Detalles de las políticas de Base Database Service

En este artículo se proporcionan los detalles para escribir políticas de Oracle Cloud Infrastructure Identity and Access Management (IAM) a fin de controlar el acceso a los recursos de Oracle Base Database Service.

Sugerencia:

Para ver un ejemplo de política, consulte Permitir a los administradores de bases de datos gestionar sistemas de base de datos de Oracle Cloud.

Tipos de recursos

Un tipo de recurso agregado cubre la lista de tipos de recursos individuales que le siguen directamente. Por ejemplo, escribir una política para permitir que un grupo tenga acceso a database-family equivale a escribir políticas independientes para el grupo que otorguen acceso a los tipos de recursos db-systems, db-nodes, db-homes, databases, database-software-image y db-backups. Para obtener más información, consulte Tipos de recursos en Funcionamiento de las políticas.

Tipo de recurso agregado

database-family

Tipos de recursos individuales

db-systems
db-nodes
db-homes
databases
pluggable databases
db-backups

Variables soportadas

Solo están soportadas las variables generales. Para obtener más información, consulte Variables generales para todas las solicitudes en Referencia de políticas.

Detalles de las combinaciones de verbo + tipo de recurso

En las siguientes tablas, se muestran los permisos y las operaciones de API que cubre cada verbo. El nivel de acceso es acumulativo a medida que pasa de inspect > read > use > manage. Un signo más (+) en una celda de la tabla indica un acceso incremental en comparación con la celda situada directamente encima, mientras que "sin extra" indica que no hay un acceso incremental.

Por ejemplo, los verbos read y use para el tipo de recurso db-systems no abarcan permisos ni operaciones de API adicionales en comparación con el verbo inspect. Sin embargo, el verbo manage incluye dos permisos adicionales y abarca parcialmente dos operaciones de API adicionales.

db-systems

Verbos	Permisos	API totalmente cubiertas	API parcialmente cubiertas
inspect	DB_SYSTEM_INSPECT	`ListDbSystems` `GetDbSystem` `ListDbSystemPatches` `ListDbSystemPatchHistoryEntries` `GetDbSystemPatch` `GetDbSystemPatchHistoryEntry`	ninguno
read	sin extra	sin extra	ninguno
use	DB_SYSTEM_UPDATE	sin extra	`ChangeDbSystemCompartment` (también necesita `use db-homes`, `use databases` e `inspect db-backups`)
manage	USE + DB_SYSTEM_CREATE DB_SYSTEM_DELETE	`UpdateDBSystem`	`LaunchDBSystem`, `TerminateDbSystem` (también necesitan `manage db-homes`, `manage databases`, `use vnics` y `use subnets`)

db-nodes

Verbos	Permisos	API totalmente cubiertas	API parcialmente cubiertas
inspect	DB_NODE_INSPECT DB_NODE_QUERY	`GetDbNode`	ninguno
read	sin extra	sin extra	ninguno
use	sin extra	sin extra	ninguno
manage	USE + DB_NODE_POWER_ACTIONS	`DbNodeAction`	ninguno

db-homes

Verbos	Permisos	API totalmente cubiertas	API parcialmente cubiertas
inspect	DB_HOME_INSPECT	`ListDBHome` `GetDBHome` `ListDbHomePatches` `ListDbHomePatchHistoryEntries` `GetDbHomePatch` `GetDbHomePatchHistoryEntry`	ninguno
read	sin extra	sin extra	ninguno
use	DB_HOME_UPDATE	`UpdateDBHome`	`ChangeDbSystemCompartment` (también necesita `use db-systems`, `use databases` e `inspect db-backups`)
manage	USE + DB_HOME_CREATE DB_HOME_DELETE	sin extra	`LaunchDBSystem`, `TerminateDbSystem` (también necesitan `manage db-systems`, `manage databases`, `use vnics` y `use subnets`). Si están activadas las copias de seguridad automáticas en la base de datos por defecto, también necesita `manage db-backups` `CreateDbHome` (también necesita `use db-systems` y `manage databases`). Si se crea el directorio raíz de base de datos mediante la restauración a partir de una copia de seguridad, también necesita `read db-backups`. `DeleteDbHome`, (también necesita `use db-systems` y `manage databases`). Si están activadas las copias de seguridad automáticas en la base de datos por defecto, también necesita `manage db-backups` Si está seleccionada la opción `performFinalBackup`, también necesita `manage db-backups` y `read databases`.

databases

Verbos	Permisos	API totalmente cubiertas	API parcialmente cubiertas
inspect	DATABASE_INSPECT	`ListDatabases` `GetDatabase` `ListDataGuardAssociations` `GetDataGuardAssociation`	ninguno
read	sin extra DATABASE_CONTENT_READ	sin extra	ninguno
use	READ + DATABASE_CONTENT_WRITE DATABASE_UPDATE	`UpdateDatabase` `SwitchoverDataGuardAssociation` `FailoverDataGuardAssociation` `ReinstateDataGuardAssociation` `RotateVaultKey` `MigrateVaultKey`	`CreateDataGuardAssociation` `ChangeDbSystemCompartment` (también necesita `use db-systems`, `use db-homes` e `inspect db-backups`)
manage	USE + DATABASE_CREATE DATABASE_DELETE	sin extra	`LaunchDBSystem`, `TerminateDbSystem` (también necesitan `manage db-systems`, `manage db-homes`, `use vnics` y `use subnets`)

pluggable databases

Verbos	Permisos	API totalmente cubiertas	API parcialmente cubiertas
inspect	PLUGGABLE_DATABASE_INSPECT	`ListPluggableDatabases` `GetPluggableDatabase`	ninguno
read	INSPECT + PLUGGABLE_DATABASE_CONTENT_READ	sin extra	ninguno
use	READ + PLUGGABLE_DATABASE_CONTENT_WRITE PLUGGABLE_DATABASE_UPDATE	`UpdatePluggableDatabases` `StartPluggableDatabase` `StopPluggableDatabase`	ninguno
manage	USE + PLUGGABLE_DATABASE_CREATE PLUGGABLE_DATABASE_DELETE	sin extra	`CreatePluggableDatabase`, `DeletePluggableDatabase`, `LocalClonePluggableDatabase`, `RemoteClonePluggableDatabase` (todas ellas también necesitan `use databases`)

db-backups

Verbos	Permisos	API totalmente cubiertas	API parcialmente cubiertas
inspect	DB_BACKUP_INSPECT	`GetBackup` `ListBackups`	`ChangeDbSystemCompartment` (también necesita `use db-systems`, `use db-homes` y `use databases`)
read	INSPECT + DB_BACKUP_CONTENT_READ	ninguno	`RestoreDatabase` (también necesita `use databases`)
use	sin extra	sin extra	ninguno
manage	USE + DB_BACKUP_CREATE DB_BACKUP_DELETE	`DeleteBackup`	`CreateBackup` (también necesita `read databases`)

Para obtener más información sobre los permisos y los verbos, consulte Funciones avanzadas de políticas.

Permisos necesarios para cada operación de API

En las siguientes tablas se muestran las operaciones de API para los sistemas de base de datos y las bases de datos conectables en un orden lógico, agrupadas por tipo de recurso.

Operaciones de API de base de datos

Operación de API	Permisos necesarios para utilizar la operación
`ListDbSystems`	DB_SYSTEM_INSPECT
`GetDbSystem`	DB_SYSTEM_INSPECT
`LaunchDbSystem`	DB_SYSTEM_CREATE, DB_HOME_CREATE, DATABASE_CREATE, VNIC_CREATE, VNIC_ATTACH y SUBNET_ATTACH Para activar las copias de seguridad automáticas para la base de datos inicial, también necesita DB_BACKUP_CREATE y DATABASE_CONTENT_READ
`UpdateDbSystem`	DB_SYSTEM_INSPECT y DB_SYSTEM_UPDATE
`ChangeDbSystemCompartment`	DB_SYSTEM_UPDATE, DB_HOME_UPDATE, DATABASE_UPDATE y DB_BACKUP_INSPECT
`ListDbSystemPatches`	DB_SYSTEM_INSPECT
`ListDbSystemPatchHistoryEntries`	DB_SYSTEM_INSPECT
`GetDbSystemPatch`	DB_SYSTEM_INSPECT
`GetDbSystemPatchHistoryEntry`	DB_SYSTEM_INSPECT
`TerminateDbSystem`	DB_SYSTEM_DELETE, DB_HOME_DELETE, DATABASE_DELETE, VNIC_DETACH, VNIC_DELETE y SUBNET_DETACH Si están activadas las copias de seguridad automáticas para cualquier base de datos del sistema de base de datos, también necesita DB_BACKUP_DELETE
`GetDbNode`	DB_NODE_INSPECT
`DbNodeAction`	DB_NODE_POWER_ACTIONS
`ListDbHomes`	DB_HOME_INSPECT
`GetDbHome`	DB_HOME_INSPECT
`ListDbHomePatches`	DB_HOME_INSPECT
`ListDbHomePatchHistoryEntries`	DB_HOME_INSPECT
`GetDbHomePatch`	DB_HOME_INSPECT
`GetDbHomePatchHistoryEntry`	DB_HOME_INSPECT
`CreateDbHome`	DB_SYSTEM_INSPECT, DB_SYSTEM_UPDATE, DB_HOME_CREATE y DATABASE_CREATE Para activar las copias de seguridad automáticas de la base de datos, también se necesita DB_BACKUP_CREATE y DATABASE_CONTENT_READ
`UpdateDbHome`	DB_HOME_UPDATE
`DeleteDbHome`	DB_SYSTEM_UPDATE, DB_HOME_DELETE y DATABASE_DELETE Si están activadas las copias de seguridad automáticas, también necesita DB_BACKUP_DELETE Si se realiza una copia de seguridad final al terminar, también necesita DB_BACKUP_CREATE y DATABASE_CONTENT_READ
`ListDatabases`	DATABASE_INSPECT
`GetDatabase`	DATABASE_INSPECT
`UpdateDatabase`	DATABASE_UPDATE Para activar las copias de seguridad automáticas, también se necesita DB_BACKUP_CREATE y DATABASE_CONTENT_READ.
`ListDbSystemShapes`	(no se necesitan permisos; disponible para todos)
`ListDbVersions`	(no se necesitan permisos; disponible para todos)
`GetDataGuardAssociation`	DATABASE_INSPECT
`ListDataGuardAssociations`	DATABASE_INSPECT
`CreateDataGuardAssociation`	DB_SYSTEM_UPDATE, DB_HOME_CREATE, DB_HOME_UPDATE, DATABASE_CREATE y DATABASE_UPDATE
`SwitchoverDataGuardAssociation`	DATABASE_UPDATE
`FailoverDataGuardAssociation`	DATABASE_UPDATE
`ReinstateDataGuardAssociation`	DATABASE_UPDATE
`MigrateVaultKey`	DATABASE_UPDATE
`RotateVaultKey`	DATABASE_UPDATE
`GetBackup`	DB_BACKUP_INSPECT
`ListBackups`	DB_BACKUP_INSPECT
`CreateBackup`	DB_BACKUP_CREATE y DATABASE_CONTENT_READ
`DeleteBackup`	DB_BACKUP_DELETE y DB_BACKUP_INSPECT
`RestoreDatabase`	DB_BACKUP_INSPECT, DB_BACKUP_CONTENT_READ y DATABASE_CONTENT_WRITE

Operaciones de API de base de datos conectable

Operación de API	Permisos necesarios para utilizar la operación
`ListPluggableDatabase`	PLUGGABLE_DATABASE_INSPECT
`GetPluggableDatabase`	PLUGGABLE_DATABASE_INSPECT
`CreatePluggableDatabase`	DATABASE_INSPECT* DATABASE_UPDATE* PLUGGABLE_DATABASE_CREATE Se necesitan permisos adicionales si las copias de seguridad automáticas están activadas en la CDB e incluye esta PDB: PLUGGABLE_DATABASE_CONTENT_READ
`UpdatePluggableDatabase`	PLUGGABLE_DATABASE_INSPECT y PLUGGABLE_DATABASE_UPDATE Se necesitan permisos adicionales si las copias de seguridad automáticas están activadas en la CDB e incluye esta PDB: PLUGGABLE_DATABASE_CONTENT_READ
`StartPluggableDatabase`	PLUGGABLE_DATABASE_INSPECT y PLUGGABLE_DATABASE_UPDATE
`StopPluggableDatabase`	PLUGGABLE_DATABASE_INSPECT y PLUGGABLE_DATABASE_UPDATE
`DeletePluggableDatabase`	DATABASE_INSPECT (existe) DATABASE_UPDATE (existe) PLUGGABLE_DATABASE_DELETE
`LocalClonePluggableDatabase`	DATABASE_INSPECT* DATABASE_UPDATE* PLUGGABLE_DATABASE_INSPECT PLUGGABLE_DATABASE_UPDATE PLUGGABLE_DATABASE_CONTENT_READ PLUGGABLE_DATABASE_CREATE PLUGGABLE_DATABASE_CONTENT_WRITE
`RemoteClonePluggableDatabase`	DATABASE_INSPECT* DATABASE_UPDATE* PLUGGABLE_DATABASE_INSPECT PLUGGABLE_DATABASE_UPDATE PLUGGABLE_DATABASE_CONTENT_READ PLUGGABLE_DATABASE_CREATE PLUGGABLE_DATABASE_CONTENT_WRITE

Para obtener más información sobre los permisos y los verbos, consulte Funciones avanzadas de políticas.

Título e Información de Copyright

Oracle y/o sus filiales.