Policy-Details für Base Database Service
Dieser Artikel enthält die Details zum Schreiben von Oracle Cloud Infrastructure Identity and Access Management-(IAM-)Policys, um den Zugriff auf Oracle Base Database Service-Ressourcen zu kontrollieren.
Tipp:
Eine Beispiel-Policy finden Sie unter Verwalten von Oracle Cloud-Datenbanksystemen durch Datenbankadministratoren zulassen.Ressourcentypen
Ein aggregierter Ressourcentyp umfasst die Liste der individuellen Ressourcentypen, die direkt danach aufgeführt werden. Beispiel: Wenn Sie eine Policy schreiben, um den Zugriff einer Gruppe auf die Ressource database-family zuzulassen, entspricht das dem Schreiben von separaten Policys, die der Gruppe Zugriff auf die Ressourcentypen db-systems, db-nodes db-homes databases database-software-image und db-backups erteilen. Weitere Informationen finden Sie unter Ressourcentypen in Funktionsweise von Policys.
Aggregierter Ressourcentyp
database-family
Individuelle Ressourcentypen
db-systemsdb-nodesdb-homesdatabasespluggable databasesdb-backups
Unterstützte Variablen
Nur die allgemeinen Variablen werden unterstützt. Weitere Informationen finden Sie unter Allgemeine Variablen für alle Anforderungen in der Policy-Referenz.
Details zu Kombinationen aus Verb und Ressourcentyp
In den folgenden Tabellen sind die Berechtigungen und API-Vorgänge aufgeführt, die von den einzelnen Verben abgedeckt werden. Die Zugriffsebene ist kumulativ von inspect > read > use > manage. Ein Pluszeichen (+) in einer Tabellenzelle gibt den inkrementellen Zugriff im Vergleich zur Zelle direkt darüber an, während "Keine zusätzlichen" keinen inkrementellen Zugriff angibt.
Beispiel: Die Verben read und use für den Ressourcentyp db-systems decken keine zusätzlichen Berechtigungen oder API-Vorgänge im Vergleich zum Verb inspect ab. Das Verb manage enthält jedoch zwei weitere Berechtigungen und deckt zwei weitere API-Vorgänge teilweise ab.
db-systems
| Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
|---|---|---|---|
| inspect | DB_SYSTEM_INSPECT |
|
Kein |
| lesen | Keine zusätzlichen | Keine zusätzlichen | Kein |
| verwenden | DB_SYSTEM_UPDATE | Keine zusätzlichen | ChangeDbSystemCompartment (erfordert auch use db-homes, use databases und inspect db-backups)
|
| manage |
USE + DB_SYSTEM_CREATE DB_SYSTEM_DELETE |
UpdateDBSystem |
LaunchDBSystem, TerminateDbSystem (beide erfordern auch manage db-homes, manage databases, use vnics und use subnets)
|
db-nodes
| Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
|---|---|---|---|
| inspect |
DB_NODE_INSPECT DB_NODE_QUERY |
GetDbNode |
Kein |
| lesen | Keine zusätzlichen | Keine zusätzlichen | Kein |
| verwenden | Keine zusätzlichen | Keine zusätzlichen | Kein |
| manage |
USE + DB_NODE_POWER_ACTIONS |
DbNodeAction |
Kein |
db-homes
| Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
|---|---|---|---|
| inspect | DB_HOME_INSPECT |
|
Kein |
| lesen | Keine zusätzlichen | Keine zusätzlichen | Kein |
| verwenden | DB_HOME_UPDATE | UpdateDBHome |
ChangeDbSystemCompartment (erfordert auch use db-systems, use databases und inspect db-backups)
|
| manage |
USE + DB_HOME_CREATE DB_HOME_DELETE |
Keine zusätzlichen |
Wenn automatische Backups in der Standarddatenbank aktiviert sind, ist auch
Wenn Sie das Datenbank-Home aus einem Backup wiederherstellen, ist auch
Wenn automatische Backups in der Standarddatenbank aktiviert sind, ist auch Wenn die Option |
databases
| Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
|---|---|---|---|
| inspect | DATABASE_INSPECT |
|
Kein |
| lesen |
Keine zusätzlichen DATABASE_CONTENT_READ |
Keine zusätzlichen | Kein |
| verwenden |
READ + DATABASE_CONTENT_WRITE DATABASE_UPDATE |
|
|
| manage |
USE + DATABASE_CREATE DATABASE_DELETE |
Keine zusätzlichen | LaunchDBSystem, TerminateDbSystem (beide erfordern auch manage db-systems, manage db-homes, use vnics und use subnets)
|
pluggable databases
| Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
|---|---|---|---|
| inspect | PLUGGABLE_DATABASE_INSPECT |
|
Kein |
| lesen |
INSPECT + PLUGGABLE_DATABASE_CONTENT_READ |
Keine zusätzlichen | Kein |
| verwenden |
READ + PLUGGABLE_DATABASE_CONTENT_WRITE PLUGGABLE_DATABASE_UPDATE |
|
Kein |
| manage |
USE + PLUGGABLE_DATABASE_CREATE PLUGGABLE_DATABASE_DELETE |
Keine zusätzlichen | CreatePluggableDatabase, DeletePluggableDatabase, LocalClonePluggableDatabase, RemoteClonePluggableDatabase (alle erfordern auch use databases)
|
db-backups
| Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
|---|---|---|---|
| inspect | DB_BACKUP_INSPECT |
|
ChangeDbSystemCompartment (erfordert auch use db-systems, use db-homes und use databases)
|
| lesen |
INSPECT + DB_BACKUP_CONTENT_READ |
Kein | RestoreDatabase (erfordert auch use databases)
|
| verwenden | Keine zusätzlichen | Keine zusätzlichen | Kein |
| manage |
USE + DB_BACKUP_CREATE DB_BACKUP_DELETE |
DeleteBackup |
CreateBackup (erfordert auch read databases)
|
Für jeden API-Vorgang erforderliche Berechtigungen
In den folgenden Tabellen sind die API-Vorgänge für DB-Systeme und integrierbare Datenbanken in logischer Reihenfolge nach Ressourcentyp gruppiert aufgelistet.
Datenbank-API-Vorgänge
| API-Vorgang | Für den Vorgang erforderliche Berechtigungen |
|---|---|
ListDbSystems |
DB_SYSTEM_INSPECT |
GetDbSystem |
DB_SYSTEM_INSPECT |
LaunchDbSystem |
DB_SYSTEM_CREATE, DB_HOME_CREATE, DATABASE_CREATE, VNIC_CREATE, VNIC_ATTACH und SUBNET_ATTACH Um automatische Backups für die anfängliche Datenbank zu aktivieren, benötigen Sie auch DB_BACKUP_CREATE und DATABASE_CONTENT_READ. |
UpdateDbSystem |
DB_SYSTEM_INSPECT und DB_SYSTEM_UPDATE |
ChangeDbSystemCompartment |
DB_SYSTEM_UPDATE, DB_HOME_UPDATE, DATABASE_UPDATE und DB_BACKUP_INSPECT |
ListDbSystemPatches |
DB_SYSTEM_INSPECT |
ListDbSystemPatchHistoryEntries |
DB_SYSTEM_INSPECT |
GetDbSystemPatch |
DB_SYSTEM_INSPECT |
GetDbSystemPatchHistoryEntry |
DB_SYSTEM_INSPECT |
TerminateDbSystem |
DB_SYSTEM_DELETE, DB_HOME_DELETE, DATABASE_DELETE, VNIC_DETACH, VNIC_DELETE und SUBNET_DETACH Wenn automatische Backups für eine Datenbank im DB-System aktiviert sind, ist auch DB_BACKUP_DELETE erforderlich. |
GetDbNode |
DB_NODE_INSPECT |
DbNodeAction |
DB_NODE_POWER_ACTIONS |
ListDbHomes |
DB_HOME_INSPECT |
GetDbHome |
DB_HOME_INSPECT |
ListDbHomePatches |
DB_HOME_INSPECT |
ListDbHomePatchHistoryEntries |
DB_HOME_INSPECT |
GetDbHomePatch |
DB_HOME_INSPECT |
GetDbHomePatchHistoryEntry |
DB_HOME_INSPECT |
CreateDbHome |
DB_SYSTEM_INSPECT, DB_SYSTEM_UPDATE, DB_HOME_CREATE und DATABASE_CREATE Um automatische Backups für die Datenbank zu aktivieren, benötigen Sie auch DB_BACKUP_CREATE und DATABASE_CONTENT_READ |
UpdateDbHome |
DB_HOME_UPDATE |
DeleteDbHome |
DB_SYSTEM_UPDATE, DB_HOME_DELETE und DATABASE_DELETE Wenn automatische Backups aktiviert sind, ist auch DB_BACKUP_DELETE erforderlich. Wenn beim Beenden ein abschließendes Backup ausgeführt wird, sind auch DB_BACKUP_CREATE und DATABASE_CONTENT_READ erforderlich |
ListDatabases |
DATABASE_INSPECT |
GetDatabase |
DATABASE_INSPECT |
UpdateDatabase |
DATABASE_UPDATE Um automatische Backups zu aktivieren, benötigen Sie auch DB_BACKUP_CREATE und DATABASE_CONTENT_READ |
ListDbSystemShapes |
(Keine Berechtigungen erforderlich, für jeden verfügbar) |
ListDbVersions |
(Keine Berechtigungen erforderlich, für jeden verfügbar) |
GetDataGuardAssociation |
DATABASE_INSPECT |
ListDataGuardAssociations |
DATABASE_INSPECT |
CreateDataGuardAssociation |
DB_SYSTEM_UPDATE, DB_HOME_CREATE und DB_HOME_UPDATE sowie DATABASE_CREATE und DATABASE_UPDATE |
SwitchoverDataGuardAssociation |
DATABASE_UPDATE |
FailoverDataGuardAssociation |
DATABASE_UPDATE |
ReinstateDataGuardAssociation |
DATABASE_UPDATE |
MigrateVaultKey |
DATABASE_UPDATE |
RotateVaultKey |
DATABASE_UPDATE |
GetBackup |
DB_BACKUP_INSPECT |
ListBackups |
DB_BACKUP_INSPECT |
CreateBackup |
DB_BACKUP_CREATE und DATABASE_CONTENT_READ |
DeleteBackup |
DB_BACKUP_DELETE und DB_BACKUP_INSPECT |
RestoreDatabase |
DB_BACKUP_INSPECT und DB_BACKUP_CONTENT_READ und DATABASE_CONTENT_WRITE |
API-Vorgänge für integrierbare Datenbanken
| API-Vorgang | Für den Vorgang erforderliche Berechtigungen |
|---|---|
ListPluggableDatabase |
PLUGGABLE_DATABASE_INSPECT |
GetPluggableDatabase |
PLUGGABLE_DATABASE_INSPECT |
CreatePluggableDatabase |
DATABASE_INSPECT* DATABASE_UPDATE* PLUGGABLE_DATABASE_CREATE Wenn automatische Backups auf der CDB aktiviert sind, zu der diese PDB gehört, sind zusätzliche Berechtigungen erforderlich: PLUGGABLE_DATABASE_CONTENT_READ |
UpdatePluggableDatabase |
PLUGGABLE_DATABASE_INSPECT und PLUGGABLE_DATABASE_UPDATE Wenn automatische Backups auf der CDB aktiviert sind, zu der diese PDB gehört, sind zusätzliche Berechtigungen erforderlich: PLUGGABLE_DATABASE_CONTENT_READ |
StartPluggableDatabase |
PLUGGABLE_DATABASE_INSPECT und PLUGGABLE_DATABASE_UPDATE |
StopPluggableDatabase |
PLUGGABLE_DATABASE_INSPECT und PLUGGABLE_DATABASE_UPDATE |
DeletePluggableDatabase |
DATABASE_INSPECT (vorhanden) DATABASE_UPDATE (vorhanden) PLUGGABLE_DATABASE_DELETE |
LocalClonePluggableDatabase |
DATABASE_INSPECT* DATABASE_UPDATE* PLUGGABLE_DATABASE_INSPECT PLUGGABLE_DATABASE_UPDATE PLUGGABLE_DATABASE_CONTENT_READ PLUGGABLE_DATABASE_CREATE PLUGGABLE_DATABASE_CONTENT_WRITE |
RemoteClonePluggableDatabase |
DATABASE_INSPECT* DATABASE_UPDATE* PLUGGABLE_DATABASE_INSPECT PLUGGABLE_DATABASE_UPDATE PLUGGABLE_DATABASE_CONTENT_READ PLUGGABLE_DATABASE_CREATE PLUGGABLE_DATABASE_CONTENT_WRITE |