IAM-Policys für Autonomous AI Database auf dedizierter Exadata-Infrastruktur

In diesem Artikel werden die IAM-Policys aufgeführt, die für die Verwaltung der Infrastrukturressourcen der autonomen KI-Datenbank auf einer dedizierten Exadata-Infrastruktur erforderlich sind.

Oracle Autonomous AI Database on Dedicated Exadata Infrastructure nutzt den IAM-(Identity and Access Management-)Service, um Cloud-Benutzer zu authentifizieren und zu autorisieren, Vorgänge auszuführen, die eine der Oracle Cloud Infrastructure-Schnittstellen (Konsole, REST-API, CLI oder SDK) verwenden. Der IAM-Service verwendet Gruppen, Compartments und Policys, um zu kontrollieren, welche Cloud-Benutzer auf welche Ressourcen zugreifen können.

Verwandte Themen

Zugriffskontrolle in autonomer KI-Datenbank in dedizierter Exadata-Infrastruktur

Policy-Details für Autonomous AI Database

In diesem Thema werden Details zum Schreiben von Policys beschrieben, um den Zugriff auf Autonome KI-Datenbankressourcen zu kontrollieren.

Eine Policy definiert, welche Art von Zugriff eine Benutzergruppe auf eine bestimmte Ressource in einem einzelnen Compartment hat. Weitere Informationen finden Sie unter Erste Schritte mit Policys.

Tipp:

Eine Beispiel-Policy finden Sie unter Verwalten von Autonomous AI Databases durch Datenbank- und Flottenadministratoren zulassen.

Ressourcentypen

Ein aggregierter Ressourcentyp umfasst die Liste der individuellen Ressourcentypen, die direkt danach aufgeführt werden. Beispiel: Wenn Sie eine Policy schreiben, um den Zugriff einer Gruppe auf die Ressourcenfamilie autonomous-database-family zuzulassen, entspricht das dem Schreiben von vier separaten Policys, die der Gruppe Zugriff auf die Ressourcentypen autonomous-databases, autonomous-backups, autonomous-container-databases und cloud-autonomous-vmclusters erteilen. Weitere Informationen finden Sie unter Ressourcentypen.

Ressourcentypen für Autonomous AI Database

Aggregierter Ressourcentyp:

autonomous-database-family

Individuelle Ressourcentypen:

autonomous-databases

autonomous-backups

autonomous-container-databases

cloud-autonomous-vmclusters (nur Oracle Public Cloud-Deployments)

autonomous-vmclusters (nur Oracle Exadata Cloud@Customer-Deployments)

autonomous-virtual-machine

Tipp:

Die Ressourcentypen cloud-exadata-infrastructures und exadata-infrastructures, die zum Provisioning der autonomen KI-Datenbank auf Oracle Public Cloud bzw. Exadata Cloud@Customer erforderlich sind, werden vom aggregierten Ressourcentyp database-family abgedeckt. Weitere Informationen zu den von database-family abgedeckten Ressourcen finden Sie unter Policy-Details für Exadata Cloud Service-Instanzen und Policy-Details für Base Database Service.

Unterstützte Variablen

Allgemeine Variablen werden unterstützt. Weitere Informationen finden Sie unter Allgemeine Variablen für alle Anforderungen.

Außerdem können Sie die Variable target.workloadType verwenden, wie in der folgenden Tabelle dargestellt:

Wert für target.workloadType	Beschreibung
`OLTP`	Online Transaction Processing (für Autonomous AI Databases mit Autonomous Transaction Processing-Workload).
`DW`	Data Warehouse, das für Autonomous AI Databases mit Autonomous Data Warehouse-Workload verwendet wird.

Beispiel-Policy mit der Variablen target.workloadType:

Allow group ADB-Admins 
to manage autonomous-database 
in tenancy where target.workloadType = 'workload_type'

Details zu Kombinationen aus Verb und Ressourcentyp

Die Zugriffsebene ist kumulativ von inspect > read > use > manage. Ein Pluszeichen (+) in einer Tabellenzelle gibt den inkrementellen Zugriff im Vergleich zur Zelle direkt darüber an, während "Keine zusätzlichen" keinen inkrementellen Zugriff angibt.

Beispiel: Das Verb read für den Ressourcentyp autonomous-databases deckt dieselben Berechtigungen und API-Vorgänge wie das Verb inspect sowie die Berechtigung "AUTONOMOUS_DATABASE_CONTENT_READ" ab. Das Verb read deckt teilweise den Vorgang CreateAutonomousDatabaseBackup ab, für den auch Verwaltungsberechtigungen für autonomous-backups erforderlich sind.

In den folgenden Tabellen sind die Berechtigungen und API-Vorgänge aufgeführt, die von den einzelnen Verben abgedeckt werden. Informationen zu Berechtigungen finden Sie unter Berechtigungen.

Für Ressourcentypen der Familie "Autonomous-database-family"

Hinweis:

Die von autonomous-database-family abgedeckte Ressourcenfamilie kann verwendet werden, um Zugriff auf Datenbankressourcen zu erteilen, die mit allen Autonomous AI Database-Workload-Typen verknüpft sind.

autonomous-databases

Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
inspect	`AUTONOMOUS_DATABASE_INSPECT`	`GetAutonomousDatabase, ListAutonomousDatabases`	None
lesen	`INSPECT +` `AUTONOMOUS_DATABASE_CONTENT_READ`	Keine zusätzlichen	`CreateAutonomousDatabaseBackup` (erfordert auch `manage autonomous-backups`)
verwenden	`READ +` `AUTONOMOUS_DATABASE_CONTENT_WRITE` `AUTONOMOUS_DATABASE_UPDATE`	`UpdateAutonomousDatabase`	`RestoreAutonomousDatabase` (erfordert auch `read autonomous-backups`) `ChangeAutonomousDatabaseCompartment` (erfordert auch `read autonomous-backups`)
manage	`USE +` `AUTONOMOUS_DATABASE_CREATE` `AUTONOMOUS_DATABASE_DELETE`	`CreateAutonomousDatabase`	None

Autonome Backups

Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
inspect	`AUTONOMOUS_DB_BACKUP_INSPECT`	`ListAutonomousDatabaseBackups, GetAutonomousDatabaseBackup`	None
lesen	`INSPECT +` `AUTONOMOUS_DB_BACKUP_CONTENT_READ`	Keine zusätzlichen	`RestoreAutonomousDatabase` (benötigt auch `use autonomous-databases`) `ChangeAutonomousDatabaseCompartment` (benötigt auch `use autonomous-databases`)
verwenden	READ + Keine zusätzlichen	Keine zusätzlichen	None
manage	`USE +` `AUTONOMOUS_DB_BACKUP_CREATE` `AUTONOMOUS_DB_BACKUP_DELETE`	`DeleteAutonomousDatabaseBackup`	`CreateAutonomousDatabaseBackup` (benötigt auch `read autonomous-databases`)

autonomous-container-databases

Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
inspect	`AUTONOMOUS_CONTAINER_DATABASE_INSPECT`	`ListAutonomousContainerDatabases, GetAutonomousContainerDatabase`	None
lesen	INSPECT + Keine zusätzlichen	Keine zusätzlichen	None
verwenden	READ + `AUTONOMOUS_CONTAINER_DATABASE_UPDATE`	`UpdateAutonomousContainerDatabase` `ChangeAutonomousContainerDatabaseCompartment`	`CreateAutonomousDatabase` (erfordert auch `manage autonomous-databases`)
manage	`USE +` `AUTONOMOUS_CONTAINER_DATABASE_CREATE` `AUTONOMOUS_CONTAINER_DATABASE_DELETE`	Keine zusätzlichen	`CreateAutonomousContainerDatabase, TerminateAutonomousContainerDatabase` (beide benötigen auch `use cloud-autonomous-vmclusters, use cloud-exadata-infrastructures`)

Cloud-autonome Cluster

Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
inspect	`CLOUD_AUTONOMOUS_VM_CLUSTER_INSPECT`	`ListCloudAutonomousVmClusters` `GetCloudAutonomousVmCluster`	None
lesen	`INSPECT +` Keine zusätzlichen	Keine zusätzlichen	None
verwenden	READ + `CLOUD_AUTONOMOUS_VM_CLUSTER_UPDATE`	`UpdateCloudAutonomousVmCluster` `ChangeCloudAutonomousVmClusterCompartment`	`CreateAutonomousDatabase` (benötigt auch `manage autonomous-databases`) `CreateAutonomousContainerDatabase` (benötigt auch `manage autonomous-container-databases`)
manage	`USE +` `CLOUD_AUTONOMOUS_VM_CLUSTER_CREATE` `CLOUD_AUTONOMOUS_VM_CLUSTER_DELETE`	Keine zusätzlichen	`CreateCloudAutonomousVmCluster, DeleteCloudAutonomousVmCluster` (Beide benötigen auch `use vnics, use subnets, use cloud-exadata-infrastructures`)

autonomous-vmclusters

Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
inspect	`AUTONOMOUS_VM_CLUSTER_INSPECT`	`ListAutonomousVmClusters` `GetAutonomousVmCluster`	`ChangeAutonomousVmClusterCompartment`
lesen	INSPECT + Keine zusätzlichen	Keine zusätzlichen	None
verwenden	`READ` + `AUTONOMOUS_VM_CLUSTER_UPDATE`	`ChangeAutonomousVmClusterCompartment`	`UpdateAutonomousVmCluster` `CreateAutonomousContainerDatabase` `TerminateAutonomousContainerDatabase`
manage	`USE` + `AUTONOMOUS_VM_CLUSTER_CREATE` + `AUTONOMOUS_VM_CLUSTER_DELETE`	`DeleteAutonomousVmCluster`	`CreateAutonomousVmCluster`

autonome virtuelle Maschine

Verben Berechtigungen Vollständig abgedeckte APIs Teilweise abgedeckte APIs

inspect

Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
inspect	`AUTONOMOUS_VIRTUAL_MACHINE_INSPECT`	`GetAutonomousVirtualMachine` `ListAutonomousVirtualMachines`	None

AUTONOMOUS_VIRTUAL_MACHINE_INSPECT

GetAutonomousVirtualMachine

ListAutonomousVirtualMachines

None

Für jeden API-Vorgang erforderliche Berechtigungen

Autonome Containerdatenbanken (ACD) und autonome KI-Datenbank (ADB) sind gemeinsame Ressourcen zwischen Oracle Public Cloud-, Multicloud- und Exadata Cloud@Customer-Deployments. Daher sind ihre Berechtigungen für beide Deployments in der folgenden Tabelle identisch.

Für bestimmte ACD-Vorgänge sind jedoch Berechtigungen auf AVMC-Ebene erforderlich. Da AVMC-Ressourcen für Oracle Public Cloud und Exadata Cloud@Customer unterschiedlich sind, benötigen Sie für jeden Deployment-Typ unterschiedliche Berechtigungen. Um beispielsweise eine ACD zu erstellen, benötigen Sie:

Die Berechtigungen AUTONOMOUS_VM_CLUSTER_UPDATE und AUTONOMOUS_CONTAINER_DATABASE_CREATE für Exadata Cloud@Customer.
Berechtigungen CLOUD_AUTONOMOUS_VM_CLUSTER_UPDATE und AUTONOMOUS_CONTAINER_DATABASE_CREATE für Oracle Public Cloud und Multicloud.

Informationen zu Berechtigungen finden Sie unter Berechtigungen.

In dieser Tabelle werden die API-Vorgänge für Autonomous AI Database-Ressourcen in einer logischen Reihenfolge nach Ressourcentyp gruppiert aufgeführt.

API-Vorgänge für Autonomous AI Database

Mit der API können Sie die verschiedenen Infrastrukturressourcen einer autonomen KI-Datenbank anzeigen und verwalten. Eine Liste der REST-API-Endpunkte zum Verwalten verschiedener Autonomous AI Database-Ressourcen finden Sie in der API-Referenz für Autonomous AI Database on Dedicated Exadata Infrastructure.

Benutzerzugriff auf bestimmte Berechtigungen begrenzen

Der Benutzerzugriff ist in IAM-Policy-Anweisungen definiert. Wenn Sie eine Policy-Anweisung erstellen, mit der eine Gruppe Zugriff auf ein bestimmtes Verb und einen bestimmten Ressourcentyp erhält, erteilen Sie dieser Gruppe eigentlich Zugriff auf mindestens eine vordefinierte IAM-Berechtigung. Mit Verben wird das Erteilen mehrerer zugehöriger Berechtigungen vereinfacht.

Wenn Sie bestimmte IAM-Berechtigungen zulassen oder verweigern möchten, fügen Sie der Policy-Anweisung eine where-Bedingung hinzu. Beispiel: Um einer Gruppe von Flottenadministratoren die Ausführung aller Vorgänge außer "Löschen" mit Exadata-Infrastrukturressourcen zu ermöglichen, erstellen Sie diese Policy-Anweisung:

Allow group FleetAdmins to manage cloud-exadata-infrastructures in tenancy where request.permission != 'CLOUD_EXADATA_INFRASTRUCTURE_DELETE'

Anschließend könnten Sie einer kleineren Gruppe von Flottenadministratoren gestatten, jeden Vorgang (einschließlich Löschen) für Exadata-Infrastrukturressourcen auszuführen, indem Sie die where-Bedingung auslassen:

Allow group FleetSuperAdmins to manage cloud-exadata-infrastructures in tenancy

Weitere Informationen zu dieser Verwendung der where-Bedingung finden Sie im Abschnitt "Zugriff mit Berechtigungen oder API-Vorgängen einschränken" von Berechtigungen.

Policys zum Verwalten von Exadata-Infrastrukturressourcen

In der folgenden Tabelle sind die IAM-Policys aufgeführt, die ein Cloud-Benutzer zur Ausführung von Verwaltungsvorgängen in Exadata-Infrastrukturressourcen benötigt.

Vorgang	Erforderliche IAM-Policys in Oracle Public Cloud und Multicloud	Erforderliche IAM-Policys auf Exadata Cloud@Customer
Exadata-Infrastrukturressource erstellen	`manage cloud-exadata-infrastructures` `use vnic` `use subnet`	`manage exadata-infrastructures`
Liste der Exadata-Infrastrukturressourcen anzeigen	`inspect cloud-exadata-infrastructures`	`inspect exadata-infrastructures`
Details einer Exadata-Infrastrukturressource anzeigen	`inspect cloud-exadata-infrastructures`	`inspect exadata-infrastructures`
Wartungsplan einer Exadata-Infrastrukturressource ändern	`use cloud-exadata-infrastructures`	`use exadata-infrastructures`
Exadata-Infrastrukturressource in ein anderes Compartment verschieben	`use cloud-exadata-infrastructures`	`use exadata-infrastructures`
Sicherheitszertifikate für eine Exadata-Infrastrukturressource verwalten	`manage cloud-exadata-infrastructures`	`manage exadata-infrastructures`
Exadata-Infrastrukturressource beenden	`manage cloud-exadata-infrastructures` `use vnic` `use subnet`	`manage exadata-infrastructures`

Policys zum Verwalten autonomer Exadata-VM-Cluster

In der folgenden Tabelle sind die IAM-Policys aufgeführt, die ein Cloud-Benutzer zur Ausführung von Verwaltungsvorgängen in autonomen Exadata-VM-Clustern benötigt.

Vorgang	Erforderliche IAM-Policys in Oracle Public Cloud und Multicloud	Erforderliche IAM-Policys auf Exadata Cloud@Customer
Autonomes Exadata-VM-Cluster erstellen	`manage cloud-autonomous-vmclusters` `use cloud-exadata-infrastructures`	`manage autonomous-vmclusters` `use exadata-infrastructures`
Liste der autonomen Exadata-VM-Cluster anzeigen	`inspect cloud-autonomous-vmclusters`	`inspect autonomous-vmclusters`
Details eines autonomen Exadata-VM-Clusters anzeigen	`inspect cloud-autonomous-vmclusters`	`inspect autonomous-vmclusters`
Lizenztyp eines autonomen VM-Clusters ändern	Nicht anwendbar	`use autonomous-vmclusters` `inspect exadata-infrastructures`
Autonomes Exadata-VM-Cluster in ein anderes Compartment verschieben	`use cloud-autonomous-vmclusters`	`use autonomous-vmclusters`
Autonomes Exadata-VM-Cluster beenden	`manage cloud-autonomous-vmclusters`	`manage autonomous-vmclusters`

Policys für die Verwaltung autonomer Containerdatenbanken

In der folgenden Tabelle sind die IAM-Policys aufgeführt, die ein Cloud-Benutzer zur Ausführung von Verwaltungsvorgängen in autonomen Containerdatenbanken (ACD) benötigt.

Vorgang	Erforderliche IAM-Policys
Autonome Containerdatenbank erstellen	`manage autonomous-container-databases` `use cloud-exadata-infrastructures`, wenn die autonome Containerdatenbank in Oracle Public Cloud und Multicloud erstellt wird. `use cloud-autonomous-vmclusters`, wenn die autonome Containerdatenbank in Oracle Public Cloud und Multicloud erstellt wurde. `use autonomous-vmclusters`, wenn die autonome Containerdatenbank in Exadata Cloud@Customer. erstellt wird `use backup-destinations`, wenn die autonome Containerdatenbank in Exadata Cloud@Customer. erstellt wird
Liste der autonomen Containerdatenbanken anzeigen	`inspect autonomous-container-databases`
Details einer autonomen Containerdatenbank anzeigen	`inspect autonomous-container-databases`
Backupaufbewahrungs-Policy einer autonomen Containerdatenbank ändern	`use autonomous-container-databases`
Wartungsvoreinstellungen einer autonomen Containerdatenbank bearbeiten	`use autonomous-container-databases`
Autonome Containerdatenbank neu starten	`use autonomous-container-databases`
Autonome Containerdatenbank in ein anderes Compartment verschieben	`use autonomous-container-databases`
Verschlüsselungsschlüssel für autonome Containerdatenbank rotieren	`use autonomous-container-databases` `inspect autonomous-container-databases`
Autonome Containerdatenbank beenden	`manage autonomous-container-databases` `use cloud-exadata-infrastructures`, wenn die autonome Containerdatenbank in Oracle Public Cloud und Multicloud erstellt wird. `use cloud-autonomous-vmclusters`, wenn die autonome Containerdatenbank in Oracle Public Cloud und Multicloud erstellt wurde. `use autonomous-vmclusters`, wenn die autonome Containerdatenbank in Exadata Cloud@Customer. erstellt wird

Policys zum Verwalten der Autonomous Data Guard-Konfiguration

In der folgenden Tabelle sind die IAM-Policys aufgeführt, die ein Cloud-Benutzer zur Ausführung von Verwaltungsvorgängen in Autonomous Data Guard-Konfigurationen benötigt.

Vorgang	Erforderliche IAM-Policys
Autonomous Data Guard-Assoziation mit einer ACD anzeigen.	`inspect autonomous-container-databases`
Listen Sie die mit Autonomous Data Guard aktivierten ACDs auf, die mit der angegebenen ACD oder Autonomous AI Database verknüpft sind.	`inspect autonomous-container-databases`
Deaktivierte Standby-Datenbank wieder in eine aktive Standby-ACD einbauen.	`inspect autonomous-container-databases` `update autonomous-container-databases`
Rollen der primären und Standby-ACDs wechseln.	`inspect autonomous-container-databases` `update autonomous-container-databases`
Failover zur Standby-ACD. Diese Standby-ACD wird zur neuen primären ACD, wenn der Failover erfolgreich abgeschlossen wird.	`inspect autonomous-container-databases` `update autonomous-container-databases`
Ändern Sie Autonomous Data Guard-Einstellungen wie Schutzmodus, automatisches Failover und Fast-Start Failover-Lag-Limit.	`inspect autonomous-container-databases` `update autonomous-container-databases`
Rufen Sie eine Autonomous Data Guard-fähige Datenbank ab, die mit der angegebenen Autonomous AI Database verknüpft ist.	`inspect autonomous-container-databases`
Autonomous AI Database-Data Guard-Verknüpfungen auflisten.	`inspect autonomous-container-databases`
Aktivieren Sie Autonomous Data Guard auf einer ACD.	`inspect cloud-autonomous-vmclusters` ODER `inspect autonomous-vmclusters` `inspect autonomous-container-databases` `update autonomous-container-databases`
Konvertieren Sie die Standby-ACD zwischen der physischen Standby- und der Snapshot Standby-ACD.	`inspect cloud-autonomous-vmclusters` ODER `inspect autonomous-vmclusters` `inspect autonomous-container-databases` `update autonomous-container-databases`

Policys zur Verwaltung von autonomen KI-Datenbanken

Die folgende Tabelle enthält die IAM-Policys, die ein Cloud-Benutzer zur Ausführung von Verwaltungsvorgängen in autonomen KI-Datenbanken benötigt.

Vorgang	Erforderliche IAM-Policys
Autonome KI-Datenbank erstellen	`manage autonomous-databases` `read autonomous-container-databases`
Liste der autonomen KI-Datenbanken anzeigen	`inspect autonomous-databases`
Details einer autonomen KI-Datenbank anzeigen	`inspect autonomous-databases`
Kennwort des ADMIN-Benutzers einer autonomen KI-Datenbank festlegen	`use autonomous-databases`
CPU-Coreanzahl oder -Speicher einer autonomen KI-Datenbank skalieren	`use autonomous-databases`
Autoscaling für eine autonome KI-Datenbank aktivieren oder deaktivieren	`use autonomous-databases`
Autonome KI-Datenbank in ein anderes Compartment verschieben	`use autonomous-databases` im aktuellen Compartment der autonomen KI-Datenbank und im Compartment, in das Sie sie verschieben `read autonomous-backups`
Autonome KI-Datenbank stoppen oder starten	`use autonomous-databases`
eine autonome KI-Datenbank neu starten	`use autonomous-databases`
Autonome KI-Datenbank manuell sichern	`read autonomous-databases` `manage autonomous-backups`
eine autonome KI-Datenbank wiederherstellen	`use autonomous-databases` `read autonomous-backups`
Autonome KI-Datenbank klonen	`manage autonomous-databases` `read autonomous-container-databases`
Autonome KI-Datenbank beenden	`manage autonomous-databases`

Titel und Copyright-Informationen

Oracle und/oder verbundene Unternehmen.