Políticas de IAM para Autonomous Database en infraestructura de Exadata dedicada

En este artículo se muestran las políticas de IAM necesarias para gestionar los recursos de infraestructura de Autonomous Database en una infraestructura de Exadata dedicada.

Oracle Autonomous Database on Dedicated Exadata Infrastructure se basa en el servicio IAM (Identity and Access Management) para autenticar y autorizar a los usuarios en la nube a realizar operaciones que utilizan cualquiera de las interfaces de Oracle Cloud Infrastructure (la consola, la API de REST, la CLI o el SDK). El servicio IAM utiliza grupos, compartimentos, y políticas para controlar qué usuarios en la nube pueden acceder a qué recursos.

Temas relacionados

Control de acceso en Autonomous Database en infraestructura de Exadata dedicada

Detalles de políticas para Autonomous Database

En este tema, se tratan los detalles de la escritura de políticas para controlar el acceso a los recursos de Autonomous Database.

Una política define qué tipo de acceso tiene un grupo de usuarios a un recurso específico en un compartimento individual. Para obtener más información, consulte Introducción a las políticas.

Sugerencia:

Para ver una política de ejemplo, consulte Permitir a los administradores de bases de datos y de conjuntos gestionar Autonomous Databases.

Tipos de recursos

Un tipo de recurso agregado cubre la lista de tipos de recursos individuales que le siguen directamente. Por ejemplo, escribir una política para permitir que un grupo tenga acceso a autonomous-database-family es equivalente a escribir cuatro políticas independientes para el grupo que otorguen acceso a los tipos de recursos autonomous-databases, autonomous-backups, autonomous-container-databases y cloud-autonomous-vmclusters . Para obtener más información, consulte Tipos de recursos.

Tipos de recursos para Autonomous Database

Tipo de recurso agregado:

autonomous-database-family

Tipos de recursos individuales:

autonomous-databases

autonomous-backups

autonomous-container-databases

cloud-autonomous-vmclusters (solo despliegues de Oracle Public Cloud)

autonomous-vmclusters (solo despliegues de Oracle Exadata Cloud@Customer)

autonomous-virtual-machine

Sugerencia:

Los tipos de recursos cloud-exadata-infrastructures y exadata-infrastructures necesarios para aprovisionar Autonomous Database en Oracle Public Cloud y Exadata Cloud@Customer respectivamente están cubiertos por el tipo de recurso agregado database-family. Para obtener más información sobre los recursos que abarca database-family, consulte Detalles de política de las instancias de Exadata Cloud Service y Detalles de política de Base Database Service.

Variables soportadas

Las variables generales están soportadas. Consulte Variables generales para todas las solicitudes para obtener más información.

Además, puede utilizar la variable target.workloadType, como se muestra en la siguiente tabla:

Valor de target.workloadType	Descripción
`OLTP`	Procesamiento de transacciones en línea; se utiliza para instancias de Autonomous Database con carga de trabajo de Autonomous Transaction Processing.
`DW`	Data Warehouse, que se utiliza para instancias de Autonomous Database con cargas de trabajo de Autonomous Data Warehouse.

Política de ejemplo con la variable target.workloadType:

Allow group ADB-Admins 
to manage autonomous-database 
in tenancy where target.workloadType = 'workload_type'

Detalles de las combinaciones de verbo + tipo de recurso

El nivel de acceso es acumulativo a medida que pasa de inspect > read > use > manage. Un signo más (+) en una celda de la tabla indica un acceso incremental en comparación con la celda situada directamente encima, mientras que "sin extra" indica que no hay un acceso incremental.

Por ejemplo, el verbo read para el tipo de recurso autonomous-databases abarca los mismos permisos y operaciones de API que el verbo inspect, además del permiso AUTONOMOUS_DATABASE_CONTENT_READ. El verbo read abarca parcialmente la operación CreateAutonomousDatabaseBackup, que también necesita gestionar permisos para autonomous-backups.

En las siguientes tablas, se muestran los permisos y las operaciones de API cubiertas por cada verbo. Para obtener información sobre los permisos, consulte Permisos.

Para tipos de recursos autonomous-database-familia

Note:

La familia de recursos que abarca autonomous-database-family se puede utilizar para otorgar acceso a los recursos de base de datos asociados a todos los tipos de carga de trabajo de Autonomous Database.

autonomous-databases

Verbos	Permisos	API totalmente cubiertas	API parcialmente cubiertas
inspect	`AUTONOMOUS_DATABASE_INSPECT`	`GetAutonomousDatabase, ListAutonomousDatabases`	Ninguno
read	`INSPECT +` `AUTONOMOUS_DATABASE_CONTENT_READ`	sin extra	`CreateAutonomousDatabaseBackup` (también necesita `manage autonomous-backups`)
use	`READ +` `AUTONOMOUS_DATABASE_CONTENT_WRITE` `AUTONOMOUS_DATABASE_UPDATE`	`UpdateAutonomousDatabase`	`RestoreAutonomousDatabase` (también necesita `read autonomous-backups`) `ChangeAutonomousDatabaseCompartment` (también necesita `read autonomous-backups`)
manage	`USE +` `AUTONOMOUS_DATABASE_CREATE` `AUTONOMOUS_DATABASE_DELETE`	`CreateAutonomousDatabase`	Ninguno

copias de seguridad autónomas

Verbos	Permisos	API totalmente cubiertas	API parcialmente cubiertas
inspect	`AUTONOMOUS_DB_BACKUP_INSPECT`	`ListAutonomousDatabaseBackups, GetAutonomousDatabaseBackup`	Ninguno
read	`INSPECT +` `AUTONOMOUS_DB_BACKUP_CONTENT_READ`	sin extra	`RestoreAutonomousDatabase` (también necesita `use autonomous-databases`) `ChangeAutonomousDatabaseCompartment` (también necesita `use autonomous-databases`)
use	READ + sin extra	sin extra	Ninguno
manage	`USE +` `AUTONOMOUS_DB_BACKUP_CREATE` `AUTONOMOUS_DB_BACKUP_DELETE`	`DeleteAutonomousDatabaseBackup`	`CreateAutonomousDatabaseBackup` (también necesita `read autonomous-databases`)

autonomous-container-databases

Verbos	Permisos	API totalmente cubiertas	API parcialmente cubiertas
inspect	`AUTONOMOUS_CONTAINER_DATABASE_INSPECT`	`ListAutonomousContainerDatabases, GetAutonomousContainerDatabase`	Ninguno
read	INSPECT + sin extra	sin extra	Ninguno
use	READ + `AUTONOMOUS_CONTAINER_DATABASE_UPDATE`	`UpdateAutonomousContainerDatabase` `ChangeAutonomousContainerDatabaseCompartment`	`CreateAutonomousDatabase` (también necesita `manage autonomous-databases`)
manage	`USE +` `AUTONOMOUS_CONTAINER_DATABASE_CREATE` `AUTONOMOUS_CONTAINER_DATABASE_DELETE`	sin extra	`CreateAutonomousContainerDatabase, TerminateAutonomousContainerDatabase` (ambos necesitan también `use cloud-autonomous-vmclusters, use cloud-exadata-infrastructures`)

cloud-autonomous-vmclusters

Verbos	Permisos	API totalmente cubiertas	API parcialmente cubiertas
inspect	`CLOUD_AUTONOMOUS_VM_CLUSTER_INSPECT`	`ListCloudAutonomousVmClusters` `GetCloudAutonomousVmCluster`	Ninguno
read	`INSPECT +` sin extra	sin extra	Ninguno
use	READ + `CLOUD_AUTONOMOUS_VM_CLUSTER_UPDATE`	`UpdateCloudAutonomousVmCluster` `ChangeCloudAutonomousVmClusterCompartment`	`CreateAutonomousDatabase` (también necesita `manage autonomous-databases`) `CreateAutonomousContainerDatabase` (también necesita `manage autonomous-container-databases`)
manage	`USE +` `CLOUD_AUTONOMOUS_VM_CLUSTER_CREATE` `CLOUD_AUTONOMOUS_VM_CLUSTER_DELETE`	sin extra	`CreateCloudAutonomousVmCluster, DeleteCloudAutonomousVmCluster` (ambos también necesitan `use vnics, use subnets, use cloud-exadata-infrastructures`)

autonomous-vmclusters

Verbos	Permisos	API totalmente cubiertas	API parcialmente cubiertas
inspect	`AUTONOMOUS_VM_CLUSTER_INSPECT`	`ListAutonomousVmClusters` `GetAutonomousVmCluster`	`ChangeAutonomousVmClusterCompartment`
read	INSPECT + sin extra	sin extra	Ninguno
use	`READ` + `AUTONOMOUS_VM_CLUSTER_UPDATE`	`ChangeAutonomousVmClusterCompartment`	`UpdateAutonomousVmCluster` `CreateAutonomousContainerDatabase` `TerminateAutonomousContainerDatabase`
manage	`USE` + `AUTONOMOUS_VM_CLUSTER_CREATE` + `AUTONOMOUS_VM_CLUSTER_DELETE`	`DeleteAutonomousVmCluster`	`CreateAutonomousVmCluster`

máquina virtual autónoma

Verbos Permisos API totalmente cubiertas API parcialmente cubiertas

inspect

Verbos	Permisos	API totalmente cubiertas	API parcialmente cubiertas
inspect	`AUTONOMOUS_VIRTUAL_MACHINE_INSPECT`	`GetAutonomousVirtualMachine` `ListAutonomousVirtualMachines`	Ninguno

AUTONOMOUS_VIRTUAL_MACHINE_INSPECT

GetAutonomousVirtualMachine

ListAutonomousVirtualMachines

Ninguno

Permisos necesarios para cada operación de API

La base de datos de contenedores autónoma (ACD) y Autonomous Database (ADB) son recursos comunes entre los despliegues de Oracle Public Cloud, Multicloud y Exadata Cloud@Customer. Por lo tanto, sus permisos son los mismos para ambos despliegues en la siguiente tabla.

Sin embargo, determinadas operaciones de ACD requieren permisos de nivel de AVMC y, dado que los recursos de AVMC son diferentes para Oracle Public Cloud y Exadata Cloud@Customer, necesita permisos diferentes en cada tipo de despliegue. Por ejemplo, para crear una ACD, necesita:

Permisos AUTONOMOUS_VM_CLUSTER_UPDATE y AUTONOMOUS_CONTAINER_DATABASE_CREATE en Exadata Cloud@Customer.
Permisos CLOUD_AUTONOMOUS_VM_CLUSTER_UPDATE y AUTONOMOUS_CONTAINER_DATABASE_CREATE en Oracle Public Cloud y Multinube.

Para obtener información sobre los permisos, consulte Permisos.

En la siguiente tabla se muestran las operaciones de API para los recursos de Autonomous Database en orden lógico, agrupadas por tipo de recurso.

Operaciones de API de Autonomous Database

Puede utilizar la API para ver y gestionar los diferentes recursos de infraestructura de una instancia de Autonomous Database. Consulte Referencia de API para Autonomous Database on Dedicated Exadata Infrastructure para obtener una lista de puntos finales de API de REST para gestionar diferentes recursos de Autonomous Database.

Limitación del acceso de usuario a permisos específicos

El acceso de usuario se define en las sentencias de política de IAM. Cuando crea una sentencia de política que otorga a un grupo acceso a un determinado verbo y tipo de recurso, en realidad otorga a ese grupo acceso a uno o más permisos de IAM predefinidos. El propósito de los verbos es simplificar el proceso de concesión de varios permisos relacionados.

Si desea permitir o denegar permisos de IAM específicos, agregue una condición where a la sentencia de política. Por ejemplo, para permitir que un grupo de conjuntos realice cualquier operación en los recursos de infraestructura de Exadata excepto suprimirlos, debe crear esta sentencia de política:

Allow group FleetAdmins to manage cloud-exadata-infrastructures in tenancy where request.permission != 'CLOUD_EXADATA_INFRASTRUCTURE_DELETE'

A continuación, podría permitir a un grupo más pequeño de administradores de conjunto realizar cualquier operación (incluida la supresión) en recursos de infraestructura de Exadata omitiendo la condición where:

Allow group FleetSuperAdmins to manage cloud-exadata-infrastructures in tenancy

Para obtener más información sobre el uso de la condición where de esta forma, consulte la sección "Delimitación del ámbito de acceso mediante permisos u operaciones de API" de Permisos.

Políticas para gestionar recursos de infraestructura de Exadata

En la siguiente tabla se muestran las políticas de IAM necesarias para que un usuario de la nube realice operaciones de gestión en recursos de infraestructura de Exadata.

Operación	Políticas de IAM necesarias en Oracle Public Cloud y en la multinube	Políticas de IAM necesarias en Exadata Cloud@Customer
Creación de un recurso de infraestructura de Exadata	`manage cloud-exadata-infrastructures` `use vnic` `use subnet`	`manage exadata-infrastructures`
Visualización de una lista de recursos de infraestructura de Exadata	`inspect cloud-exadata-infrastructures`	`inspect exadata-infrastructures`
Visualización de detalles de un recurso de infraestructura de Exadata	`inspect cloud-exadata-infrastructures`	`inspect exadata-infrastructures`
Cambio del programa de mantenimiento de un recurso de infraestructura de Exadata	`use cloud-exadata-infrastructures`	`use exadata-infrastructures`
Traslado de un recurso de infraestructura de Exadata a otro compartimento	`use cloud-exadata-infrastructures`	`use exadata-infrastructures`
Gestión de certificados de seguridad para un recurso de infraestructura de Exadata	`manage cloud-exadata-infrastructures`	`manage exadata-infrastructures`
Terminar un recurso de infraestructura de Exadata	`manage cloud-exadata-infrastructures` `use vnic` `use subnet`	`manage exadata-infrastructures`

Políticas para gestionar clusters de VM de Exadata autónomos

En la siguiente tabla, se muestran las políticas de IAM necesarias para que un usuario de la nube realice operaciones de gestión en clusters de VM de Exadata autónomos.

Operación	Políticas de IAM necesarias en Oracle Public Cloud y en la multinube	Políticas de IAM necesarias en Exadata Cloud@Customer
Creación de un cluster de VM de Exadata autónomo	`manage cloud-autonomous-vmclusters` `use cloud-exadata-infrastructures`	`manage autonomous-vmclusters` `use exadata-infrastructures`
Visualización de una lista de los clusters de VM de Exadata autónomos	`inspect cloud-autonomous-vmclusters`	`inspect autonomous-vmclusters`
Visualización de detalles de un cluster de VM de Exadata autónomo	`inspect cloud-autonomous-vmclusters`	`inspect autonomous-vmclusters`
Cambio del tipo de licencia de un cluster de VM autónomo	No aplicable	`use autonomous-vmclusters` `inspect exadata-infrastructures`
Traslado de un cluster de VM de Exadata autónomo a otro compartimento	`use cloud-autonomous-vmclusters`	`use autonomous-vmclusters`
Terminación de un cluster de VM de Exadata autónomo	`manage cloud-autonomous-vmclusters`	`manage autonomous-vmclusters`

Políticas para gestionar bases de datos de contenedores autónomas

En la siguiente tabla se muestran las políticas de IAM necesarias para que un usuario de la nube realice operaciones de gestión en bases de datos de contenedores autónomas (ACD).

Operación	Políticas de IAM necesarias
Creación de una base de datos de contenedores autónoma	`manage autonomous-container-databases` `use cloud-exadata-infrastructures` si crea la base de datos de contenedores autónoma en Oracle Public Cloud y Multinube. `use cloud-autonomous-vmclusters` si crea la base de datos de contenedores autónoma en Oracle Public Cloud y Multinube. `use autonomous-vmclusters` si se crea la base de datos de contenedores autónoma en Exadata Cloud at Customer. `use backup-destinations` si se crea la base de datos de contenedores autónoma en Exadata Cloud at Customer.
Visualización de una lista de las bases de datos de contenedores autónomas	`inspect autonomous-container-databases`
Visualización de detalles de una base de datos de contenedores autónoma	`inspect autonomous-container-databases`
Cambio de la política de retención de copias de seguridad de una base de datos de contenedores autónoma	`use autonomous-container-databases`
Edición de las preferencias de mantenimiento de una base de datos de contenedores autónoma	`use autonomous-container-databases`
Reinicio de una base de datos de contenedores autónoma	`use autonomous-container-databases`
Traslado de una base de datos de contenedores autónoma a otro compartimento	`use autonomous-container-databases`
Rotar una clave de cifrado de base de datos de contenedores autónoma	`use autonomous-container-databases` `inspect autonomous-container-databases`
Terminación de una base de datos de contenedores autónoma	`manage autonomous-container-databases` `use cloud-exadata-infrastructures` si crea la base de datos de contenedores autónoma en Oracle Public Cloud y Multinube. `use cloud-autonomous-vmclusters` si crea la base de datos de contenedores autónoma en Oracle Public Cloud y Multinube. `use autonomous-vmclusters` si se crea la base de datos de contenedores autónoma en Exadata Cloud at Customer.

Políticas para gestionar la configuración de Autonomous Data Guard

En la siguiente tabla se muestran las políticas de IAM necesarias para que un usuario de la nube realice operaciones de gestión en configuraciones de Autonomous Data Guard.

Operación	Políticas de IAM necesarias
Ver la asociación de Autonomous Data Guard a una ACD.	`inspect autonomous-container-databases`
Muestre las bases de datos de contenedor autónomas activadas con Autonomous Data Guard asociado a la base de datos de contenedor autónoma o a la instancia de Autonomous Database especificada.	`inspect autonomous-container-databases`
Vuelva a instanciar la base de datos en espera desactivada en una ACD en espera activa.	`inspect autonomous-container-databases` `update autonomous-container-databases`
Cambiar roles de las ACD principales y en espera.	`inspect autonomous-container-databases` `update autonomous-container-databases`
Failover a la ACD en espera. Esta ACD en espera se convertirá en la nueva ACD principal cuando el failover se complete correctamente.	`inspect autonomous-container-databases` `update autonomous-container-databases`
Modifique la configuración de Autonomous Data Guard, como el modo de protección, el failover automático y el límite de demora de failover de inicio rápido.	`inspect autonomous-container-databases` `update autonomous-container-databases`
Obtener una base de datos con Autonomous Data Guard activado asociada a la instancia de Autonomous Database especificada.	`inspect autonomous-container-databases`
Mostrar asociaciones de Data Guard de Autonomous Database.	`inspect autonomous-container-databases`
Active Autonomous Data Guard en una ACD.	`inspect cloud-autonomous-vmclusters` O `inspect autonomous-vmclusters` `inspect autonomous-container-databases` `update autonomous-container-databases`
Convierta la ACD en espera entre la ACD física en espera y la de instantánea en espera.	`inspect cloud-autonomous-vmclusters` O `inspect autonomous-vmclusters` `inspect autonomous-container-databases` `update autonomous-container-databases`

Políticas para gestionar Autonomous Database

En la siguiente tabla se muestran las políticas de IAM necesarias para que un usuario de la nube realice operaciones de gestión en Autonomous Database.

Operación	Políticas de IAM necesarias
Crear una instancia de Autonomous Database	`manage autonomous-databases` `read autonomous-container-databases`
Visualización de una lista de instancias de Autonomous Database	`inspect autonomous-databases`
Visualización de detalles de una instancia de Autonomous Database	`inspect autonomous-databases`
Definir la contraseña del usuario ADMIN de una instancia de Autonomous Database	`use autonomous-databases`
Escalar el recuento de núcleos de CPU o el almacenamiento de una instancia de Autonomous Database	`use autonomous-databases`
Activación o desactivación de la escala automática para una instancia de Autonomous Database	`use autonomous-databases`
Traslado de una instancia de Autonomous Database a otro compartimento	`use autonomous-databases` en el compartimento actual de la instancia de Autonomous Database y en el compartimento al que la va a mover `read autonomous-backups`
Parada o inicio de una instancia de Autonomous Database	`use autonomous-databases`
Reinicio de una instancia de Autonomous Database	`use autonomous-databases`
Copia de seguridad manual de una instancia de Autonomous Database	`read autonomous-databases` `manage autonomous-backups`
Restauración de una instancia de Autonomous Database	`use autonomous-databases` `read autonomous-backups`
Copia de una instancia de Autonomous Database	`manage autonomous-databases` `read autonomous-container-databases`
Terminación de una instancia de Autonomous Database	`manage autonomous-databases`

Título e Información de Copyright

Oracle y/o sus filiales.