Documentación de Oracle Cloud Infrastructure

Políticas de IAM para Autonomous Database

Proporciona información sobre las políticas de IAM necesarias para las operaciones de API en Autonomous Database.

Oracle Autonomous Database se basa en el servicio IAM (Identity and Access Management) para autenticar y autorizar a los usuarios en la nube a realizar operaciones que utilicen cualquiera de las interfaces de Oracle Cloud Infrastructure (consola, API de REST, CLI, o SDK).

El servicio IAM utiliza grupos, compartimentos, y políticas para controlar qué usuarios de la nube pueden acceder a qué recursos.

Tema principal: Seguridad

Permisos de IAM y operaciones de API para Autonomous Database

En este tema se tratan los permisos de IAM disponibles para operaciones en Autonomous Database.

A continuación se muestran los permisos de IAM para Autonomous Database:

  • AUTONOMOUS_DATABASE_CONTENT_READ

  • AUTONOMOUS_DATABASE_CONTENT_WRITE

  • AUTONOMOUS_DATABASE_CREATE

    Consulte Permisos de clonación para obtener más limitaciones de clonación.

  • AUTONOMOUS_DATABASE_DELETE

  • AUTONOMOUS_DATABASE_INSPECT

  • AUTONOMOUS_DATABASE_UPDATE

  • AUTONOMOUS_DB_BACKUP_CONTENT_READ

  • AUTONOMOUS_DB_BACKUP_CREATE

  • AUTONOMOUS_DB_BACKUP_INSPECT

  • NETWORK_SECURITY_GROUP_UPDATE_MEMBERS

  • VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP

Verbo de autorización y operación de API Permisos necesarios para utilizar la operación

AutonomousDatabaseManualRefresh

manualRefreshAutonomousDatabase

AUTONOMOUS_DATABASE_UPDATE

CancelAutonomousDatabaseSession

cancelAutonomousDatabaseSession

AUTONOMOUS_DATABASE_CONTENT_WRITE

ChangeAutonomousDatabaseCompartment

changeAutonomousDatabaseCompartment

Necesario en el compartimento de origen y de destino:

AUTONOMOUS_DATABASE_UPDATE

AUTONOMOUS_DB_BACKUP_CONTENT_READ

AUTONOMOUS_DB_BACKUP_INSPECT

AUTONOMOUS_DB_BACKUP_CREATE

AUTONOMOUS_DATABASE_CONTENT_WRITE

Necesario tanto en el compartimento de origen como en el de destino cuando el punto final privado está activado:

VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP

NETWORK_SECURITY_GROUP_UPDATE_MEMBERS

ChangeDisasterRecoveryConfiguration

changeDisasterRecoveryConfiguration

AUTONOMOUS_DATABASE_UPDATE

ConfigureAutonomousDatabaseVaultKey

configureAutonomousDatabaseVaultKey

AUTONOMOUS_DATABASE_UPDATE

CreateAutonomousDatabaseBackup

createAutonomousDatabaseBackup

AUTONOMOUS_DB_BACKUP_CREATE

AUTONOMOUS_DATABASE_CONTENT_READ

CreateAutonomousDatabase

createAutonomousDatabase

AUTONOMOUS_DATABASE_CREATE

DeleteAutonomousDatabaseBackup

deleteAutonomousDatabaseBackup

AUTONOMOUS_DB_BACKUP_INSPECT

AUTONOMOUS_DB_BACKUP_DELETE

DeleteAutonomousDatabase

deleteAutonomousDatabase

AUTONOMOUS_DATABASE_DELETE

DeregisterAutonomousDatabaseDataSafe

updateAutonomousDatabase

AUTONOMOUS_DATABASE_UPDATE

DisableAutonomousDatabaseOperationsInsights

updateAutonomousDatabase

AUTONOMOUS_DATABASE_UPDATE

DisableDatabaseManagement

updateAutonomousDatabase

 AUTONOMOUS_DATABASE_UPDATE

EnableAutonomousDatabaseOperationsInsights

updateAutonomousDatabase

AUTONOMOUS_DATABASE_UPDATE

EnableDatabaseManagement

updateAutonomousDatabase

AUTONOMOUS_DATABASE_UPDATE

FailOverAutonomousDatabase

failOverAutonomousDatabase

AUTONOMOUS_DATABASE_UPDATE

GenerateAutonomousDatabasePerformanceData

generateAutonomousDatabasePerformanceData

AUTONOMOUS_DATABASE_CONTENT_READ

GenerateAutonomousDatabaseWallet

generateAutonomousDatabaseWallet

AUTONOMOUS_DATABASE_CONTENT_READ

GetAutonomousDatabaseBackupConfig

getAutonomousDatabaseBackupConfig

AUTONOMOUS_DATABASE_INSPECT

GetAutonomousDatabaseBackup

getAutonomousDatabaseBackup

AUTONOMOUS_DB_BACKUP_INSPECT

GetAutonomousDatabaseCapability

getAutonomousDatabaseCapabilities

AUTONOMOUS_DATABASE_INSPECT

GetAutonomousDatabaseConsoleToken

getAutonomousDatabaseConsoleToken

AUTONOMOUS_DATABASE_CONTENT_WRITE

GetAutonomousDatabase

getAutonomousDatabase

AUTONOMOUS_DATABASE_INSPECT

GetAutonomousDatabaseRegionalWallet

getAutonomousDatabaseRegionalWallet

AUTONOMOUS_DATABASE_CONTENT_READ

GetAutonomousDatabaseWallet

getAutonomousDatabaseWallet

AUTONOMOUS_DATABASE_CONTENT_READ

GetKeyDetail

getDatabaseKeyDetails

NA

ListAutonomousDatabaseBackups

listAutonomousDatabaseBackups

AUTONOMOUS_DB_BACKUP_INSPECT

ListAutonomousDatabaseClones

listAutonomousDatabaseClones

AUTONOMOUS_DATABASE_INSPECT

ListAutonomousDatabaseRefreshableClones

ListAutonomousDatabaseRefreshableClones

AUTONOMOUS_DATABASE_INSPECT

ListAutonomousDatabases

ListAutonomousDatabases

AUTONOMOUS_DATABASE_INSPECT

RegisterAutonomousDatabaseDataSafe

updateAutonomousDatabase

AUTONOMOUS_DATABASE_UPDATE

RestartAutonomousDatabase

restartAutonomousDatabase

AUTONOMOUS_DATABASE_UPDATE

RestoreAutonomousDatabase

restoreAutonomousDatabase

AUTONOMOUS_DB_BACKUP_INSPECT

AUTONOMOUS_DB_BACKUP_CONTENT_READ

AUTONOMOUS_DATABASE_CONTENT_WRITE

RetrieveDatabasePerformanceBulkData

retrieveAutonomousDatabasePerformanceBulkData

AUTONOMOUS_DATABASE_CONTENT_READ

RotateAutonomousDatabaseEncryptionKey

rotateDatabaseEncryptionKey

AUTONOMOUS_DATABASE_UPDATE

ShrinkAutonomousDatabase

shrinkAutonomousDatabase

AUTONOMOUS_DATABASE_UPDATE

StartAutonomousDatabase

startAutonomousDatabase

AUTONOMOUS_DATABASE_UPDATE

StopAutonomousDatabase

stopAutonomousDatabase

AUTONOMOUS_DATABASE_UPDATE

SwitchOverAutonomousDatabase

switchoverAutonomousDatabase

AUTONOMOUS_DATABASE_UPDATE

UpdateAutonomousDatabaseBackup

updateAutonomousDatabaseBackup

AUTONOMOUS_DB_BACKUP_UPDATE

UpdateAutonomousDatabaseRegionalWallet

updateAutonomousDatabaseRegionalWallet

AUTONOMOUS_DATABASE_UPDATE

UpdateAutonomousDatabase

updateAutonomousDatabase

Tres posibles casos:

  • Si la carga de trabajo es NULL:

    AUTONOMOUS_DATABASE_UPDATE

  • Si la carga de trabajo no es NULL:

    AUTONOMOUS_DATABASE_CREATE

    AUTONOMOUS_DATABASE_UPDATE

  • Si el etiquetado está activado:

    AUTONOMOUS_DATABASE_UPDATE

    AUTONOMOUS_DATABASE_INSPECT

UpdateAutonomousDatabaseWallet

updateAutonomousDatabaseWallet

AUTONOMOUS_DATABASE_UPDATE

Permisos de clonación

Los permisos generales de IAM están soportados para Autonomous Database. Además, puede utilizar target.autonomous-database.cloneType con los valores de permiso soportados para controlar el nivel de acceso, como se muestra en la siguiente tabla.

target.autonomous-database.cloneType Valor Descripción
CLONE-FULL

Solo se permite la clonación completa.
CLONE-METADATA

Permitir clonación de metadatos únicamente.
CLONE-REFRESHABLE

Solo se permite la clonación de refrescamiento.
/CLONE*/

Permitir cualquier tipo de clonación.

Políticas de ejemplo con los valores de permiso target.autonomous-database.cloneType soportados: 

Allow group group-name to manage autonomous-databases in compartment id compartment-ocid 
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-FULL'}
Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-METADATA'}
Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-REFRESHABLE'}
Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = /CLONE*/}

Consulte Permisos para obtener más información.

Detalles de políticas para Autonomous Database

En este tema, se tratan los detalles de la escritura de políticas para controlar el acceso a los recursos de Autonomous Database.

Una política define qué tipo de acceso tiene un grupo de usuarios a un recurso específico de un compartimento individual. Para obtener más información, consulte Introducción a las políticas.

Tipos de recursos

Un tipo de recurso agregado cubre la lista de tipos de recursos individuales que le siguen directamente. Por ejemplo, escribir una política para permitir que un grupo tenga acceso a autonomous-database-family equivale a escribir cuatro políticas independientes para el grupo que otorguen acceso a los tipos de recurso autonomous-databases, autonomous-backups. Para obtener más información, consulte Tipos de recursos.

Tipos de recursos para Autonomous Database

Tipo de recurso agregado:

autonomous-database-family

Tipos de recursos individuales:

autonomous-databases

autonomous-backups

Variables soportadas

Las variables generales están soportadas. Consulte Variables generales para todas las solicitudes para obtener más información.

Además, puede utilizar la variable target.workloadType como se muestra en la siguiente tabla:

Valor de target.workloadType Descripción
OLTP Procesamiento de transacciones en línea, que se utiliza para instancias de Autonomous Database con carga de trabajo de procesamiento de transacciones.
DW Data Warehouse, que se utiliza para instancias de Autonomous Database con carga de trabajo de Data Warehouse.
AJD

Autonomous JSON Database utilizado para instancias de Autonomous Database con carga de trabajo de JSON.

APEX

Servicio APEX utilizado para el servicio APEX de Autonomous Database.

Política de ejemplo con la variable target.workloadType: 

Allow group ADB-Admins to manage autonomous-databases in tenancy where target.workloadType = 'AJD'

Detalles de las combinaciones de verbo + tipo de recurso

El nivel de acceso es acumulativo a medida que pasa de inspect > read > use > manage. Un signo más (+) en una celda de la tabla indica un acceso incremental en comparación con la celda situada directamente encima, mientras que "sin extra" indica que no hay un acceso incremental.

Por ejemplo, el verbo read para el tipo de recurso autonomous-databases abarca los mismos permisos y operaciones de API que el verbo inspect, más el permiso AUTONOMOUS_DATABASE_CONTENT_READ. El verbo read abarca parcialmente la operación CreateAutonomousDatabaseBackup, que también necesita gestionar permisos para autonomous-backups.

En las siguientes tablas se muestran los permisos y las operaciones de API que cubre cada verbo. Para obtener información sobre los permisos, consulte Permisos.

Nota

La familia de recursos que abarca autonomous-database-family se puede utilizar para otorgar acceso a los recursos de base de datos asociados a todos los tipos de carga de trabajo de Autonomous Database.
Tipos de recursos de Autonomous-databases
Verbos Permisos API totalmente cubiertas API parcialmente cubiertas

inspect

AUTONOMOUS_DATABASE_INSPECT

GetAutonomousDatabase, ListAutonomousDatabases

ninguno

lectura

INSPECT +

AUTONOMOUS_DATABASE_CONTENT_READ

sin extra

CreateAutonomousDatabaseBackup (también necesita manage autonomous-backups)

Usar

READ +

AUTONOMOUS_DATABASE_CONTENT_WRITE

AUTONOMOUS_DATABASE_UPDATE

UpdateAutonomousDatabase

RestoreAutonomousDatabase (también necesita read autonomous-backups)

ChangeAutonomousDatabaseCompartment (también necesita read autonomous-backups)

gestionar

USE +

AUTONOMOUS_DATABASE_CREATE

AUTONOMOUS_DATABASE_DELETE

CreateAutonomousDatabase

ninguno

copias de seguridad autónomas

Verbos Permisos API totalmente cubiertas API parcialmente cubiertas

inspect

AUTONOMOUS_DB_BACKUP_INSPECT

ListAutonomousDatabaseBackups, GetAutonomousDatabaseBackup

ninguno

gestionar

USE +

AUTONOMOUS_DB_BACKUP_CREATE

AUTONOMOUS_DB_BACKUP_DELETE

DeleteAutonomousDatabaseBackup

CreateAutonomousDatabaseBackup (también necesita read autonomous-databases)

lectura

INSPECT +

AUTONOMOUS_DB_BACKUP_CONTENT_READ

sin extra

RestoreAutonomousDatabase (también necesita use autonomous-databases)

ChangeAutonomousDatabaseCompartment (también necesita use autonomous-databases)

Usar

READ +

sin extra

sin extra

ninguno

Políticas para gestionar Autonomous Database

Proporciona una lista de las políticas de IAM necesarias para que un usuario de la nube realice operaciones de gestión en instancias de Autonomous Database.

Operación Políticas de IAM necesarias

Crear una base de datos

manage autonomous-databases

read autonomous-databases

Visualización de una lista de las bases de datos

inspect autonomous-databases

Ver detalles de una base de datos

inspect autonomous-databases

Definir la contraseña del usuario ADMIN de una base de datos

use autonomous-databases

Escalar el recuento de núcleos de CPU o el almacenamiento de una base de datos

use autonomous-databases

Activar o desactivar la escala automática de una base de datos

use autonomous-databases

Mover una base de datos a otro compartimento

use autonomous-databases en el compartimento actual de la base de datos y en el compartimento al que la va a mover

read autonomous-backups

Parar o iniciar una base de datos

use autonomous-databases

Reinicie una base de datos

use autonomous-databases

Copia de seguridad manual de una base de datos

read autonomous-databases

manage autonomous-backups

Restaurar una base de datos

use autonomous-databases

read autonomous-backups

Clonar una base de datos

manage autonomous-databases

Consulte Permisos de IAM y operaciones de API para Autonomous Database para obtener permisos de clonación adicionales en Autonomous Database.

Terminar una base de datos

manage autonomous-databases