Policy-Details für Base Database Service

Dieser Artikel enthält die Details zum Schreiben von Oracle Cloud Infrastructure Identity and Access Management-(IAM-)Policys, um den Zugriff auf Oracle Base Database Service-Ressourcen zu kontrollieren.

Ressourcentypen

Ein aggregierter Ressourcentyp umfasst die Liste der individuellen Ressourcentypen, die direkt danach aufgeführt werden. Beispiel: Wenn Sie eine Policy schreiben, um den Zugriff einer Gruppe auf die Ressource database-family zuzulassen, entspricht das dem Schreiben von separaten Policys, die der Gruppe Zugriff auf die Ressourcentypen db-systems, db-nodes db-homes databases database-software-image und db-backups erteilen. Weitere Informationen finden Sie unter Ressourcentypen in Funktionsweise von Policys.

Aggregierter Ressourcentyp

  • database-family

Individuelle Ressourcentypen

  • db-systems
  • db-nodes
  • db-homes
  • databases
  • pluggable databases
  • db-backups

Unterstützte Variablen

Nur die allgemeinen Variablen werden unterstützt. Weitere Informationen finden Sie unter Allgemeine Variablen für alle Anforderungen in der Policy-Referenz.

Details zu Kombinationen aus Verb und Ressourcentyp

In den folgenden Tabellen sind die Berechtigungen und API-Vorgänge aufgeführt, die von den einzelnen Verben abgedeckt werden. Die Zugriffsebene ist kumulativ von inspect > read > use > manage. Ein Pluszeichen (+) in einer Tabellenzelle gibt den inkrementellen Zugriff im Vergleich zur Zelle direkt darüber an, während "Keine zusätzlichen" keinen inkrementellen Zugriff angibt.

Beispiel: Die Verben read und use für den Ressourcentyp db-systems decken keine zusätzlichen Berechtigungen oder API-Vorgänge im Vergleich zum Verb inspect ab. Das Verb manage enthält jedoch zwei weitere Berechtigungen und deckt zwei weitere API-Vorgänge teilweise ab.

db-systems

Verben Berechtigungen Vollständig abgedeckte APIs Teilweise abgedeckte APIs
inspect DB_SYSTEM_INSPECT

ListDbSystems

GetDbSystem

ListDbSystemPatches

ListDbSystemPatchHistoryEntries

GetDbSystemPatch

GetDbSystemPatchHistoryEntry

Kein
lesen Keine zusätzlichen Keine zusätzlichen Kein
verwenden DB_SYSTEM_UPDATE Keine zusätzlichen ChangeDbSystemCompartment (erfordert auch use db-homes, use databases und inspect db-backups)
manage

USE +

DB_SYSTEM_CREATE

DB_SYSTEM_DELETE

UpdateDBSystem LaunchDBSystem, TerminateDbSystem (beide erfordern auch manage db-homes, manage databases, use vnics und use subnets)

db-nodes

Verben Berechtigungen Vollständig abgedeckte APIs Teilweise abgedeckte APIs
inspect

DB_NODE_INSPECT

DB_NODE_QUERY

GetDbNode Kein
lesen Keine zusätzlichen Keine zusätzlichen Kein
verwenden Keine zusätzlichen Keine zusätzlichen Kein
manage

USE +

DB_NODE_POWER_ACTIONS

DbNodeAction Kein

db-homes

Verben Berechtigungen Vollständig abgedeckte APIs Teilweise abgedeckte APIs
inspect DB_HOME_INSPECT

ListDBHome

GetDBHome

ListDbHomePatches

ListDbHomePatchHistoryEntries

GetDbHomePatch

GetDbHomePatchHistoryEntry

Kein
lesen Keine zusätzlichen Keine zusätzlichen Kein
verwenden DB_HOME_UPDATE UpdateDBHome ChangeDbSystemCompartment (erfordert auch use db-systems, use databases und inspect db-backups)
manage

USE +

DB_HOME_CREATE

DB_HOME_DELETE

Keine zusätzlichen

LaunchDBSystem, TerminateDbSystem (beide erfordern auch manage db-systems, manage databases, use vnics und use subnets)

Wenn automatische Backups in der Standarddatenbank aktiviert sind, ist auch manage db-backups erforderlich.

CreateDbHome (erfordert auch use db-systems und manage databases)

Wenn Sie das Datenbank-Home aus einem Backup wiederherstellen, ist auch read db-backups erforderlich.

DeleteDbHome (erfordert auch use db-systems und manage databases)

Wenn automatische Backups in der Standarddatenbank aktiviert sind, ist auch manage db-backups erforderlich.

Wenn die Option performFinalBackup ausgewählt ist, sind auch manage db-backups und read databases erforderlich.

databases

Verben Berechtigungen Vollständig abgedeckte APIs Teilweise abgedeckte APIs
inspect DATABASE_INSPECT

ListDatabases

GetDatabase

ListDataGuardAssociations

GetDataGuardAssociation

Kein
lesen

Keine zusätzlichen

DATABASE_CONTENT_READ

Keine zusätzlichen Kein
verwenden

READ +

DATABASE_CONTENT_WRITE

DATABASE_UPDATE

UpdateDatabase

SwitchoverDataGuardAssociation

FailoverDataGuardAssociation

ReinstateDataGuardAssociation

RotateVaultKey

MigrateVaultKey

CreateDataGuardAssociation

ChangeDbSystemCompartment (erfordert auch use db-systems, use db-homes und inspect db-backups)

manage

USE +

DATABASE_CREATE

DATABASE_DELETE

Keine zusätzlichen LaunchDBSystem, TerminateDbSystem (beide erfordern auch manage db-systems, manage db-homes, use vnics und use subnets)

pluggable databases

Verben Berechtigungen Vollständig abgedeckte APIs Teilweise abgedeckte APIs
inspect PLUGGABLE_DATABASE_INSPECT

ListPluggableDatabases

GetPluggableDatabase

Kein
lesen

INSPECT +

PLUGGABLE_DATABASE_CONTENT_READ

Keine zusätzlichen Kein
verwenden

READ +

PLUGGABLE_DATABASE_CONTENT_WRITE

PLUGGABLE_DATABASE_UPDATE

UpdatePluggableDatabases

StartPluggableDatabase

StopPluggableDatabase

Kein
manage

USE +

PLUGGABLE_DATABASE_CREATE

PLUGGABLE_DATABASE_DELETE

Keine zusätzlichen CreatePluggableDatabase, DeletePluggableDatabase, LocalClonePluggableDatabase, RemoteClonePluggableDatabase (alle erfordern auch use databases)

db-backups

Verben Berechtigungen Vollständig abgedeckte APIs Teilweise abgedeckte APIs
inspect DB_BACKUP_INSPECT

GetBackup

ListBackups

ChangeDbSystemCompartment (erfordert auch use db-systems, use db-homes und use databases)
lesen

INSPECT +

DB_BACKUP_CONTENT_READ

Kein RestoreDatabase (erfordert auch use databases)
verwenden Keine zusätzlichen Keine zusätzlichen Kein
manage

USE +

DB_BACKUP_CREATE

DB_BACKUP_DELETE

DeleteBackup CreateBackup (erfordert auch read databases)
Weitere Informationen zu Berechtigungen und Verben finden Sie unter Erweiterte Policy-Features.

Für jeden API-Vorgang erforderliche Berechtigungen

In den folgenden Tabellen sind die API-Vorgänge für DB-Systeme und integrierbare Datenbanken in logischer Reihenfolge nach Ressourcentyp gruppiert aufgelistet.

Datenbank-API-Vorgänge

API-Vorgang Für den Vorgang erforderliche Berechtigungen
ListDbSystems DB_SYSTEM_INSPECT
GetDbSystem DB_SYSTEM_INSPECT
LaunchDbSystem

DB_SYSTEM_CREATE, DB_HOME_CREATE, DATABASE_CREATE, VNIC_CREATE, VNIC_ATTACH und SUBNET_ATTACH

Um automatische Backups für die anfängliche Datenbank zu aktivieren, benötigen Sie auch DB_BACKUP_CREATE und DATABASE_CONTENT_READ.

UpdateDbSystem DB_SYSTEM_INSPECT und DB_SYSTEM_UPDATE
ChangeDbSystemCompartment DB_SYSTEM_UPDATE, DB_HOME_UPDATE, DATABASE_UPDATE und DB_BACKUP_INSPECT
ListDbSystemPatches DB_SYSTEM_INSPECT
ListDbSystemPatchHistoryEntries DB_SYSTEM_INSPECT
GetDbSystemPatch DB_SYSTEM_INSPECT
GetDbSystemPatchHistoryEntry DB_SYSTEM_INSPECT
TerminateDbSystem

DB_SYSTEM_DELETE, DB_HOME_DELETE, DATABASE_DELETE, VNIC_DETACH, VNIC_DELETE und SUBNET_DETACH

Wenn automatische Backups für eine Datenbank im DB-System aktiviert sind, ist auch DB_BACKUP_DELETE erforderlich.

GetDbNode DB_NODE_INSPECT
DbNodeAction DB_NODE_POWER_ACTIONS
ListDbHomes DB_HOME_INSPECT
GetDbHome DB_HOME_INSPECT
ListDbHomePatches DB_HOME_INSPECT
ListDbHomePatchHistoryEntries DB_HOME_INSPECT
GetDbHomePatch DB_HOME_INSPECT
GetDbHomePatchHistoryEntry DB_HOME_INSPECT
CreateDbHome

DB_SYSTEM_INSPECT, DB_SYSTEM_UPDATE, DB_HOME_CREATE und DATABASE_CREATE

Um automatische Backups für die Datenbank zu aktivieren, benötigen Sie auch DB_BACKUP_CREATE und DATABASE_CONTENT_READ

UpdateDbHome DB_HOME_UPDATE
DeleteDbHome

DB_SYSTEM_UPDATE, DB_HOME_DELETE und DATABASE_DELETE

Wenn automatische Backups aktiviert sind, ist auch DB_BACKUP_DELETE erforderlich.

Wenn beim Beenden ein abschließendes Backup ausgeführt wird, sind auch DB_BACKUP_CREATE und DATABASE_CONTENT_READ erforderlich

ListDatabases DATABASE_INSPECT
GetDatabase DATABASE_INSPECT
UpdateDatabase

DATABASE_UPDATE

Um automatische Backups zu aktivieren, benötigen Sie auch DB_BACKUP_CREATE und DATABASE_CONTENT_READ

ListDbSystemShapes (Keine Berechtigungen erforderlich, für jeden verfügbar)
ListDbVersions (Keine Berechtigungen erforderlich, für jeden verfügbar)
GetDataGuardAssociation DATABASE_INSPECT
ListDataGuardAssociations DATABASE_INSPECT
CreateDataGuardAssociation DB_SYSTEM_UPDATE, DB_HOME_CREATE und DB_HOME_UPDATE sowie DATABASE_CREATE und DATABASE_UPDATE
SwitchoverDataGuardAssociation DATABASE_UPDATE
FailoverDataGuardAssociation DATABASE_UPDATE
ReinstateDataGuardAssociation DATABASE_UPDATE
MigrateVaultKey DATABASE_UPDATE
RotateVaultKey DATABASE_UPDATE
GetBackup DB_BACKUP_INSPECT
ListBackups DB_BACKUP_INSPECT
CreateBackup DB_BACKUP_CREATE und DATABASE_CONTENT_READ
DeleteBackup DB_BACKUP_DELETE und DB_BACKUP_INSPECT
RestoreDatabase DB_BACKUP_INSPECT und DB_BACKUP_CONTENT_READ und DATABASE_CONTENT_WRITE

API-Vorgänge für integrierbare Datenbanken

API-Vorgang Für den Vorgang erforderliche Berechtigungen
ListPluggableDatabase PLUGGABLE_DATABASE_INSPECT
GetPluggableDatabase PLUGGABLE_DATABASE_INSPECT
CreatePluggableDatabase

DATABASE_INSPECT*

DATABASE_UPDATE*

PLUGGABLE_DATABASE_CREATE

Wenn automatische Backups auf der CDB aktiviert sind, zu der diese PDB gehört, sind zusätzliche Berechtigungen erforderlich:

PLUGGABLE_DATABASE_CONTENT_READ

UpdatePluggableDatabase

PLUGGABLE_DATABASE_INSPECT und

PLUGGABLE_DATABASE_UPDATE

Wenn automatische Backups auf der CDB aktiviert sind, zu der diese PDB gehört, sind zusätzliche Berechtigungen erforderlich:

PLUGGABLE_DATABASE_CONTENT_READ

StartPluggableDatabase

PLUGGABLE_DATABASE_INSPECT und

PLUGGABLE_DATABASE_UPDATE

StopPluggableDatabase

PLUGGABLE_DATABASE_INSPECT und

PLUGGABLE_DATABASE_UPDATE

DeletePluggableDatabase

DATABASE_INSPECT (vorhanden)

DATABASE_UPDATE (vorhanden)

PLUGGABLE_DATABASE_DELETE

LocalClonePluggableDatabase

DATABASE_INSPECT*

DATABASE_UPDATE*

PLUGGABLE_DATABASE_INSPECT

PLUGGABLE_DATABASE_UPDATE

PLUGGABLE_DATABASE_CONTENT_READ

PLUGGABLE_DATABASE_CREATE

PLUGGABLE_DATABASE_CONTENT_WRITE

RemoteClonePluggableDatabase

DATABASE_INSPECT*

DATABASE_UPDATE*

PLUGGABLE_DATABASE_INSPECT

PLUGGABLE_DATABASE_UPDATE

PLUGGABLE_DATABASE_CONTENT_READ

PLUGGABLE_DATABASE_CREATE

PLUGGABLE_DATABASE_CONTENT_WRITE

Weitere Informationen zu Berechtigungen und Verben finden Sie unter Erweiterte Policy-Features.