Detalles de las políticas de Base Database Service
En este artículo se proporcionan los detalles para escribir políticas de Oracle Cloud Infrastructure Identity and Access Management (IAM) a fin de controlar el acceso a los recursos de Oracle Base Database Service.
Sugerencia:
Para ver un ejemplo de política, consulte Permitir a los administradores de bases de datos gestionar sistemas de base de datos de Oracle Cloud.Tipos de recursos
Un tipo de recurso agregado cubre la lista de tipos de recursos individuales que le siguen directamente. Por ejemplo, escribir una política para permitir que un grupo tenga acceso a database-family
equivale a escribir políticas independientes para el grupo que otorguen acceso a los tipos de recursos db-systems
, db-nodes
, db-homes
, databases
, database-software-image
y db-backups
. Para obtener más información, consulte Tipos de recursos en Funcionamiento de las políticas.
Tipo de recurso agregado
database-family
Tipos de recursos individuales
db-systems
db-nodes
db-homes
databases
pluggable databases
db-backups
Variables soportadas
Solo están soportadas las variables generales. Para obtener más información, consulte Variables generales para todas las solicitudes en Referencia de políticas.
Detalles de las combinaciones de verbo + tipo de recurso
En las siguientes tablas, se muestran los permisos y las operaciones de API que cubre cada verbo. El nivel de acceso es acumulativo a medida que pasa de inspect > read > use > manage
. Un signo más (+) en una celda de la tabla indica un acceso incremental en comparación con la celda situada directamente encima, mientras que "sin extra" indica que no hay un acceso incremental.
Por ejemplo, los verbos read
y use
para el tipo de recurso db-systems
no abarcan permisos ni operaciones de API adicionales en comparación con el verbo inspect
. Sin embargo, el verbo manage
incluye dos permisos adicionales y abarca parcialmente dos operaciones de API adicionales.
db-systems
Verbos | Permisos | API totalmente cubiertas | API parcialmente cubiertas |
---|---|---|---|
inspect | DB_SYSTEM_INSPECT |
|
ninguno |
read | sin extra | sin extra | ninguno |
use | DB_SYSTEM_UPDATE | sin extra | ChangeDbSystemCompartment (también necesita use db-homes , use databases e inspect db-backups )
|
manage |
USE + DB_SYSTEM_CREATE DB_SYSTEM_DELETE |
UpdateDBSystem |
LaunchDBSystem , TerminateDbSystem (también necesitan manage db-homes , manage databases , use vnics y use subnets )
|
db-nodes
Verbos | Permisos | API totalmente cubiertas | API parcialmente cubiertas |
---|---|---|---|
inspect |
DB_NODE_INSPECT DB_NODE_QUERY |
GetDbNode |
ninguno |
read | sin extra | sin extra | ninguno |
use | sin extra | sin extra | ninguno |
manage |
USE + DB_NODE_POWER_ACTIONS |
DbNodeAction |
ninguno |
db-homes
Verbos | Permisos | API totalmente cubiertas | API parcialmente cubiertas |
---|---|---|---|
inspect | DB_HOME_INSPECT |
|
ninguno |
read | sin extra | sin extra | ninguno |
use | DB_HOME_UPDATE | UpdateDBHome |
ChangeDbSystemCompartment (también necesita use db-systems , use databases e inspect db-backups )
|
manage |
USE + DB_HOME_CREATE DB_HOME_DELETE |
sin extra |
Si están activadas las copias de seguridad automáticas en la base de datos por defecto, también necesita
Si se crea el directorio raíz de base de datos mediante la restauración a partir de una copia de seguridad, también necesita
Si están activadas las copias de seguridad automáticas en la base de datos por defecto, también necesita Si está seleccionada la opción |
databases
Verbos | Permisos | API totalmente cubiertas | API parcialmente cubiertas |
---|---|---|---|
inspect | DATABASE_INSPECT |
|
ninguno |
read |
sin extra DATABASE_CONTENT_READ |
sin extra | ninguno |
use |
READ + DATABASE_CONTENT_WRITE DATABASE_UPDATE |
|
|
manage |
USE + DATABASE_CREATE DATABASE_DELETE |
sin extra | LaunchDBSystem , TerminateDbSystem (también necesitan manage db-systems , manage db-homes , use vnics y use subnets )
|
pluggable databases
Verbos | Permisos | API totalmente cubiertas | API parcialmente cubiertas |
---|---|---|---|
inspect | PLUGGABLE_DATABASE_INSPECT |
|
ninguno |
read |
INSPECT + PLUGGABLE_DATABASE_CONTENT_READ |
sin extra | ninguno |
use |
READ + PLUGGABLE_DATABASE_CONTENT_WRITE PLUGGABLE_DATABASE_UPDATE |
|
ninguno |
manage |
USE + PLUGGABLE_DATABASE_CREATE PLUGGABLE_DATABASE_DELETE |
sin extra | CreatePluggableDatabase , DeletePluggableDatabase , LocalClonePluggableDatabase , RemoteClonePluggableDatabase (todas ellas también necesitan use databases )
|
db-backups
Verbos | Permisos | API totalmente cubiertas | API parcialmente cubiertas |
---|---|---|---|
inspect | DB_BACKUP_INSPECT |
|
ChangeDbSystemCompartment (también necesita use db-systems , use db-homes y use databases )
|
read |
INSPECT + DB_BACKUP_CONTENT_READ |
ninguno | RestoreDatabase (también necesita use databases )
|
use | sin extra | sin extra | ninguno |
manage |
USE + DB_BACKUP_CREATE DB_BACKUP_DELETE |
DeleteBackup |
CreateBackup (también necesita read databases )
|
Permisos necesarios para cada operación de API
En las siguientes tablas se muestran las operaciones de API para los sistemas de base de datos y las bases de datos conectables en un orden lógico, agrupadas por tipo de recurso.
Operaciones de API de base de datos
Operación de API | Permisos necesarios para utilizar la operación |
---|---|
ListDbSystems |
DB_SYSTEM_INSPECT |
GetDbSystem |
DB_SYSTEM_INSPECT |
LaunchDbSystem |
DB_SYSTEM_CREATE, DB_HOME_CREATE, DATABASE_CREATE, VNIC_CREATE, VNIC_ATTACH y SUBNET_ATTACH Para activar las copias de seguridad automáticas para la base de datos inicial, también necesita DB_BACKUP_CREATE y DATABASE_CONTENT_READ |
UpdateDbSystem |
DB_SYSTEM_INSPECT y DB_SYSTEM_UPDATE |
ChangeDbSystemCompartment |
DB_SYSTEM_UPDATE, DB_HOME_UPDATE, DATABASE_UPDATE y DB_BACKUP_INSPECT |
ListDbSystemPatches |
DB_SYSTEM_INSPECT |
ListDbSystemPatchHistoryEntries |
DB_SYSTEM_INSPECT |
GetDbSystemPatch |
DB_SYSTEM_INSPECT |
GetDbSystemPatchHistoryEntry |
DB_SYSTEM_INSPECT |
TerminateDbSystem |
DB_SYSTEM_DELETE, DB_HOME_DELETE, DATABASE_DELETE, VNIC_DETACH, VNIC_DELETE y SUBNET_DETACH Si están activadas las copias de seguridad automáticas para cualquier base de datos del sistema de base de datos, también necesita DB_BACKUP_DELETE |
GetDbNode |
DB_NODE_INSPECT |
DbNodeAction |
DB_NODE_POWER_ACTIONS |
ListDbHomes |
DB_HOME_INSPECT |
GetDbHome |
DB_HOME_INSPECT |
ListDbHomePatches |
DB_HOME_INSPECT |
ListDbHomePatchHistoryEntries |
DB_HOME_INSPECT |
GetDbHomePatch |
DB_HOME_INSPECT |
GetDbHomePatchHistoryEntry |
DB_HOME_INSPECT |
CreateDbHome |
DB_SYSTEM_INSPECT, DB_SYSTEM_UPDATE, DB_HOME_CREATE y DATABASE_CREATE Para activar las copias de seguridad automáticas de la base de datos, también se necesita DB_BACKUP_CREATE y DATABASE_CONTENT_READ |
UpdateDbHome |
DB_HOME_UPDATE |
DeleteDbHome |
DB_SYSTEM_UPDATE, DB_HOME_DELETE y DATABASE_DELETE Si están activadas las copias de seguridad automáticas, también necesita DB_BACKUP_DELETE Si se realiza una copia de seguridad final al terminar, también necesita DB_BACKUP_CREATE y DATABASE_CONTENT_READ |
ListDatabases |
DATABASE_INSPECT |
GetDatabase |
DATABASE_INSPECT |
UpdateDatabase |
DATABASE_UPDATE Para activar las copias de seguridad automáticas, también se necesita DB_BACKUP_CREATE y DATABASE_CONTENT_READ. |
ListDbSystemShapes |
(no se necesitan permisos; disponible para todos) |
ListDbVersions |
(no se necesitan permisos; disponible para todos) |
GetDataGuardAssociation |
DATABASE_INSPECT |
ListDataGuardAssociations |
DATABASE_INSPECT |
CreateDataGuardAssociation |
DB_SYSTEM_UPDATE, DB_HOME_CREATE, DB_HOME_UPDATE, DATABASE_CREATE y DATABASE_UPDATE |
SwitchoverDataGuardAssociation |
DATABASE_UPDATE |
FailoverDataGuardAssociation |
DATABASE_UPDATE |
ReinstateDataGuardAssociation |
DATABASE_UPDATE |
MigrateVaultKey |
DATABASE_UPDATE |
RotateVaultKey |
DATABASE_UPDATE |
GetBackup |
DB_BACKUP_INSPECT |
ListBackups |
DB_BACKUP_INSPECT |
CreateBackup |
DB_BACKUP_CREATE y DATABASE_CONTENT_READ |
DeleteBackup |
DB_BACKUP_DELETE y DB_BACKUP_INSPECT |
RestoreDatabase |
DB_BACKUP_INSPECT, DB_BACKUP_CONTENT_READ y DATABASE_CONTENT_WRITE |
Operaciones de API de base de datos conectable
Operación de API | Permisos necesarios para utilizar la operación |
---|---|
ListPluggableDatabase |
PLUGGABLE_DATABASE_INSPECT |
GetPluggableDatabase |
PLUGGABLE_DATABASE_INSPECT |
CreatePluggableDatabase |
DATABASE_INSPECT* DATABASE_UPDATE* PLUGGABLE_DATABASE_CREATE Se necesitan permisos adicionales si las copias de seguridad automáticas están activadas en la CDB e incluye esta PDB: PLUGGABLE_DATABASE_CONTENT_READ |
UpdatePluggableDatabase |
PLUGGABLE_DATABASE_INSPECT y PLUGGABLE_DATABASE_UPDATE Se necesitan permisos adicionales si las copias de seguridad automáticas están activadas en la CDB e incluye esta PDB: PLUGGABLE_DATABASE_CONTENT_READ |
StartPluggableDatabase |
PLUGGABLE_DATABASE_INSPECT y PLUGGABLE_DATABASE_UPDATE |
StopPluggableDatabase |
PLUGGABLE_DATABASE_INSPECT y PLUGGABLE_DATABASE_UPDATE |
DeletePluggableDatabase |
DATABASE_INSPECT (existe) DATABASE_UPDATE (existe) PLUGGABLE_DATABASE_DELETE |
LocalClonePluggableDatabase |
DATABASE_INSPECT* DATABASE_UPDATE* PLUGGABLE_DATABASE_INSPECT PLUGGABLE_DATABASE_UPDATE PLUGGABLE_DATABASE_CONTENT_READ PLUGGABLE_DATABASE_CREATE PLUGGABLE_DATABASE_CONTENT_WRITE |
RemoteClonePluggableDatabase |
DATABASE_INSPECT* DATABASE_UPDATE* PLUGGABLE_DATABASE_INSPECT PLUGGABLE_DATABASE_UPDATE PLUGGABLE_DATABASE_CONTENT_READ PLUGGABLE_DATABASE_CREATE PLUGGABLE_DATABASE_CONTENT_WRITE |