Políticas de IAM para Autonomous Database
Proporciona información sobre las políticas de IAM necesarias para las operaciones de API en Autonomous Database.
Oracle Autonomous Database se basa en el servicio IAM (Identity and Access Management) para autenticar y autorizar a los usuarios en la nube a realizar operaciones que utilicen cualquiera de las interfaces de Oracle Cloud Infrastructure (consola, API de REST, CLI, o SDK).
El servicio IAM utiliza grupos, compartimentos, y políticas para controlar qué usuarios de la nube pueden acceder a qué recursos.
- Permisos de IAM y operaciones de API para Autonomous Database
En este tema se tratan los permisos de IAM disponibles para las operaciones en Autonomous Database. - Detalles de política de Autonomous Database
En este tema se tratan los detalles de la escritura de políticas para controlar el acceso a los recursos de Autonomous Database. - Políticas para gestionar bases de datos autónomas
Proporciona una lista de las políticas de IAM necesarias para que un usuario de la nube realice operaciones de gestión en instancias de Autonomous Database.
Tema principal: Seguridad
Permisos de IAM y operaciones de API para Autonomous Database
En este tema se tratan los permisos de IAM disponibles para operaciones en Autonomous Database.
A continuación se muestran los permisos de IAM para Autonomous Database:
-
AUTONOMOUS_DATABASE_CONTENT_READ
-
AUTONOMOUS_DATABASE_CONTENT_WRITE
-
AUTONOMOUS_DATABASE_CREATE
Consulte Permisos de clonación para obtener más limitaciones de clonación.
-
AUTONOMOUS_DATABASE_DELETE
-
AUTONOMOUS_DATABASE_INSPECT
-
AUTONOMOUS_DATABASE_UPDATE
-
AUTONOMOUS_DB_BACKUP_CONTENT_READ
-
AUTONOMOUS_DB_BACKUP_CREATE
-
AUTONOMOUS_DB_BACKUP_INSPECT
-
NETWORK_SECURITY_GROUP_UPDATE_MEMBERS
-
VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP
Verbo de autorización y operación de API | Permisos necesarios para utilizar la operación |
---|---|
|
|
|
|
|
Necesario en el compartimento de origen y de destino:
Necesario tanto en el compartimento de origen como en el de destino cuando el punto final privado está activado:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
AUTONOMOUS_DATABASE_UPDATE |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
NA |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Tres posibles casos:
|
|
|
Permisos de clonación
Los permisos generales de IAM están soportados para Autonomous Database. Además, puede utilizar target.autonomous-database.cloneType
con los valores de permiso soportados para controlar el nivel de acceso, como se muestra en la siguiente tabla.
target.autonomous-database.cloneType Valor | Descripción |
---|---|
CLONE-FULL |
Solo se permite la clonación completa. |
CLONE-METADATA |
Permitir clonación de metadatos únicamente. |
CLONE-REFRESHABLE |
Solo se permite la clonación de refrescamiento. |
/CLONE*/ |
Permitir cualquier tipo de clonación. |
Políticas de ejemplo con los valores de permiso target.autonomous-database.cloneType
soportados:
Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
where all {request.permission = 'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-FULL'}
Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
where all {request.permission = 'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-METADATA'}
Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
where all {request.permission = 'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-REFRESHABLE'}
Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
where all {request.permission = 'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = /CLONE*/}
Consulte Permisos para obtener más información.
Tema principal: Políticas de IAM para Autonomous Database
Detalles de políticas para Autonomous Database
En este tema, se tratan los detalles de la escritura de políticas para controlar el acceso a los recursos de Autonomous Database.
Una política define qué tipo de acceso tiene un grupo de usuarios a un recurso específico de un compartimento individual. Para obtener más información, consulte Introducción a las políticas.
Tipos de recursos
Un tipo de recurso agregado cubre la lista de tipos de recursos individuales que le siguen directamente. Por ejemplo, escribir una política para permitir que un grupo tenga acceso a autonomous-database-family
equivale a escribir cuatro políticas independientes para el grupo que otorguen acceso a los tipos de recurso autonomous-databases
, autonomous-backups
. Para obtener más información, consulte Tipos de recursos.
Tipo de recurso agregado:
autonomous-database-family
Tipos de recursos individuales:
autonomous-databases
autonomous-backups
Variables soportadas
Las variables generales están soportadas. Consulte Variables generales para todas las solicitudes para obtener más información.
Además, puede utilizar la variable target.workloadType
como se muestra en la siguiente tabla:
Valor de target.workloadType | Descripción |
---|---|
OLTP |
Procesamiento de transacciones en línea, que se utiliza para instancias de Autonomous Database con carga de trabajo de procesamiento de transacciones. |
DW |
Data Warehouse, que se utiliza para instancias de Autonomous Database con carga de trabajo de Data Warehouse. |
AJD |
Autonomous JSON Database utilizado para instancias de Autonomous Database con carga de trabajo de JSON. |
APEX |
Servicio APEX utilizado para el servicio APEX de Autonomous Database. |
Política de ejemplo con la variable target.workloadType
:
Allow group ADB-Admins to manage autonomous-databases in tenancy where target.workloadType = 'AJD'
Detalles de las combinaciones de verbo + tipo de recurso
El nivel de acceso es acumulativo a medida que pasa de inspect > read > use > manage
. Un signo más (+) en una celda de la tabla indica un acceso incremental en comparación con la celda situada directamente encima, mientras que "sin extra" indica que no hay un acceso incremental.
Por ejemplo, el verbo read
para el tipo de recurso autonomous-databases
abarca los mismos permisos y operaciones de API que el verbo inspect
, más el permiso AUTONOMOUS_DATABASE_CONTENT_READ
. El verbo read
abarca parcialmente la operación CreateAutonomousDatabaseBackup
, que también necesita gestionar permisos para autonomous-backups
.
En las siguientes tablas se muestran los permisos y las operaciones de API que cubre cada verbo. Para obtener información sobre los permisos, consulte Permisos.
La familia de recursos que abarca autonomous-database-family se puede utilizar para otorgar acceso a los recursos de base de datos asociados a todos los tipos de carga de trabajo de Autonomous Database.
Verbos | Permisos | API totalmente cubiertas | API parcialmente cubiertas |
---|---|---|---|
inspect |
|
|
ninguno |
lectura |
|
sin extra |
|
Usar |
|
|
|
gestionar |
|
|
ninguno |
copias de seguridad autónomas
Verbos | Permisos | API totalmente cubiertas | API parcialmente cubiertas |
---|---|---|---|
inspect |
|
|
ninguno |
gestionar |
|
|
|
lectura |
|
sin extra |
|
Usar |
READ + sin extra |
sin extra |
ninguno |
Tema principal: Políticas de IAM para Autonomous Database
Políticas para gestionar Autonomous Database
Proporciona una lista de las políticas de IAM necesarias para que un usuario de la nube realice operaciones de gestión en instancias de Autonomous Database.
Operación | Políticas de IAM necesarias |
---|---|
Crear una base de datos |
|
Visualización de una lista de las bases de datos |
|
Ver detalles de una base de datos |
|
Definir la contraseña del usuario ADMIN de una base de datos |
|
Escalar el recuento de núcleos de CPU o el almacenamiento de una base de datos |
|
Activar o desactivar la escala automática de una base de datos |
|
Mover una base de datos a otro compartimento |
|
Parar o iniciar una base de datos |
|
Reinicie una base de datos |
|
Copia de seguridad manual de una base de datos |
|
Restaurar una base de datos |
|
Clonar una base de datos |
Consulte Permisos de IAM y operaciones de API para Autonomous Database para obtener permisos de clonación adicionales en Autonomous Database. |
Terminar una base de datos |
|
Tema principal: Políticas de IAM para Autonomous Database