Detalles de las políticas de Base Database Service

En este artículo se proporcionan los detalles para escribir políticas de Oracle Cloud Infrastructure Identity and Access Management (IAM) a fin de controlar el acceso a los recursos de Oracle Base Database Service.

Tipos de recursos

Un tipo de recurso agregado cubre la lista de tipos de recursos individuales que le siguen directamente. Por ejemplo, escribir una política para permitir que un grupo tenga acceso a database-family equivale a escribir políticas independientes para el grupo que otorguen acceso a los tipos de recursos db-systems, db-nodes, db-homes, databases, database-software-image y db-backups. Para obtener más información, consulte Tipos de recursos en Funcionamiento de las políticas.

Tipo de recurso agregado

  • database-family

Tipos de recursos individuales

  • db-systems
  • db-nodes
  • db-homes
  • databases
  • pluggable databases
  • db-backups

Variables soportadas

Solo están soportadas las variables generales. Para obtener más información, consulte Variables generales para todas las solicitudes en Referencia de políticas.

Detalles de las combinaciones de verbo + tipo de recurso

En las siguientes tablas, se muestran los permisos y las operaciones de API que cubre cada verbo. El nivel de acceso es acumulativo a medida que pasa de inspect > read > use > manage. Un signo más (+) en una celda de la tabla indica un acceso incremental en comparación con la celda situada directamente encima, mientras que "sin extra" indica que no hay un acceso incremental.

Por ejemplo, los verbos read y use para el tipo de recurso db-systems no abarcan permisos ni operaciones de API adicionales en comparación con el verbo inspect. Sin embargo, el verbo manage incluye dos permisos adicionales y abarca parcialmente dos operaciones de API adicionales.

db-systems

Verbos Permisos API totalmente cubiertas API parcialmente cubiertas
inspect DB_SYSTEM_INSPECT

ListDbSystems

GetDbSystem

ListDbSystemPatches

ListDbSystemPatchHistoryEntries

GetDbSystemPatch

GetDbSystemPatchHistoryEntry

ninguno
read sin extra sin extra ninguno
use DB_SYSTEM_UPDATE sin extra ChangeDbSystemCompartment (también necesita use db-homes, use databases e inspect db-backups)
manage

USE +

DB_SYSTEM_CREATE

DB_SYSTEM_DELETE

UpdateDBSystem LaunchDBSystem, TerminateDbSystem (también necesitan manage db-homes, manage databases, use vnics y use subnets)

db-nodes

Verbos Permisos API totalmente cubiertas API parcialmente cubiertas
inspect

DB_NODE_INSPECT

DB_NODE_QUERY

GetDbNode ninguno
read sin extra sin extra ninguno
use sin extra sin extra ninguno
manage

USE +

DB_NODE_POWER_ACTIONS

DbNodeAction ninguno

db-homes

Verbos Permisos API totalmente cubiertas API parcialmente cubiertas
inspect DB_HOME_INSPECT

ListDBHome

GetDBHome

ListDbHomePatches

ListDbHomePatchHistoryEntries

GetDbHomePatch

GetDbHomePatchHistoryEntry

ninguno
read sin extra sin extra ninguno
use DB_HOME_UPDATE UpdateDBHome ChangeDbSystemCompartment (también necesita use db-systems, use databases e inspect db-backups)
manage

USE +

DB_HOME_CREATE

DB_HOME_DELETE

sin extra

LaunchDBSystem, TerminateDbSystem (también necesitan manage db-systems, manage databases, use vnics y use subnets).

Si están activadas las copias de seguridad automáticas en la base de datos por defecto, también necesita manage db-backups

CreateDbHome (también necesita use db-systems y manage databases).

Si se crea el directorio raíz de base de datos mediante la restauración a partir de una copia de seguridad, también necesita read db-backups.

DeleteDbHome, (también necesita use db-systems y manage databases).

Si están activadas las copias de seguridad automáticas en la base de datos por defecto, también necesita manage db-backups

Si está seleccionada la opción performFinalBackup, también necesita manage db-backups y read databases.

databases

Verbos Permisos API totalmente cubiertas API parcialmente cubiertas
inspect DATABASE_INSPECT

ListDatabases

GetDatabase

ListDataGuardAssociations

GetDataGuardAssociation

ninguno
read

sin extra

DATABASE_CONTENT_READ

sin extra ninguno
use

READ +

DATABASE_CONTENT_WRITE

DATABASE_UPDATE

UpdateDatabase

SwitchoverDataGuardAssociation

FailoverDataGuardAssociation

ReinstateDataGuardAssociation

RotateVaultKey

MigrateVaultKey

CreateDataGuardAssociation

ChangeDbSystemCompartment (también necesita use db-systems, use db-homes e inspect db-backups)

manage

USE +

DATABASE_CREATE

DATABASE_DELETE

sin extra LaunchDBSystem, TerminateDbSystem (también necesitan manage db-systems, manage db-homes, use vnics y use subnets)

pluggable databases

Verbos Permisos API totalmente cubiertas API parcialmente cubiertas
inspect PLUGGABLE_DATABASE_INSPECT

ListPluggableDatabases

GetPluggableDatabase

ninguno
read

INSPECT +

PLUGGABLE_DATABASE_CONTENT_READ

sin extra ninguno
use

READ +

PLUGGABLE_DATABASE_CONTENT_WRITE

PLUGGABLE_DATABASE_UPDATE

UpdatePluggableDatabases

StartPluggableDatabase

StopPluggableDatabase

ninguno
manage

USE +

PLUGGABLE_DATABASE_CREATE

PLUGGABLE_DATABASE_DELETE

sin extra CreatePluggableDatabase, DeletePluggableDatabase, LocalClonePluggableDatabase, RemoteClonePluggableDatabase (todas ellas también necesitan use databases)

db-backups

Verbos Permisos API totalmente cubiertas API parcialmente cubiertas
inspect DB_BACKUP_INSPECT

GetBackup

ListBackups

ChangeDbSystemCompartment (también necesita use db-systems, use db-homes y use databases)
read

INSPECT +

DB_BACKUP_CONTENT_READ

ninguno RestoreDatabase (también necesita use databases)
use sin extra sin extra ninguno
manage

USE +

DB_BACKUP_CREATE

DB_BACKUP_DELETE

DeleteBackup CreateBackup (también necesita read databases)
Para obtener más información sobre los permisos y los verbos, consulte Funciones avanzadas de políticas.

Permisos necesarios para cada operación de API

En las siguientes tablas se muestran las operaciones de API para los sistemas de base de datos y las bases de datos conectables en un orden lógico, agrupadas por tipo de recurso.

Operaciones de API de base de datos

Operación de API Permisos necesarios para utilizar la operación
ListDbSystems DB_SYSTEM_INSPECT
GetDbSystem DB_SYSTEM_INSPECT
LaunchDbSystem

DB_SYSTEM_CREATE, DB_HOME_CREATE, DATABASE_CREATE, VNIC_CREATE, VNIC_ATTACH y SUBNET_ATTACH

Para activar las copias de seguridad automáticas para la base de datos inicial, también necesita DB_BACKUP_CREATE y DATABASE_CONTENT_READ

UpdateDbSystem DB_SYSTEM_INSPECT y DB_SYSTEM_UPDATE
ChangeDbSystemCompartment DB_SYSTEM_UPDATE, DB_HOME_UPDATE, DATABASE_UPDATE y DB_BACKUP_INSPECT
ListDbSystemPatches DB_SYSTEM_INSPECT
ListDbSystemPatchHistoryEntries DB_SYSTEM_INSPECT
GetDbSystemPatch DB_SYSTEM_INSPECT
GetDbSystemPatchHistoryEntry DB_SYSTEM_INSPECT
TerminateDbSystem

DB_SYSTEM_DELETE, DB_HOME_DELETE, DATABASE_DELETE, VNIC_DETACH, VNIC_DELETE y SUBNET_DETACH

Si están activadas las copias de seguridad automáticas para cualquier base de datos del sistema de base de datos, también necesita DB_BACKUP_DELETE

GetDbNode DB_NODE_INSPECT
DbNodeAction DB_NODE_POWER_ACTIONS
ListDbHomes DB_HOME_INSPECT
GetDbHome DB_HOME_INSPECT
ListDbHomePatches DB_HOME_INSPECT
ListDbHomePatchHistoryEntries DB_HOME_INSPECT
GetDbHomePatch DB_HOME_INSPECT
GetDbHomePatchHistoryEntry DB_HOME_INSPECT
CreateDbHome

DB_SYSTEM_INSPECT, DB_SYSTEM_UPDATE, DB_HOME_CREATE y DATABASE_CREATE

Para activar las copias de seguridad automáticas de la base de datos, también se necesita DB_BACKUP_CREATE y DATABASE_CONTENT_READ

UpdateDbHome DB_HOME_UPDATE
DeleteDbHome

DB_SYSTEM_UPDATE, DB_HOME_DELETE y DATABASE_DELETE

Si están activadas las copias de seguridad automáticas, también necesita DB_BACKUP_DELETE

Si se realiza una copia de seguridad final al terminar, también necesita DB_BACKUP_CREATE y DATABASE_CONTENT_READ

ListDatabases DATABASE_INSPECT
GetDatabase DATABASE_INSPECT
UpdateDatabase

DATABASE_UPDATE

Para activar las copias de seguridad automáticas, también se necesita DB_BACKUP_CREATE y DATABASE_CONTENT_READ.

ListDbSystemShapes (no se necesitan permisos; disponible para todos)
ListDbVersions (no se necesitan permisos; disponible para todos)
GetDataGuardAssociation DATABASE_INSPECT
ListDataGuardAssociations DATABASE_INSPECT
CreateDataGuardAssociation DB_SYSTEM_UPDATE, DB_HOME_CREATE, DB_HOME_UPDATE, DATABASE_CREATE y DATABASE_UPDATE
SwitchoverDataGuardAssociation DATABASE_UPDATE
FailoverDataGuardAssociation DATABASE_UPDATE
ReinstateDataGuardAssociation DATABASE_UPDATE
MigrateVaultKey DATABASE_UPDATE
RotateVaultKey DATABASE_UPDATE
GetBackup DB_BACKUP_INSPECT
ListBackups DB_BACKUP_INSPECT
CreateBackup DB_BACKUP_CREATE y DATABASE_CONTENT_READ
DeleteBackup DB_BACKUP_DELETE y DB_BACKUP_INSPECT
RestoreDatabase DB_BACKUP_INSPECT, DB_BACKUP_CONTENT_READ y DATABASE_CONTENT_WRITE

Operaciones de API de base de datos conectable

Operación de API Permisos necesarios para utilizar la operación
ListPluggableDatabase PLUGGABLE_DATABASE_INSPECT
GetPluggableDatabase PLUGGABLE_DATABASE_INSPECT
CreatePluggableDatabase

DATABASE_INSPECT*

DATABASE_UPDATE*

PLUGGABLE_DATABASE_CREATE

Se necesitan permisos adicionales si las copias de seguridad automáticas están activadas en la CDB e incluye esta PDB:

PLUGGABLE_DATABASE_CONTENT_READ

UpdatePluggableDatabase

PLUGGABLE_DATABASE_INSPECT y

PLUGGABLE_DATABASE_UPDATE

Se necesitan permisos adicionales si las copias de seguridad automáticas están activadas en la CDB e incluye esta PDB:

PLUGGABLE_DATABASE_CONTENT_READ

StartPluggableDatabase

PLUGGABLE_DATABASE_INSPECT y

PLUGGABLE_DATABASE_UPDATE

StopPluggableDatabase

PLUGGABLE_DATABASE_INSPECT y

PLUGGABLE_DATABASE_UPDATE

DeletePluggableDatabase

DATABASE_INSPECT (existe)

DATABASE_UPDATE (existe)

PLUGGABLE_DATABASE_DELETE

LocalClonePluggableDatabase

DATABASE_INSPECT*

DATABASE_UPDATE*

PLUGGABLE_DATABASE_INSPECT

PLUGGABLE_DATABASE_UPDATE

PLUGGABLE_DATABASE_CONTENT_READ

PLUGGABLE_DATABASE_CREATE

PLUGGABLE_DATABASE_CONTENT_WRITE

RemoteClonePluggableDatabase

DATABASE_INSPECT*

DATABASE_UPDATE*

PLUGGABLE_DATABASE_INSPECT

PLUGGABLE_DATABASE_UPDATE

PLUGGABLE_DATABASE_CONTENT_READ

PLUGGABLE_DATABASE_CREATE

PLUGGABLE_DATABASE_CONTENT_WRITE

Para obtener más información sobre los permisos y los verbos, consulte Funciones avanzadas de políticas.