Políticas de IAM para Autonomous AI Database en infraestructura de Exadata dedicada
En este artículo se muestran las política de IAM necesarias para gestionar los recursos de infraestructura de la base de datos de IA autónoma en una infraestructura de Exadata dedicada.
Oracle Autonomous AI Database en una infraestructura de Exadata dedicada se basa en el servicio IAM (Identity and Access Management) para autenticar y autorizar a los usuarios en la nube a realizar operaciones que utilicen cualquiera de las interfaces de la nube de Oracle Cloud Infrastructure (consola, API REST, CLI o SDK). El servicio IAM utiliza grupos, compartimentos y políticas para controlar qué usuarios en la nube pueden acceder a qué recursos.
Detalles de política para base de datos de IA autónoma
En este tema, se tratan los detalles de cómo escribir políticas para controlar el acceso a los recursos de Autonomous AI Database.
Una política define qué tipo de acceso tiene un grupo de usuarios a un recurso específico en un compartimento individual. Para obtener más información, consulte Introducción a las políticas.
Consejo: para ver una política de ejemplo, consulte Permitir que los administradores de conjuntos y bases de datos gestionen bases de datos de IA autónomas.
Tipos de recursos
Un tipo de recurso agregado cubre la lista de tipos de recursos individuales que le siguen directamente. Por ejemplo, escribir una política para permitir que un grupo tenga acceso a autonomous-database-family es equivalente a escribir cuatro políticas independientes para el grupo que otorguen acceso a los tipos de recursos autonomous-databases, autonomous-backups, autonomous-container-databases y cloud-autonomous-vmclusters . Para obtener más información, consulte Tipos de recursos.
Tipos de recursos para la base de datos de IA autónoma
Tipo de recurso agregado:
autonomous-database-family
Tipos de recursos individuales:
autonomous-databases
autonomous-backups
autonomous-container-databases
cloud-autonomous-vmclusters (solo despliegues de Oracle Public Cloud)
autonomous-vmclusters (solo despliegues de Oracle Exadata Cloud@Customer)
autonomous-virtual-machine
Consejo: los tipos de recursos cloud-exadata-infrastructures y exadata-infrastructures necesarios para aprovisionar Autonomous AI Database en Oracle Public Cloud y Exadata Cloud@Customer, respectivamente, están cubiertos por el tipo de recurso agregado database-family. Para obtener más información sobre los recursos que abarca database-family, consulte Detalles de política para las instancias deExadata Cloud Service y Detalles de política para Base Database Service.
Variables soportadas
Las variables generales están soportadas. Consulte Variables generales para todas las solicitudes para obtener más información.
Además, puede utilizar la variable target.workloadType, como se muestra en la siguiente tabla:
| Valor de target.workloadType | Descripción |
|---|---|
OLTP |
Procesamiento de transacciones en línea; se utiliza para la carga de trabajo de bases de datos de IA autónomas con Autonomous Transaction Processing. |
DW |
Almacén de datos; se utiliza para bases de datos de IA autónomas con carga de trabajo de Autonomous Data Warehouse. |
Política de ejemplo con la variable target.workloadType:
Allow group ADB-Admins
to manage autonomous-database
in tenancy where target.workloadType = 'workload_type'Detalles de las combinaciones de verbo + tipo de recurso
El nivel de acceso es acumulativo a medida que pasa de inspect > read > use > manage. Un signo más (+) en una celda de una tabla indica el acceso incremental con respecto a la celda situada directamente encima, mientras que "sin extra" indica no hay ningún acceso incremental.
Por ejemplo, el verbo read para el tipo de recurso autonomous-databases abarca los mismos permisos y operaciones del API que el verbo inspect, además del permiso AUTONOMOUS_DATABASE_CONTENT_READ. El verbo read abarca parcialmente la operación CreateAutonomousDatabaseBackup, que también necesita gestionar permisos para autonomous-backups.
En las siguientes tablas se muestran los permiso y operaciones de API que cubre cada verbo. Para obtener información sobre los permisos, consulte Permisos.
Para tipos de recursos autonomous-database-family
Nota: La familia de recursos cubierta por autonomous-database-family se puede utilizar para otorgar acceso a recursos de base de datos asociados a todos los tipos del trabajo de la base de datos de IA autónoma.
autonomous-databases
| Verbos | Permisos | API totalmente cubiertas | API parcialmente cubiertas |
|---|---|---|---|
| inspect | AUTONOMOUS_DATABASE_INSPECT |
GetAutonomousDatabase, ListAutonomousDatabases |
ninguno |
| read |
|
sin extra | CreateAutonomousDatabaseBackup (también necesita manage autonomous-backups) |
| use |
|
UpdateAutonomousDatabase |
|
| manage |
|
CreateAutonomousDatabase |
ninguno |
copias de seguridad autónomas
| Verbos | Permisos | API totalmente cubiertas | API parcialmente cubiertas |
|---|---|---|---|
| inspect | AUTONOMOUS_DB_BACKUP_INSPECT |
ListAutonomousDatabaseBackups, GetAutonomousDatabaseBackup |
ninguno |
| read |
|
sin extra |
|
| use | READ + sin extra |
sin extra | ninguno |
| manage |
|
DeleteAutonomousDatabaseBackup |
CreateAutonomousDatabaseBackup (también necesita read autonomous-databases) |
autonomous-container-databases
| Verbos | Permisos | API totalmente cubiertas | API parcialmente cubiertas |
|---|---|---|---|
| inspect | AUTONOMOUS_CONTAINER_DATABASE_INSPECT |
ListAutonomousContainerDatabases, GetAutonomousContainerDatabase |
ninguno |
| read | INSPECT + sin extra |
sin extra | ninguno |
| use | READ +
|
|
CreateAutonomousDatabase (también necesita manage autonomous-databases) |
| manage |
|
sin extra | CreateAutonomousContainerDatabase, TerminateAutonomousContainerDatabase (ambos necesitan también use cloud-autonomous-vmclusters, use cloud-exadata-infrastructures) |
vmclusters autónomos en la nube
| Verbos | Permisos | API totalmente cubiertas | API parcialmente cubiertas |
|---|---|---|---|
| inspect | CLOUD_AUTONOMOUS_VM_CLUSTER_INSPECT |
|
ninguno |
| read |
sin extra |
sin extra | ninguno |
| use | READ +
|
|
|
| manage |
|
sin extra |
(ambos también necesitan |
autonomous-vmclusters
| Verbos | Permisos | API totalmente cubiertas | API parcialmente cubiertas |
|---|---|---|---|
| inspect | AUTONOMOUS_VM_CLUSTER_INSPECT |
|
ChangeAutonomousVmClusterCompartment |
| read | INSPECT + sin extra |
sin extra | ninguno |
| use |
|
ChangeAutonomousVmClusterCompartment |
|
| manage |
|
DeleteAutonomousVmCluster |
CreateAutonomousVmCluster |
máquina virtual-autónoma
| Verbos | Permisos | API totalmente cubiertas | API parcialmente cubiertas |
|---|---|---|---|
| inspect | AUTONOMOUS_VIRTUAL_MACHINE_INSPECT |
|
ninguno |
Permisos necesarios para cada operación de API
La base de datos de contenedores autónoma (ACD) y la base de datos de IA autónoma (ADB) son recursos comunes entre las implementaciones de Oracle Public Cloud, Multicloud y Exadata Cloud@Customer. Por lo tanto, sus permisos son los mismos para ambos despliegues en la siguiente tabla.
Sin embargo, determinadas operaciones de ACD requieren permisos a nivel de AVMC y, dado que los recursos de AVMC son diferentes para Oracle Public Cloud y Exadata Cloud@Customer, necesita permisos diferentes en cada tipo de despliegue. Por ejemplo, para crear una ACD, necesita:
-
Permisos AUTONOMOUS_VM_CLUSTER_UPDATE y AUTONOMOUS_CONTAINER_DATABASE_CREATE en Exadata Cloud@Customer.
-
Permisos CLOUD_AUTONOMOUS_VM_CLUSTER_UPDATE y AUTONOMOUS_CONTAINER_DATABASE_CREATE en Oracle Public Cloud y Multicloud.
Para obtener información sobre los permisos, consulte Permisos.
En el siguiente tabla se muestran las operaciones del API para los recursos de Autonomous AI Database en un orden lógico, agrupadas por tipo de recurso.
Operaciones de API de base de datos de IA autónoma
Puede utilizar la API para ver y gestionar los diferentes recursos de infraestructura de una base de datos de IA autónoma. Consulte Referencia de API para la base de datos de IA autónoma en una infraestructura de Exadata dedicada para obtener una lista de puntos finales de API de REST para gestionar diferentes recursos de base de datos de IA autónoma.
Limitación del acceso de usuario a permisos específicos
El acceso de usuario se define en las sentencias de política de IAM. Cuando crea una sentencia de política que otorga a un grupo acceso a un determinado verbo y tipo de recurso, en realidad otorga a ese grupo acceso a uno o más permisos de IAM predefinidos. El propósito de los verbos es simplificar el proceso de concesión de varios permisos relacionados.
Si desea permitir o denegar permisos específicos de IAM, agregue una condición where a la sentencia de política. For example, to allow a group of Fleet Administrators to perform any operation on Exadata Infrastructure resources except to delete them, you would create this policy statement:
Allow group FleetAdmins to manage cloud-exadata-infrastructures in tenancy where request.permission != 'CLOUD_EXADATA_INFRASTRUCTURE_DELETE'A continuación, podría permitir a un grupo más pequeño de administradores de conjunto realizar cualquier operación (incluida la supresión) en recursos de infraestructura de Exadata omitiendo la condición where:
Allow group FleetSuperAdmins to manage cloud-exadata-infrastructures in tenancyPara obtener más información sobre el uso de la condición where de esta forma, consulte la sección Permisos "Delimitación de acceso mediante permisos u operaciones del API".
Políticas para gestionar recursos de infraestructura de Exadata
En la siguiente tabla se muestran las políticas de IAM necesarias para que un usuario de la nube realice operaciones de gestión en recursos de infraestructura de Exadata.
| Operación | Políticas de IAM necesarias en Oracle Public Cloud y en la multinube | Políticas de IAM necesarias en Exadata Cloud@Customer |
|---|---|---|
| Creación de un recurso de infraestructura de Exadata |
|
manage exadata-infrastructures |
| Visualización de una lista de recursos de infraestructura de Exadata | inspect cloud-exadata-infrastructures |
inspect exadata-infrastructures |
| Visualización de detalles de un recurso de infraestructura de Exadata | inspect cloud-exadata-infrastructures |
inspect exadata-infrastructures |
| Cambio del programa de mantenimiento de un recurso de infraestructura de Exadata | use cloud-exadata-infrastructures |
use exadata-infrastructures |
| Traslado de un recurso de infraestructura de Exadata a otro compartimento | use cloud-exadata-infrastructures |
use exadata-infrastructures |
| Gestión de certificados de seguridad para un recurso de infraestructura de Exadata | manage cloud-exadata-infrastructures |
manage exadata-infrastructures |
| Terminar un recurso de infraestructura de Exadata |
|
manage exadata-infrastructures |
Políticas para gestionar clusteres de máquina virtual de Exadata autónomos
En la siguiente tabla, se muestran las políticas de IAM necesarias para que un usuario de la nube realice operaciones de gestión en clusters de VM de Exadata autónomos.
| Operación | Políticas de IAM necesarias en Oracle Public Cloud y en la multinube | Políticas de IAM necesarias en Exadata Cloud@Customer |
|---|---|---|
| Creación de un cluster de VM de Exadata autónomo |
|
|
| Visualización de una lista de los clusters de VM de Exadata autónomos | inspect cloud-autonomous-vmclusters |
inspect autonomous-vmclusters |
| Visualización de detalles de un cluster de VM de Exadata autónomo | inspect cloud-autonomous-vmclusters |
inspect autonomous-vmclusters |
| Cambio del tipo de licencia de un cluster de VM autónomo | No aplicable |
|
| Traslado de un cluster de VM de Exadata autónomo a otro compartimento | use cloud-autonomous-vmclusters |
use autonomous-vmclusters |
| Terminación de un cluster de VM de Exadata autónomo | manage cloud-autonomous-vmclusters |
manage autonomous-vmclusters |
Políticas para gestionar bases a partir de contenedores autónomas
En las siguientes tablas se muestran las políticas de IAM necesarias para que un usuario en la nube realice operaciones de gestión en bases de datos de contenedores autónomas (ACD).
| Operación | Políticas de IAM necesarias |
|---|---|
| Creación de una base de datos de contenedores autónoma |
|
| Visualización de una lista de las bases de datos de contenedores autónomas | inspect autonomous-container-databases |
| Visualización de detalles de una base de datos de contenedores autónoma | inspect autonomous-container-databases |
| Cambio de la política de retención de copias de seguridad de una base de datos de contenedores autónoma | use autonomous-container-databases |
| Editar las preferencias de mantenimiento de una base de datos de contenedores autónoma | use autonomous-container-databases |
| Reinicio de una base de datos de contenedores autónoma | use autonomous-container-databases |
| Traslado de una base de datos de contenedores autónoma a otro compartimento | use autonomous-container-databases |
| Rotación de una clave de cifrado de una base datos de contenedores autónoma |
|
| Terminación de una base de datos de contenedores autónoma |
|
Políticas para gestionar la Configuración de Autonomous Data Guard
En el siguiente cuadro se muestran las políticas de IAM necesarias para que un usuario en la nube realice operaciones de gestión en configuraciones de Autonomous Data Guard.
| Operación | Políticas de IAM necesarias |
|---|---|
| Vea los grupos de Autonomous Data Guard con una ACD. | inspect autonomous-container-databases |
| Muestre las bases de datos autónomas activadas con Autonomous Data Guard asociadas a la base de datos de IA autónoma o ACD especificada. | inspect autonomous-container-databases |
| Vuelva a instanciar la base de datos en espera desactivada a una ACD en espera activa. |
|
| Cambiar roles de las ACD principal y en espera. |
|
| Failover a la ACD en espera. Esta ACD en espera se convertirá en la nueva ACD principal cuando el failover se complete correctamente. |
|
| Modifique la configuración de Autonomous Data Guard, como el modo de protección, el failover automático y el límite de demora de failover de inicio rápido. |
|
| Obtener una base de Datos con Autonomous Data Guard activado asociada a la base de Datos de IA autónoma especificada. | inspect autonomous-container-databases |
| Enumere los grupos de Data Guard de la base de datos de IA autónoma. | inspect autonomous-container-databases |
| Active Autonomous Data Guard en una base de datos autónoma. |
|
| Convierta la ACD en espera entre la ACD física en espera y la ACD de instantánea en espera. |
|
Políticas para gestionar bases de datos de IA autónomas
En las siguientes tablas se muestran las políticas de IAM necesarias para que un usuario en la nube realice operaciones de gestión en bases de datos de IA autónomas.
| Operación | Políticas de IAM necesarias |
|---|---|
| Creación de una base de datos de IA autónoma |
|
| Visualización de la lista de las bases de datos de IA autónomas | inspect autonomous-databases |
| Ver detalles de una base de datos de IA autónoma | inspect autonomous-databases |
| Definir la contraseña de un usuario ADMIN de una base de datos de IA autónoma | use autonomous-databases |
| Escala el recuento de núcleos de CPU o el almacenamiento de una base de datos de IA autónoma | use autonomous-databases |
| Activar o desactivar la escala automática para una base de datos de IA autónoma | use autonomous-databases |
| Mover una base de datos de IA autónoma a otro compartimento |
|
| Parar o iniciar una base de datos de IA autónoma | use autonomous-databases |
| Reinicio de una base de datos de IA autónoma | use autonomous-databases |
| Realizar copias de seguridad de una base de datos de IA autónoma manualmente |
|
| Restauración de una base de datos de IA autónoma |
|
| Clonación de una base de datos de IA autónoma |
|
| Terminación de una base de datos de IA autónoma | manage autonomous-databases |
Contenido relacionado
Control de acceso en una base de datos de IA autónoma en una infraestructura de Exadata dedicada