IAM-Policys für Autonomous Database auf dedizierter Exadata-Infrastruktur

In diesem Artikel werden die IAM-Policys aufgeführt, die für die Verwaltung der Infrastrukturressourcen von Autonomous Database auf einer dedizierten Exadata-Infrastruktur erforderlich sind.

Oracle Autonomous Database on Dedicated Exadata Infrastructure verwendet den IAM-(Identity and Access Management-)Service, um Cloud-Benutzer zu authentifizieren und für Vorgänge zu autorisieren, die eine der Oracle Cloud Infrastructure-Schnittstellen verwenden (Konsole, REST-API, CLI oder SDK). Der IAM-Service verwendet Gruppen, Compartments, und Policys, um zu kontrollieren, welche Cloud-Benutzer auf welche Ressourcen zugreifen können.

Policy-Details für Autonomous Database

In diesem Thema werden Details beschrieben, wie Sie Policys schreiben, um den Zugriff auf Autonomous Database-Ressourcen zu kontrollieren.

Eine Policy definiert, welche Art von Zugriff eine Benutzergruppe auf eine bestimmte Ressource in einem einzelnen Compartment hat. Weitere Informationen finden Sie unter Erste Schritte mit Policys.

Ressourcentypen

Ein aggregierter Ressourcentyp umfasst die Liste der individuellen Ressourcentypen, die direkt danach aufgeführt werden. Beispiel: Wenn Sie eine Policy schreiben, um den Zugriff einer Gruppe auf die Ressourcenfamilie autonomous-database-family zuzulassen, entspricht das dem Schreiben von vier separaten Policys, die der Gruppe Zugriff auf die Ressourcentypen autonomous-databases, autonomous-backups, autonomous-container-databases und cloud-autonomous-vmclusters erteilen. Weitere Informationen finden Sie unter Ressourcentypen.

Ressourcentypen für Autonomous Database

Aggregierter Ressourcentyp:

autonomous-database-family

Individuelle Ressourcentypen:

autonomous-databases

autonomous-backups

autonomous-container-databases

cloud-autonomous-vmclusters (nur Oracle Public Cloud-Deployments)

autonomous-vmclusters (nur Oracle Exadata Cloud@Customer-Deployments)

autonomous-virtual-machine

Tipp:

Die Ressourcentypen cloud-exadata-infrastructures und exadata-infrastructures, die für das Provisioning von Autonomous Database auf Oracle Public Cloud bzw. Exadata Cloud@Customer erforderlich sind, werden vom aggregierten Ressourcentyp database-family abgedeckt. Weitere Informationen zu den von database-family abgedeckten Ressourcen finden Sie unter Policy-Details für Exadata Cloud Service-Instanzen und Policy-Details für Base Database Service.

Unterstützte Variablen

Allgemeine Variablen werden unterstützt. Weitere Informationen finden Sie unter Allgemeine Variablen für alle Anforderungen.

Außerdem können Sie die Variable target.workloadType verwenden, wie in der folgenden Tabelle dargestellt:

Wert für target.workloadType Beschreibung
OLTP Online-Transaktionsverarbeitung für Autonomous Database mit Autonomous Transaction Processing-Workload.
DW Data Warehouse (für Autonomous Databases mit Autonomous Data Warehouse-Workload)
Beispiel-Policy mit der Variablen target.workloadType:
Allow group ADB-Admins 
to manage autonomous-database 
in tenancy where target.workloadType = 'workload_type'

Details zu Kombinationen aus Verb und Ressourcentyp

Die Zugriffsebene ist kumulativ von inspect > read > use > manage. Ein Pluszeichen (+) in einer Tabellenzelle gibt den inkrementellen Zugriff im Vergleich zur Zelle direkt darüber an, während "Keine zusätzlichen" keinen inkrementellen Zugriff angibt.

Beispiel: Das Verb read für den Ressourcentyp autonomous-databases deckt dieselben Berechtigungen und API-Vorgänge wie das Verb inspect sowie die Berechtigung "AUTONOMOUS_DATABASE_CONTENT_READ" ab. Das Verb read deckt teilweise den Vorgang CreateAutonomousDatabaseBackup ab, für den auch Verwaltungsberechtigungen für autonomous-backups erforderlich sind.

In den folgenden Tabellen sind die Berechtigungen und API-Vorgänge aufgeführt, die von den einzelnen Verben abgedeckt werden. Informationen zu Berechtigungen finden Sie unter Berechtigungen.

Für Ressourcentypen der Familie "Autonomous-database-family"

Hinweis:

Mit der Ressourcenfamilie, die von autonomous-database-family abgedeckt wird, können Sie Zugriff auf Datenbankressourcen erteilen, die mit allen Autonomous Database-Workload-Typen verknüpft sind.
autonomous-databases
Verben Berechtigungen Vollständig abgedeckte APIs Teilweise abgedeckte APIs

inspect

AUTONOMOUS_DATABASE_INSPECT

GetAutonomousDatabase, ListAutonomousDatabases

None

lesen

INSPECT +

AUTONOMOUS_DATABASE_CONTENT_READ

Keine zusätzlichen

CreateAutonomousDatabaseBackup (erfordert auch manage autonomous-backups)

verwenden

READ +

AUTONOMOUS_DATABASE_CONTENT_WRITE

AUTONOMOUS_DATABASE_UPDATE

UpdateAutonomousDatabase

RestoreAutonomousDatabase (erfordert auch read autonomous-backups)

ChangeAutonomousDatabaseCompartment (erfordert auch read autonomous-backups)

manage

USE +

AUTONOMOUS_DATABASE_CREATE

AUTONOMOUS_DATABASE_DELETE

CreateAutonomousDatabase

None

Autonome Backups
Verben Berechtigungen Vollständig abgedeckte APIs Teilweise abgedeckte APIs

inspect

AUTONOMOUS_DB_BACKUP_INSPECT

ListAutonomousDatabaseBackups, GetAutonomousDatabaseBackup

None

lesen

INSPECT +

AUTONOMOUS_DB_BACKUP_CONTENT_READ

Keine zusätzlichen

RestoreAutonomousDatabase (benötigt auch use autonomous-databases)

ChangeAutonomousDatabaseCompartment (benötigt auch use autonomous-databases)

verwenden

READ +

Keine zusätzlichen

Keine zusätzlichen

None

manage

USE +

AUTONOMOUS_DB_BACKUP_CREATE

AUTONOMOUS_DB_BACKUP_DELETE

DeleteAutonomousDatabaseBackup

CreateAutonomousDatabaseBackup (benötigt auch read autonomous-databases)

autonomous-container-databases
Verben Berechtigungen Vollständig abgedeckte APIs Teilweise abgedeckte APIs

inspect

AUTONOMOUS_CONTAINER_DATABASE_INSPECT

ListAutonomousContainerDatabases, GetAutonomousContainerDatabase

None

lesen

INSPECT +

Keine zusätzlichen

Keine zusätzlichen

None

verwenden

READ +

AUTONOMOUS_CONTAINER_DATABASE_UPDATE

UpdateAutonomousContainerDatabase

ChangeAutonomousContainerDatabaseCompartment

CreateAutonomousDatabase (erfordert auch manage autonomous-databases)

manage

USE +

AUTONOMOUS_CONTAINER_DATABASE_CREATE

AUTONOMOUS_CONTAINER_DATABASE_DELETE

Keine zusätzlichen

CreateAutonomousContainerDatabase, TerminateAutonomousContainerDatabase (beide benötigen auch use cloud-autonomous-vmclusters, use cloud-exadata-infrastructures)

Cloud-autonome Cluster
Verben Berechtigungen Vollständig abgedeckte APIs Teilweise abgedeckte APIs

inspect

CLOUD_AUTONOMOUS_VM_CLUSTER_INSPECT

ListCloudAutonomousVmClusters

GetCloudAutonomousVmCluster

None

lesen

INSPECT +

Keine zusätzlichen

Keine zusätzlichen

None

verwenden

READ +

CLOUD_AUTONOMOUS_VM_CLUSTER_UPDATE

UpdateCloudAutonomousVmCluster

ChangeCloudAutonomousVmClusterCompartment

CreateAutonomousDatabase (benötigt auch manage autonomous-databases)

CreateAutonomousContainerDatabase (benötigt auch manage autonomous-container-databases)

manage

USE +

CLOUD_AUTONOMOUS_VM_CLUSTER_CREATE

CLOUD_AUTONOMOUS_VM_CLUSTER_DELETE

Keine zusätzlichen

CreateCloudAutonomousVmCluster, DeleteCloudAutonomousVmCluster

(Beide benötigen auch use vnics, use subnets, use cloud-exadata-infrastructures)

autonomous-vmclusters

Verben Berechtigungen Vollständig abgedeckte APIs Teilweise abgedeckte APIs
inspect

AUTONOMOUS_VM_CLUSTER_INSPECT

ListAutonomousVmClusters

GetAutonomousVmCluster

ChangeAutonomousVmClusterCompartment

lesen

INSPECT +

Keine zusätzlichen

Keine zusätzlichen

None

verwenden

READ +

AUTONOMOUS_VM_CLUSTER_UPDATE

ChangeAutonomousVmClusterCompartment

UpdateAutonomousVmCluster

CreateAutonomousContainerDatabase

TerminateAutonomousContainerDatabase

manage

USE +

AUTONOMOUS_VM_CLUSTER_CREATE +

AUTONOMOUS_VM_CLUSTER_DELETE

DeleteAutonomousVmCluster

CreateAutonomousVmCluster

autonome virtuelle Maschine
Verben Berechtigungen Vollständig abgedeckte APIs Teilweise abgedeckte APIs
inspect AUTONOMOUS_VIRTUAL_MACHINE_INSPECT

GetAutonomousVirtualMachine

ListAutonomousVirtualMachines

None

Für jeden API-Vorgang erforderliche Berechtigungen

Autonomous Container Database (ACD) und Autonomous Database (ADB) sind gemeinsame Ressourcen zwischen Oracle Public Cloud-, Multicloud- und Exadata Cloud@Customer-Deployments. Daher sind ihre Berechtigungen für beide Deployments in der folgenden Tabelle identisch.

Für bestimmte ACD-Vorgänge sind jedoch Berechtigungen auf AVMC-Ebene erforderlich. Da AVMC-Ressourcen für Oracle Public Cloud und Exadata Cloud@Customer unterschiedlich sind, benötigen Sie für jeden Deployment-Typ unterschiedliche Berechtigungen. Um beispielsweise eine ACD zu erstellen, benötigen Sie:
  • Die Berechtigungen AUTONOMOUS_VM_CLUSTER_UPDATE und AUTONOMOUS_CONTAINER_DATABASE_CREATE für Exadata Cloud@Customer.

  • Berechtigungen CLOUD_AUTONOMOUS_VM_CLUSTER_UPDATE und AUTONOMOUS_CONTAINER_DATABASE_CREATE für Oracle Public Cloud und Multicloud.

Informationen zu Berechtigungen finden Sie unter Berechtigungen.

In der folgenden Tabelle werden die API-Vorgänge für Autonomous Database-Ressourcen in logischer Reihenfolge nach Ressourcentyp gruppiert aufgeführt.

Autonomous Database-API-Vorgänge

Mit der API können Sie die verschiedenen Infrastrukturressourcen von einer Autonomous Database anzeigen und verwalten. Eine Liste der REST-API-Endpunkte zum Verwalten verschiedener Autonomous Database-Ressourcen finden Sie unter API-Referenz für Autonomous Database on Dedicated Exadata Infrastructure.

Benutzerzugriff auf bestimmte Berechtigungen begrenzen

Der Benutzerzugriff ist in IAM-Policy-Anweisungen definiert. Wenn Sie eine Policy-Anweisung erstellen, mit der eine Gruppe Zugriff auf ein bestimmtes Verb und einen bestimmten Ressourcentyp erhält, erteilen Sie dieser Gruppe eigentlich Zugriff auf mindestens eine vordefinierte IAM-Berechtigung. Mit Verben wird das Erteilen mehrerer zugehöriger Berechtigungen vereinfacht.

Wenn Sie bestimmte IAM-Berechtigungen zulassen oder verweigern möchten, fügen Sie der Policy-Anweisung eine where-Bedingung hinzu. Beispiel: Um einer Gruppe von Flottenadministratoren die Ausführung aller Vorgänge außer "Löschen" mit Exadata-Infrastrukturressourcen zu ermöglichen, erstellen Sie diese Policy-Anweisung:

Allow group FleetAdmins to manage cloud-exadata-infrastructures in tenancy where request.permission != 'CLOUD_EXADATA_INFRASTRUCTURE_DELETE'

Anschließend könnten Sie einer kleineren Gruppe von Flottenadministratoren gestatten, jeden Vorgang (einschließlich Löschen) für Exadata-Infrastrukturressourcen auszuführen, indem Sie die where-Bedingung auslassen:

Allow group FleetSuperAdmins to manage cloud-exadata-infrastructures in tenancy

Weitere Informationen zu dieser Verwendung der where-Bedingung finden Sie im Abschnitt "Zugriff mit Berechtigungen oder API-Vorgängen einschränken" von Berechtigungen.

Policys zum Verwalten von Exadata-Infrastrukturressourcen

In der folgenden Tabelle sind die IAM-Policys aufgeführt, die ein Cloud-Benutzer zur Ausführung von Verwaltungsvorgängen in Exadata-Infrastrukturressourcen benötigt.

Vorgang Erforderliche IAM-Policys in Oracle Public Cloud und Multicloud Erforderliche IAM-Policys auf Exadata Cloud@Customer

Exadata-Infrastrukturressource erstellen

manage cloud-exadata-infrastructures

use vnic

use subnet

manage exadata-infrastructures

Liste der Exadata-Infrastrukturressourcen anzeigen

inspect cloud-exadata-infrastructures

inspect exadata-infrastructures

Details einer Exadata-Infrastrukturressource anzeigen

inspect cloud-exadata-infrastructures

inspect exadata-infrastructures

Wartungsplan einer Exadata-Infrastrukturressource ändern

use cloud-exadata-infrastructures

use exadata-infrastructures

Exadata-Infrastrukturressource in ein anderes Compartment verschieben

use cloud-exadata-infrastructures

use exadata-infrastructures

Sicherheitszertifikate für eine Exadata-Infrastrukturressource verwalten

manage cloud-exadata-infrastructures

manage exadata-infrastructures

Exadata-Infrastrukturressource beenden

manage cloud-exadata-infrastructures

use vnic

use subnet

manage exadata-infrastructures

Policys zum Verwalten autonomer Exadata-VM-Cluster

In der folgenden Tabelle sind die IAM-Policys aufgeführt, die ein Cloud-Benutzer zur Ausführung von Verwaltungsvorgängen in autonomen Exadata-VM-Clustern benötigt.

Vorgang Erforderliche IAM-Policys in Oracle Public Cloud und Multicloud Erforderliche IAM-Policys auf Exadata Cloud@Customer

Autonomes Exadata-VM-Cluster erstellen

manage cloud-autonomous-vmclusters

use cloud-exadata-infrastructures

manage autonomous-vmclusters

use exadata-infrastructures

Liste der autonomen Exadata-VM-Cluster anzeigen

inspect cloud-autonomous-vmclusters

inspect autonomous-vmclusters

Details eines autonomen Exadata-VM-Clusters anzeigen

inspect cloud-autonomous-vmclusters

inspect autonomous-vmclusters

Lizenztyp eines autonomen VM-Clusters ändern

Nicht anwendbar

use autonomous-vmclusters

inspect exadata-infrastructures

Autonomes Exadata-VM-Cluster in ein anderes Compartment verschieben

use cloud-autonomous-vmclusters

use autonomous-vmclusters

Autonomes Exadata-VM-Cluster beenden

manage cloud-autonomous-vmclusters

manage autonomous-vmclusters

Policys für die Verwaltung autonomer Containerdatenbanken

In der folgenden Tabelle sind die IAM-Policys aufgeführt, die ein Cloud-Benutzer zur Ausführung von Verwaltungsvorgängen in autonomen Containerdatenbanken (ACD) benötigt.

Vorgang Erforderliche IAM-Policys

Autonome Containerdatenbank erstellen

manage autonomous-container-databases

use cloud-exadata-infrastructures, wenn die autonome Containerdatenbank in Oracle Public Cloud und Multicloud erstellt wird.

use cloud-autonomous-vmclusters, wenn die autonome Containerdatenbank in Oracle Public Cloud und Multicloud erstellt wurde.

use autonomous-vmclusters, wenn die autonome Containerdatenbank in Exadata Cloud@Customer. erstellt wird

use backup-destinations, wenn die autonome Containerdatenbank in Exadata Cloud@Customer. erstellt wird

Liste der autonomen Containerdatenbanken anzeigen

inspect autonomous-container-databases

Details einer autonomen Containerdatenbank anzeigen

inspect autonomous-container-databases

Backupaufbewahrungs-Policy einer autonomen Containerdatenbank ändern

use autonomous-container-databases

Wartungsvoreinstellungen einer autonomen Containerdatenbank bearbeiten

use autonomous-container-databases

Autonome Containerdatenbank neu starten

use autonomous-container-databases

Autonome Containerdatenbank in ein anderes Compartment verschieben

use autonomous-container-databases

Verschlüsselungsschlüssel für autonome Containerdatenbank rotieren

use autonomous-container-databases

inspect autonomous-container-databases

Autonome Containerdatenbank beenden

manage autonomous-container-databases

use cloud-exadata-infrastructures, wenn die autonome Containerdatenbank in Oracle Public Cloud und Multicloud erstellt wird.

use cloud-autonomous-vmclusters, wenn die autonome Containerdatenbank in Oracle Public Cloud und Multicloud erstellt wurde.

use autonomous-vmclusters, wenn die autonome Containerdatenbank in Exadata Cloud@Customer. erstellt wird

Policys zum Verwalten der Autonomous Data Guard-Konfiguration

In der folgenden Tabelle sind die IAM-Policys aufgeführt, die ein Cloud-Benutzer zur Ausführung von Verwaltungsvorgängen in Autonomous Data Guard-Konfigurationen benötigt.

Vorgang Erforderliche IAM-Policys

Autonomous Data Guard-Assoziation mit einer ACD anzeigen.

inspect autonomous-container-databases

Listen Sie die ACDs auf, die mit Autonomous Data Guard aktiviert sind, das mit der angegebenen ACD oder Autonomous Database verknüpft ist.

inspect autonomous-container-databases

Deaktivierte Standby-Datenbank wieder in eine aktive Standby-ACD einbauen.

inspect autonomous-container-databases

update autonomous-container-databases

Rollen der primären und Standby-ACDs wechseln.

inspect autonomous-container-databases

update autonomous-container-databases

Failover zur Standby-ACD. Diese Standby-ACD wird zur neuen primären ACD, wenn der Failover erfolgreich abgeschlossen wird.

inspect autonomous-container-databases

update autonomous-container-databases

Ändern Sie Autonomous Data Guard-Einstellungen wie Schutzmodus, automatisches Failover und Fast-Start Failover-Lag-Limit.

inspect autonomous-container-databases

update autonomous-container-databases

Datenbank mit aktiviertem Autonomous Data Guard Datenbank abrufen, die mit der angegebenen autonomen Datenbank verknüpft ist.

inspect autonomous-container-databases

Listen Sie Autonomous Database Data Guard-Verknüpfungen auf.

inspect autonomous-container-databases

Aktivieren Sie Autonomous Data Guard auf einer ACD.

inspect cloud-autonomous-vmclusters ODER inspect autonomous-vmclusters

inspect autonomous-container-databases

update autonomous-container-databases

Konvertieren Sie die Standby-ACD zwischen der physischen Standby- und der Snapshot Standby-ACD.

inspect cloud-autonomous-vmclusters ODER inspect autonomous-vmclusters

inspect autonomous-container-databases

update autonomous-container-databases

Policys zum Verwalten von Autonomous Databases

In der folgenden Tabelle sind die IAM-Policys aufgeführt, die ein Cloud-Benutzer zur Ausführung von Verwaltungsvorgängen in Autonomous Databases benötigt.

Vorgang Erforderliche IAM-Policys

Autonomous Database erstellen

manage autonomous-databases

read autonomous-container-databases

Liste der Autonomous Databases anzeigen

inspect autonomous-databases

Details zu einer Autonomous Database anzeigen

inspect autonomous-databases

Kennwort des Autonomous Database-ADMIN-Benutzers festlegen

use autonomous-databases

CPU-Coreanzahl oder -Speicher von einer Autonomous Database skalieren

use autonomous-databases

Autoscaling für eine Autonomous Database aktivieren oder deaktivieren

use autonomous-databases

Autonomous Database in ein anderes Compartment verschieben

use autonomous-databases im aktuellen Compartment von Autonomous Database und im Compartment, in das Sie es verschieben

read autonomous-backups

Autonomous Database stoppen oder starten

use autonomous-databases

Autonomous Database neu starten

use autonomous-databases

Autonomous Database manuell sichern

read autonomous-databases

manage autonomous-backups

Autonomous Database wiederherstellen

use autonomous-databases

read autonomous-backups

Autonomous Database klonen

manage autonomous-databases

read autonomous-container-databases

Autonomous Database beenden

manage autonomous-databases