein |
| lesen |
Keine zusätzlichen |
Keine zusätzlichen | Kein |
| verwenden | READ +
|
|
|
| manage |
|
Keine zusätzlichen |
(Beide benötigen auch |
autonomous-vmclusters
| Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
|---|---|---|---|
| inspect | AUTONOMOUS_VM_CLUSTER_INSPECT |
|
ChangeAutonomousVmClusterCompartment |
| lesen | INSPECT + Keine zusätzlichen |
Keine zusätzlichen | Kein |
| verwenden |
|
ChangeAutonomousVmClusterCompartment |
|
| manage |
|
DeleteAutonomousVmCluster |
CreateAutonomousVmCluster |
autonomer virtueller Maschinen
| Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
|---|---|---|---|
| inspect | AUTONOMOUS_VIRTUAL_MACHINE_INSPECT |
|
Kein |
Für jeden API-Vorgang erforderliche Berechtigungen
Autonomous Container Database (ACD) und Autonomous AI Database (ADB) sind gemeinsame Ressourcen zwischen Oracle Public Cloud-, Multicloud- und Exadata Cloud@Customer-Deployments. Daher sind ihre Berechtigungen für beide Deployments in der folgenden Tabelle identisch.
Für bestimmte ACD-Vorgänge sind jedoch Berechtigungen auf AVMC-Ebene erforderlich. Da sich die AVMC-Ressourcen für Oracle Public Cloud und Exadata Cloud@Customer unterscheiden, benötigen Sie für jeden Deployment-Typ unterschiedliche Berechtigungen. Um beispielsweise eine ACD zu erstellen, benötigen Sie:
-
Die Berechtigungen AUTONOMOUS_VM_CLUSTER_UPDATE und AUTONOMOUS_CONTAINER_DATABASE_CREATE auf Exadata Cloud@Customer.
-
Die Berechtigungen CLOUD_AUTONOMOUS_VM_CLUSTER_UPDATE und AUTONOMOUS_CONTAINER_DATABASE_CREATE für Oracle Public Cloud und Multicloud.
Informationen zu Berechtigungen finden Sie unter Berechtigungen.
in der folgenden Tabelle werden die API-Vorgänge für autonome KI-Datenbankressourcen in einer logischen Reihenfolge nach Ressourcentyp gruppiert aufgeführt.
Autonome KI-Datenbank-API-Vorgänge
Mit der API können Sie die verschiedenen Infrastrukturressourcen einer autonomen KI-Datenbank anzeigen und verwalten. Eine Liste der REST-API-Endpunkte zum Verwalten verschiedener autonomer KI-Datenbankressourcen finden Sie unter API-Referenz für autonome KI-Datenbank auf dedizierter Exadata-Infrastruktur.
Benutzerzugriff auf bestimmte Berechtigungen begrenzen
Der Benutzerzugriff ist in IAM-Policy-Anweisungen definiert. Wenn Sie eine Policy-Anweisung erstellen, mit der eine Gruppe Zugriff auf ein bestimmtes Verb und einen bestimmten Ressourcentyp erhält, erteilen Sie dieser Gruppe eigentlich Zugriff auf mindestens eine vordefinierte IAM-Berechtigung. Mit Verben wird das Erteilen mehrerer zugehöriger Berechtigungen vereinfacht.
Wenn Sie bestimmte IAM-Berechtigungen zulassen oder verweigern möchten, fügen Sie der Policy-Anweisung eine Where-Bedingung hinzu. Beispiel: Um einer Gruppe von Flottenadministratoren die Ausführung aller Vorgänge außer "Löschen" mit den Exadata-Infrastrukturressourcen zu erlauben, erstellen Sie diese Policy-Anweisung:
Allow group FleetAdmins to manage cloud-exadata-infrastructures in tenancy where request.permission != 'CLOUD_EXADATA_INFRASTRUCTURE_DELETE'Anschließend könnten Sie einer kleineren Gruppe von Flottenadministratoren gestatten, jeden Vorgang (einschließlich Löschen) für Exadata-Infrastrukturressourcen auszuführen, indem Sie die where-Bedingung auslassen:
Allow group FleetSuperAdmins to manage cloud-exadata-infrastructures in tenancyWeitere Informationen zu dieser Verwendung der where-Bedingung finden Sie im Abschnitt "Zugriff mit Berechtigungen oder API-Vorgängen bestimmen" von Berechtigungen.
Policys zur Verwaltung von Exadata-Infrastrukturressourcen
In der folgenden Tabelle sind die IAM-Policys aufgeführt, die ein Cloud-Benutzer zur Ausführung von Verwaltungsvorgängen in Exadata-Infrastrukturressourcen benötigt.
| Vorgang | Erforderliche IAM-Policys in Oracle Public Cloud und Multicloud | Erforderliche IAM-Policys auf Exadata Cloud@Customer |
|---|---|---|
| Exadata-Infrastrukturressource erstellen |
|
manage exadata-infrastructures |
| Liste der Exadata-Infrastrukturressourcen anzeigen | inspect cloud-exadata-infrastructures |
inspect exadata-infrastructures |
| Details einer Exadata-Infrastrukturressource anzeigen | inspect cloud-exadata-infrastructures |
inspect exadata-infrastructures |
| Wartungsplan einer Exadata-Infrastrukturressource ändern | use cloud-exadata-infrastructures |
use exadata-infrastructures |
| Exadata-Infrastrukturressource in ein anderes Compartment verschieben | use cloud-exadata-infrastructures |
use exadata-infrastructures |
| Sicherheitszertifikate für eine Exadata-Infrastrukturressource verwalten | manage cloud-exadata-infrastructures |
manage exadata-infrastructures |
| Exadata-Infrastrukturressource beenden |
|
manage exadata-infrastructures |
Policys zur Verwaltung autonomer Exadata-VM-Cluster
In der folgenden Tabelle sind die IAM-Policys aufgeführt, die ein Cloud-Benutzer zur Ausführung von Verwaltungsvorgängen in autonomen Exadata-VM-Clustern benötigt.
| Vorgang | Erforderliche IAM-Policys in Oracle Public Cloud und Multicloud | Erforderliche IAM-Policys auf Exadata Cloud@Customer |
|---|---|---|
| Autonomes Exadata-VM-Cluster erstellen |
|
|
| Liste der autonomen Exadata-VM-Cluster anzeigen | inspect cloud-autonomous-vmclusters |
inspect autonomous-vmclusters |
| Details eines autonomen Exadata-VM-Clusters anzeigen | inspect cloud-autonomous-vmclusters |
inspect autonomous-vmclusters |
| Lizenztyp eines autonomen VM-Clusters ändern | Nicht anwendbar |
|
| Autonomes Exadata-VM-Cluster in ein anderes Compartment verschieben | use cloud-autonomous-vmclusters |
use autonomous-vmclusters |
| Autonomes Exadata-VM-Cluster beenden | manage cloud-autonomous-vmclusters |
manage autonomous-vmclusters |
Policys zur Verwaltung autonomer Containerdatenbanken
Die folgende Tabelle enthält die IAM-Policys, die ein Cloud-Benutzer zur Ausführung von Verwaltungsvorgängen in autonomen Containerdatenbanken benötigt (ACD).
| Vorgang | Erforderliche IAM-Policys |
|---|---|
| Autonome Containerdatenbank erstellen |
|
| Liste der autonomen Containerdatenbanken anzeigen | inspect autonomous-container-databases |
| Details einer autonomen Containerdatenbank anzeigen | inspect autonomous-container-databases |
| Backupaufbewahrungs-Policy einer autonomen Containerdatenbank ändern | use autonomous-container-databases |
| Wartungsvoreinstellungen einer autonomen Containerdatenbank bearbeiten | use autonomous-container-databases |
| Autonome Containerdatenbank neu starten | use autonomous-container-databases |
| Autonome Containerdatenbank in ein anderes Compartment verschieben | use autonomous-container-databases |
| Verschlüsselungsschlüssel einer autonomen Containerdatenbank Rotieren |
|
| Autonome Containerdatenbank beenden |
|
Policys zum Verwalten der Autonomous Data Guard-Konfiguration
Die folgende Tabelle enthält die IAM-Policys, die ein Cloud-Benutzer zur Ausführung von Verwaltungsvorgängen in autonomen Data Guard-Konfigurationen benötigt.
| Vorgang | Erforderliche IAM-Policys |
|---|---|
| Autonomous Data Guard-Gruppen mit einer ACD anzeigen. | inspect autonomous-container-databases |
| Listen Sie die mit Autonomous Data Guard aktivierten ACDs auf, die mit der angegebenen ACD- oder autonomen KI-Datenbank verknüpft sind. | inspect autonomous-container-databases |
| Reaktivieren Sie die deaktivierte Standbydatenbank in einer aktiven Standby-ACD. |
|
| Switch-Rollen der primären und Standby-ACDs. |
|
| Failover zu Standby-ACD. Diese Standby-ACD wird zur neuen primären ACD, wenn das Failover erfolgreich abgeschlossen wird. |
|
| Autonomous Data Guard-Einstellungen wie Schutzmodus, automatisches Failover und Fast-Start Failover-Lag-Limit ändern. |
|
| Rufen Sie eine Autonomous Data Guard-fähige Datenbank ab, die mit der angegebenen autonomen KI-Datenbank verknüpft ist. | inspect autonomous-container-databases |
| Data Guard-Gruppen der autonomen KI-Datenbank auflisten. | inspect autonomous-container-databases |
| Aktivieren Sie Autonomous Data Guard auf einer ACD. |
|
| Konvertieren Sie die Standby-ACD zwischen physischer Standby- und Snapshot Standby-ACD. |
|
Policys zur Verwaltung autonomer KI-Datenbanken
Die folgende Tabelle enthält die IAM-Policys, die ein Cloud-Benutzer zur Ausführung von Verwaltungsvorgängen in autonomen KI-Datenbanken benötigt.
| Vorgang | Erforderliche IAM-Policys |
|---|---|
| Autonome KI-Datenbank erstellen |
|
| Liste der autonomen KI-Datenbanken anzeigen | inspect autonomous-databases |
| Details einer autonomen KI-Datenbank anzeigen | inspect autonomous-databases |
| Kennwort des ADMIN-Benutzers einer autonomen KI-Datenbank festlegen | use autonomous-databases |
| CPU-Coreanzahl oder -Speicher einer autonomen KI-Datenbank skalieren | use autonomous-databases |
| Autoscaling für eine autonome KI-Datenbank aktivieren oder deaktivieren | use autonomous-databases |
| Autonome KI-Datenbank in ein anderes Compartment verschieben |
|
| Autonome KI-Datenbank stoppen oder starten | use autonomous-databases |
| Autonome KI-Datenbank neu starten | use autonomous-databases |
| Autonome KI-Datenbank manuell sichern |
|
| Autonome KI-Datenbank wiederherstellen |
|
| Autonome KI-Datenbank klonen |
|
| Autonome KI-Datenbank beenden | manage autonomous-databases |
Verwandte Inhalte
Zugriffskontrolle in autonomer KI-Datenbank in dedizierter Exadata-Infrastruktur