Políticas de IAM para Autonomous Database

Proporciona información sobre las políticas de IAM necesarias para las operaciones de API en Autonomous Database.

Oracle Autonomous Database se basa en el servicio IAM (Identity and Access Management) para autenticar y autorizar a los usuarios en la nube a realizar operaciones que utilicen cualquiera de las interfaces de Oracle Cloud Infrastructure (consola, API de REST, CLI, o SDK).

El servicio IAM utiliza grupos, compartimentos, y políticas para controlar qué usuarios de la nube pueden acceder a qué recursos.

Detalles de política de Autonomous Database
En este tema se tratan los detalles de la escritura de políticas para controlar el acceso a los recursos de Autonomous Database.
Permisos de IAM y operaciones de API para Autonomous Database
En este tema se tratan los permisos de IAM disponibles para operaciones en Autonomous Database.
Proporcionar privilegios específicos en políticas de IAM para gestionar Autonomous Database
Muestra las políticas de IAM que puede utilizar con un verbo de autorización y una condición para otorgar operaciones más granulares a un grupo.

Tema principal: Seguridad

Detalles de políticas para Autonomous Database

En este tema, se tratan los detalles de la escritura de políticas para controlar el acceso a los recursos de Autonomous Database.

Una política define qué tipo de acceso tiene un grupo de usuarios a un recurso específico de un compartimento individual. Para obtener más información, consulte Introducción a las políticas.

Tipos de recursos

Un tipo de recurso agregado cubre la lista de tipos de recursos individuales que le siguen directamente. Por ejemplo, escribir una política para permitir que un grupo tenga acceso a autonomous-database-family equivale a escribir cuatro políticas independientes para el grupo que otorguen acceso a los tipos de recurso autonomous-databases, autonomous-backups. Para obtener más información, consulte Tipos de recursos.

Tipos de recursos para Autonomous Database

Tipo de recurso agregado:

autonomous-database-family

Tipos de recursos individuales:

autonomous-databases

autonomous-backups

Detalles de las combinaciones de verbo + tipo de recurso

El nivel de acceso es acumulativo a medida que pasa de inspect > read > use > manage. Un signo más (+) en una celda de la tabla indica un acceso incremental en comparación con la celda situada directamente encima, mientras que "sin extra" indica que no hay un acceso incremental.

Por ejemplo, el verbo read para el tipo de recurso autonomous-databases abarca los mismos permisos y operaciones de API que el verbo inspect, más el permiso AUTONOMOUS_DATABASE_CONTENT_READ. El verbo read abarca parcialmente la operación CreateAutonomousDatabaseBackup, que también necesita gestionar permisos para autonomous-backups.

En las siguientes tablas se muestran los permisos y las operaciones de API que cubre cada verbo. Para obtener información sobre los permisos, consulte Permisos.

Nota

La familia de recursos cubierta por autonomous-database-family se puede utilizar para otorgar acceso a los recursos de base de datos asociados a todos los tipos de carga de trabajo de Autonomous Database.

Tipos de recursos de Autonomous-databases

Verbos	Permisos	API totalmente cubiertas	API parcialmente cubiertas
inspeccionar	`AUTONOMOUS_DATABASE_INSPECT`	`GetAutonomousDatabase, GetAutonomousDatabaseBackupConfig, GetAutonomousDatabaseCapability, ListAutonomousDatabases, ListAutonomousDatabaseClones, ListAutonomousDatabasePeers, ListAutonomousDatabaseRefreshableClones, ResourcePoolShapes`	ninguno
lectura	`INSPECT +` `AUTONOMOUS_DATABASE_CONTENT_READ`	`GenerateAutonomousDatabasePerformanceData, GenerateAutonomousDatabaseWallet, GetAutonomousDatabaseRegionalWallet, GetAutonomousDatabaseWallet, RetrieveDatabasePerformanceBulkData`	`CreateAutonomousDatabaseBackup` (también necesita `manage autonomous-backups`)
Usar	`READ +` `AUTONOMOUS_DATABASE_CONTENT_WRITE` `AUTONOMOUS_DATABASE_UPDATE`	AutonomousDatabaseManualRefresh, CancelAutonomousDatabaseSession, ChangeDisasterRecoveryConfiguration, ConfigureAutonomousDatabaseVaultKey, DeregisterAutonomousDatabaseDataSafe, DisableAutonomousDatabaseOperationsInsights, DisableDatabaseManagement, EnableAutonomousDatabaseOperationsInsights, EnableDatabaseManagement, FailOverAutonomousDatabase, GetAutonomousDatabaseConsoleToken, RegisterAutonomousDatabaseDataSafe, RestartAutonomousDatabase, RotateAutonomousDatabaseEncryptionKey, ShrinkAutonomousDatabase, StartAutonomousDatabase, StopAutonomousDatabase, SwitchOverAutonomousDatabase, UpdateAutonomousDatabaseRegionalWallet, UpdateAutonomousDatabase	`RestoreAutonomousDatabase` (también necesita `read autonomous-backups`) `ChangeAutonomousDatabaseCompartment` (también necesita `read autonomous-backups`)
gestionar	`USE +` `AUTONOMOUS_DATABASE_CREATE` `AUTONOMOUS_DATABASE_DELETE`	`CreateAutonomousDatabase, DeleteAutonomousDatabase`	Ninguno

Lista de operaciones y políticas de IAM necesarias para gestionar una instancia de Autonomous Database

Operación	Políticas de IAM necesarias
Agregar base de datos de peer	`use autonomous-databases`
Agregar atributos de seguridad	`use autonomous-databases`
Cambiar modelo de recurso informático	`use autonomous-databases`
Cambiar modo de base de datos	`use autonomous-databases`
Cambiar red	`use autonomous-databases`
Cambiar tipo de carga de trabajo	`use autonomous-databases`
Clonación de una base de datos autónoma	`manage autonomous-databases` Consulte Permisos de IAM y operaciones de API para Autonomous Database para obtener permisos de clonación adicionales en Autonomous Database.
Creación de una base de datos autónoma	`manage autonomous-databases` `read autonomous-databases`
Editar configuración de Database Tools	`use autonomous-databases`
Editar programa de inicio/parada	`use autonomous-databases`
Activar pool elástico	`use autonomous-databases`
Activación o desactivación de la escala automática para una base de datos autónoma	`use autonomous-databases`
Unirse a agrupación elástica	`use autonomous-databases`
Gestionar contactos de cliente	`use autonomous-databases`
Gestionar clave de cifrado	`use autonomous-databases`
Traslado de una base de datos autónoma a otro compartimento	Utilice `use autonomous-databases` en el compartimento actual de la base de datos y en el compartimento al que la va a mover `read autonomous-backups`
Cambio de nombre de una instancia de Autonomous Database	`use autonomous-databases`
Reinicio de una base de datos autónoma	`use autonomous-databases`
Restauración de una base de datos autónoma	`use autonomous-databases` `read autonomous-backups`
Escalar el recuento de ECPU o el almacenamiento de una instancia de Autonomous Database	`use autonomous-databases`
Establecer contraseña de administrador	`use autonomous-databases`
Parada o inicio de una base de datos autónoma	`use autonomous-databases`
Cambiar	`use autonomous-databases`
Terminación de una base de datos autónoma	`manage autonomous-databases`
Actualizar recuperación ante desastres	`use autonomous-databases`
Actualizar nombre mostrado	`use autonomous-databases`
Actualizar licencia y edición de Oracle Database	`use autonomous-databases`
Actualizar acceso a la red para ACL	`use autonomous-databases`
Actualizar acceso de red para un punto final privado	`use autonomous-databases`
Visualización de una lista de una base de datos autónoma	`inspect autonomous-databases`
Visualización de detalles de una base de datos autónoma	`inspect autonomous-databases`

copias de seguridad autónomas

Verbos	Permisos	API totalmente cubiertas	API parcialmente cubiertas
inspeccionar	`AUTONOMOUS_DB_BACKUP_INSPECT`	`ListAutonomousDatabaseBackups, GetAutonomousDatabaseBackup`	Ninguno
gestionar	`USE +` `AUTONOMOUS_DB_BACKUP_CREATE` `AUTONOMOUS_DB_BACKUP_DELETE`	`DeleteAutonomousDatabaseBackup`	`CreateAutonomousDatabaseBackup` (también necesita `read autonomous-databases`)
lectura	`INSPECT +` `AUTONOMOUS_DB_BACKUP_CONTENT_READ`	sin extra	`RestoreAutonomousDatabase` (también necesita `use autonomous-databases`) `ChangeAutonomousDatabaseCompartment` (también necesita `use autonomous-databases`)
Usar	LEER + sin extra	sin extra	Ninguno

Variables soportadas

Están soportadas todas las variables generales de OCI Identity and Access Management. Consulte Variables generales para todas las solicitudes para obtener más información.

Además, puede utilizar la variable target.id con el OCID de una base de datos después de la creación de una base de datos y la variable target.workloadType con un valor como se muestra en la siguiente tabla:

Valor de target.workloadType	Descripción
`OLTP`	Procesamiento de transacciones en línea; se utiliza para bases de datos autónomas con carga de trabajo de procesamiento de transacciones.
`DW`	Almacén de datos; se utiliza para bases de datos autónomas con carga de trabajo de almacén de datos.
`AJD`	Autonomous JSON Database se utiliza para bases de datos autónomas con carga de trabajo de JSON.
`APEX`	Servicio APEX utilizado para el servicio APEX de Autonomous Database.

Ejemplo de política con la variable target.id:

Allow group ADB-Admins to manage autonomous-databases in tenancy where target.id = 'OCID'

Política de ejemplo con la variable target.workloadType:

Allow group ADB-Admins to manage autonomous-databases in tenancy where target.workloadType = 'AJD'

Tema principal: Políticas de IAM para Autonomous Database

Permisos de IAM y operaciones de API para Autonomous Database

En este tema se tratan los permisos de IAM disponibles para operaciones en Autonomous Database.

A continuación se muestran los permisos de IAM para Autonomous Database:

AUTONOMOUS_DATABASE_CONTENT_READ
AUTONOMOUS_DATABASE_CONTENT_WRITE
AUTONOMOUS_DATABASE_CREATE

Consulte Permisos de clonación para obtener más limitaciones de clonación.
AUTONOMOUS_DATABASE_DELETE
AUTONOMOUS_DATABASE_INSPECT
AUTONOMOUS_DATABASE_UPDATE
AUTONOMOUS_DB_BACKUP_CONTENT_READ
AUTONOMOUS_DB_BACKUP_CREATE
AUTONOMOUS_DB_BACKUP_INSPECT
NETWORK_SECURITY_GROUP_UPDATE_MEMBERS
VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP

Política de ejemplo para que un grupo tenga permisos para crear una instancia de Autonomous Database en un compartimento:

Allow group group-name to manage autonomous-database in compartment id compartment-ocid 
    where all{request-permission = 'AUTONOMOUS_DATABASE_UPDATE'}

Permisos necesarios para utilizar la operación	Operación de API
`AUTONOMOUS_DATABASE_CONTENT_READ`	`GenerateAutonomousDatabaseWallet` `GetAutonomousDatabaseRegionalWallet` `GetAutonomousDatabaseWallet` `RetrieveDatabasePerformanceBulkData`
`AUTONOMOUS_DATABASE_CREATE`	`CreateAutonomousDatabase`
`AUTONOMOUS_DATABASE_DELETE`	`DeleteAutonomousDatabase`
`AUTONOMOUS_DATABASE_INSPECT`	`GetAutonomousDatabase` `ListAutonomousDatabaseClones` `ListAutonomousDatabasePeers` `ListAutonomousDatabaseRefreshableClones` `ListAutonomousDatabases` `ResourcePoolShapes`
`AUTONOMOUS_DATABASE_UPDATE`	`AutonomousDatabaseManualRefresh` `ConfigureAutonomousDatabaseVaultKey` `DeregisterAutonomousDatabaseDataSafe` `DisableAutonomousDatabaseOperationsInsights` `DisableDatabaseManagement` `EnableAutonomousDatabaseOperationsInsights` `EnableDatabaseManagement` `FailOverAutonomousDatabase` `RegisterAutonomousDatabaseDataSafe` `RestartAutonomousDatabase` `RotateAutonomousDatabaseEncryptionKey` `ShrinkAutonomousDatabase` `StartAutonomousDatabase` `StopAutonomousDatabase` `SwitchOverAutonomousDatabase` `UpdateAutonomousDatabaseWallet` `UpdateAutonomousDatabaseRegionalWallet`
`AUTONOMOUS_DB_BACKUP_INSPECT`	`GetAutonomousDatabaseBackup` `ListAutonomousDatabaseBackups`
`AUTONOMOUS_DB_BACKUP_UPDATE`	`UpdateAutonomousDatabaseBackup`
`AUTONOMOUS_DB_BACKUP_CREATE` `AUTONOMOUS_DATABASE_CONTENT_READ`	`CreateAutonomousDatabaseBackup`
`AUTONOMOUS_DB_BACKUP_INSPECT` `AUTONOMOUS_DB_BACKUP_DELETE`	`DeleteAutonomousDatabaseBackup`
`AUTONOMOUS_DB_BACKUP_INSPECT` `AUTONOMOUS_DB_BACKUP_CONTENT_READ` `AUTONOMOUS_DATABASE_CONTENT_WRITE`	`RestoreAutonomousDatabase`
Necesario en el compartimento de origen y de destino: `AUTONOMOUS_DATABASE_UPDATE` `AUTONOMOUS_DB_BACKUP_INSPECT` `AUTONOMOUS_DB_BACKU_CREATE` `AUTONOMOUS_DATABASE_CONTENT_WRITE` Necesario tanto en el compartimento de origen como en el de destino cuando el punto final privado está activado: `WNIC_ASSOCIATE_NETOWRK_SECURITY_GROUP` `NETWORK_SECURITY_GROUP_UPDATE_MEMBERS`	`ChangeAutonomousDatabaseCompartment`
Tres posibles casos: Si la carga de trabajo es `NULL`: `AUTONOMOUS_DATABASE_UPDATE` Si la carga de trabajo no es `NULL`: `AUTONOMOUS_DATABASE_CREATE` `AUTONOMOUS_DATABASE_UPDATE` Si el etiquetado está activado: `AUTONOMOUS_DATABASE_UPDATE` `AUTONOMOUS_DATABASE_INSPECT`	`UpdateAutonomousDatabase`: utilice esta API para realizar cambios o actualizaciones en cualquiera de las siguientes operaciones: definir contraseña de administrador (`adminPassword`) programa de inicio o detención automáticos (`scheduledOperations`) gestionar contactos de clientes (`customerContacts`) editar configuración de herramienta (`dbToolsDetails`) actualizar las opciones de licencia de BYOL (`licenseModel` y `byolComputeCountLimit`) actualizar nombre mostrado (`displayName`) Unir un pool elástico actualizar opciones de agrupación elástica gestionar claves de cifrado actualizar a Autonomous Data Guard para la recuperación ante desastres (`isLocalDataGuardEnabled` y `disasterRecoveryType`) cambiar el modo de funcionamiento de la base de datos de solo lectura/escritura (`openMode`) actualizar el acceso a la red con ACL (`whitelistedIps`) actualizar acceso de red con punto final privado (`privateEndpointLabel`) cambiar nombre de base de datos (`dbName`) escalar límites de recursos informáticos (`computeCount`) Gestionar opción de escala automática de recursos informáticos (`isAutoScalingEnabled`) escalar límites de almacenamiento (`dataStorageSizeInTBs`) Gestionar opciones de escala automática de almacenamiento (`isAutoScalingForStorageEnabled`) cambiar tipo de carga de trabajo (`dbWorkload`)
requiere `changeAutonomousDatabaseSubscription`	`ChangeAutonomousDatabaseSubscription`
requiere `getSaasAdminUser`	`SaasAdminUserStatus`
requiere `updateSaasAdminUser`	`ConfigureSaasAdminUser` `ListAutonomousDatabaseCharacterSets` `ListAutonomousDatabaseMaintenanceWindows`

Permisos de clonación

Los permisos generales de IAM están soportados para Autonomous Database. Además, puede utilizar target.autonomous-database.cloneType con los valores de permiso soportados para controlar el nivel de acceso, como se muestra en la siguiente tabla.

target.autonomous-database.cloneType Valor	Descripción
`CLONE-FULL`	Solo se permite la clonación completa.
`CLONE-METADATA`	Permitir clonación de metadatos únicamente.
`CLONE-REFRESHABLE`	Solo se permite la clonación de refrescamiento.
`/CLONE*/`	Permitir cualquier tipo de clonación.

Políticas de ejemplo con los valores de permiso target.autonomous-database.cloneType soportados:

Allow group group-name to manage autonomous-databases in compartment id compartment-ocid 
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-FULL'}

Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-METADATA'}

Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-REFRESHABLE'}

Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = /CLONE*/}

Consulte Permisos para obtener más información.

Tema principal: Políticas de IAM para Autonomous Database

Proporcionar privilegios específicos en políticas de IAM para gestionar Autonomous Database

Muestra las políticas de IAM que puede utilizar con un verbo de autorización y una condición para otorgar más operaciones granulares a un grupo.

Por ejemplo, para permitir que el grupo MyGroup inicie bases de datos autónomas mediante la API StartAutonomousDatabase:

Allow MyGroup to manage autonomous-databases where request.operation = 'StartAutonomousDatabase'

Consulte Verbos y Condiciones para obtener más información.

Lista de verbos de autorización
`autonomousDatabaseManualRefresh`
`changeAutonomousDatabaseCompartment`
`changeAutonomousDatabaseSubscription`
`changeDisasterRecoveryConfiguration`
`configureAutonomousDatabaseVaultKey`
`configureSaasAdminUser`
`createAutonomousDatabase`
`createAutonomousDatabaseBackup`
`deleteAutonomousDatabase`
`deleteAutonomousDatabaseBackup`
`deregisterAutonomousDatabaseDataSafe`
`disableAutonomousDatabaseManagement`
`disableAutonomousDatabaseOperationsInsights`
`enableAutonomousDatabaseManagement`
`enableAutonomousDatabaseOperationsInsights`
`failOverAutonomousDatabase`
`generateAutonomousDatabaseWallet`
`getAutonomousDatabase`
`getAutonomousDatabaseBackup`
`getAutonomousDatabaseRegionalWallet`
`getAutonomousDatabaseWallet`
`listAutonomousDatabaseBackups`
`listAutonomousDatabaseCharacterSets`
`listAutonomousDatabaseClones`
`listAutonomousDatabaseMaintenanceWindows`
`listAutonomousDatabasePeers`
`listAutonomousDatabaseRefreshableClones`
`listAutonomousDatabases`
`registerAutonomousDatabaseDataSafe`
`resourcePoolShapes`
`restartAutonomousDatabase`
`restoreAutonomousDatabase`
`rotateAutonomousDatabaseEncryptionKey`
`SaasAdminUserStatus`
`shrinkAutonomousDatabase`
`startAutonomousDatabase`
`stopAutonomousDatabase`
`switchoverAutonomousDatabase`
`updateAutonomousDatabase`
`updateAutonomousDatabaseBackup`
`updateAutonomousDatabaseRegionalWallet`
`updateAutonomousDatabaseWallet`

El verbo de autorización updateAutonomousDatabase agrupa privilegios para utilizar varias operaciones de API.

Operación
`DeregisterAutonomousDatabaseDataSafe`
`DisableAutonomousDatabaseOperationsInsights`
`DisableDatabaseManagement`
`EnableAutonomousDatabaseOperationsInsights`
`RegisterAutonomousDatabaseDataSafe`

Por ejemplo:

Allow MyGroup to manage autonomous-databases where request.operation =  'updateAutonomousDatabase'

Tema principal: Políticas de IAM para Autonomous Database

Documentación de Oracle Cloud Infrastructure