Documentación de Oracle Cloud Infrastructure

Políticas de IAM para Autonomous Database

Proporciona información sobre las políticas de IAM necesarias para las operaciones de API en Autonomous Database.

Oracle Autonomous Database se basa en el servicio IAM (Identity and Access Management) para autenticar y autorizar a los usuarios en la nube a realizar operaciones que utilicen cualquiera de las interfaces de Oracle Cloud Infrastructure (consola, API de REST, CLI, o SDK).

El servicio IAM utiliza grupos, compartimentos, y políticas para controlar qué usuarios de la nube pueden acceder a qué recursos.

Tema principal: Seguridad

Detalles de políticas para Autonomous Database

En este tema se tratan los detalles de la escritura de políticas para controlar el acceso a los recursos de la Autonomous Database.

Una política define qué tipo de acceso tiene un grupo de usuarios a un recurso específico en un compartimento individual. Para obtener más información, consulte Introducción a las políticas.

Tipos de recursos

Un tipo de recurso agregado cubre la lista de tipos de recursos individuales que le siguen directamente. Por ejemplo, escribir la política para permitir que un grupo tenga acceso a autonomous-database-family equivale a escribir cuatro políticas independientes para el grupo que otorguen acceso a los tipos del recurso autonomous-databases y autonomous-backups. Para obtener más información, consulte Tipos de recursos.

Tipos de recursos para Autonomous Database

Tipo de recurso agregado:

autonomous-database-family

Tipos de recursos individuales:

autonomous-databases

autonomous-backups

Detalles de las combinaciones de verbo + tipo de recurso

El nivel de acceso es acumulativo a medida que pasa de inspect > read > use > manage. Un signo más (+) en una celda de la tabla indica un acceso incremental en comparación con la celda situada directamente encima, mientras que "sin extra" indica que no hay un acceso incremental.

Por ejemplo, el verbo read para el tipo de recurso autonomous-databases abarca los mismos permisos y operaciones en API que el verbo inspect, además del permiso AUTONOMOUS_DATABASE_CONTENT_READ El verbo read abarca parcialmente la operación CreateAutonomousDatabaseBackup, que también necesita gestionar permisos para autonomous-backups.

En las siguientes tablas se muestran los Permisos y operaciones de API que cubre cada verbo. Para obtener información sobre los permisos, consulte Permisos.

Nota

La familia de recursos cubierta por autonomous-database-family se puede utilizar para otorgar acceso a la base de datos de los recursos asociados a todos los tipos del trabajo de Autonomous Database.
Tipos de recursos de bases de datos autónomas
Verbos Permisos API totalmente cubiertas API parcialmente cubiertas

inspect

AUTONOMOUS_DATABASE_INSPECT

GetAutonomousDatabase, GetAutonomousDatabaseBackupConfig, GetAutonomousDatabaseCapability, ListAutonomousDatabases, ListAutonomousDatabaseClones, ListAutonomousDatabasePeers, ListAutonomousDatabaseRefreshableClones, ResourcePoolShapes

ninguno

leído

INSPECT +

AUTONOMOUS_DATABASE_CONTENT_READ

GenerateAutonomousDatabasePerformanceData, GenerateAutonomousDatabaseWallet, GetAutonomousDatabaseRegionalWallet, GetAutonomousDatabaseWallet, RetrieveDatabasePerformanceBulkData

CreateAutonomousDatabaseBackup (también necesita manage autonomous-backups)

usar

READ +

AUTONOMOUS_DATABASE_CONTENT_WRITE

AUTONOMOUS_DATABASE_UPDATE

AutonomousDatabaseManualRefresh, CancelAutonomousDatabaseSession, ChangeDisasterRecoveryConfiguration, ConfigureAutonomousDatabaseVaultKey, DeregisterAutonomousDatabaseDataSafe, DisableAutonomousDatabaseOperationsInsights, DisableDatabaseManagement, EnableAutonomousDatabaseOperationsInsights, EnableDatabaseManagement, FailOverAutonomousDatabase, GetAutonomousDatabaseConsoleToken, RegisterAutonomousDatabaseDataSafe, RestartAutonomousDatabase, RotateAutonomousDatabaseEncryptionKey, ShrinkAutonomousDatabase, StartAutonomousDatabase, StopAutonomousDatabase, SwitchOverAutonomousDatabase, UpdateAutonomousDatabaseRegionalWallet, UpdateAutonomousDatabase

RestoreAutonomousDatabase (también necesita read autonomous-backups)

ChangeAutonomousDatabaseCompartment (también necesita read autonomous-backups)

gestionar

USE +

AUTONOMOUS_DATABASE_CREATE

AUTONOMOUS_DATABASE_DELETE

CreateAutonomousDatabase, DeleteAutonomousDatabase

ninguno

Lista de operaciones y políticas de IAM necesarias para gestionar una instancia de Autonomous Database

Operación Políticas de IAM necesarias

Agregar base de datos de peer

use autonomous-databases

Agregar atributos de seguridad

use autonomous-databases

Cambiar modelo de recurso informático

use autonomous-databases

Cambiar modo de base de datos

use autonomous-databases

Cambiar red

use autonomous-databases

Cambiar tipo de carga de trabajo

use autonomous-databases

Clonación de una base de datos autónoma

manage autonomous-databases

Consulte Permisos de IAM y operaciones de API para Autonomous Database para obtener permisos de clonación adicionales en Autonomous Database.

Creación de una base de datos autónoma

manage autonomous-databases

read autonomous-databases

Editar configuración de Database Tools

use autonomous-databases

Editar programa de inicio/parada

use autonomous-databases
Activar pool elástico

use autonomous-databases

Activación o desactivación de la escala automática para una base de datos autónoma

use autonomous-databases
Unirse al pool elástico

use autonomous-databases

Gestionar contactos de cliente

use autonomous-databases

Gestionar clave de cifrado

use autonomous-databases

Traslado de una base de datos autónoma a otro compartimento

use autonomous-databases en el compartimento actual de la base de datos y en el compartimento a el que va a moverse

read autonomous-backups

Cambio de nombre de una instancia de Autonomous Database

use autonomous-databases

Reinicio de una base de datos autónoma

use autonomous-databases

Restauración de una base de datos autónoma

use autonomous-databases

read autonomous-backups

Escalar el recuento de ECPU o el almacenamiento de una instancia de Autonomous Database

use autonomous-databases

Definir contraseña de usuario ADMIN

use autonomous-databases

Parada o inicio de una base de datos autónoma

use autonomous-databases

Switchover

use autonomous-databases

Terminación de una base de datos autónoma

manage autonomous-databases

Actualizar recuperación ante desastres

use autonomous-databases

Actualizar nombre mostrado

use autonomous-databases

Actualizar licencia y edición de Oracle Database

use autonomous-databases

Actualizar acceso de red para ACL

use autonomous-databases

Actualizar el acceso de red para un punto final privado

use autonomous-databases

Visualización de la lista de las bases de datos autónomas

inspect autonomous-databases

Visualización de detalles de una base de datos autónoma

inspect autonomous-databases

copias de seguridad autónomas

Verbos Permisos API totalmente cubiertas API parcialmente cubiertas

inspect

AUTONOMOUS_DB_BACKUP_INSPECT

ListAutonomousDatabaseBackups, GetAutonomousDatabaseBackup

ninguno

gestionar

USE +

AUTONOMOUS_DB_BACKUP_CREATE

AUTONOMOUS_DB_BACKUP_DELETE

DeleteAutonomousDatabaseBackup

CreateAutonomousDatabaseBackup (también necesita read autonomous-databases)

leído

INSPECT +

AUTONOMOUS_DB_BACKUP_CONTENT_READ

no extra

RestoreAutonomousDatabase (también necesita use autonomous-databases)

ChangeAutonomousDatabaseCompartment (también necesita use autonomous-databases)

usar

READ +

no extra

no extra

ninguno

Variables soportadas

Todas las variables generales de OCI Identity and Access Management están soportadas. Consulte Variables generales para todas las solicitudes para obtener más información.

Además, puede utilizar la variable target.id con el OCID de una base de datos después de la creación de una base de datos y la variable target.workloadType con un valor como se muestra en la siguiente tabla:

Valor de target.workloadType Descripción
OLTP Procesamiento de transacciones en línea, que se utiliza para bases de datos autónomas con carga de trabajo de procesamiento de transacciones.
DW Data Warehouse, utilizado para bases de datos autónomas con carga de trabajo de almacén de datos.
AJD

Autonomous JSON Database utilizado para bases de datos autónomas con carga de trabajo JSON.

APEX

Servicio APEX utilizado para el servicio Autonomous Database APEX.

Política de ejemplo que utiliza la variable target.id: 

Allow group ADB-Admins to manage autonomous-databases in tenancy where target.id = 'OCID'

Política de ejemplo con la variable target.workloadType: 

Allow group ADB-Admins to manage autonomous-databases in tenancy where target.workloadType = 'AJD'

Permisos de IAM y operaciones de API para Autonomous Database

En este tema se tratan los permisos de IAM disponibles para las operaciones en Autonomous Database.

A continuación se muestran los permisos de IAM para Autonomous Database:

  • AUTONOMOUS_DATABASE_CONTENT_READ

  • AUTONOMOUS_DATABASE_CONTENT_WRITE

  • AUTONOMOUS_DATABASE_CREATE

    Consulte Clonación de permisos para conocer las limitaciones de clonación adicionales.

  • AUTONOMOUS_DATABASE_DELETE

  • AUTONOMOUS_DATABASE_INSPECT

  • AUTONOMOUS_DATABASE_UPDATE

  • AUTONOMOUS_DB_BACKUP_CONTENT_READ

  • AUTONOMOUS_DB_BACKUP_CREATE

  • AUTONOMOUS_DB_BACKUP_INSPECT

  • NETWORK_SECURITY_GROUP_UPDATE_MEMBERS

  • VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP

Política de ejemplo para que un grupo tenga permisos para crear Autonomous Database en un compartimento: 

Allow group group-name to manage autonomous-database in compartment id compartment-ocid 
    where all{request.permission = 'AUTONOMOUS_DATABASE_UPDATE'}
Permisos necesarios para usar la operación Operación de API
AUTONOMOUS_DATABASE_CONTENT_READ

GenerateAutonomousDatabaseWallet

GetAutonomousDatabaseRegionalWallet

GetAutonomousDatabaseWallet

RetrieveDatabasePerformanceBulkData
AUTONOMOUS_DATABASE_CREATE

CreateAutonomousDatabase
AUTONOMOUS_DATABASE_DELETE

DeleteAutonomousDatabase
AUTONOMOUS_DATABASE_INSPECT

GetAutonomousDatabase

ListAutonomousDatabaseClones

ListAutonomousDatabasePeers

ListAutonomousDatabaseRefreshableClones

ListAutonomousDatabases

ResourcePoolShapes
AUTONOMOUS_DATABASE_UPDATE

AutonomousDatabaseManualRefresh

ConfigureAutonomousDatabaseVaultKey

DeregisterAutonomousDatabaseDataSafe

DisableAutonomousDatabaseOperationsInsights

DisableDatabaseManagement

EnableAutonomousDatabaseOperationsInsights

EnableDatabaseManagement

FailOverAutonomousDatabase

RegisterAutonomousDatabaseDataSafe

RestartAutonomousDatabase

RotateAutonomousDatabaseEncryptionKey

ShrinkAutonomousDatabase

StartAutonomousDatabase

StopAutonomousDatabase

SwitchOverAutonomousDatabase

UpdateAutonomousDatabaseWallet

UpdateAutonomousDatabaseRegionalWallet
AUTONOMOUS_DB_BACKUP_INSPECT

GetAutonomousDatabaseBackup

ListAutonomousDatabaseBackups
AUTONOMOUS_DB_BACKUP_UPDATE

UpdateAutonomousDatabaseBackup
AUTONOMOUS_DB_BACKUP_CREATE

AUTONOMOUS_DATABASE_CONTENT_READ

CreateAutonomousDatabaseBackup
AUTONOMOUS_DB_BACKUP_INSPECT

AUTONOMOUS_DB_BACKUP_DELETE

DeleteAutonomousDatabaseBackup

AUTONOMOUS_DB_BACKUP_INSPECT

AUTONOMOUS_DB_BACKUP_CONTENT_READ

AUTONOMOUS_DATABASE_CONTENT_WRITE

RestoreAutonomousDatabase

Necesario en el compartimento de origen y de destino:

AUTONOMOUS_DATABASE_UPDATE

AUTONOMOUS_DB_BACKUP_INSPECT

AUTONOMOUS_DB_BACKU_CREATE

AUTONOMOUS_DATABASE_CONTENT_WRITE

Necesario tanto en el compartimento de origen como en el de destino cuando está activado el punto final privado:

WNIC_ASSOCIATE_NETOWRK_SECURITY_GROUP

NETWORK_SECURITY_GROUP_UPDATE_MEMBERS

ChangeAutonomousDatabaseCompartment

Tres casos posibles:

  • Si la Carga de Trabajo es NULL: AUTONOMOUS_DATABASE_UPDATE
  • Si la Carga de Trabajo no es NULL:

    AUTONOMOUS_DATABASE_CREATE

    AUTONOMOUS_DATABASE_UPDATE

  • Si el etiquetado está activado:

    AUTONOMOUS_DATABASE_UPDATE

    AUTONOMOUS_DATABASE_INSPECT

UpdateAutonomousDatabase: utilice esta API para los cambios o actualizaciones de cualquiera de las siguientes operaciones:

  • definir contraseña de administrador (adminPassword)
  • programa de inicio o detención automáticos (scheduledOperations)
  • gestionar contactos del cliente (customerContacts)
  • Editar Configuración de Herramienta (dbToolsDetails)
  • actualizar las opciones de licencia BYOL (licenseModel y byolComputeCountLimit)
  • actualizar nombre mostrado (displayName)
  • unir un pool elástico
  • actualizar opciones de pool elástico
  • gestionar claves de cifrado
  • actualización a Autonomous Data Guard para la recuperación ante desastres (isLocalDataGuardEnabled y disasterRecoveryType)
  • cambiar modo de operación de base de datos de solo lectura/escritura (openMode)
  • actualizar el acceso de red con ACL (whitelistedIps)
  • actualizar el acceso de red con el punto final privado (privateEndpointLabel)
  • cambiar el nombre de la base de datos (dbName)
  • escalar límites de recursos informáticos (computeCount)
  • Gestionar la opción de escala automática de recursos informáticos (isAutoScalingEnabled)
  • escalar límites de almacenamiento ( dataStorageSizeInTBs)
  • Gestionar opciones de escala automática de almacenamiento (isAutoScalingForStorageEnabled)
  • cambiar tipo a carga de trabajo (dbWorkload)
requiere changeAutonomousDatabaseSubscription

ChangeAutonomousDatabaseSubscription

requiere getSaasAdminUser

SaasAdminUserStatus
requiere updateSaasAdminUser

ConfigureSaasAdminUser

ListAutonomousDatabaseCharacterSets

ListAutonomousDatabaseMaintenanceWindows

Clonación de permisos

Los permisos generales de IAM están soportados para Autonomous Database. Además, puede utilizar target.autonomous-database.cloneType con los valores de permiso soportados para controlar el nivel de acceso, como se muestra en la siguiente tabla.

Valor target.autonomous-database.cloneType Descripción
CLONE-FULL

Permitir solo clonación completa.
CLONE-METADATA

Permitir sólo clonación de metadatos.
CLONE-REFRESHABLE

Permitir solo clonación de refrescamiento.
/CLONE*/

Permitir cualquier tipo de clonación.

Políticas de ejemplo con los valores de permiso target.autonomous-database.cloneType soportados: 

Allow group group-name to manage autonomous-databases in compartment id compartment-ocid 
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-FULL'}
Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-METADATA'}
Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-REFRESHABLE'}
Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = /CLONE*/}

Consulte Permisos para obtener más información.

Proporcionar privilegios específicos en las políticas de IAM para gestionar Autonomous Database

Muestra las políticas de IAM que puede utilizar con un verbo de autorización y una condición para otorgar operaciones más granulares a un grupo.

Por ejemplo, para permitir que el grupo MyGroup inicie bases de datos autónomas mediante la API StartAutonomousDatabase: 

Allow MyGroup to manage autonomous-databases where request.operation = 'StartAutonomousDatabase'

Consulte Verbos y Condiciones para obtener más información.

Lista de verbos de autorización
autonomousDatabaseManualRefresh
changeAutonomousDatabaseCompartment
changeAutonomousDatabaseSubscription
changeDisasterRecoveryConfiguration
configureAutonomousDatabaseVaultKey
configureSaasAdminUser
createAutonomousDatabase
createAutonomousDatabaseBackup
deleteAutonomousDatabase
deleteAutonomousDatabaseBackup
deregisterAutonomousDatabaseDataSafe
disableAutonomousDatabaseManagement
disableAutonomousDatabaseOperationsInsights
enableAutonomousDatabaseManagement
enableAutonomousDatabaseOperationsInsights
failOverAutonomousDatabase
generateAutonomousDatabaseWallet
getAutonomousDatabase
getAutonomousDatabaseBackup
getAutonomousDatabaseRegionalWallet
getAutonomousDatabaseWallet
listAutonomousDatabaseBackups
listAutonomousDatabaseCharacterSets
listAutonomousDatabaseClones
listAutonomousDatabaseMaintenanceWindows
listAutonomousDatabasePeers
listAutonomousDatabaseRefreshableClones
listAutonomousDatabases
registerAutonomousDatabaseDataSafe
resourcePoolShapes
restartAutonomousDatabase
restoreAutonomousDatabase
rotateAutonomousDatabaseEncryptionKey
SaasAdminUserStatus
shrinkAutonomousDatabase
startAutonomousDatabase
stopAutonomousDatabase
switchoverAutonomousDatabase
updateAutonomousDatabase
updateAutonomousDatabaseBackup
updateAutonomousDatabaseRegionalWallet
updateAutonomousDatabaseWallet

El verbo de autorización updateAutonomousDatabase agrupa privilegios para utilizar varias operaciones de API.

Operación
DeregisterAutonomousDatabaseDataSafe
DisableAutonomousDatabaseOperationsInsights
DisableDatabaseManagement
EnableAutonomousDatabaseOperationsInsights
RegisterAutonomousDatabaseDataSafe

Por ejemplo:

Allow MyGroup to manage autonomous-databases where request.operation =  'updateAutonomousDatabase'