Documentación de Oracle Cloud Infrastructure

Políticas de OCI Database with PostgreSQL

Utilice el servicio Oracle Cloud Infrastructure Identity and Access Management (IAM) para crear políticas para los recursos de OCI Database with PostgreSQL.

En este tema, se tratan los detalles de cómo escribir políticas para controlar el acceso al servicio OCI Database with PostgreSQL. Para obtener más información, consulte Introducción a las políticas.

Visión general de la sintaxis de las políticas

La sintaxis general de una sentencia de política es:

allow <subject> to <verb> <resource-type> in <location> where <condition>

Por ejemplo, puede especificar:

  • Un grupo o grupo dinámico por nombre u OCID como <subject>. O bien, puede utilizar any-user para abarcar a todos los usuarios del arrendamiento.

  • inspect, read, use y manage como <verb> para otorgar a <subject> acceso a uno o más permisos.

    A medida que vaya de inspect > read > use > manage, el nivel de acceso aumenta y los permisos otorgados se van acumulando. Por ejemplo, use incluye read más la capacidad de actualizar.

  • Una familia de recursos como virtual-network-family para resource-type. O bien, puede especificar un recurso individual en una familia como vcns y subnets.

  • Compartimento por nombre u OCID como <location>. O bien, puede utilizar tenancy para que se abarque todo el arrendamiento.

Para obtener más información sobre la creación de políticas, consulte Introducción a las políticas y Referencia de políticas.

Tipos de recursos

Para proporcionar a los usuarios acceso a los recursos de OCI Database with PostgreSQL, cree políticas de IAM con los tipos de recursos de OCI Database with PostgreSQL.

Para acceder a los recursos de OCI Database with PostgreSQL, utilice cada uno de los siguientes tipos de recursos:

  • sistemas postgres-db
  • copias de seguridad de postgres
  • configuraciones postgres
  • postgres-solicitudes de trabajo

Consulte Ejemplos de políticas para obtener más información.

Variables soportadas

El servicio OCI Database with PostgreSQL soporta todas las variables generales.

Para obtener más información sobre la variables generales soportadas por servicios de OCI, consulte Variables Generales para Todas las Solicitudes.

Detalles de las combinaciones de verbo + tipo de recurso

Para crear una política se pueden utilizar varios verbos y tipos de recursos de Oracle Cloud Infrastructure.

En las siguientes tablas se muestran los permisos y los operativos de API que abarca cada verbo para OCI Database with PostgreSQL. El nivel de acceso es acumulativo a medida que pasa de inspect a read a use a manage. Un signo más (+) en una celda de una tabla indica el acceso incremental, en comparación con la celda que le precede directamente, mientras que "no extra" indica no hay acceso incremental.

postgres-db-systems
Verbos Permisos API totalmente cubiertas API parcialmente cubiertas
inspect

POSTGRES_DB_SYSTEM_INSPECT

ListDbSystems

ninguno
leído

INSPECT +

POSTGRES_DB_SYSTEM_READ

INSPECT +

GetDbSystem

GetConnectionDetails

GetManagementPolicy

GetPrimaryDbInstance

ninguno
usar

READ +

POSTGRES_DB_SYSTEM_UPDATE

POSTGRES_DB_SYSTEM_RESTART

READ +

UpdateDbSystem

UpdateManagementPolicy

FailoverDbSystem

RestoreDbSystem

ResetMasterUserPassword

UpdateDbSystemDbInstance

RestartDbInstanceInDbSystem

GetConfiguration

GetBackup

gestionar

USE +

POSTGRES_DB_SYSTEM_CREATE

POSTGRES_DB_SYSTEM_DELETE

POSTGRES_DB_SYSTEM_MOVE

USE +

CreateDbsystem

DeleteDbSystem

ChangeDbSystemCompartment

GetConfiguration

GetBackup

postgres-backups
Verbos Permisos API totalmente cubiertas API parcialmente cubiertas
inspect

POSTGRES_BACKUP_INSPECT

ListBackups

ninguno
leído

INSPECT +

POSTGRES_BACKUP_READ

INSPECT +

GetBackup

ninguno
usar

READ +

POSTGRES_BACKUP_UPDATE

READ +

UpdateBackup

ninguno
gestionar

USE +

POSTGRES_BACKUP_CREATE

POSTGRES_BACKUP_DELETE

POSTGRES_BACKUP_MOVE

POSTGRES_BACKUP_COPY

USE +

CreateBackup

DeleteBackup

ChangeBackupCompartment

BackupCopy

GetDbSystem

postgres-configurations
Verbos Permisos API totalmente cubiertas API parcialmente cubiertas
inspect

POSTGRES_CONFIGURATION_INSPECT

ListConfigurations

ninguno
leído

INSPECT +

POSTGRES_CONFIGURATION_READ

INSPECT +

GetConfiguration

ninguno
usar

READ +

POSTGRES_CONFIGURATION_UPDATE

READ +

UpdateConfiguration

ninguno
gestionar

USE +

POSTGRES_CONFIGURATION_CREATE

POSTGRES_CONFIGURATION_DELETE

POSTGRES_CONFIGURATION_MOVE

USE +

CreateConfiguration

DeleteConfiguration

ChangeConfigurationCompartment

ninguno
postgres-work-requests
Verbos Permisos API totalmente cubiertas API parcialmente cubiertas
inspect

POSTGRES_WORK_REQUEST_INSPECT

ListWorkRequests

ListWorkRequestErrors

ListWorkRequestLogs

ninguno
leído

INSPECT +

POSTGRES_WORK_REQUEST_READ

INSPECT +

GetWorkRequest

ninguno

Permisos necesarios para cada operación de API

en la siguiente tabla se muestran las operaciones de API para OCI Database with PostgreSQL en un orden lógico, agrupadas por tipo de recurso.

Los tipos de recursos son postgres-db-systems, postgres-backups, postgres-configurations y postgres-work-requests.

Para obtener información sobre los permisos, consulte Permisos.

Permisos necesarios
Operación de API Permisos necesarios para utilizar la operación
ListDbSystems POSTGRES_DB_SYSTEM_INSPECT
GetDbSystem POSTGRES_DB_SYSTEM_READ
CreateDbsystem POSTGRES_DB_SYSTEM_CREATE
UpdateDbSystem POSTGRES_DB_SYSTEM_UPDATE
DeleteDbSystem POSTGRES_DB_SYSTEM_DELETE
GetConnectionDetails POSTGRES_DB_SYSTEM_READ
GetManagementPolicy POSTGRES_DB_SYSTEM_READ
CreateManagementPolicy POSTGRES_DB_SYSTEM_CREATE
UpdateManagementPolicy POSTGRES_DB_SYSTEM_UPDATE
DeleteManagementPolicy POSTGRES_DB_SYSTEM_DELETE
ChangeDbSystemCompartment POSTGRES_DB_SYSTEM_MOVE
FailoverDbSystem POSTGRES_DB_SYSTEM_UPDATE
RestartDbSystem POSTGRES_DB_SYSTEM_RESTART
ListShapes Ninguno. Cualquier usuario autenticado puede mostrar las unidades.
ListBackups POSTGRES_BACKUP_INSPECT
GetBackup POSTGRES_BACKUP_READ
CreateBackup POSTGRES_BACKUP_CREATE
UpdateBackup POSTGRES_BACKUP_UPDATE
DeleteBackup POSTGRES_BACKUP_DELETE
BackupCopy POSTGRES_BACKUP_COPY
ChangeBackupCompartment POSTGRES_BACKUP_MOVE
ListConfigurations POSTGRES_CONFIGURATION_INSPECT
GetConfiguration POSTGRES_CONFIGURATION_READ
CreateConfiguration POSTGRES_CONFIGURATION_CREATE
UpdateConfiguration POSTGRES_CONFIGURATION_UPDATE
DeleteConfiguration POSTGRES_CONFIGURATION_DELETE
ChangeConfigurationCompartment POSTGRES_CONFIGURATION_MOVE
ListWorkRequests POSTGRES_WORK_REQUEST_INSPECT
GetWorkRequest POSTGRES_WORK_REQUEST_READ
ListWorkRequestErrors POSTGRES_WORK_REQUEST_READ
ListWorkRequestLogs POSTGRES_WORK_REQUEST_READ

Ejemplos de políticas

Las siguientes sentencias de política permiten a un grupo de administradores gestionar OCI Database with PostgreSQL:

Allow group <postgresql-admin-group> to read compartments in tenancy
Allow group <postgresql-admin-group> to manage postgres-db-systems in [ tenancy | compartment <compartment_name> | compartment id <compartment_OCID> ]
Allow group <postgresql-admin-group> to manage postgres-backups in [ tenancy | compartment <compartment_name> | compartment id <compartment_OCID> ]
Allow group <postgresql-admin-group> to read postgres-work-requests in [ tenancy | compartment <compartment_name> | compartment id <compartment_OCID> ]
Allow group <postgresql-admin-group> to manage postgres-configuration in [ tenancy | compartment <compartment_name> | compartment id <compartment_OCID> ]
Allow group <postgresql-admin-group> to manage virtual-network-family in [ tenancy | compartment <compartment_name> | compartment id <compartment_OCID> ]
Allow group <postgresql-admin-group> to read secret-family in [ tenancy | compartment <compartment_name> | compartment id <compartment_OCID> ]
Allow group <postgresql-admin-group> to read vaults in [ tenancy | compartment <compartment_name> | compartment id <compartment_OCID> ]
Allow group <postgresql-admin-group> to read metrics in [ tenancy | compartment <compartment_name> | compartment id <compartment_OCID> ]
Allow group <postgresql-admin-group> to use tag-namespaces in tenancy

Las siguientes sentencias de política permiten a un grupo de administradores gestionar copias de seguridad de bases de datos de OCI Database with PostgreSQL:

Allow group <postgresql-admin-group> to read compartments in tenancy
Allow group <postgresql-admin-group> to manage postgres-backups in [ tenancy | compartment <compartment_name> | compartment id <compartment_OCID> ]
Allow group <postgresql-admin-group> to read postgres-db-systems in [ tenancy | compartment <compartment_name> | compartment id <compartment_OCID> ]
Allow group <postgresql-admin-group> to use tag-namespaces in tenancy

Las siguientes sentencias de política permiten a un grupo de administradores gestionar configuraciones de base de datos de OCI Database with PostgreSQL:

Allow group <postgresql-admin-group> to read compartments in tenancy
Allow group <postgresql-admin-group> to manage postgres-configuration in [ tenancy | compartment <compartment_name> | compartment id <compartment_OCID> ]
Allow group <postgresql-admin-group> to use tag-namespaces in tenancy

Las siguientes sentencias de política permiten a un grupo de administradores gestionar recursos de OCI Database with PostgreSQL en el compartimento especificado:

Allow group <postgresql-admin-group> to manage postgres-db-systems in compartment <database_compartment>
Allow group <postgresql-admin-group> to manage postgres-backups in compartment <database_compartment>
Allow group <postgresql-admin-group> to manage postgres-configurations in compartment <database_compartment>
Allow group <postgresql-admin-group> to read postgres-work-requests in compartment <database_compartment>

La siguiente sentencia permite a un grupo de usuarios utilizar bases de datos, lo que significa que pueden actualizar o reiniciar una base de datos existente, pero no crear ni suprimir una:

Allow group <postgresql-user-group> to use postgres-db-systems in compartment <database_compartment>