Documentación de Oracle Cloud Infrastructure

Requisitos

En este tema se explican los requisitos necesarios para empezar a aprovisionar Oracle AI Database@AWS. Durante el aprovisionamiento, muchas de las tareas que realiza requieren permisos específicos. En la siguiente tabla, se proporcionan detalles de los permisos que necesita para completar cada tarea.

Nota

Las siguientes notas están relacionadas con OCI IAM:
  • Si el usuario es un administrador de arrendamiento de OCI, no se necesitan permisos adicionales para los pasos descritos en la siguiente tabla.
  • Si el usuario no es un administrador de arrendamiento de OCI, el usuario debe formar parte de un grupo que tenga los permisos necesarios descritos en la siguiente tabla.
    • Durante el proceso de vinculación, algunos grupos se crean automáticamente con las políticas necesarias y puede agregar un usuario a esos grupos para que el usuario pueda realizar las tareas.
    • Si desea permitir que un grupo diferente realice las tareas, siga estos pasos a continuación.
      • Cree un nuevo grupo en el dominio predeterminado o utilice un grupo existente. Para obtener más información, consulte Crear un nuevo grupo.
      • Cree una política en el compartimento raíz del arrendamiento de OCI con las sentencias de política necesarias y agréguela al grupo. Para obtener más información, consulte Creación de una política.
      • Agregar usuarios al grupo. Para obtener más información, consulte Agregar el usuario.
Nota

Las siguientes notas se refieren a AWS IAM:
  • Si el usuario es un administrador de arrendamiento de AWS, no se requieren permisos adicionales para los pasos descritos en la tabla siguiente.
  • Si el usuario no es un administrador de arrendamiento de AWS, el usuario debe tener permisos adicionales.
  • Las políticas que se muestran en la tabla siguiente proporcionan ejemplos de las acciones de IAM de AWS necesarias para realizar los pasos.
  • Para crear políticas de JSON y agregarlas a un usuario, consulte Creación de políticas mediante el editor de JSON y Para agregar permisos asociando políticas directamente al usuario de IAM.
  • Si el usuario es un administrador de arrendamiento de AWS, pero se ha definido una política de control de servicio (SCP) en el nivel organizativo que está provocando el fallo en el aprovisionamiento de Oracle AI Database@AWS, se debe crear una política de permiso.
    • Debe sustituir [policy_name] por el nombre de la política y [actionX] por los permisos que está otorgando. 
      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "[policy_name]",
            "Effect": "Allow",
            "Action": [
                "[action1]",
                "[action2]",
                ...
            ],
            "Resource": "*"
        }
    ]
}
Nota

Tanto las políticas de control de servicio (SCP) de AWS como los límites de permisos definidos en el nivel organizativo pueden sustituir los permisos de usuario, como se describe en este tema. Esto puede provocar que las operaciones de vinculación y aprovisionamiento de Oracle AI Database@AWS fallen, incluso si los usuarios tienen los permisos necesarios. Para obtener más información, consulte Políticas de control de servicio (SCP), Límites de permisos para entidades de IAM y Evaluación de políticas basadas en identidades con políticas basadas en recursos.

Tabla 1-1 Permisos de recursos de Oracle AI Database@AWS por tarea

Tarea Nube Persona Permisos
  • Crear una red de ODB
  • Modificación de una Red de ODB
  • Supresión de una red de ODB
  • Crear una conexión de intercambio de tráfico de ODB
  • Modificación de una conexión de intercambio de tráfico de ODB
  • Supresión de una conexión de intercambio de tráfico de ODB
 AWS Administrador de redes AWS IAM: 
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "OdbNetworkOperations",
            "Effect": "Allow",
            "Action": [
                "odb:GetOciOnboardingStatus",
                "odb:CreateOdbNetwork",
                "odb:GetOdbNetwork",
                "odb:ListOdbNetworks",
                "odb:UpdateOdbNetwork",
                "odb:DeleteOdbNetwork",
                "odb:TagResource",
                "odb:UntagResource",
                "odb:ListTagsForResource",
                "odb:GetResourcePolicy",
                "odb:PutResourcePolicy",
                "odb:DeleteResourcePolicy",
                "odb:CreateOdbPeeringConnection",
                "odb:DeleteOdbPeeringConnection",
                "odb:GetOdbPeeringConnection",
                "odb:ListOdbPeeringConnections",
                "ec2:DescribeVpcs",
                "ec2:DescribeAvailabilityZones",
                "ec2:CreateOdbNetworkPeering",
                "ec2:DeleteOdbNetworkPeering",
                "ec2:ModifyOdbNetworkPeering",
                "ec2:DescribeVpcEndpointAssociations",
                "ec2:CreateVpcEndpoint",
                "ec2:DeleteVpcEndpoints",
                "ec2:DescribeVpcEndpoints",
                "ec2:CreateTags",
                "ec2:CreatePlacementGroup",
                "ec2:DeletePlacementGroup",
                "ec2:AttachResourcesToPlacementGroup",
                "ec2:DetachResourcesFromPlacementGroup",
                "vpc-lattice:CreateServiceNetwork",
                "vpc-lattice:CreateServiceNetworkResourceAssociation",
                "vpc-lattice:GetServiceNetwork",
                "vpc-lattice:DeleteServiceNetwork",
                "vpc-lattice:DeleteServiceNetworkResourceAssociation",
                "vpc-lattice:GetServiceNetworkResourceAssociation",
                "vpc-lattice:CreateResourceGateway",
                "vpc-lattice:DeleteResourceGateway",
                "vpc-lattice:GetResourceGateway",
                "vpc-lattice:CreateServiceNetworkVpcEndpointAssociation",
                "vpc-lattice:GetServiceNetworkResourceAssociation"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowSLRActions",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": [
                        "odb.amazonaws.com",
                        "vpc-lattice.amazonaws.com"
                    ]
                }
            }
        }
    ]
}
  • Creación de una infraestructura de Exadata
  • Modificación de una infraestructura de Exadata
  • Supresión de una infraestructura de Exadata
 AWS Administrador de infraestructura AWS IAM: 
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ExaInfraOperations",
            "Action": [
                "odb:GetOciOnboardingStatus",
                "odb:CreateCloudExadataInfrastructure",
                "odb:ListDbSystemshapes",
                "odb:ListDbServers",
                "odb:GetCloudExadataInfrastructure",
                "odb:ListCloudExadataInfrastructures",
                "odb:DeleteCloudExadataInfrastructure",
                "odb:ListCloudVmClusters",
                "odb:TagResource",
                "odb:UntagResource",
                "odb:ListTagsForResource",
                "ec2:DescribeAvailabilityZones",
                "iam:CreateServiceLinkedRole",
                "odb:UpdateCloudExadataInfrastructure",
                "odb:GetDbServer"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
  • Crear uso compartido de recursos
 AWS Administrador de infraestructura
Permisos de propietario/cuenta de confianza (para comprobar la organización):
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "OrganizationPermissions",
      "Effect": "Allow",
      "Action": "organizations:DescribeOrganization",
      "Resource": "*"
    }
  ]
}
Permisos de cuenta de propietario (para crear recurso compartido):
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "RamPermissions",
      "Effect": "Allow",
      "Action": [
        "odb:ListCloudExadataInfrastructures",
        "odb:ListOdbNetworks",
        "odb:PutResourcePolicy",
        "odb:GetResourcePolicy",
        "odb:DeleteResourcePolicy",
        "ram:CreateResourceShare",
        "ram:AssociateResourceShare",
        "ram:DisassociateResourceShare",
        "ram:UpdateResourceShare",
        "ram:DeleteResourceShare",
        "ram:TagResource",
        "ram:UntagResource",
        "ram:GetResourceShares",
        "ram:GetResourceShareAssociations",
        "ram:GetResourceShareInvitations",
        "ram:GetResourcePolicies",
        "ram:EnableSharingWithAwsOrganization",
        "ram:ListResources",
        "ram:ListPrincipals",
        "ram:ListResourceTypes",
        "ram:ListPermissionAssociations",
        "ram:AssociateResourceSharePermission",
        "ram:GetPermission",
        "ram:ListPermissions",
        "ram:DisassociateResourceSharePermission",
        "ram:ListResourceSharePermissions",
        "ram:ListPermissionVersions",
        "ram:ListPendingInvitationResources",
        "ram:ListReplacePermissionAssociationsWork"
      ],
      "Resource": "*"
    }
  ]
}
Permisos de cuenta de confianza (para ver los recursos compartidos desde el portal Resource Access Manager (RAM) y activar la cuenta desde Oracle AI Database@AWS):
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Sid": "RamPermissionsTrustedAccount",
      "Action": [
        "ram:GetResourceShares",
        "ram:GetResourcePolicies",
        "ram:ListResources",
        "ram:ListResourceSharePermissions",
        "ram:ListPrincipals",
        "ram:GetResourceShareInvitations",
        "odb:InitializeService",
        "iam:CreateServiceLinkedRole",
        "odb:GetOciOnboardingStatus"
      ],
      "Resource": "*"
    }
  ]
}
Notas:
  • Para obtener información sobre la política gestionada para el acceso completo a la RAM de AWS, consulte Políticas gestionadas de AWS para la RAM de AWS.
  • Para gestionar la red de ODB, la infraestructura de Exadata, el cluster de VM de Exadata y el cluster de VM autónomo desde la cuenta de confianza, debe otorgar acceso a la lista completa de permisos de la cuenta de confianza para cada acción que se muestra en esta página.
  • Creación de un Cluster de VM de Exadata
  • Modificar cluster de VM de Exadata
  • Supresión de un cluster del VM de Exadata
 AWS Administrador de infraestructura y administrador de base de datos AWS IAM: 
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ExaVMClusterOperations",
            "Action": [
                "odb:GetOciOnboardingStatus",
                "odb:CreateCloudVmCluster",
                "odb:GetCloudVmCluster",
                "odb:ListCloudVmClusters",
                "odb:DeleteCloudVmCluster",
                "odb:ListCloudExadataInfrastructures",
                "odb:ListSystemVersions",
                "odb:ListGiVersions",
                "odb:ListDbServers",
                "odb:ListDbSystemshapes",
                "odb:ListDbNodes",
                "odb:ListOdbNetworks",
                "odb:TagResource",
                "odb:UntagResource",
                "odb:ListTagsForResource",
                "iam:CreateServiceLinkedRole",
                "odb:GetDbNode",
                "odb:StartDbNode",
                "odb:StopDbNode",
                "odb:RebootDbNode",
                "odb:CreateDbNode",
                "odb:DeleteDbNode"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
  • Crear base de datos de Exadata (CDB y PDB)
  • Modificar base de datos de Exadata (CDB y PDB)
  • Suprimir base de datos de Exadata (CDB y PDB)
OCI Administrador de base de datos
OCI IAM: si el usuario no es un administrador de arrendamiento de OCI, debe formar parte de:
  • Los siguientes grupos creados previamente:
    • aws-db-family-administrators
    • aws-exa-cdb-administrators
    • aws-exa-pdb-administrators
  • Cualquier otro grupo que tenga las siguientes sentencias de política: 
    • Allow group <group-name> to manage db-homes in compartment id <MulticloudLink_AWS_timestamp_ocid>
    • Allow group <group-name> to manage databases in compartment id <MulticloudLink_AWS_timestamp_ocid>
    • Allow group <group-name> to manage pluggable-databases in compartment id <MulticloudLink_AWS_timestamp_ocid>
    • Allow group <group-name> to manage db-family in compartment id <MulticloudLink_AWS_timestamp_ocid>
  • Creación de un cluster de VM autónomo
  • Modificación de un cluster de VM autónomo
  • Supresión de un cluster de VM autónomo
 AWS Administrador de infraestructura y administrador de base de datos AWS: 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AutonomousVMClusterOperations",
            "Action": [
                "odb:ListAutonomousVirtualMachines",
                "odb:CreateCloudAutonomousVmCluster",
                "odb:DeleteCloudAutonomousVmCluster",
                "odb:GetCloudAutonomousVmCluster",
                "odb:ListCloudAutonomousVmClusters",
                "odb:GetCloudExadataInfrastructureUnallocatedResources",
                "odb:GetOciOnboardingStatus",
                "odb:ListCloudExadataInfrastructures",
                "odb:ListDbServers",
                "odb:TagResource",
                "odb:UntagResource",
                "odb:ListTagsForResource"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
  • Creación de una base de datos de IA autónoma
  • Modificación de una base de datos de IA autónoma
  • Supresión de una base de datos de IA autónoma
 OCI Administrador de base de datos
OCI IAM: si el usuario no es un administrador de arrendamiento de OCI, debe formar parte de:
  • Los siguientes grupos creados previamente:
    • aws-autonomous-cdb-administrators
  • Cualquier otro grupo que tenga las siguientes sentencias de política: 
    • Allow group <group-name> to manage autonomous-databases in compartment id <MulticloudLink_AWS_timestamp_ocid>
    • Allow group <group-name> to manage autonomous-backups in compartment id <MulticloudLink_AWS_timestamp_ocid>
    • Allow group <group-name> to manage autonomous-container-databases in compartment id <MulticloudLink_AWS_timestamp_ocid>
Para obtener más información sobre cómo otorgar los permisos necesarios, consulte lo siguiente: