Hinweis:

Dieses Tutorial erfordert Zugriff auf Oracle Cloud. Informationen zur Registrierung für einen kostenlosen Account finden Sie unter Erste Schritte mit Oracle Cloud Infrastructure Free Tier.
Es verwendet Beispielwerte für Oracle Cloud Infrastructure-Zugangsdaten, -Mandanten und -Compartments. Ersetzen Sie diese Werte nach Abschluss der Übung durch Werte, die für Ihre Cloud-Umgebung spezifisch sind.

Granulare OCI IAM-Berechtigungen für VM-Clusteraktualisierungsvorgänge für Oracle Exadata Database Service zuweisen

Einführung

Sie können jetzt granulare Berechtigungen für VM-Clustervorgänge für Oracle Exadata Database Service on Cloud@Customer und Oracle Exadata Database Service on Dedicated Infrastructure zuweisen. Beispiel: Sie können der Gruppe "Datenbankadministrator" (DBA) ermöglichen, nur Arbeitsspeicher oder CPU zu skalieren, der Speicheradministratorgruppe die Verwaltung des lokalen und Exadata-Speichers zu gestatten oder der Sicherheitsadministratorgruppe das Hinzufügen von SSH-Schlüsseln zu einem VM-Cluster zu gestatten. Diese Verbesserung bietet eine fein granulierte Kontrolle über VM-Clusteraktualisierungsvorgänge.

Ziele

Erstellen Sie bestimmte Oracle Cloud Infrastructure Identity and Access Management-(OCI IAM-)Policys, um granulare Berechtigungen für VM-Clusteraktualisierungsvorgänge zuzuweisen.

Aufgabe 1: OCI-IAM-Policys zur Zuweisung granularer Berechtigungen für VM-Clusteraktualisierungsvorgänge erstellen

Melden Sie sich bei der OCI-Konsole an, navigieren Sie zu Identität und Sicherheit, und klicken Sie auf Policys.
Klicken Sie auf Policy erstellen.
Geben Sie auf der Seite Policy erstellen die folgenden Informationen ein, und klicken Sie auf Erstellen.
- Name: Geben Sie einen Policy-Namen ein.
- Beschreibung: Geben Sie eine Beschreibung ein.
- Compartment: Compartment auswählen.
- Policy Builder: Wählen Sie Manuellen Editor anzeigen aus, und geben Sie die spezifischen OCI-IAM-Policys ein, um granulare Berechtigungen für die CLOUD_VM_CLUSTER_UPDATE-Vorgänge zuzuweisen.
```
allow group StorageAdmin to use cloud-vmclusters in compartment compartment_name where any {request.permission='CLOUD_VM_CLUSTER_UPDATE_EXADATA_STORAGE', request.permission='CLOUD_VM_CLUSTER_UPDATE_LOCAL_STORAGE'}
allow group StorageAdmin to use cloud-exadata-infrastructures in compartment compartment_name where request.permission = 'CLOUD_EXADATA_INFRASTRUCTURE_INSPECT'
allow group StorageAdmin to use cloud-vmclusters in compartment compartment_name where request.permission = 'CLOUD_VM_CLUSTER_INSPECT'
```
Hinweis: Die folgende Abbildung zeigt eine Policy, die den Benutzern einer Gruppe (StorageAdmin) die Berechtigung zum Skalieren von lokalem und Exadata-Speicher für VM-Cluster in einem ausgewählten Compartment erteilt.

Aufgabe 2: Zugewiesene OCI-IAM-Berechtigungen für die VM-Clusteraktualisierungsvorgänge validieren

Gehen Sie zur OCI-Konsole, navigieren Sie zu Oracle Database, und klicken Sie auf Oracle Exadata Database Service on Dedicated Infrastructure.
Wählen Sie das VM-Cluster aus, das Sie die zugewiesenen OCI-IAM-Berechtigungen für das VM-Clusterupdate validieren möchten. Klicken Sie auf der Seite Exadata-VM-Clusterdetails auf SSH-Schlüssel hinzufügen.

Wenn ein Benutzer, der zur Gruppe StorageAdmin gehört, versucht, einen Vorgang auszuführen, der der Gruppe nicht zugewiesen ist. Beispiel: Wenn Sie dem VM-Cluster einen SSH-Schlüssel hinzufügen, wird ein Fehler wie im folgenden Image angezeigt.
Derselbe Benutzer kann jedoch den lokalen Speicher eines VM-Clusters skalieren.

Hinweis: Im Beispiel erhöht der Benutzer die Größe von /u02 pro VM in einem VM-Cluster von 60 GB auf 70 GB.
Klicken Sie auf Änderungen speichern. Das Exadata-VM-Cluster wird in den Status Wird aktualisiert versetzt.

Nachdem der Skalierungsvorgang für den lokalen Speicher abgeschlossen ist, beträgt die Größe von /u02 auf beiden Knoten 140 GB.

Mitglieder einer Gruppe können nur VM-Clustervorgänge ausführen, die von den der Gruppe zugewiesenen OCI-IAM-Policys zulässig sind.
Hinweis:
- Benutzer müssen OCI-IAM-Gruppen mit den erforderlichen Policys für Aktualisierungsvorgänge von Exadata-VM-Clustern erstellen und diesen Gruppen Benutzer zuweisen. Die Berechtigung INSPECT ist erforderlich, damit Benutzer die Ressourcen in der Konsole anzeigen können. Beispiel: Prüfen Sie Cloud-VM-Cluster, prüfen Sie Datenbanken usw.
- Für die Migration von der OCI-IAM-Berechtigung CLOUD_VM_CLUSTER_UPDATE zu einer granularen Berechtigung müssen vorhandene Benutzer neue OCI-IAM-Gruppen mit bestimmten OCI-IAM-Policys für Aktualisierungsvorgänge von Exadata-VM-Clustern erstellen und diesen Gruppen Benutzer zuweisen. Nachdem die Benutzer in die neuen Gruppen verschoben wurden, muss die OCI-IAM-Berechtigung CLOUD_VM_CLUSTER_UPDATE vorhandenen Gruppen entzogen werden.
- Die vorhandene OCI-IAM-Berechtigung CLOUD_VM_CLUSTER_UPDATE ist weiterhin für Kunden verfügbar, die keine feingranulierte Kontrolle über Aktualisierungsvorgänge von Exadata-VM-Clustern benötigen.
- Eine vollständige Liste der Berechtigungen und API-Vorgangsdetails für VM-Cluster für Oracle Exadata Database Service on Dedicated Infrastructure und Oracle Exadata Database Service on Cloud@Customer finden Sie im Abschnitt Zugehörige Links.

Danksagungen

Autoren – Sanjay Narvekar, Tammy Bednar, Leo Alvarado (Produktmanagement)

Weitere Lernressourcen

Sehen Sie sich andere Übungen zu docs.oracle.com/learn an, oder greifen Sie im Oracle Learning YouTube-Channel auf weitere kostenlose Lerninhalte zu. Besuchen Sie außerdem education.oracle.com/learning-explorer, um Oracle Learning Explorer zu werden.

Die Produktdokumentation finden Sie im Oracle Help Center.

Titel und Copyright-Informationen

Assign Granular OCI IAM Permissions for VM Cluster Update Operations for Oracle Exadata Database Service

G25937-01

February 2025