Políticas de IAM para Autonomous Database en infraestructura de Exadata dedicada
En este artículo se muestran las políticas de IAM necesarias para gestionar los recursos de infraestructura de Autonomous Database en una infraestructura de Exadata dedicada.
Oracle Autonomous Database on Dedicated Exadata Infrastructure se basa en el servicio IAM (Identity and Access Management) para autenticar y autorizar a los usuarios en la nube a realizar operaciones que utilizan cualquiera de las interfaces de Oracle Cloud Infrastructure (la consola, la API de REST, la CLI o el SDK). El servicio IAM utiliza grupos, compartimentos, y políticas para controlar qué usuarios en la nube pueden acceder a qué recursos.
Detalles de políticas para Autonomous Database
En este tema, se tratan los detalles de la escritura de políticas para controlar el acceso a los recursos de Autonomous Database.
Sugerencia:
Para ver una política de ejemplo, consulte Permitir a los administradores de bases de datos y de conjuntos gestionar Autonomous Databases.Tipos de recursos
Un tipo de recurso agregado cubre la lista de tipos de recursos individuales que le siguen directamente. Por ejemplo, escribir una política para permitir que un grupo tenga acceso a autonomous-database-family
es equivalente a escribir cuatro políticas independientes para el grupo que otorguen acceso a los tipos de recursos autonomous-databases
, autonomous-backups
, autonomous-container-databases
y cloud-autonomous-vmclusters
. Para obtener más información, consulte Tipos de recursos.
Tipo de recurso agregado:
autonomous-database-family
Tipos de recursos individuales:
autonomous-databases
autonomous-backups
autonomous-container-databases
cloud-autonomous-vmclusters
(solo despliegues de Oracle Public Cloud)
autonomous-vmclusters
(solo despliegues de Oracle Exadata Cloud@Customer)
autonomous-virtual-machine
Sugerencia:
Los tipos de recursoscloud-exadata-infrastructures
y exadata-infrastructures
necesarios para aprovisionar Autonomous Database en Oracle Public Cloud y Exadata Cloud@Customer respectivamente están cubiertos por el tipo de recurso agregado database-family
. Para obtener más información sobre los recursos que abarca database-family
, consulte Detalles de política de las instancias de Exadata Cloud Service y Detalles de política de Base Database Service.
Variables soportadas
Las variables generales están soportadas. Consulte Variables generales para todas las solicitudes para obtener más información.
Además, puede utilizar la variable target.workloadType
, como se muestra en la siguiente tabla:
Valor de target.workloadType | Descripción |
---|---|
OLTP |
Procesamiento de transacciones en línea; se utiliza para instancias de Autonomous Database con carga de trabajo de Autonomous Transaction Processing. |
DW |
Data Warehouse, que se utiliza para instancias de Autonomous Database con cargas de trabajo de Autonomous Data Warehouse. |
Allow group ADB-Admins
to manage autonomous-database
in tenancy where target.workloadType = 'workload_type'
Detalles de las combinaciones de verbo + tipo de recurso
El nivel de acceso es acumulativo a medida que pasa de inspect > read > use > manage
. Un signo más (+) en una celda de la tabla indica un acceso incremental en comparación con la celda situada directamente encima, mientras que "sin extra" indica que no hay un acceso incremental.
Por ejemplo, el verbo read
para el tipo de recurso autonomous-databases
abarca los mismos permisos y operaciones de API que el verbo inspect
, además del permiso AUTONOMOUS_DATABASE_CONTENT_READ. El verbo read
abarca parcialmente la operación CreateAutonomousDatabaseBackup
, que también necesita gestionar permisos para autonomous-backups
.
En las siguientes tablas, se muestran los permisos y las operaciones de API cubiertas por cada verbo. Para obtener información sobre los permisos, consulte Permisos.
Note:
La familia de recursos que abarca autonomous-database-family se puede utilizar para otorgar acceso a los recursos de base de datos asociados a todos los tipos de carga de trabajo de Autonomous Database.Verbos | Permisos | API totalmente cubiertas | API parcialmente cubiertas |
---|---|---|---|
inspect |
|
|
Ninguno |
read |
|
sin extra |
|
use |
|
|
|
manage |
|
|
Ninguno |
Verbos | Permisos | API totalmente cubiertas | API parcialmente cubiertas |
---|---|---|---|
inspect |
|
|
Ninguno |
read |
|
sin extra |
|
use |
READ + sin extra |
sin extra |
Ninguno |
manage |
|
|
|
Verbos | Permisos | API totalmente cubiertas | API parcialmente cubiertas |
---|---|---|---|
inspect |
|
|
Ninguno |
read |
INSPECT + sin extra |
sin extra |
Ninguno |
use |
READ +
|
|
|
manage |
|
sin extra |
|
Verbos | Permisos | API totalmente cubiertas | API parcialmente cubiertas |
---|---|---|---|
inspect |
|
|
Ninguno |
read |
sin extra |
sin extra |
Ninguno |
use |
READ +
|
|
|
manage |
|
sin extra |
(ambos también necesitan |
autonomous-vmclusters
Verbos | Permisos | API totalmente cubiertas | API parcialmente cubiertas |
---|---|---|---|
inspect |
|
|
|
read |
INSPECT + sin extra |
sin extra |
Ninguno |
use |
|
|
|
manage |
|
|
|
Verbos | Permisos | API totalmente cubiertas | API parcialmente cubiertas |
---|---|---|---|
inspect | AUTONOMOUS_VIRTUAL_MACHINE_INSPECT |
|
Ninguno |
Permisos necesarios para cada operación de API
La base de datos de contenedores autónoma (ACD) y Autonomous Database (ADB) son recursos comunes entre los despliegues de Oracle Public Cloud, Multicloud y Exadata Cloud@Customer. Por lo tanto, sus permisos son los mismos para ambos despliegues en la siguiente tabla.
-
Permisos AUTONOMOUS_VM_CLUSTER_UPDATE y AUTONOMOUS_CONTAINER_DATABASE_CREATE en Exadata Cloud@Customer.
-
Permisos CLOUD_AUTONOMOUS_VM_CLUSTER_UPDATE y AUTONOMOUS_CONTAINER_DATABASE_CREATE en Oracle Public Cloud y Multinube.
Para obtener información sobre los permisos, consulte Permisos.
En la siguiente tabla se muestran las operaciones de API para los recursos de Autonomous Database en orden lógico, agrupadas por tipo de recurso.
Puede utilizar la API para ver y gestionar los diferentes recursos de infraestructura de una instancia de Autonomous Database. Consulte Referencia de API para Autonomous Database on Dedicated Exadata Infrastructure para obtener una lista de puntos finales de API de REST para gestionar diferentes recursos de Autonomous Database.
El acceso de usuario se define en las sentencias de política de IAM. Cuando crea una sentencia de política que otorga a un grupo acceso a un determinado verbo y tipo de recurso, en realidad otorga a ese grupo acceso a uno o más permisos de IAM predefinidos. El propósito de los verbos es simplificar el proceso de concesión de varios permisos relacionados.
Si desea permitir o denegar permisos de IAM específicos, agregue una condición where
a la sentencia de política. Por ejemplo, para permitir que un grupo de conjuntos realice cualquier operación en los recursos de infraestructura de Exadata excepto suprimirlos, debe crear esta sentencia de política:
Allow group FleetAdmins to manage cloud-exadata-infrastructures in tenancy where request.permission != 'CLOUD_EXADATA_INFRASTRUCTURE_DELETE'
A continuación, podría permitir a un grupo más pequeño de administradores de conjunto realizar cualquier operación (incluida la supresión) en recursos de infraestructura de Exadata omitiendo la condición where
:
Allow group FleetSuperAdmins to manage cloud-exadata-infrastructures in tenancy
Para obtener más información sobre el uso de la condición where
de esta forma, consulte la sección "Delimitación del ámbito de acceso mediante permisos u operaciones de API" de Permisos.
Políticas para gestionar recursos de infraestructura de Exadata
En la siguiente tabla se muestran las políticas de IAM necesarias para que un usuario de la nube realice operaciones de gestión en recursos de infraestructura de Exadata.
Operación | Políticas de IAM necesarias en Oracle Public Cloud y en la multinube | Políticas de IAM necesarias en Exadata Cloud@Customer |
---|---|---|
Creación de un recurso de infraestructura de Exadata |
|
|
Visualización de una lista de recursos de infraestructura de Exadata |
|
|
Visualización de detalles de un recurso de infraestructura de Exadata |
|
|
Cambio del programa de mantenimiento de un recurso de infraestructura de Exadata |
|
|
Traslado de un recurso de infraestructura de Exadata a otro compartimento |
|
|
Gestión de certificados de seguridad para un recurso de infraestructura de Exadata |
|
|
Terminar un recurso de infraestructura de Exadata |
|
|
Políticas para gestionar clusters de VM de Exadata autónomos
En la siguiente tabla, se muestran las políticas de IAM necesarias para que un usuario de la nube realice operaciones de gestión en clusters de VM de Exadata autónomos.
Operación | Políticas de IAM necesarias en Oracle Public Cloud y en la multinube | Políticas de IAM necesarias en Exadata Cloud@Customer |
---|---|---|
Creación de un cluster de VM de Exadata autónomo |
|
|
Visualización de una lista de los clusters de VM de Exadata autónomos |
|
|
Visualización de detalles de un cluster de VM de Exadata autónomo |
|
|
Cambio del tipo de licencia de un cluster de VM autónomo |
No aplicable |
|
Traslado de un cluster de VM de Exadata autónomo a otro compartimento |
|
|
Terminación de un cluster de VM de Exadata autónomo |
|
|
Políticas para gestionar bases de datos de contenedores autónomas
En la siguiente tabla se muestran las políticas de IAM necesarias para que un usuario de la nube realice operaciones de gestión en bases de datos de contenedores autónomas (ACD).
Operación | Políticas de IAM necesarias |
---|---|
Creación de una base de datos de contenedores autónoma |
|
Visualización de una lista de las bases de datos de contenedores autónomas |
|
Visualización de detalles de una base de datos de contenedores autónoma |
|
Cambio de la política de retención de copias de seguridad de una base de datos de contenedores autónoma |
|
Edición de las preferencias de mantenimiento de una base de datos de contenedores autónoma |
|
Reinicio de una base de datos de contenedores autónoma |
|
Traslado de una base de datos de contenedores autónoma a otro compartimento |
|
Rotar una clave de cifrado de base de datos de contenedores autónoma |
|
Terminación de una base de datos de contenedores autónoma |
|
Políticas para gestionar la configuración de Autonomous Data Guard
En la siguiente tabla se muestran las políticas de IAM necesarias para que un usuario de la nube realice operaciones de gestión en configuraciones de Autonomous Data Guard.
Operación | Políticas de IAM necesarias |
---|---|
Ver la asociación de Autonomous Data Guard a una ACD. |
|
Muestre las bases de datos de contenedor autónomas activadas con Autonomous Data Guard asociado a la base de datos de contenedor autónoma o a la instancia de Autonomous Database especificada. |
|
Vuelva a instanciar la base de datos en espera desactivada en una ACD en espera activa. |
|
Cambiar roles de las ACD principales y en espera. |
|
Failover a la ACD en espera. Esta ACD en espera se convertirá en la nueva ACD principal cuando el failover se complete correctamente. |
|
Modifique la configuración de Autonomous Data Guard, como el modo de protección, el failover automático y el límite de demora de failover de inicio rápido. |
|
Obtener una base de datos con Autonomous Data Guard activado asociada a la instancia de Autonomous Database especificada. |
|
Mostrar asociaciones de Data Guard de Autonomous Database. |
|
Active Autonomous Data Guard en una ACD. |
|
Convierta la ACD en espera entre la ACD física en espera y la de instantánea en espera. |
|
Políticas para gestionar Autonomous Database
En la siguiente tabla se muestran las políticas de IAM necesarias para que un usuario de la nube realice operaciones de gestión en Autonomous Database.
Operación | Políticas de IAM necesarias |
---|---|
Crear una instancia de Autonomous Database |
|
Visualización de una lista de instancias de Autonomous Database |
|
Visualización de detalles de una instancia de Autonomous Database |
|
Definir la contraseña del usuario ADMIN de una instancia de Autonomous Database |
|
Escalar el recuento de núcleos de CPU o el almacenamiento de una instancia de Autonomous Database |
|
Activación o desactivación de la escala automática para una instancia de Autonomous Database |
|
Traslado de una instancia de Autonomous Database a otro compartimento |
|
Parada o inicio de una instancia de Autonomous Database |
|
Reinicio de una instancia de Autonomous Database |
|
Copia de seguridad manual de una instancia de Autonomous Database |
|
Restauración de una instancia de Autonomous Database |
|
Copia de una instancia de Autonomous Database |
|
Terminación de una instancia de Autonomous Database |
|