IAM-Policys für Autonomous Database auf dedizierter Exadata-Infrastruktur

In diesem Artikel werden die IAM-Policys aufgeführt, die für die Verwaltung der Infrastrukturressourcen von Autonomous Database auf einer dedizierten Exadata-Infrastruktur erforderlich sind.

Oracle Autonomous Database on Dedicated Exadata Infrastructure verwendet den IAM-(Identity and Access Management-)Service, um Cloud-Benutzer zu authentifizieren und für Vorgänge zu autorisieren, die eine der Oracle Cloud Infrastructure-Schnittstellen verwenden (Konsole, REST-API, CLI oder SDK). Der IAM-Service verwendet Gruppen, Compartments, und Policys, um zu kontrollieren, welche Cloud-Benutzer auf welche Ressourcen zugreifen können.

Verwandte Themen

Zugriffskontrolle in Autonomous Database in einer dedizierten Exadata-Infrastruktur

Policy-Details für Autonomous Database

In diesem Thema werden Details beschrieben, wie Sie Policys schreiben, um den Zugriff auf Autonomous Database-Ressourcen zu kontrollieren.

Eine Policy definiert, welche Art von Zugriff eine Benutzergruppe auf eine bestimmte Ressource in einem einzelnen Compartment hat. Weitere Informationen finden Sie unter Erste Schritte mit Policys.

Tipp:

Eine Beispiel-Policy finden Sie unter Datenbank- und Flottenadministratoren die Verwaltung von autonomen Datenbanken gewähren.

Ressourcentypen

Ein aggregierter Ressourcentyp umfasst die Liste der individuellen Ressourcentypen, die direkt danach aufgeführt werden. Beispiel: Wenn Sie eine Policy schreiben, um den Zugriff einer Gruppe auf die Ressourcenfamilie autonomous-database-family zuzulassen, entspricht das dem Schreiben von vier separaten Policys, die der Gruppe Zugriff auf die Ressourcentypen autonomous-databases, autonomous-backups, autonomous-container-databases und cloud-autonomous-vmclusters erteilen. Weitere Informationen finden Sie unter Ressourcentypen.

Ressourcentypen für Autonomous Database

Aggregierter Ressourcentyp:

autonomous-database-family

Individuelle Ressourcentypen:

autonomous-databases

autonomous-backups

autonomous-container-databases

cloud-autonomous-vmclusters (nur Oracle Public Cloud-Deployments)

autonomous-vmclusters (nur Oracle Exadata Cloud@Customer-Deployments)

autonomous-virtual-machine

Tipp:

Die Ressourcentypen cloud-exadata-infrastructures und exadata-infrastructures, die für das Provisioning von Autonomous Database auf Oracle Public Cloud bzw. Exadata Cloud@Customer erforderlich sind, werden vom aggregierten Ressourcentyp database-family abgedeckt. Weitere Informationen zu den von database-family abgedeckten Ressourcen finden Sie unter Policy-Details für Exadata Cloud Service-Instanzen und Policy-Details für Base Database Service.

Unterstützte Variablen

Allgemeine Variablen werden unterstützt. Weitere Informationen finden Sie unter Allgemeine Variablen für alle Anforderungen.

Außerdem können Sie die Variable target.workloadType verwenden, wie in der folgenden Tabelle dargestellt:

Wert für target.workloadType	Beschreibung
`OLTP`	Online-Transaktionsverarbeitung für Autonomous Database mit Autonomous Transaction Processing-Workload.
`DW`	Data Warehouse (für Autonomous Databases mit Autonomous Data Warehouse-Workload)

Beispiel-Policy mit der Variablen target.workloadType:

Allow group ADB-Admins 
to manage autonomous-database 
in tenancy where target.workloadType = 'workload_type'

Details zu Kombinationen aus Verb und Ressourcentyp

Die Zugriffsebene ist kumulativ von inspect > read > use > manage. Ein Pluszeichen (+) in einer Tabellenzelle gibt den inkrementellen Zugriff im Vergleich zur Zelle direkt darüber an, während "Keine zusätzlichen" keinen inkrementellen Zugriff angibt.

Beispiel: Das Verb read für den Ressourcentyp autonomous-databases deckt dieselben Berechtigungen und API-Vorgänge wie das Verb inspect sowie die Berechtigung "AUTONOMOUS_DATABASE_CONTENT_READ" ab. Das Verb read deckt teilweise den Vorgang CreateAutonomousDatabaseBackup ab, für den auch Verwaltungsberechtigungen für autonomous-backups erforderlich sind.

In den folgenden Tabellen sind die Berechtigungen und API-Vorgänge aufgeführt, die von den einzelnen Verben abgedeckt werden. Informationen zu Berechtigungen finden Sie unter Berechtigungen.

Für Ressourcentypen der Familie "Autonomous-database-family"

Hinweis:

Mit der Ressourcenfamilie, die von autonomous-database-family abgedeckt wird, können Sie Zugriff auf Datenbankressourcen erteilen, die mit allen Autonomous Database-Workload-Typen verknüpft sind.

autonomous-databases

Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
inspect	`AUTONOMOUS_DATABASE_INSPECT`	`GetAutonomousDatabase, ListAutonomousDatabases`	None
lesen	`INSPECT +` `AUTONOMOUS_DATABASE_CONTENT_READ`	Keine zusätzlichen	`CreateAutonomousDatabaseBackup` (erfordert auch `manage autonomous-backups`)
verwenden	`READ +` `AUTONOMOUS_DATABASE_CONTENT_WRITE` `AUTONOMOUS_DATABASE_UPDATE`	`UpdateAutonomousDatabase`	`RestoreAutonomousDatabase` (erfordert auch `read autonomous-backups`) `ChangeAutonomousDatabaseCompartment` (erfordert auch `read autonomous-backups`)
manage	`USE +` `AUTONOMOUS_DATABASE_CREATE` `AUTONOMOUS_DATABASE_DELETE`	`CreateAutonomousDatabase`	None

Autonome Backups

Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
inspect	`AUTONOMOUS_DB_BACKUP_INSPECT`	`ListAutonomousDatabaseBackups, GetAutonomousDatabaseBackup`	None
lesen	`INSPECT +` `AUTONOMOUS_DB_BACKUP_CONTENT_READ`	Keine zusätzlichen	`RestoreAutonomousDatabase` (benötigt auch `use autonomous-databases`) `ChangeAutonomousDatabaseCompartment` (benötigt auch `use autonomous-databases`)
verwenden	READ + Keine zusätzlichen	Keine zusätzlichen	None
manage	`USE +` `AUTONOMOUS_DB_BACKUP_CREATE` `AUTONOMOUS_DB_BACKUP_DELETE`	`DeleteAutonomousDatabaseBackup`	`CreateAutonomousDatabaseBackup` (benötigt auch `read autonomous-databases`)

autonomous-container-databases

Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
inspect	`AUTONOMOUS_CONTAINER_DATABASE_INSPECT`	`ListAutonomousContainerDatabases, GetAutonomousContainerDatabase`	None
lesen	INSPECT + Keine zusätzlichen	Keine zusätzlichen	None
verwenden	READ + `AUTONOMOUS_CONTAINER_DATABASE_UPDATE`	`UpdateAutonomousContainerDatabase` `ChangeAutonomousContainerDatabaseCompartment`	`CreateAutonomousDatabase` (erfordert auch `manage autonomous-databases`)
manage	`USE +` `AUTONOMOUS_CONTAINER_DATABASE_CREATE` `AUTONOMOUS_CONTAINER_DATABASE_DELETE`	Keine zusätzlichen	`CreateAutonomousContainerDatabase, TerminateAutonomousContainerDatabase` (beide benötigen auch `use cloud-autonomous-vmclusters, use cloud-exadata-infrastructures`)

Cloud-autonome Cluster

Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
inspect	`CLOUD_AUTONOMOUS_VM_CLUSTER_INSPECT`	`ListCloudAutonomousVmClusters` `GetCloudAutonomousVmCluster`	None
lesen	`INSPECT +` Keine zusätzlichen	Keine zusätzlichen	None
verwenden	READ + `CLOUD_AUTONOMOUS_VM_CLUSTER_UPDATE`	`UpdateCloudAutonomousVmCluster` `ChangeCloudAutonomousVmClusterCompartment`	`CreateAutonomousDatabase` (benötigt auch `manage autonomous-databases`) `CreateAutonomousContainerDatabase` (benötigt auch `manage autonomous-container-databases`)
manage	`USE +` `CLOUD_AUTONOMOUS_VM_CLUSTER_CREATE` `CLOUD_AUTONOMOUS_VM_CLUSTER_DELETE`	Keine zusätzlichen	`CreateCloudAutonomousVmCluster, DeleteCloudAutonomousVmCluster` (Beide benötigen auch `use vnics, use subnets, use cloud-exadata-infrastructures`)

autonomous-vmclusters

Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
inspect	`AUTONOMOUS_VM_CLUSTER_INSPECT`	`ListAutonomousVmClusters` `GetAutonomousVmCluster`	`ChangeAutonomousVmClusterCompartment`
lesen	INSPECT + Keine zusätzlichen	Keine zusätzlichen	None
verwenden	`READ` + `AUTONOMOUS_VM_CLUSTER_UPDATE`	`ChangeAutonomousVmClusterCompartment`	`UpdateAutonomousVmCluster` `CreateAutonomousContainerDatabase` `TerminateAutonomousContainerDatabase`
manage	`USE` + `AUTONOMOUS_VM_CLUSTER_CREATE` + `AUTONOMOUS_VM_CLUSTER_DELETE`	`DeleteAutonomousVmCluster`	`CreateAutonomousVmCluster`

autonome virtuelle Maschine

Verben Berechtigungen Vollständig abgedeckte APIs Teilweise abgedeckte APIs

inspect

Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
inspect	`AUTONOMOUS_VIRTUAL_MACHINE_INSPECT`	`GetAutonomousVirtualMachine` `ListAutonomousVirtualMachines`	None

AUTONOMOUS_VIRTUAL_MACHINE_INSPECT

GetAutonomousVirtualMachine

ListAutonomousVirtualMachines

None

Für jeden API-Vorgang erforderliche Berechtigungen

Autonomous Container Database (ACD) und Autonomous Database (ADB) sind gemeinsame Ressourcen zwischen Oracle Public Cloud-, Multicloud- und Exadata Cloud@Customer-Deployments. Daher sind ihre Berechtigungen für beide Deployments in der folgenden Tabelle identisch.

Für bestimmte ACD-Vorgänge sind jedoch Berechtigungen auf AVMC-Ebene erforderlich. Da AVMC-Ressourcen für Oracle Public Cloud und Exadata Cloud@Customer unterschiedlich sind, benötigen Sie für jeden Deployment-Typ unterschiedliche Berechtigungen. Um beispielsweise eine ACD zu erstellen, benötigen Sie:

Die Berechtigungen AUTONOMOUS_VM_CLUSTER_UPDATE und AUTONOMOUS_CONTAINER_DATABASE_CREATE für Exadata Cloud@Customer.
Berechtigungen CLOUD_AUTONOMOUS_VM_CLUSTER_UPDATE und AUTONOMOUS_CONTAINER_DATABASE_CREATE für Oracle Public Cloud und Multicloud.

Informationen zu Berechtigungen finden Sie unter Berechtigungen.

In der folgenden Tabelle werden die API-Vorgänge für Autonomous Database-Ressourcen in logischer Reihenfolge nach Ressourcentyp gruppiert aufgeführt.

Autonomous Database-API-Vorgänge

Mit der API können Sie die verschiedenen Infrastrukturressourcen von einer Autonomous Database anzeigen und verwalten. Eine Liste der REST-API-Endpunkte zum Verwalten verschiedener Autonomous Database-Ressourcen finden Sie unter API-Referenz für Autonomous Database on Dedicated Exadata Infrastructure.

Benutzerzugriff auf bestimmte Berechtigungen begrenzen

Der Benutzerzugriff ist in IAM-Policy-Anweisungen definiert. Wenn Sie eine Policy-Anweisung erstellen, mit der eine Gruppe Zugriff auf ein bestimmtes Verb und einen bestimmten Ressourcentyp erhält, erteilen Sie dieser Gruppe eigentlich Zugriff auf mindestens eine vordefinierte IAM-Berechtigung. Mit Verben wird das Erteilen mehrerer zugehöriger Berechtigungen vereinfacht.

Wenn Sie bestimmte IAM-Berechtigungen zulassen oder verweigern möchten, fügen Sie der Policy-Anweisung eine where-Bedingung hinzu. Beispiel: Um einer Gruppe von Flottenadministratoren die Ausführung aller Vorgänge außer "Löschen" mit Exadata-Infrastrukturressourcen zu ermöglichen, erstellen Sie diese Policy-Anweisung:

Allow group FleetAdmins to manage cloud-exadata-infrastructures in tenancy where request.permission != 'CLOUD_EXADATA_INFRASTRUCTURE_DELETE'

Anschließend könnten Sie einer kleineren Gruppe von Flottenadministratoren gestatten, jeden Vorgang (einschließlich Löschen) für Exadata-Infrastrukturressourcen auszuführen, indem Sie die where-Bedingung auslassen:

Allow group FleetSuperAdmins to manage cloud-exadata-infrastructures in tenancy

Weitere Informationen zu dieser Verwendung der where-Bedingung finden Sie im Abschnitt "Zugriff mit Berechtigungen oder API-Vorgängen einschränken" von Berechtigungen.

Policys zum Verwalten von Exadata-Infrastrukturressourcen

In der folgenden Tabelle sind die IAM-Policys aufgeführt, die ein Cloud-Benutzer zur Ausführung von Verwaltungsvorgängen in Exadata-Infrastrukturressourcen benötigt.

Vorgang	Erforderliche IAM-Policys in Oracle Public Cloud und Multicloud	Erforderliche IAM-Policys auf Exadata Cloud@Customer
Exadata-Infrastrukturressource erstellen	`manage cloud-exadata-infrastructures` `use vnic` `use subnet`	`manage exadata-infrastructures`
Liste der Exadata-Infrastrukturressourcen anzeigen	`inspect cloud-exadata-infrastructures`	`inspect exadata-infrastructures`
Details einer Exadata-Infrastrukturressource anzeigen	`inspect cloud-exadata-infrastructures`	`inspect exadata-infrastructures`
Wartungsplan einer Exadata-Infrastrukturressource ändern	`use cloud-exadata-infrastructures`	`use exadata-infrastructures`
Exadata-Infrastrukturressource in ein anderes Compartment verschieben	`use cloud-exadata-infrastructures`	`use exadata-infrastructures`
Sicherheitszertifikate für eine Exadata-Infrastrukturressource verwalten	`manage cloud-exadata-infrastructures`	`manage exadata-infrastructures`
Exadata-Infrastrukturressource beenden	`manage cloud-exadata-infrastructures` `use vnic` `use subnet`	`manage exadata-infrastructures`

Policys zum Verwalten autonomer Exadata-VM-Cluster

In der folgenden Tabelle sind die IAM-Policys aufgeführt, die ein Cloud-Benutzer zur Ausführung von Verwaltungsvorgängen in autonomen Exadata-VM-Clustern benötigt.

Vorgang	Erforderliche IAM-Policys in Oracle Public Cloud und Multicloud	Erforderliche IAM-Policys auf Exadata Cloud@Customer
Autonomes Exadata-VM-Cluster erstellen	`manage cloud-autonomous-vmclusters` `use cloud-exadata-infrastructures`	`manage autonomous-vmclusters` `use exadata-infrastructures`
Liste der autonomen Exadata-VM-Cluster anzeigen	`inspect cloud-autonomous-vmclusters`	`inspect autonomous-vmclusters`
Details eines autonomen Exadata-VM-Clusters anzeigen	`inspect cloud-autonomous-vmclusters`	`inspect autonomous-vmclusters`
Lizenztyp eines autonomen VM-Clusters ändern	Nicht anwendbar	`use autonomous-vmclusters` `inspect exadata-infrastructures`
Autonomes Exadata-VM-Cluster in ein anderes Compartment verschieben	`use cloud-autonomous-vmclusters`	`use autonomous-vmclusters`
Autonomes Exadata-VM-Cluster beenden	`manage cloud-autonomous-vmclusters`	`manage autonomous-vmclusters`

Policys für die Verwaltung autonomer Containerdatenbanken

In der folgenden Tabelle sind die IAM-Policys aufgeführt, die ein Cloud-Benutzer zur Ausführung von Verwaltungsvorgängen in autonomen Containerdatenbanken (ACD) benötigt.

Vorgang	Erforderliche IAM-Policys
Autonome Containerdatenbank erstellen	`manage autonomous-container-databases` `use cloud-exadata-infrastructures`, wenn die autonome Containerdatenbank in Oracle Public Cloud und Multicloud erstellt wird. `use cloud-autonomous-vmclusters`, wenn die autonome Containerdatenbank in Oracle Public Cloud und Multicloud erstellt wurde. `use autonomous-vmclusters`, wenn die autonome Containerdatenbank in Exadata Cloud@Customer. erstellt wird `use backup-destinations`, wenn die autonome Containerdatenbank in Exadata Cloud@Customer. erstellt wird
Liste der autonomen Containerdatenbanken anzeigen	`inspect autonomous-container-databases`
Details einer autonomen Containerdatenbank anzeigen	`inspect autonomous-container-databases`
Backupaufbewahrungs-Policy einer autonomen Containerdatenbank ändern	`use autonomous-container-databases`
Wartungsvoreinstellungen einer autonomen Containerdatenbank bearbeiten	`use autonomous-container-databases`
Autonome Containerdatenbank neu starten	`use autonomous-container-databases`
Autonome Containerdatenbank in ein anderes Compartment verschieben	`use autonomous-container-databases`
Verschlüsselungsschlüssel für autonome Containerdatenbank rotieren	`use autonomous-container-databases` `inspect autonomous-container-databases`
Autonome Containerdatenbank beenden	`manage autonomous-container-databases` `use cloud-exadata-infrastructures`, wenn die autonome Containerdatenbank in Oracle Public Cloud und Multicloud erstellt wird. `use cloud-autonomous-vmclusters`, wenn die autonome Containerdatenbank in Oracle Public Cloud und Multicloud erstellt wurde. `use autonomous-vmclusters`, wenn die autonome Containerdatenbank in Exadata Cloud@Customer. erstellt wird

Policys zum Verwalten der Autonomous Data Guard-Konfiguration

In der folgenden Tabelle sind die IAM-Policys aufgeführt, die ein Cloud-Benutzer zur Ausführung von Verwaltungsvorgängen in Autonomous Data Guard-Konfigurationen benötigt.

Vorgang	Erforderliche IAM-Policys
Autonomous Data Guard-Assoziation mit einer ACD anzeigen.	`inspect autonomous-container-databases`
Listen Sie die ACDs auf, die mit Autonomous Data Guard aktiviert sind, das mit der angegebenen ACD oder Autonomous Database verknüpft ist.	`inspect autonomous-container-databases`
Deaktivierte Standby-Datenbank wieder in eine aktive Standby-ACD einbauen.	`inspect autonomous-container-databases` `update autonomous-container-databases`
Rollen der primären und Standby-ACDs wechseln.	`inspect autonomous-container-databases` `update autonomous-container-databases`
Failover zur Standby-ACD. Diese Standby-ACD wird zur neuen primären ACD, wenn der Failover erfolgreich abgeschlossen wird.	`inspect autonomous-container-databases` `update autonomous-container-databases`
Ändern Sie Autonomous Data Guard-Einstellungen wie Schutzmodus, automatisches Failover und Fast-Start Failover-Lag-Limit.	`inspect autonomous-container-databases` `update autonomous-container-databases`
Datenbank mit aktiviertem Autonomous Data Guard Datenbank abrufen, die mit der angegebenen autonomen Datenbank verknüpft ist.	`inspect autonomous-container-databases`
Listen Sie Autonomous Database Data Guard-Verknüpfungen auf.	`inspect autonomous-container-databases`
Aktivieren Sie Autonomous Data Guard auf einer ACD.	`inspect cloud-autonomous-vmclusters` ODER `inspect autonomous-vmclusters` `inspect autonomous-container-databases` `update autonomous-container-databases`
Konvertieren Sie die Standby-ACD zwischen der physischen Standby- und der Snapshot Standby-ACD.	`inspect cloud-autonomous-vmclusters` ODER `inspect autonomous-vmclusters` `inspect autonomous-container-databases` `update autonomous-container-databases`

Policys zum Verwalten von Autonomous Databases

In der folgenden Tabelle sind die IAM-Policys aufgeführt, die ein Cloud-Benutzer zur Ausführung von Verwaltungsvorgängen in Autonomous Databases benötigt.

Vorgang	Erforderliche IAM-Policys
Autonomous Database erstellen	`manage autonomous-databases` `read autonomous-container-databases`
Liste der Autonomous Databases anzeigen	`inspect autonomous-databases`
Details zu einer Autonomous Database anzeigen	`inspect autonomous-databases`
Kennwort des Autonomous Database-ADMIN-Benutzers festlegen	`use autonomous-databases`
CPU-Coreanzahl oder -Speicher von einer Autonomous Database skalieren	`use autonomous-databases`
Autoscaling für eine Autonomous Database aktivieren oder deaktivieren	`use autonomous-databases`
Autonomous Database in ein anderes Compartment verschieben	`use autonomous-databases` im aktuellen Compartment von Autonomous Database und im Compartment, in das Sie es verschieben `read autonomous-backups`
Autonomous Database stoppen oder starten	`use autonomous-databases`
Autonomous Database neu starten	`use autonomous-databases`
Autonomous Database manuell sichern	`read autonomous-databases` `manage autonomous-backups`
Autonomous Database wiederherstellen	`use autonomous-databases` `read autonomous-backups`
Autonomous Database klonen	`manage autonomous-databases` `read autonomous-container-databases`
Autonomous Database beenden	`manage autonomous-databases`

Titel und Copyright-Informationen

Oracle und/oder verbundene Unternehmen.