IAM-Policys für Autonomous Database auf dedizierter Exadata-Infrastruktur
In diesem Artikel werden die IAM-Policys aufgeführt, die für die Verwaltung der Infrastrukturressourcen von Autonomous Database auf einer dedizierten Exadata-Infrastruktur erforderlich sind.
Oracle Autonomous Database on Dedicated Exadata Infrastructure verwendet den IAM-(Identity and Access Management-)Service, um Cloud-Benutzer zu authentifizieren und für Vorgänge zu autorisieren, die eine der Oracle Cloud Infrastructure-Schnittstellen verwenden (Konsole, REST-API, CLI oder SDK). Der IAM-Service verwendet Gruppen, Compartments, und Policys, um zu kontrollieren, welche Cloud-Benutzer auf welche Ressourcen zugreifen können.
Policy-Details für Autonomous Database
In diesem Thema werden Details beschrieben, wie Sie Policys schreiben, um den Zugriff auf Autonomous Database-Ressourcen zu kontrollieren.
Tipp:
Eine Beispiel-Policy finden Sie unter Datenbank- und Flottenadministratoren die Verwaltung von autonomen Datenbanken gewähren.Ressourcentypen
Ein aggregierter Ressourcentyp umfasst die Liste der individuellen Ressourcentypen, die direkt danach aufgeführt werden. Beispiel: Wenn Sie eine Policy schreiben, um den Zugriff einer Gruppe auf die Ressourcenfamilie autonomous-database-family
zuzulassen, entspricht das dem Schreiben von vier separaten Policys, die der Gruppe Zugriff auf die Ressourcentypen autonomous-databases
, autonomous-backups
, autonomous-container-databases
und cloud-autonomous-vmclusters
erteilen. Weitere Informationen finden Sie unter Ressourcentypen.
Aggregierter Ressourcentyp:
autonomous-database-family
Individuelle Ressourcentypen:
autonomous-databases
autonomous-backups
autonomous-container-databases
cloud-autonomous-vmclusters
(nur Oracle Public Cloud-Deployments)
autonomous-vmclusters
(nur Oracle Exadata Cloud@Customer-Deployments)
autonomous-virtual-machine
Tipp:
Die Ressourcentypencloud-exadata-infrastructures
und exadata-infrastructures
, die für das Provisioning von Autonomous Database auf Oracle Public Cloud bzw. Exadata Cloud@Customer erforderlich sind, werden vom aggregierten Ressourcentyp database-family
abgedeckt. Weitere Informationen zu den von database-family
abgedeckten Ressourcen finden Sie unter Policy-Details für Exadata Cloud Service-Instanzen und Policy-Details für Base Database Service.
Unterstützte Variablen
Allgemeine Variablen werden unterstützt. Weitere Informationen finden Sie unter Allgemeine Variablen für alle Anforderungen.
Außerdem können Sie die Variable target.workloadType
verwenden, wie in der folgenden Tabelle dargestellt:
Wert für target.workloadType | Beschreibung |
---|---|
OLTP |
Online-Transaktionsverarbeitung für Autonomous Database mit Autonomous Transaction Processing-Workload. |
DW |
Data Warehouse (für Autonomous Databases mit Autonomous Data Warehouse-Workload) |
Allow group ADB-Admins
to manage autonomous-database
in tenancy where target.workloadType = 'workload_type'
Details zu Kombinationen aus Verb und Ressourcentyp
Die Zugriffsebene ist kumulativ von inspect > read > use > manage
. Ein Pluszeichen (+) in einer Tabellenzelle gibt den inkrementellen Zugriff im Vergleich zur Zelle direkt darüber an, während "Keine zusätzlichen" keinen inkrementellen Zugriff angibt.
Beispiel: Das Verb read
für den Ressourcentyp autonomous-databases
deckt dieselben Berechtigungen und API-Vorgänge wie das Verb inspect
sowie die Berechtigung "AUTONOMOUS_DATABASE_CONTENT_READ" ab. Das Verb read
deckt teilweise den Vorgang CreateAutonomousDatabaseBackup
ab, für den auch Verwaltungsberechtigungen für autonomous-backups
erforderlich sind.
In den folgenden Tabellen sind die Berechtigungen und API-Vorgänge aufgeführt, die von den einzelnen Verben abgedeckt werden. Informationen zu Berechtigungen finden Sie unter Berechtigungen.
Hinweis:
Mit der Ressourcenfamilie, die von autonomous-database-family abgedeckt wird, können Sie Zugriff auf Datenbankressourcen erteilen, die mit allen Autonomous Database-Workload-Typen verknüpft sind.Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
inspect |
|
|
None |
lesen |
|
Keine zusätzlichen |
|
verwenden |
|
|
|
manage |
|
|
None |
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
inspect |
|
|
None |
lesen |
|
Keine zusätzlichen |
|
verwenden |
READ + Keine zusätzlichen |
Keine zusätzlichen |
None |
manage |
|
|
|
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
inspect |
|
|
None |
lesen |
INSPECT + Keine zusätzlichen |
Keine zusätzlichen |
None |
verwenden |
READ +
|
|
|
manage |
|
Keine zusätzlichen |
|
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
inspect |
|
|
None |
lesen |
Keine zusätzlichen |
Keine zusätzlichen |
None |
verwenden |
READ +
|
|
|
manage |
|
Keine zusätzlichen |
(Beide benötigen auch |
autonomous-vmclusters
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
inspect |
|
|
|
lesen |
INSPECT + Keine zusätzlichen |
Keine zusätzlichen |
None |
verwenden |
|
|
|
manage |
|
|
|
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
inspect | AUTONOMOUS_VIRTUAL_MACHINE_INSPECT |
|
None |
Für jeden API-Vorgang erforderliche Berechtigungen
Autonomous Container Database (ACD) und Autonomous Database (ADB) sind gemeinsame Ressourcen zwischen Oracle Public Cloud-, Multicloud- und Exadata Cloud@Customer-Deployments. Daher sind ihre Berechtigungen für beide Deployments in der folgenden Tabelle identisch.
-
Die Berechtigungen AUTONOMOUS_VM_CLUSTER_UPDATE und AUTONOMOUS_CONTAINER_DATABASE_CREATE für Exadata Cloud@Customer.
-
Berechtigungen CLOUD_AUTONOMOUS_VM_CLUSTER_UPDATE und AUTONOMOUS_CONTAINER_DATABASE_CREATE für Oracle Public Cloud und Multicloud.
Informationen zu Berechtigungen finden Sie unter Berechtigungen.
In der folgenden Tabelle werden die API-Vorgänge für Autonomous Database-Ressourcen in logischer Reihenfolge nach Ressourcentyp gruppiert aufgeführt.
Mit der API können Sie die verschiedenen Infrastrukturressourcen von einer Autonomous Database anzeigen und verwalten. Eine Liste der REST-API-Endpunkte zum Verwalten verschiedener Autonomous Database-Ressourcen finden Sie unter API-Referenz für Autonomous Database on Dedicated Exadata Infrastructure.
Der Benutzerzugriff ist in IAM-Policy-Anweisungen definiert. Wenn Sie eine Policy-Anweisung erstellen, mit der eine Gruppe Zugriff auf ein bestimmtes Verb und einen bestimmten Ressourcentyp erhält, erteilen Sie dieser Gruppe eigentlich Zugriff auf mindestens eine vordefinierte IAM-Berechtigung. Mit Verben wird das Erteilen mehrerer zugehöriger Berechtigungen vereinfacht.
Wenn Sie bestimmte IAM-Berechtigungen zulassen oder verweigern möchten, fügen Sie der Policy-Anweisung eine where
-Bedingung hinzu. Beispiel: Um einer Gruppe von Flottenadministratoren die Ausführung aller Vorgänge außer "Löschen" mit Exadata-Infrastrukturressourcen zu ermöglichen, erstellen Sie diese Policy-Anweisung:
Allow group FleetAdmins to manage cloud-exadata-infrastructures in tenancy where request.permission != 'CLOUD_EXADATA_INFRASTRUCTURE_DELETE'
Anschließend könnten Sie einer kleineren Gruppe von Flottenadministratoren gestatten, jeden Vorgang (einschließlich Löschen) für Exadata-Infrastrukturressourcen auszuführen, indem Sie die where
-Bedingung auslassen:
Allow group FleetSuperAdmins to manage cloud-exadata-infrastructures in tenancy
Weitere Informationen zu dieser Verwendung der where
-Bedingung finden Sie im Abschnitt "Zugriff mit Berechtigungen oder API-Vorgängen einschränken" von Berechtigungen.
Policys zum Verwalten von Exadata-Infrastrukturressourcen
In der folgenden Tabelle sind die IAM-Policys aufgeführt, die ein Cloud-Benutzer zur Ausführung von Verwaltungsvorgängen in Exadata-Infrastrukturressourcen benötigt.
Vorgang | Erforderliche IAM-Policys in Oracle Public Cloud und Multicloud | Erforderliche IAM-Policys auf Exadata Cloud@Customer |
---|---|---|
Exadata-Infrastrukturressource erstellen |
|
|
Liste der Exadata-Infrastrukturressourcen anzeigen |
|
|
Details einer Exadata-Infrastrukturressource anzeigen |
|
|
Wartungsplan einer Exadata-Infrastrukturressource ändern |
|
|
Exadata-Infrastrukturressource in ein anderes Compartment verschieben |
|
|
Sicherheitszertifikate für eine Exadata-Infrastrukturressource verwalten |
|
|
Exadata-Infrastrukturressource beenden |
|
|
Policys zum Verwalten autonomer Exadata-VM-Cluster
In der folgenden Tabelle sind die IAM-Policys aufgeführt, die ein Cloud-Benutzer zur Ausführung von Verwaltungsvorgängen in autonomen Exadata-VM-Clustern benötigt.
Vorgang | Erforderliche IAM-Policys in Oracle Public Cloud und Multicloud | Erforderliche IAM-Policys auf Exadata Cloud@Customer |
---|---|---|
Autonomes Exadata-VM-Cluster erstellen |
|
|
Liste der autonomen Exadata-VM-Cluster anzeigen |
|
|
Details eines autonomen Exadata-VM-Clusters anzeigen |
|
|
Lizenztyp eines autonomen VM-Clusters ändern |
Nicht anwendbar |
|
Autonomes Exadata-VM-Cluster in ein anderes Compartment verschieben |
|
|
Autonomes Exadata-VM-Cluster beenden |
|
|
Policys für die Verwaltung autonomer Containerdatenbanken
In der folgenden Tabelle sind die IAM-Policys aufgeführt, die ein Cloud-Benutzer zur Ausführung von Verwaltungsvorgängen in autonomen Containerdatenbanken (ACD) benötigt.
Vorgang | Erforderliche IAM-Policys |
---|---|
Autonome Containerdatenbank erstellen |
|
Liste der autonomen Containerdatenbanken anzeigen |
|
Details einer autonomen Containerdatenbank anzeigen |
|
Backupaufbewahrungs-Policy einer autonomen Containerdatenbank ändern |
|
Wartungsvoreinstellungen einer autonomen Containerdatenbank bearbeiten |
|
Autonome Containerdatenbank neu starten |
|
Autonome Containerdatenbank in ein anderes Compartment verschieben |
|
Verschlüsselungsschlüssel für autonome Containerdatenbank rotieren |
|
Autonome Containerdatenbank beenden |
|
Policys zum Verwalten der Autonomous Data Guard-Konfiguration
In der folgenden Tabelle sind die IAM-Policys aufgeführt, die ein Cloud-Benutzer zur Ausführung von Verwaltungsvorgängen in Autonomous Data Guard-Konfigurationen benötigt.
Vorgang | Erforderliche IAM-Policys |
---|---|
Autonomous Data Guard-Assoziation mit einer ACD anzeigen. |
|
Listen Sie die ACDs auf, die mit Autonomous Data Guard aktiviert sind, das mit der angegebenen ACD oder Autonomous Database verknüpft ist. |
|
Deaktivierte Standby-Datenbank wieder in eine aktive Standby-ACD einbauen. |
|
Rollen der primären und Standby-ACDs wechseln. |
|
Failover zur Standby-ACD. Diese Standby-ACD wird zur neuen primären ACD, wenn der Failover erfolgreich abgeschlossen wird. |
|
Ändern Sie Autonomous Data Guard-Einstellungen wie Schutzmodus, automatisches Failover und Fast-Start Failover-Lag-Limit. |
|
Datenbank mit aktiviertem Autonomous Data Guard Datenbank abrufen, die mit der angegebenen autonomen Datenbank verknüpft ist. |
|
Listen Sie Autonomous Database Data Guard-Verknüpfungen auf. |
|
Aktivieren Sie Autonomous Data Guard auf einer ACD. |
|
Konvertieren Sie die Standby-ACD zwischen der physischen Standby- und der Snapshot Standby-ACD. |
|
Policys zum Verwalten von Autonomous Databases
In der folgenden Tabelle sind die IAM-Policys aufgeführt, die ein Cloud-Benutzer zur Ausführung von Verwaltungsvorgängen in Autonomous Databases benötigt.
Vorgang | Erforderliche IAM-Policys |
---|---|
Autonomous Database erstellen |
|
Liste der Autonomous Databases anzeigen |
|
Details zu einer Autonomous Database anzeigen |
|
Kennwort des Autonomous Database-ADMIN-Benutzers festlegen |
|
CPU-Coreanzahl oder -Speicher von einer Autonomous Database skalieren |
|
Autoscaling für eine Autonomous Database aktivieren oder deaktivieren |
|
Autonomous Database in ein anderes Compartment verschieben |
|
Autonomous Database stoppen oder starten |
|
Autonomous Database neu starten |
|
Autonomous Database manuell sichern |
|
Autonomous Database wiederherstellen |
|
Autonomous Database klonen |
|
Autonomous Database beenden |
|