Políticas de IAM para Autonomous Database en infraestructura de Exadata dedicada

En este artículo se muestran las políticas de IAM necesarias para gestionar los recursos de infraestructura de Autonomous Database en una infraestructura de Exadata dedicada.

Oracle Autonomous Database on Dedicated Exadata Infrastructure se basa en el servicio IAM (Identity and Access Management) para autenticar y autorizar a los usuarios en la nube a realizar operaciones que utilizan cualquiera de las interfaces de Oracle Cloud Infrastructure (la consola, la API de REST, la CLI o el SDK). El servicio IAM utiliza grupos, compartimentos, y políticas para controlar qué usuarios en la nube pueden acceder a qué recursos.

Detalles de políticas para Autonomous Database

En este tema, se tratan los detalles de la escritura de políticas para controlar el acceso a los recursos de Autonomous Database.

Una política define qué tipo de acceso tiene un grupo de usuarios a un recurso específico en un compartimento individual. Para obtener más información, consulte Introducción a las políticas.

Tipos de recursos

Un tipo de recurso agregado cubre la lista de tipos de recursos individuales que le siguen directamente. Por ejemplo, escribir una política para permitir que un grupo tenga acceso a autonomous-database-family es equivalente a escribir cuatro políticas independientes para el grupo que otorguen acceso a los tipos de recursos autonomous-databases, autonomous-backups, autonomous-container-databases y cloud-autonomous-vmclusters . Para obtener más información, consulte Tipos de recursos.

Tipos de recursos para Autonomous Database

Tipo de recurso agregado:

autonomous-database-family

Tipos de recursos individuales:

autonomous-databases

autonomous-backups

autonomous-container-databases

cloud-autonomous-vmclusters (solo despliegues de Oracle Public Cloud)

autonomous-vmclusters (solo despliegues de Oracle Exadata Cloud@Customer)

autonomous-virtual-machine

Sugerencia:

Los tipos de recursos cloud-exadata-infrastructures y exadata-infrastructures necesarios para aprovisionar Autonomous Database en Oracle Public Cloud y Exadata Cloud@Customer respectivamente están cubiertos por el tipo de recurso agregado database-family. Para obtener más información sobre los recursos que abarca database-family, consulte Detalles de política de las instancias de Exadata Cloud Service y Detalles de política de Base Database Service.

Variables soportadas

Las variables generales están soportadas. Consulte Variables generales para todas las solicitudes para obtener más información.

Además, puede utilizar la variable target.workloadType, como se muestra en la siguiente tabla:

Valor de target.workloadType Descripción
OLTP Procesamiento de transacciones en línea; se utiliza para instancias de Autonomous Database con carga de trabajo de Autonomous Transaction Processing.
DW Data Warehouse, que se utiliza para instancias de Autonomous Database con cargas de trabajo de Autonomous Data Warehouse.
Política de ejemplo con la variable target.workloadType:
Allow group ADB-Admins 
to manage autonomous-database 
in tenancy where target.workloadType = 'workload_type'

Detalles de las combinaciones de verbo + tipo de recurso

El nivel de acceso es acumulativo a medida que pasa de inspect > read > use > manage. Un signo más (+) en una celda de la tabla indica un acceso incremental en comparación con la celda situada directamente encima, mientras que "sin extra" indica que no hay un acceso incremental.

Por ejemplo, el verbo read para el tipo de recurso autonomous-databases abarca los mismos permisos y operaciones de API que el verbo inspect, además del permiso AUTONOMOUS_DATABASE_CONTENT_READ. El verbo read abarca parcialmente la operación CreateAutonomousDatabaseBackup, que también necesita gestionar permisos para autonomous-backups.

En las siguientes tablas, se muestran los permisos y las operaciones de API cubiertas por cada verbo. Para obtener información sobre los permisos, consulte Permisos.

Para tipos de recursos autonomous-database-familia

Note:

La familia de recursos que abarca autonomous-database-family se puede utilizar para otorgar acceso a los recursos de base de datos asociados a todos los tipos de carga de trabajo de Autonomous Database.
autonomous-databases
Verbos Permisos API totalmente cubiertas API parcialmente cubiertas

inspect

AUTONOMOUS_DATABASE_INSPECT

GetAutonomousDatabase, ListAutonomousDatabases

Ninguno

read

INSPECT +

AUTONOMOUS_DATABASE_CONTENT_READ

sin extra

CreateAutonomousDatabaseBackup (también necesita manage autonomous-backups)

use

READ +

AUTONOMOUS_DATABASE_CONTENT_WRITE

AUTONOMOUS_DATABASE_UPDATE

UpdateAutonomousDatabase

RestoreAutonomousDatabase (también necesita read autonomous-backups)

ChangeAutonomousDatabaseCompartment (también necesita read autonomous-backups)

manage

USE +

AUTONOMOUS_DATABASE_CREATE

AUTONOMOUS_DATABASE_DELETE

CreateAutonomousDatabase

Ninguno

copias de seguridad autónomas
Verbos Permisos API totalmente cubiertas API parcialmente cubiertas

inspect

AUTONOMOUS_DB_BACKUP_INSPECT

ListAutonomousDatabaseBackups, GetAutonomousDatabaseBackup

Ninguno

read

INSPECT +

AUTONOMOUS_DB_BACKUP_CONTENT_READ

sin extra

RestoreAutonomousDatabase (también necesita use autonomous-databases)

ChangeAutonomousDatabaseCompartment (también necesita use autonomous-databases)

use

READ +

sin extra

sin extra

Ninguno

manage

USE +

AUTONOMOUS_DB_BACKUP_CREATE

AUTONOMOUS_DB_BACKUP_DELETE

DeleteAutonomousDatabaseBackup

CreateAutonomousDatabaseBackup (también necesita read autonomous-databases)

autonomous-container-databases
Verbos Permisos API totalmente cubiertas API parcialmente cubiertas

inspect

AUTONOMOUS_CONTAINER_DATABASE_INSPECT

ListAutonomousContainerDatabases, GetAutonomousContainerDatabase

Ninguno

read

INSPECT +

sin extra

sin extra

Ninguno

use

READ +

AUTONOMOUS_CONTAINER_DATABASE_UPDATE

UpdateAutonomousContainerDatabase

ChangeAutonomousContainerDatabaseCompartment

CreateAutonomousDatabase (también necesita manage autonomous-databases)

manage

USE +

AUTONOMOUS_CONTAINER_DATABASE_CREATE

AUTONOMOUS_CONTAINER_DATABASE_DELETE

sin extra

CreateAutonomousContainerDatabase, TerminateAutonomousContainerDatabase (ambos necesitan también use cloud-autonomous-vmclusters, use cloud-exadata-infrastructures)

cloud-autonomous-vmclusters
Verbos Permisos API totalmente cubiertas API parcialmente cubiertas

inspect

CLOUD_AUTONOMOUS_VM_CLUSTER_INSPECT

ListCloudAutonomousVmClusters

GetCloudAutonomousVmCluster

Ninguno

read

INSPECT +

sin extra

sin extra

Ninguno

use

READ +

CLOUD_AUTONOMOUS_VM_CLUSTER_UPDATE

UpdateCloudAutonomousVmCluster

ChangeCloudAutonomousVmClusterCompartment

CreateAutonomousDatabase (también necesita manage autonomous-databases)

CreateAutonomousContainerDatabase (también necesita manage autonomous-container-databases)

manage

USE +

CLOUD_AUTONOMOUS_VM_CLUSTER_CREATE

CLOUD_AUTONOMOUS_VM_CLUSTER_DELETE

sin extra

CreateCloudAutonomousVmCluster, DeleteCloudAutonomousVmCluster

(ambos también necesitan use vnics, use subnets, use cloud-exadata-infrastructures)

autonomous-vmclusters

Verbos Permisos API totalmente cubiertas API parcialmente cubiertas
inspect

AUTONOMOUS_VM_CLUSTER_INSPECT

ListAutonomousVmClusters

GetAutonomousVmCluster

ChangeAutonomousVmClusterCompartment

read

INSPECT +

sin extra

sin extra

Ninguno

use

READ +

AUTONOMOUS_VM_CLUSTER_UPDATE

ChangeAutonomousVmClusterCompartment

UpdateAutonomousVmCluster

CreateAutonomousContainerDatabase

TerminateAutonomousContainerDatabase

manage

USE +

AUTONOMOUS_VM_CLUSTER_CREATE +

AUTONOMOUS_VM_CLUSTER_DELETE

DeleteAutonomousVmCluster

CreateAutonomousVmCluster

máquina virtual autónoma
Verbos Permisos API totalmente cubiertas API parcialmente cubiertas
inspect AUTONOMOUS_VIRTUAL_MACHINE_INSPECT

GetAutonomousVirtualMachine

ListAutonomousVirtualMachines

Ninguno

Permisos necesarios para cada operación de API

La base de datos de contenedores autónoma (ACD) y Autonomous Database (ADB) son recursos comunes entre los despliegues de Oracle Public Cloud, Multicloud y Exadata Cloud@Customer. Por lo tanto, sus permisos son los mismos para ambos despliegues en la siguiente tabla.

Sin embargo, determinadas operaciones de ACD requieren permisos de nivel de AVMC y, dado que los recursos de AVMC son diferentes para Oracle Public Cloud y Exadata Cloud@Customer, necesita permisos diferentes en cada tipo de despliegue. Por ejemplo, para crear una ACD, necesita:
  • Permisos AUTONOMOUS_VM_CLUSTER_UPDATE y AUTONOMOUS_CONTAINER_DATABASE_CREATE en Exadata Cloud@Customer.

  • Permisos CLOUD_AUTONOMOUS_VM_CLUSTER_UPDATE y AUTONOMOUS_CONTAINER_DATABASE_CREATE en Oracle Public Cloud y Multinube.

Para obtener información sobre los permisos, consulte Permisos.

En la siguiente tabla se muestran las operaciones de API para los recursos de Autonomous Database en orden lógico, agrupadas por tipo de recurso.

Operaciones de API de Autonomous Database

Puede utilizar la API para ver y gestionar los diferentes recursos de infraestructura de una instancia de Autonomous Database. Consulte Referencia de API para Autonomous Database on Dedicated Exadata Infrastructure para obtener una lista de puntos finales de API de REST para gestionar diferentes recursos de Autonomous Database.

Limitación del acceso de usuario a permisos específicos

El acceso de usuario se define en las sentencias de política de IAM. Cuando crea una sentencia de política que otorga a un grupo acceso a un determinado verbo y tipo de recurso, en realidad otorga a ese grupo acceso a uno o más permisos de IAM predefinidos. El propósito de los verbos es simplificar el proceso de concesión de varios permisos relacionados.

Si desea permitir o denegar permisos de IAM específicos, agregue una condición where a la sentencia de política. Por ejemplo, para permitir que un grupo de conjuntos realice cualquier operación en los recursos de infraestructura de Exadata excepto suprimirlos, debe crear esta sentencia de política:

Allow group FleetAdmins to manage cloud-exadata-infrastructures in tenancy where request.permission != 'CLOUD_EXADATA_INFRASTRUCTURE_DELETE'

A continuación, podría permitir a un grupo más pequeño de administradores de conjunto realizar cualquier operación (incluida la supresión) en recursos de infraestructura de Exadata omitiendo la condición where:

Allow group FleetSuperAdmins to manage cloud-exadata-infrastructures in tenancy

Para obtener más información sobre el uso de la condición where de esta forma, consulte la sección "Delimitación del ámbito de acceso mediante permisos u operaciones de API" de Permisos.

Políticas para gestionar recursos de infraestructura de Exadata

En la siguiente tabla se muestran las políticas de IAM necesarias para que un usuario de la nube realice operaciones de gestión en recursos de infraestructura de Exadata.

Operación Políticas de IAM necesarias en Oracle Public Cloud y en la multinube Políticas de IAM necesarias en Exadata Cloud@Customer

Creación de un recurso de infraestructura de Exadata

manage cloud-exadata-infrastructures

use vnic

use subnet

manage exadata-infrastructures

Visualización de una lista de recursos de infraestructura de Exadata

inspect cloud-exadata-infrastructures

inspect exadata-infrastructures

Visualización de detalles de un recurso de infraestructura de Exadata

inspect cloud-exadata-infrastructures

inspect exadata-infrastructures

Cambio del programa de mantenimiento de un recurso de infraestructura de Exadata

use cloud-exadata-infrastructures

use exadata-infrastructures

Traslado de un recurso de infraestructura de Exadata a otro compartimento

use cloud-exadata-infrastructures

use exadata-infrastructures

Gestión de certificados de seguridad para un recurso de infraestructura de Exadata

manage cloud-exadata-infrastructures

manage exadata-infrastructures

Terminar un recurso de infraestructura de Exadata

manage cloud-exadata-infrastructures

use vnic

use subnet

manage exadata-infrastructures

Políticas para gestionar clusters de VM de Exadata autónomos

En la siguiente tabla, se muestran las políticas de IAM necesarias para que un usuario de la nube realice operaciones de gestión en clusters de VM de Exadata autónomos.

Operación Políticas de IAM necesarias en Oracle Public Cloud y en la multinube Políticas de IAM necesarias en Exadata Cloud@Customer

Creación de un cluster de VM de Exadata autónomo

manage cloud-autonomous-vmclusters

use cloud-exadata-infrastructures

manage autonomous-vmclusters

use exadata-infrastructures

Visualización de una lista de los clusters de VM de Exadata autónomos

inspect cloud-autonomous-vmclusters

inspect autonomous-vmclusters

Visualización de detalles de un cluster de VM de Exadata autónomo

inspect cloud-autonomous-vmclusters

inspect autonomous-vmclusters

Cambio del tipo de licencia de un cluster de VM autónomo

No aplicable

use autonomous-vmclusters

inspect exadata-infrastructures

Traslado de un cluster de VM de Exadata autónomo a otro compartimento

use cloud-autonomous-vmclusters

use autonomous-vmclusters

Terminación de un cluster de VM de Exadata autónomo

manage cloud-autonomous-vmclusters

manage autonomous-vmclusters

Políticas para gestionar bases de datos de contenedores autónomas

En la siguiente tabla se muestran las políticas de IAM necesarias para que un usuario de la nube realice operaciones de gestión en bases de datos de contenedores autónomas (ACD).

Operación Políticas de IAM necesarias

Creación de una base de datos de contenedores autónoma

manage autonomous-container-databases

use cloud-exadata-infrastructures si crea la base de datos de contenedores autónoma en Oracle Public Cloud y Multinube.

use cloud-autonomous-vmclusters si crea la base de datos de contenedores autónoma en Oracle Public Cloud y Multinube.

use autonomous-vmclusters si se crea la base de datos de contenedores autónoma en Exadata Cloud at Customer.

use backup-destinations si se crea la base de datos de contenedores autónoma en Exadata Cloud at Customer.

Visualización de una lista de las bases de datos de contenedores autónomas

inspect autonomous-container-databases

Visualización de detalles de una base de datos de contenedores autónoma

inspect autonomous-container-databases

Cambio de la política de retención de copias de seguridad de una base de datos de contenedores autónoma

use autonomous-container-databases

Edición de las preferencias de mantenimiento de una base de datos de contenedores autónoma

use autonomous-container-databases

Reinicio de una base de datos de contenedores autónoma

use autonomous-container-databases

Traslado de una base de datos de contenedores autónoma a otro compartimento

use autonomous-container-databases

Rotar una clave de cifrado de base de datos de contenedores autónoma

use autonomous-container-databases

inspect autonomous-container-databases

Terminación de una base de datos de contenedores autónoma

manage autonomous-container-databases

use cloud-exadata-infrastructures si crea la base de datos de contenedores autónoma en Oracle Public Cloud y Multinube.

use cloud-autonomous-vmclusters si crea la base de datos de contenedores autónoma en Oracle Public Cloud y Multinube.

use autonomous-vmclusters si se crea la base de datos de contenedores autónoma en Exadata Cloud at Customer.

Políticas para gestionar la configuración de Autonomous Data Guard

En la siguiente tabla se muestran las políticas de IAM necesarias para que un usuario de la nube realice operaciones de gestión en configuraciones de Autonomous Data Guard.

Operación Políticas de IAM necesarias

Ver la asociación de Autonomous Data Guard a una ACD.

inspect autonomous-container-databases

Muestre las bases de datos de contenedor autónomas activadas con Autonomous Data Guard asociado a la base de datos de contenedor autónoma o a la instancia de Autonomous Database especificada.

inspect autonomous-container-databases

Vuelva a instanciar la base de datos en espera desactivada en una ACD en espera activa.

inspect autonomous-container-databases

update autonomous-container-databases

Cambiar roles de las ACD principales y en espera.

inspect autonomous-container-databases

update autonomous-container-databases

Failover a la ACD en espera. Esta ACD en espera se convertirá en la nueva ACD principal cuando el failover se complete correctamente.

inspect autonomous-container-databases

update autonomous-container-databases

Modifique la configuración de Autonomous Data Guard, como el modo de protección, el failover automático y el límite de demora de failover de inicio rápido.

inspect autonomous-container-databases

update autonomous-container-databases

Obtener una base de datos con Autonomous Data Guard activado asociada a la instancia de Autonomous Database especificada.

inspect autonomous-container-databases

Mostrar asociaciones de Data Guard de Autonomous Database.

inspect autonomous-container-databases

Active Autonomous Data Guard en una ACD.

inspect cloud-autonomous-vmclusters O inspect autonomous-vmclusters

inspect autonomous-container-databases

update autonomous-container-databases

Convierta la ACD en espera entre la ACD física en espera y la de instantánea en espera.

inspect cloud-autonomous-vmclusters O inspect autonomous-vmclusters

inspect autonomous-container-databases

update autonomous-container-databases

Políticas para gestionar Autonomous Database

En la siguiente tabla se muestran las políticas de IAM necesarias para que un usuario de la nube realice operaciones de gestión en Autonomous Database.

Operación Políticas de IAM necesarias

Crear una instancia de Autonomous Database

manage autonomous-databases

read autonomous-container-databases

Visualización de una lista de instancias de Autonomous Database

inspect autonomous-databases

Visualización de detalles de una instancia de Autonomous Database

inspect autonomous-databases

Definir la contraseña del usuario ADMIN de una instancia de Autonomous Database

use autonomous-databases

Escalar el recuento de núcleos de CPU o el almacenamiento de una instancia de Autonomous Database

use autonomous-databases

Activación o desactivación de la escala automática para una instancia de Autonomous Database

use autonomous-databases

Traslado de una instancia de Autonomous Database a otro compartimento

use autonomous-databases en el compartimento actual de la instancia de Autonomous Database y en el compartimento al que la va a mover

read autonomous-backups

Parada o inicio de una instancia de Autonomous Database

use autonomous-databases

Reinicio de una instancia de Autonomous Database

use autonomous-databases

Copia de seguridad manual de una instancia de Autonomous Database

read autonomous-databases

manage autonomous-backups

Restauración de una instancia de Autonomous Database

use autonomous-databases

read autonomous-backups

Copia de una instancia de Autonomous Database

manage autonomous-databases

read autonomous-container-databases

Terminación de una instancia de Autonomous Database

manage autonomous-databases