Note:

Asignación de permisos granulares de OCI IAM para operaciones de actualización de cluster de VM para Oracle Exadata Database Service

Introducción

Ahora puede asignar permisos granulares para operaciones de cluster de máquina virtual (VM) para Oracle Exadata Database Service on Cloud@Customer y Oracle Exadata Database Service on Dedicated Infrastructure. Por ejemplo, puede activar el grupo Administrador de base de datos (DBA) para escalar solo memoria o CPU, permitir que el grupo de administradores de almacenamiento gestione el almacenamiento local y de Exadata, o permitir que el grupo de administradores de seguridad agregue claves SSH a un cluster de VM. Esta mejora proporciona un control detallado de las operaciones de actualización del cluster de VM.

Objetivos

Tarea 1: Creación de políticas de OCI IAM para asignar permisos granulares para operaciones de actualización de cluster de VM

  1. Conéctese a la consola de OCI, vaya a Identidad y seguridad y haga clic en Políticas.

    Imagen que muestra la navegación de la consola de OCI

  2. Haga clic en Crear política.

    Imagen en la que se muestra el botón Crear política

  3. En la página Crear política, introduzca la siguiente información y haga clic en Crear.

    • Nombre: introduzca un nombre de política.

    • Descripción: Introduzca una descripción.

    • Compartimento: Seleccionar compartimento.

    • Creador de políticas: seleccione Mostrar editor manual e introduzca las políticas específicas de OCI IAM para asignar permisos granulares para las operaciones CLOUD_VM_CLUSTER_UPDATE.

      allow group StorageAdmin to use cloud-vmclusters in compartment compartment_name where any {request.permission='CLOUD_VM_CLUSTER_UPDATE_EXADATA_STORAGE', request.permission='CLOUD_VM_CLUSTER_UPDATE_LOCAL_STORAGE'}
allow group StorageAdmin to use cloud-exadata-infrastructures in compartment compartment_name where request.permission = 'CLOUD_EXADATA_INFRASTRUCTURE_INSPECT'
allow group StorageAdmin to use cloud-vmclusters in compartment compartment_name where request.permission = 'CLOUD_VM_CLUSTER_INSPECT'

    Imagen en la que se muestra el botón Crear política

    Nota: En la siguiente imagen se muestra una política que otorga a los usuarios de un grupo (StorageAdmin) el permiso para escalar el almacenamiento local y de Exadata para clusters de VM en un compartimento seleccionado.

    Imagen en la que se muestra la política creada

Tarea 2: Validación de los permisos de OCI IAM asignados para las operaciones de actualización del cluster de VM

  1. Vaya a la consola de OCI, vaya a Oracle Database y haga clic en Oracle Exadata Database Service on Dedicated Infrastructure.

    Imagen que muestra la navegación de la consola de OCI

  2. Seleccione el cluster de VM que desea validar los permisos de OCI IAM asignados para la actualización del cluster de VM. En la página Detalles de cluster de VM de Exadata, haga clic en Agregar claves SSH.

    Si un usuario que pertenece al grupo StorageAdmin intenta realizar una operación que no está asignada al grupo. Por ejemplo, agregue una clave SSH al cluster de VM. Obtendrán un error como se muestra en la siguiente imagen.

    Imagen que muestra el error de agregación de clave SSH

  3. Sin embargo, el mismo usuario podrá escalar el almacenamiento local de un cluster de VM.

    Nota: En el ejemplo, el usuario aumenta el tamaño de /u02 por VM en un cluster de VM de 60 GB a 70 GB.

    Imagen en la que se muestra el almacenamiento local a escala

  4. Haga clic en Guardar cambios. El cluster de VM de Exadata pasa al estado ACTUALIZANDO.

    Imagen en la que se muestra el estado de actualización del cluster de VM después de la operación de almacenamiento local de escala

    Una vez completada la operación de escala de almacenamiento local, el tamaño de /u02 en ambos nodos será de 140 GB.

    Imagen que muestra el estado disponible para el cluster de VM después de la operación de almacenamiento local de escala

    Los miembros de un grupo solo pueden realizar operaciones de cluster de VM según lo permitan las políticas de OCI IAM asignadas al grupo.

    Nota:

    • Los usuarios deberán crear grupos de OCI IAM con las políticas necesarias para las operaciones de actualización del cluster de VM de Exadata y, a continuación, asignar usuarios a estos grupos. Se necesita el permiso INSPECT para permitir a los usuarios ver los recursos en la consola. Por ejemplo, inspeccione los clusters virtuales en la nube, las bases de datos, etc.
    • Para migrar del permiso CLOUD_VM_CLUSTER_UPDATE de OCI IAM al permiso granular, los usuarios existentes deberán crear nuevos grupos de OCI IAM con políticas específicas de OCI IAM para operaciones de actualización de cluster de VM de Exadata y asignar usuarios a estos grupos. Una vez que los usuarios se mueven a los nuevos grupos, se debe revocar el permiso CLOUD_VM_CLUSTER_UPDATE de OCI IAM de los grupos existentes.
    • El permiso existente de OCI IAM CLOUD_VM_CLUSTER_UPDATE seguirá estando disponible para los clientes que no necesiten un control detallado de las operaciones de actualización del cluster de VM de Exadata.
    • Para obtener una lista completa de permisos y detalles de operación de API para clusters de VM para Oracle Exadata Database Service on Dedicated Infrastructure y Oracle Exadata Database Service on Cloud@Customer, consulte la sección Enlaces relacionados.

Agradecimientos

Más recursos de aprendizaje

Explore otros laboratorios en docs.oracle.com/learn o acceda a más contenido de formación gratuita en el canal YouTube de Oracle Learning. Además, visite education.oracle.com/learning-explorer para convertirse en un explorador de Oracle Learning.

Para obtener documentación sobre el producto, visite Oracle Help Center.