Políticas de IAM para Autonomous AI Database en infraestructura de Exadata dedicada

En este artículo se muestran las políticas de la IAM necesarias para gestionar los recursos de infraestructura de Autonomous AI Database en una infraestructura de Exadata dedicada.

Oracle Autonomous AI Database on Dedicated Exadata Infrastructure relies on the IAM (Identity and Access Management) service to authenticate and authorize cloud users to perform operations that use any of the Oracle Cloud Infrastructure interfaces (the console, REST API, CLI, or SDK). El servicio IAM utiliza grupos, compartimentos y políticas para controlar qué usuarios en la nube pueden acceder a qué recursos.

Temas relacionados

Control de acceso en una base de datos de IA autónoma en una infraestructura de Exadata dedicada

Detalles de política para la base de datos de IA autónoma

En este tema, se tratan los detalles de las políticas de escritura para controlar el acceso a los recursos de una base de datos de IA autónoma.

Una política define qué tipo de acceso tiene un grupo de usuarios a un recurso específico en un compartimento individual. Para obtener más información, consulte Introducción a las políticas.

Sugerencia:

Para una política de ejemplo, consulte Permitir que los administradores de conjuntos y bases de datos gestionen base de datos de IA autónoma.

Tipos de recursos

Un tipo de recurso agregado cubre la lista de tipos de recursos individuales que le siguen directamente. Por ejemplo, escribir una política para permitir que un grupo tenga acceso a autonomous-database-family es equivalente a escribir cuatro políticas independientes para el grupo que otorguen acceso a los tipos de recursos autonomous-databases, autonomous-backups, autonomous-container-databases y cloud-autonomous-vmclusters . Para obtener más información, consulte Tipos de recursos.

Tipos de recursos para la base de datos de IA autónoma

Tipo de recurso agregado:

autonomous-database-family

Tipos de recursos individuales:

autonomous-databases

autonomous-backups

autonomous-container-databases

cloud-autonomous-vmclusters (solo despliegues de Oracle Public Cloud)

autonomous-vmclusters (solo despliegues de Oracle Exadata Cloud@Customer)

autonomous-virtual-machine

Sugerencia:

Los tipos de recursos cloud-exadata-infrastructures y exadata-infrastructures necesarios para aprovisionar Autonomous AI Database en Oracle Public Cloud y Exadata Cloud@Customer, respectivamente, están cubiertos por el tipo de recurso agregado database-family. Para obtener más información sobre los recursos que abarca database-family, consulte Detalles de política para las instancias deExadata Cloud Service y Detalles de política para Base Database Service.

Variables soportadas

Las variables generales están soportadas. Consulte Variables generales para todas las solicitudes para obtener más información.

Además, puede utilizar la variable target.workloadType, como se muestra en la siguiente tabla:

Valor de target.workloadType	Descripción
`OLTP`	Procesamiento de transacciones en línea; se utiliza para la base de datos de IA autónoma con la carga de trabajo de Autonomous Transaction Processing.
`DW`	Almacén de datos, que se utiliza para base de datos de IA autónoma con carga de trabajo de Autonomous Data Warehouse.

Política de ejemplo con la variable target.workloadType:

Allow group ADB-Admins 
to manage autonomous-database 
in tenancy where target.workloadType = 'workload_type'

Detalles de las combinaciones de verbo + tipo de recurso

El nivel de acceso es acumulativo a medida que pasa de inspect > read > use > manage. Un signo más (+) en una celda de la tabla indica un acceso incremental en comparación con la celda situada directamente encima, mientras que "sin extra" indica que no hay un acceso incremental.

Por ejemplo, el verbo read para el tipo de recurso autonomous-databases abarca los mismos permisos y operaciones de API que el verbo inspect, además del permiso AUTONOMOUS_DATABASE_CONTENT_READ. El verbo read abarca parcialmente la operación CreateAutonomousDatabaseBackup, que también necesita gestionar permisos para autonomous-backups.

En las siguientes tablas, se muestran los permisos y las operaciones de API cubiertas por cada verbo. Para obtener información sobre los permisos, consulte Permisos.

Para tipos de recursos autonomous-database-familia

Note:

La familia de recursos cubierta por autonomous-database-family se puede utilizar para otorgar acceso a recursos de base de datos asociados a todos los tipos del trabajo de base de datos de IA autónoma.

autonomous-databases

Verbos	Permisos	API totalmente cubiertas	API parcialmente cubiertas
inspect	`AUTONOMOUS_DATABASE_INSPECT`	`GetAutonomousDatabase, ListAutonomousDatabases`	Ninguno
read	`INSPECT +` `AUTONOMOUS_DATABASE_CONTENT_READ`	sin extra	`CreateAutonomousDatabaseBackup` (también necesita `manage autonomous-backups`)
use	`READ +` `AUTONOMOUS_DATABASE_CONTENT_WRITE` `AUTONOMOUS_DATABASE_UPDATE`	`UpdateAutonomousDatabase`	`RestoreAutonomousDatabase` (también necesita `read autonomous-backups`) `ChangeAutonomousDatabaseCompartment` (también necesita `read autonomous-backups`)
manage	`USE +` `AUTONOMOUS_DATABASE_CREATE` `AUTONOMOUS_DATABASE_DELETE`	`CreateAutonomousDatabase`	Ninguno

copias de seguridad autónomas

Verbos	Permisos	API totalmente cubiertas	API parcialmente cubiertas
inspect	`AUTONOMOUS_DB_BACKUP_INSPECT`	`ListAutonomousDatabaseBackups, GetAutonomousDatabaseBackup`	Ninguno
read	`INSPECT +` `AUTONOMOUS_DB_BACKUP_CONTENT_READ`	sin extra	`RestoreAutonomousDatabase` (también necesita `use autonomous-databases`) `ChangeAutonomousDatabaseCompartment` (también necesita `use autonomous-databases`)
use	READ + sin extra	sin extra	Ninguno
manage	`USE +` `AUTONOMOUS_DB_BACKUP_CREATE` `AUTONOMOUS_DB_BACKUP_DELETE`	`DeleteAutonomousDatabaseBackup`	`CreateAutonomousDatabaseBackup` (también necesita `read autonomous-databases`)

autonomous-container-databases

Verbos	Permisos	API totalmente cubiertas	API parcialmente cubiertas
inspect	`AUTONOMOUS_CONTAINER_DATABASE_INSPECT`	`ListAutonomousContainerDatabases, GetAutonomousContainerDatabase`	Ninguno
read	INSPECT + sin extra	sin extra	Ninguno
use	READ + `AUTONOMOUS_CONTAINER_DATABASE_UPDATE`	`UpdateAutonomousContainerDatabase` `ChangeAutonomousContainerDatabaseCompartment`	`CreateAutonomousDatabase` (también necesita `manage autonomous-databases`)
manage	`USE +` `AUTONOMOUS_CONTAINER_DATABASE_CREATE` `AUTONOMOUS_CONTAINER_DATABASE_DELETE`	sin extra	`CreateAutonomousContainerDatabase, TerminateAutonomousContainerDatabase` (ambos necesitan también `use cloud-autonomous-vmclusters, use cloud-exadata-infrastructures`)

cloud-autonomous-vmclusters

Verbos	Permisos	API totalmente cubiertas	API parcialmente cubiertas
inspect	`CLOUD_AUTONOMOUS_VM_CLUSTER_INSPECT`	`ListCloudAutonomousVmClusters` `GetCloudAutonomousVmCluster`	Ninguno
read	`INSPECT +` sin extra	sin extra	Ninguno
use	READ + `CLOUD_AUTONOMOUS_VM_CLUSTER_UPDATE`	`UpdateCloudAutonomousVmCluster` `ChangeCloudAutonomousVmClusterCompartment`	`CreateAutonomousDatabase` (también necesita `manage autonomous-databases`) `CreateAutonomousContainerDatabase` (también necesita `manage autonomous-container-databases`)
manage	`USE +` `CLOUD_AUTONOMOUS_VM_CLUSTER_CREATE` `CLOUD_AUTONOMOUS_VM_CLUSTER_DELETE`	sin extra	`CreateCloudAutonomousVmCluster, DeleteCloudAutonomousVmCluster` (ambos también necesitan `use vnics, use subnets, use cloud-exadata-infrastructures`)

autonomous-vmclusters

Verbos	Permisos	API totalmente cubiertas	API parcialmente cubiertas
inspect	`AUTONOMOUS_VM_CLUSTER_INSPECT`	`ListAutonomousVmClusters` `GetAutonomousVmCluster`	`ChangeAutonomousVmClusterCompartment`
read	INSPECT + sin extra	sin extra	Ninguno
use	`READ` + `AUTONOMOUS_VM_CLUSTER_UPDATE`	`ChangeAutonomousVmClusterCompartment`	`UpdateAutonomousVmCluster` `CreateAutonomousContainerDatabase` `TerminateAutonomousContainerDatabase`
manage	`USE` + `AUTONOMOUS_VM_CLUSTER_CREATE` + `AUTONOMOUS_VM_CLUSTER_DELETE`	`DeleteAutonomousVmCluster`	`CreateAutonomousVmCluster`

máquina virtual autónoma

Verbos Permisos API totalmente cubiertas API parcialmente cubiertas

inspect

Verbos	Permisos	API totalmente cubiertas	API parcialmente cubiertas
inspect	`AUTONOMOUS_VIRTUAL_MACHINE_INSPECT`	`GetAutonomousVirtualMachine` `ListAutonomousVirtualMachines`	Ninguno

AUTONOMOUS_VIRTUAL_MACHINE_INSPECT

GetAutonomousVirtualMachine

ListAutonomousVirtualMachines

Ninguno

Permisos necesarios para cada operación de API

La base de datos de contenedores autónoma (ACD) y la base de datos de IA autónoma (ADB) son recursos comunes entre los despliegues de Oracle Public Cloud, Multicloud y Exadata Cloud@Customer. Por lo tanto, sus permisos son los mismos para ambos despliegues en la siguiente tabla.

Sin embargo, determinadas operaciones de ACD requieren permisos de nivel de AVMC y, dado que los recursos de AVMC son diferentes para Oracle Public Cloud y Exadata Cloud@Customer, necesita permisos diferentes en cada tipo de despliegue. Por ejemplo, para crear una ACD, necesita:

Permisos AUTONOMOUS_VM_CLUSTER_UPDATE y AUTONOMOUS_CONTAINER_DATABASE_CREATE en Exadata Cloud@Customer.
Permisos CLOUD_AUTONOMOUS_VM_CLUSTER_UPDATE y AUTONOMOUS_CONTAINER_DATABASE_CREATE en Oracle Public Cloud y Multinube.

Para obtener información sobre los permisos, consulte Permisos.

En el siguiente tabla se muestran las operaciones del API para los recursos de Autonomous AI Database en un orden lógico, agrupadas por tipo de recurso.

Operaciones de API de Autonomous AI Database

Puede utilizar la API para ver y gestionar los diferentes recursos de infraestructura de una base de datos de IA autónoma. Consulte Referencia de API para Autonomous AI Database en una infraestructura de Exadata dedicada para obtener una lista de puntos finales de API de REST para gestionar diferentes recursos de Autonomous AI Database.

Limitación del acceso de usuario a permisos específicos

El acceso de usuario se define en las sentencias de política de IAM. Cuando crea una sentencia de política que otorga a un grupo acceso a un determinado verbo y tipo de recurso, en realidad otorga a ese grupo acceso a uno o más permisos de IAM predefinidos. El propósito de los verbos es simplificar el proceso de concesión de varios permisos relacionados.

Si desea permitir o denegar permisos de IAM específicos, agregue una condición where a la sentencia de política. Por ejemplo, para permitir que un grupo de conjuntos realice cualquier operación en los recursos de infraestructura de Exadata excepto suprimirlos, debe crear esta sentencia de política:

Allow group FleetAdmins to manage cloud-exadata-infrastructures in tenancy where request.permission != 'CLOUD_EXADATA_INFRASTRUCTURE_DELETE'

A continuación, podría permitir a un grupo más pequeño de administradores de conjunto realizar cualquier operación (incluida la supresión) en recursos de infraestructura de Exadata omitiendo la condición where:

Allow group FleetSuperAdmins to manage cloud-exadata-infrastructures in tenancy

Para obtener más información sobre el uso de la condición where de esta forma, consulte la sección "Delimitación del ámbito de acceso mediante permisos u operaciones de API" de Permisos.

Políticas para gestionar recursos de infraestructura de Exadata

En la siguiente tabla se muestran las políticas de IAM necesarias para que un usuario de la nube realice operaciones de gestión en recursos de infraestructura de Exadata.

Operación	Políticas de IAM necesarias en Oracle Public Cloud y en la multinube	Políticas de IAM necesarias en Exadata Cloud@Customer
Creación de un recurso de infraestructura de Exadata	`manage cloud-exadata-infrastructures` `use vnic` `use subnet`	`manage exadata-infrastructures`
Visualización de una lista de recursos de infraestructura de Exadata	`inspect cloud-exadata-infrastructures`	`inspect exadata-infrastructures`
Visualización de detalles de un recurso de infraestructura de Exadata	`inspect cloud-exadata-infrastructures`	`inspect exadata-infrastructures`
Cambio del programa de mantenimiento de un recurso de infraestructura de Exadata	`use cloud-exadata-infrastructures`	`use exadata-infrastructures`
Traslado de un recurso de infraestructura de Exadata a otro compartimento	`use cloud-exadata-infrastructures`	`use exadata-infrastructures`
Gestión de certificados de seguridad para un recurso de infraestructura de Exadata	`manage cloud-exadata-infrastructures`	`manage exadata-infrastructures`
Terminar un recurso de infraestructura de Exadata	`manage cloud-exadata-infrastructures` `use vnic` `use subnet`	`manage exadata-infrastructures`

Políticas para gestionar clusters de VM de Exadata autónomos

En la siguiente tabla, se muestran las políticas de IAM necesarias para que un usuario de la nube realice operaciones de gestión en clusters de VM de Exadata autónomos.

Operación	Políticas de IAM necesarias en Oracle Public Cloud y en la multinube	Políticas de IAM necesarias en Exadata Cloud@Customer
Creación de un cluster de VM de Exadata autónomo	`manage cloud-autonomous-vmclusters` `use cloud-exadata-infrastructures`	`manage autonomous-vmclusters` `use exadata-infrastructures`
Visualización de una lista de los clusters de VM de Exadata autónomos	`inspect cloud-autonomous-vmclusters`	`inspect autonomous-vmclusters`
Visualización de detalles de un cluster de VM de Exadata autónomo	`inspect cloud-autonomous-vmclusters`	`inspect autonomous-vmclusters`
Cambio del tipo de licencia de un cluster de VM autónomo	No aplicable	`use autonomous-vmclusters` `inspect exadata-infrastructures`
Traslado de un cluster de VM de Exadata autónomo a otro compartimento	`use cloud-autonomous-vmclusters`	`use autonomous-vmclusters`
Terminación de un cluster de VM de Exadata autónomo	`manage cloud-autonomous-vmclusters`	`manage autonomous-vmclusters`

Políticas para gestionar bases de datos de contenedores autónomas

En la siguiente tabla se muestran las políticas de IAM necesarias para que un usuario de la nube realice operaciones de gestión en bases de datos de contenedores autónomas (ACD).

Operación	Políticas de IAM necesarias
Creación de una base de datos de contenedores autónoma	`manage autonomous-container-databases` `use cloud-exadata-infrastructures` si crea la base de datos de contenedores autónoma en Oracle Public Cloud y Multinube. `use cloud-autonomous-vmclusters` si crea la base de datos de contenedores autónoma en Oracle Public Cloud y Multinube. `use autonomous-vmclusters` si se crea la base de datos de contenedores autónoma en Exadata Cloud at Customer. `use backup-destinations` si se crea la base de datos de contenedores autónoma en Exadata Cloud at Customer.
Visualización de una lista de las bases de datos de contenedores autónomas	`inspect autonomous-container-databases`
Visualización de detalles de una base de datos de contenedores autónoma	`inspect autonomous-container-databases`
Cambio de la política de retención de copias de seguridad de una base de datos de contenedores autónoma	`use autonomous-container-databases`
Edición de las preferencias de mantenimiento de una base de datos de contenedores autónoma	`use autonomous-container-databases`
Reinicio de una base de datos de contenedores autónoma	`use autonomous-container-databases`
Traslado de una base de datos de contenedores autónoma a otro compartimento	`use autonomous-container-databases`
Rotar una clave de cifrado de base de datos de contenedores autónoma	`use autonomous-container-databases` `inspect autonomous-container-databases`
Terminación de una base de datos de contenedores autónoma	`manage autonomous-container-databases` `use cloud-exadata-infrastructures` si crea la base de datos de contenedores autónoma en Oracle Public Cloud y Multinube. `use cloud-autonomous-vmclusters` si crea la base de datos de contenedores autónoma en Oracle Public Cloud y Multinube. `use autonomous-vmclusters` si se crea la base de datos de contenedores autónoma en Exadata Cloud at Customer.

Políticas para gestionar la configuración de Autonomous Data Guard

En la siguiente tabla se muestran las políticas de IAM necesarias para que un usuario de la nube realice operaciones de gestión en configuraciones de Autonomous Data Guard.

Operación	Políticas de IAM necesarias
Ver la asociación de Autonomous Data Guard a una ACD.	`inspect autonomous-container-databases`
Muestre las bases de datos de contenedor autónomas activadas con Autonomous Data Guard asociadas a la base de datos de contenedor autónoma o a la base de datos de IA autónoma especificada.	`inspect autonomous-container-databases`
Vuelva a instanciar la base de datos en espera desactivada en una ACD en espera activa.	`inspect autonomous-container-databases` `update autonomous-container-databases`
Cambiar roles de las ACD principales y en espera.	`inspect autonomous-container-databases` `update autonomous-container-databases`
Failover a la ACD en espera. Esta ACD en espera se convertirá en la nueva ACD principal cuando el failover se complete correctamente.	`inspect autonomous-container-databases` `update autonomous-container-databases`
Modifique la configuración de Autonomous Data Guard, como el modo de protección, el failover automático y el límite de demora de failover de inicio rápido.	`inspect autonomous-container-databases` `update autonomous-container-databases`
Obtener una base de Datos con Autonomous Data Guard activado asociada a la base de Datos de IA autónoma especificada.	`inspect autonomous-container-databases`
Enumere las asociaciones de Data Guard de base de datos de IA autónoma.	`inspect autonomous-container-databases`
Active Autonomous Data Guard en una ACD.	`inspect cloud-autonomous-vmclusters` O `inspect autonomous-vmclusters` `inspect autonomous-container-databases` `update autonomous-container-databases`
Convierta la ACD en espera entre la ACD física en espera y la de instantánea en espera.	`inspect cloud-autonomous-vmclusters` O `inspect autonomous-vmclusters` `inspect autonomous-container-databases` `update autonomous-container-databases`

Políticas para gestionar base de datos de IA autónoma

En la siguiente tabla, se muestran las políticas de IAM necesarias para que un usuario de la nube realice operaciones de gestión en base de datos de IA autónoma.

Operación	Políticas de IAM necesarias
Crear una base de datos de IA autónoma	`manage autonomous-databases` `read autonomous-container-databases`
Visualización de una lista de base de datos de IA autónoma	`inspect autonomous-databases`
Ver detalles de una base de datos de IA autónoma	`inspect autonomous-databases`
Definir la contraseña del usuario ADMIN de una base de datos de IA autónoma	`use autonomous-databases`
Escala el recuento de núcleos de CPU o el almacenamiento de una base de datos de IA autónoma	`use autonomous-databases`
Activar o desactivar la escala automática para una base de datos de IA autónoma	`use autonomous-databases`
Mover una base de datos de IA autónoma a otro compartimento	`use autonomous-databases` en el compartimento actual de la base de datos de IA autónoma y en el compartimento al que la está moviendo `read autonomous-backups`
Detener o iniciar una base de datos de IA autónoma	`use autonomous-databases`
Reiniciar una base de datos de IA autónoma	`use autonomous-databases`
Realice una copia de seguridad de una base de datos de IA autónoma manualmente	`read autonomous-databases` `manage autonomous-backups`
Restaurar una base de datos de IA autónoma	`use autonomous-databases` `read autonomous-backups`
Clonar una base de datos de IA autónoma	`manage autonomous-databases` `read autonomous-container-databases`
Terminación de una base de datos de IA autónoma	`manage autonomous-databases`

Título e Información de Copyright

Oracle y/o sus filiales.