Documentación de Oracle Cloud Infrastructure

Tarea 1: Requisitos para Oracle Database@AWS

En este tema se explican los requisitos necesarios para empezar a aprovisionar los servicios de Exadata.

Muchas de las tareas que realiza durante el aprovisionamiento de servicios de Exadata requieren permisos específicos. En la siguiente tabla, se proporcionan detalles de los permisos que necesita para cada tarea.

Nota

Las siguientes notas están relacionadas con OCI IAM:
  • Si el usuario es un administrador de arrendamiento de OCI, no se necesitan permisos adicionales para los pasos descritos en la siguiente tabla.
  • Si el usuario no es un administrador de arrendamiento de OCI, el usuario debe formar parte de un grupo que tenga los permisos necesarios que se describen en la siguiente tabla.
    • Durante el proceso de vinculación, algunos grupos se crean automáticamente con las políticas necesarias y puede agregar un usuario a esos grupos para que el usuario pueda realizar las tareas.
    • Si desea permitir que un grupo diferente realice las tareas, siga estos pasos a continuación.
      • Cree un nuevo grupo en el dominio predeterminado o utilice un grupo existente. Para obtener más información, consulte Creación de un nuevo grupo.
      • Cree una política en el compartimento raíz del arrendamiento de OCI con las sentencias de política necesarias y agréguela al grupo. Para obtener más información, consulte Creación de una política.
      • Agregar usuarios al grupo. Para obtener más información, consulte Adición del usuario.
Nota

Las siguientes notas están relacionadas con AWS IAM:
  • Si el usuario es un administrador de arrendamiento de AWS, no se necesitan permisos adicionales para los pasos descritos en la siguiente tabla.
  • Si el usuario no es un administrador de arrendamiento de AWS, el usuario debe tener permisos adicionales.
  • Las políticas que se muestran en la siguiente tabla proporcionan ejemplos de las acciones de IAM de AWS necesarias para realizar los pasos.
  • Para crear políticas de JSON y agregarlas a un usuario, consulte Creación de políticas con el editor de JSON y Para agregar permisos mediante la asociación de políticas directamente al usuario de IAM.
  • Si el usuario es un administrador de arrendamiento de AWS, se debe crear una política para otorgar los permisos necesarios para la vinculación de Oracle Database@AWS.
    • Debe sustituir [policy_name] por el nombre de la política y [actionX] por los permisos que otorga. 
      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "[policy_name]",
            "Effect": "Allow",
            "Action": [
                "[action1]",
                "[action2]",
                ...
            ],
            "Resource": "*"
        }
    ]
}
Nota

Tanto las políticas de control de servicio (SCP) de AWS como los límites de permisos definidos en el nivel organizativo pueden sustituir el permiso de usuario como se describe en este tema. Esto puede hacer que las operaciones de incorporación y aprovisionamiento para Oracle Database@AWS fallen, incluso si los usuarios tienen los permisos necesarios. Para obtener más información, consulte Políticas de control de servicio (SCP), Límites de permisos para entidades de IAM y Evaluación de políticas basadas en identidad con políticas basadas en recursos.

Tabla 1-2 Permisos de servicios de Exadata por tarea

Tarea Cloud Usuario tipo Permisos
Tarea 2: Creación de una red de ODB para Oracle Database@AWS AWS Administrador de redes IAM de AWS: 
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "OdbNetworkOperations",
            "Effect": "Allow",
            "Action": [
                "odb:GetOciOnboardingStatus",
                "odb:CreateOdbNetwork",
                "odb:GetOdbNetwork",
                "odb:ListOdbNetworks",
                "odb:UpdateOdbNetwork",
                "odb:DeleteOdbNetwork",
                "odb:TagResource",
                "odb:UntagResource",
                "odb:ListTagsForResource",
                "ec2:CreateOdbNetworkPeering",
                "ec2:DeleteOdbNetworkPeering",
                "ec2:ModifyOdbNetworkPeering",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeVpcs",
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "*"
        }
    ]
}
Tarea 3: Creación de una infraestructura de Exadata para Oracle Database@AWS AWS Administrador de infraestructura IAM de AWS: 
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ExaInfraOperations",
            "Action": [
                "odb:GetOciOnboardingStatus",
                "odb:CreateCloudExadataInfrastructure",
                "odb:ListDbSystemshapes",
                "odb:ListDbServers",
                "odb:GetCloudExadataInfrastructure",
                "odb:ListCloudExadataInfrastructures",
                "odb:DeleteCloudExadataInfrastructure",
                "odb:ListCloudVmClusters",
                "odb:TagResource",
                "odb:UntagResource",
                "odb:ListTagsForResource",
                "ec2:DescribeAvailabilityZones",
                "iam:CreateServiceLinkedRole"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
Tarea 4: Creación de un cluster de VM de Exadata para Oracle Database@AWS AWS Administrador de infraestructura y administrador de base de datos IAM de AWS: 
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ExaVMClusterOperations",
            "Action": [
                "odb:GetOciOnboardingStatus",
                "odb:CreateCloudVmCluster",
                "odb:GetCloudVmCluster",
                "odb:ListCloudVmClusters",
                "odb:DeleteCloudVmCluster",
                "odb:ListCloudExadataInfrastructures",
                "odb:ListSystemVersions",
                "odb:ListGIVersions",
                "odb:ListDbServers",
                "odb:ListDbSystemshapes",
                "odb:ListDbNodes",
                "odb:ListOdbNetworks",
                "odb:TagResource",
                "odb:UntagResource",
                "odb:ListTagsForResource",
                "iam:CreateServiceLinkedRole",
                "odb:CreateDbNode",
                "odb:DeleteDbNode"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
Tarea 5: Creación de una base de datos de Exadata y migración de datos para Oracle Database@AWS OCIO Administrador de base de datos OCI IAM: si el usuario no es un administrador de arrendamiento de OCI, el usuario debe formar parte de:
  • Los siguientes grupos creados previamente:
    • aws-exadb-vm-cluster-administrators
    • aws-exa-cdb-administrators
    • aws-exa-pdb-administrators
  • Cualquier otro grupo que tenga las siguientes sentencias de política:
    • Allow group <group-name> to manage db-homes in tenancy
    • Allow group <group-name> to manage databases in tenancy
    • Allow group <group-name> to manage pluggable-databases in tenancy
Tarea 6: Configuración de la conectividad entre AWS VPC y la red de ODB para Oracle Database@AWS AWS  
Para descargar bits de la CLI de vista previa privada, se requieren los siguientes permisos. 
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "S3Operations",
            "Action": [
                "s3:ListBucket",
                "s3:GetObject"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]}
Para crear una regla de ruta en la tabla de rutas de la VPC de aplicación, se necesitan los siguientes permisos de EC2 IAM.
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateRoute",
            "Action": [
                "ec2:DescribeRouteTables",
                "ec2:CreateRoute",
                "ec2:DescribeVpcs",
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
Para crear un punto final saliente en la ruta 53, se necesitan los siguientes permisos de IAM de solucionador de ruta 53. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Route53Resolver",
            "Action": [
                "route53resolver:CreateResolverEndpoint",
                "route53resolver:CreateResolverRule",
                "route53resolver:AssociateResolverRule",
                "route53resolver:GetResolverEndpoint",
                "route53resolver:ListResolverEndpoints",
                "route53resolver:AssociateResolverEndpointIpAddress",
                "route53resolver:DisassociateResolverEndpointIpAddress",
                "route53resolver:TagResource",
                "route53resolver:UntagResource",
                "route53resolver:DisassociateResolverRule",
                "route53resolver:ListResolverRules",
                "route53resolver:ListResolverEndpointIpAddresses",
                "route53resolver:ListResolverRuleAssociations",
                "route53resolver:ListTagsForResource"

            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
EC2 IAM:
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Ec2Operations",
            "Action": [
                "ec2:CreateNetworkInterface",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DeleteNetworkInterface",
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:AssignPrivateIpAddresses",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:CreateTags",
                "ec2:DescribeAvailabilityZones",
                "ec2:GetSecurityGroupsForVpc"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
Para configurar reglas de seguridad en el grupo de seguridad, se necesitan permisos de EC2 IAM.
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Ec2SecurityOperations",
            "Action": [
                "ec2:DescribeSecurityGroups",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:DescribeSecurityGroupRules"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
Tarea 7: Verificaciones de la conectividad, las métricas y la facturación de Oracle Database@AWS AWS  
Para conectividad:
Para la observabilidad:
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CloudWatchOperations",
            "Action": [
                "cloudwatch:GetMetricData",
                "cloudwatch:ListMetrics"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
Para facturación y facturas: 
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "BillingAndInvoices",
            "Action": [
                "ce:GetCostAndUsage",
                "ce:GetCostForecast",
                "billing:GetBillingData",
                "billing:GetBillingDetails",
                "billing:GetBillingNotifications",
                "account:GetAccountInformation",
                "ce:DescribeReport",
                "ce:GetDimensionValues",
                "ce:GetTags",
                "ce:ListCostAllocationTags",
                "ce:UpdateCostAllocationTagsStatus"

            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

Para conocer las políticas de solo lectura sobre facturación que incluyen pagos y facturas, consulte AWSBillingReadOnlyAccess.

Para obtener más información sobre cómo otorgar los permisos necesarios, consulte lo siguiente:
Siguiente paso

Continúe el aprovisionamiento con la Tarea 2: creación de una red ODB para Oracle Database@AWS.