Politiques IAM pour une base de données d'intelligence artificielle autonome sur une infrastructure Exadata dédiée
Cet article répertorie les politiques IAM requises pour gérer les ressources d'infrastructure de la base de données d'IA autonome sur une infrastructure Exadata dédiée.
Le service Oracle Autonomous AI Database sur une infrastructure Exadata dédiée s'appuie sur le service IAM (Identity and Access Management) pour authentifier et autoriser les utilisateurs du nuage à effectuer des opérations qui utilisent l'une des interfaces Oracle Cloud Infrastructure (console, API REST, interface de ligne de commande ou trousse SDK). Le service IAM utilise des groupes, des compartiments et des politiques pour contrôler quels utilisateurs du nuage peuvent accéder à quelles ressources.
Informations détaillées sur les politiques pour Autonomous AI Database
Cette rubrique présente des informations détaillées sur l'écriture de politiques permettant de contrôler l'accès aux ressources de base de données du service d'intelligence artificielle autonome.
Une politique définit le type d'accès d'un groupe d'utilisateurs à une ressource spécifique d'un compartiment individuel. Pour plus d'informations, voir Introduction aux politiques.
Conseil : Pour un exemple de politique, voir Permettre aux administrateurs de base de données et de parc de gérer les bases de données autonomes d'IA.
Types de ressource
Un type de ressource agrégé couvre la liste des types de ressource individuels qui suivent. Par exemple, l'écriture d'une politique pour permettre à un groupe d'accéder à l'instance autonomous-database-family équivaut à l'écriture de quatre politiques distinctes pour le groupe qui autoriseraient l'accès aux types de ressource autonomous-databases, autonomous-backups, autonomous-container-databases et cloud-autonomous-vmclusters. Pour plus d'information, voir Types de ressource
Types de ressource pour Autonomous AI Database
Type de ressource agrégé :
autonomous-database-family
Types de ressource individuels :
autonomous-databases
autonomous-backups
autonomous-container-databases
cloud-autonomous-vmclusters (Déploiements d'Oracle Public Cloud uniquement)
autonomous-vmclusters (Déploiements pour Oracle Exadata Cloud@Customer seulement)
autonomous-virtual-machine
Conseil : Les types de ressource cloud-exadata-infrastructures et exadata-infrastructures nécessaires pour provisionner Autonomous AI Database sur Oracle Public Cloud et Exadata Cloud@Customer, respectivement, sont couverts par le type de ressource agrégé database-family. Pour plus d'informations sur les ressources couvertes par database-family, voir Informations détaillées sur les politiques pour les instances Exadata Cloud Service et Informations détaillées sur les politiques pour le service de base de données de base.
Variables prises en charge
Les variables générales sont prises en charge. Pour plus d'informations, voir Variables générales pour toutes les demandes.
De plus, vous pouvez utiliser la variable target.workloadType, comme illustré dans le tableau suivant :
| Valeur target.workloadType | Description |
|---|---|
OLTP |
Traitement de transactions en ligne, utilisé pour les bases de données autonomes avec charge de travail Autonomous Transaction Processing. |
DW |
Data Warehouse, utilisé pour les bases de données autonomes avec charge de travail Autonomous Data Warehouse. |
Exemple de politique utilisant la variable target.workloadType :
Allow group ADB-Admins
to manage autonomous-database
in tenancy where target.workloadType = 'workload_type'Informations détaillées sur les combinaisons Verbe + Type de ressource
Le niveau d'accès est cumulatif au fur et à mesure que vous progressez depuis inspect > read > use > manage. Un signe plus (+) dans une cellule de tableau indique un accès incrémentiel par rapport à la cellule directement au-dessus, tandis que "aucun accès supplémentaire" indique qu'il n'y a pas d'accès incrémentiel.
Par exemple, le verbe read pour le type de ressource autonomous-databases couvre les mêmes autorisations et opérations d'API que le verbe inspect, plus l'autorisation AUTONOMOUS_DATABASE_CONTENT_READ. Le verbe read couvre partiellement l'opération CreateAutonomousDatabaseBackup, qui nécessite également des autorisations de gestion pour autonomous-backups.
Les tableaux suivants présentent les autorisations et les opérations d'API couvertes par chaque verbe. Pour plus d'informations sur les autorisations, voir Autorisations.
Pour les types de ressource autonomous-database-family
Note : La famille de ressources couverte par autonomous-database-family peut être utilisée pour accorder l'accès aux ressources de base de données associées à tous les types de charge de travail de base de données autonome avec intelligence artificielle.
autonomous-databases
| Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
|---|---|---|---|
| inspect | AUTONOMOUS_DATABASE_INSPECT |
GetAutonomousDatabase, ListAutonomousDatabases |
aucune |
| read |
|
aucun accès supplémentaire | CreateAutonomousDatabaseBackup (requiert également manage autonomous-backups) |
| use |
|
UpdateAutonomousDatabase |
|
| manage |
|
CreateAutonomousDatabase |
aucune |
sauvegardes de bases de données autonomes
| Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
|---|---|---|---|
| inspect | AUTONOMOUS_DB_BACKUP_INSPECT |
ListAutonomousDatabaseBackups, GetAutonomousDatabaseBackup |
aucune |
| read |
|
aucun accès supplémentaire |
|
| use | READ + aucun accès supplémentaire |
aucun accès supplémentaire | aucune |
| manage |
|
DeleteAutonomousDatabaseBackup |
CreateAutonomousDatabaseBackup (requiert également read autonomous-databases) |
Bases de données conteneur autonomes
| Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
|---|---|---|---|
| inspect | AUTONOMOUS_CONTAINER_DATABASE_INSPECT |
ListAutonomousContainerDatabases, GetAutonomousContainerDatabase |
aucune |
| read | INSPECT + aucun accès supplémentaire |
aucun accès supplémentaire | aucune |
| use | READ +
|
|
CreateAutonomousDatabase (requiert également manage autonomous-databases) |
| manage |
|
aucun accès supplémentaire | CreateAutonomousContainerDatabase, TerminateAutonomousContainerDatabase (les deux requièrent également use cloud-autonomous-vmclusters, use cloud-exadata-infrastructures) |
grappes de machines virtuelles autonomes en nuage
| Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
|---|---|---|---|
| inspect | CLOUD_AUTONOMOUS_VM_CLUSTER_INSPECT |
|
aucune |
| read |
aucun accès supplémentaire |
aucun accès supplémentaire | aucune |
| use | READ +
|
|
|
| manage |
|
aucun accès supplémentaire |
(les deux requièrent également |
Grappes de MV autonomes
| Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
|---|---|---|---|
| inspect | AUTONOMOUS_VM_CLUSTER_INSPECT |
|
ChangeAutonomousVmClusterCompartment |
| read | INSPECT + aucun accès supplémentaire |
aucun accès supplémentaire | aucune |
| use |
|
ChangeAutonomousVmClusterCompartment |
|
| manage |
|
DeleteAutonomousVmCluster |
CreateAutonomousVmCluster |
machine virtuelle autonome
| Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
|---|---|---|---|
| inspect | AUTONOMOUS_VIRTUAL_MACHINE_INSPECT |
|
aucune |
Autorisations requises pour chaque opération d'API
Les bases de données conteneur autonomes (ACD) et les bases de données autonomes d'IA (ADB) sont des ressources communes entre les déploiements Oracle Public Cloud, multinuages et Exadata Cloud@Customer. Par conséquent, leurs autorisations sont les mêmes pour les deux déploiements du tableau suivant.
Toutefois, certaines opérations de base de données conteneur autonome nécessitent des autorisations au niveau de la machine virtuelle autonome et, comme les ressources de la machine virtuelle autonome sont différentes pour Oracle Public Cloud et Exadata Cloud@Customer, vous avez besoin d'autorisations différentes pour chaque type de déploiement. Par exemple, pour créer une base de données conteneur autonome, vous devez :
-
Autorisations AUTONOMOUS_VM_CLUSTER_UPDATE et AUTONOMOUS_CONTAINER_DATABASE_CREATE sur Exadata Cloud@Customer.
-
Les autorisations CLOUD_AUTONOMOUS_VM_CLUSTER_UPDATE et AUTONOMOUS_CONTAINER_DATABASE_CREATE sur Oracle Public Cloud et Multicloud.
Pour plus d'informations sur les autorisations, voir Autorisations.
Le tableau suivant répertorie les opérations d'API pour les ressources de base de données d'intelligence artificielle autonome dans un ordre logique, regroupées par type de ressource.
Opérations d'API de base de données d'IA autonome
Vous pouvez utiliser une API pour voir et gérer les différentes ressources d'infrastructure d'une base de données d'IA autonome. Voir Informations de référence sur les API pour Autonomous AI Database sur une infrastructure Exadata dédiée pour obtenir la liste des points d'extrémité d'API REST permettant de gérer différentes ressources de base de données Autonomous AI Database.
Limitation de l'accès des utilisateurs à des autorisations spécifiques
L'accès des utilisateurs est défini dans des énoncés de politique GIA. Lorsque vous créez un énoncé de politique permettant à un groupe d'accéder à un verbe et à un type de ressource donnés, vous donnez en fait à ce groupe l'accès à une ou à plusieurs autorisations GIA prédéfinies. L'objectif des verbes est de simplifier l'octroi de plusieurs autorisations connexes.
Si vous voulez autoriser ou refuser des autorisations IAM spécifiques, vous ajoutez une condition where à l'énoncé de politique. Par exemple, pour permettre à un groupe d'administrateurs de parc d'effectuer n'importe quelle opération sur les ressources d'infrastructure Exadata sauf pour les supprimer, vous créez cet énoncé de politique :
Allow group FleetAdmins to manage cloud-exadata-infrastructures in tenancy where request.permission != 'CLOUD_EXADATA_INFRASTRUCTURE_DELETE'Vous pouvez ensuite autoriser un petit groupe d'administrateurs de parc à effectuer toutes les opérations (y compris la suppression) sur les ressources d'infrastructure Exadata en omettant la condition where :
Allow group FleetSuperAdmins to manage cloud-exadata-infrastructures in tenancyPour plus d'informations sur l'utilisation de la condition where de cette manière, voir la section "Portée de l'accès avec des autorisations ou des opérations d'API" de Autorisations.
Politiques pour gérer les ressources d'infrastructure Exadata
Le tableau suivant liste les politiques GIA requises pour qu'un utilisateur Oracle Cloud puisse effectuer des opérations de gestion sur des ressources d'infrastructure Exadata.
| Opération | Politiques IAM requises sur Oracle Public Cloud et multinuage | Politiques IAM requises sur Exadata Cloud@Customer |
|---|---|---|
| Créer une ressource d'infrastructure Exadata |
|
manage exadata-infrastructures |
| Voir une liste des ressources d'infrastructure Exadata | inspect cloud-exadata-infrastructures |
inspect exadata-infrastructures |
| Voir les détails d'une ressource d'infrastructure Exadata | inspect cloud-exadata-infrastructures |
inspect exadata-infrastructures |
| Modifier le programme de maintenance d'une ressource d'infrastructure Exadata | use cloud-exadata-infrastructures |
use exadata-infrastructures |
| Déplacer une ressource d'infrastructure Exadata vers un autre compartiment | use cloud-exadata-infrastructures |
use exadata-infrastructures |
| Gérer les certificats de sécurité pour une ressource d'infrastructure Exadata | manage cloud-exadata-infrastructures |
manage exadata-infrastructures |
| Mettre fin à une ressource d'infrastructure Exadata |
|
manage exadata-infrastructures |
Politiques pour gérer les grappes de machines virtuelles Exadata autonomes
Le tableau suivant liste les politiques GIA requises pour qu'un utilisateur Oracle Cloud puisse effectuer des opérations de gestion sur des grappes de machines virtuelles Exadata autonomes.
| Opération | Politiques IAM requises sur Oracle Public Cloud et multinuage | Politiques IAM requises sur Exadata Cloud@Customer |
|---|---|---|
| Créer une grappe de machines virtuelles Exadata autonome |
|
|
| Voir une liste de grappes de machines virtuelles Exadata autonomes | inspect cloud-autonomous-vmclusters |
inspect autonomous-vmclusters |
| Voir les détails d'une grappe de machines virtuelles Exadata autonome | inspect cloud-autonomous-vmclusters |
inspect autonomous-vmclusters |
| Modifier le type de licence d'une grappe de machines virtuelles autonome | Sans objet |
|
| Déplacer une grappe de machines virtuelles Exadata autonome vers un autre compartiment | use cloud-autonomous-vmclusters |
use autonomous-vmclusters |
| Mettre fin à une grappe de machines virtuelles Exadata autonome | manage cloud-autonomous-vmclusters |
manage autonomous-vmclusters |
Politiques pour gérer les bases de données conteneur autonomes
Le tableau suivant répertorie les politiques IAM requises par un utilisateur de nuage pour effectuer des opérations de gestion sur des bases de données conteneur autonomes.
| Opération | Politiques GIA requises |
|---|---|
| Créer une base de données conteneur autonome |
|
| Voir une liste de bases de données conteneur autonomes | inspect autonomous-container-databases |
| Voir les détails d'une base de données conteneur autonome | inspect autonomous-container-databases |
| Modifier la politique de conservation des sauvegardes d'une base de données conteneur autonome | use autonomous-container-databases |
| Modifier les préférences de maintenance d'une base de données conteneur autonome | use autonomous-container-databases |
| Redémarrer une base de données conteneur autonome | use autonomous-container-databases |
| Déplacer une base de données conteneur autonome vers un autre compartiment | use autonomous-container-databases |
| Effectuer la rotation d'une clé de chiffrement de base de données conteneur autonome |
|
| Mettre fin à une base de données conteneur autonome |
|
Politiques pour gérer la configuration Autonomous Data Guard
Le tableau suivant répertorie les politiques IAM requises par un utilisateur en nuage pour effectuer des opérations de gestion sur des configurations Autonomous Data Guard.
| Opération | Politiques GIA requises |
|---|---|
| Voir les groupes Autonomous Data Guard avec une base de données conteneur autonome. | inspect autonomous-container-databases |
| Listez les bases de données conteneur autonomes activées avec Autonomous Data Guard associées à la base de données conteneur autonome ou à l'IA autonome spécifiée. | inspect autonomous-container-databases |
| Rétablir la base de données de secours désactivée sur une base de données conteneur autonome de secours active. |
|
| Changer de rôle pour les bases de données conteneur autonomes principale et de secours. |
|
| Basculer vers la base de données conteneur autonome de secours. Cette base de données conteneur autonome de secours deviendra la nouvelle base de données conteneur autonome principale lorsque le basculement sera terminé avec succès. |
|
| Modifiez les paramètres Autonomous Data Guard tels que le mode de protection, le basculement automatique et la limite de décalage pour le basculement de démarrage rapide. |
|
| Obtenez une base de données avec Autonomous Data Guard activé associée à la base de données Autonomous AI Database spécifiée. | inspect autonomous-container-databases |
| Lister les groupes de protection de données de base de données d'intelligence artificielle autonome. | inspect autonomous-container-databases |
| Activer Autonomous Data Guard sur une base de données conteneur autonome. |
|
| Convertissez la base de données conteneur autonome de secours entre la base de secours physique et la base de données conteneur autonome de secours instantanée. |
|
Politiques de gestion des bases de données autonomes avec intelligence artificielle
Le tableau suivant répertorie les politiques IAM requises par un utilisateur du nuage pour effectuer des opérations de gestion sur des bases de données d'IA autonomes.
| Opération | Politiques GIA requises |
|---|---|
| Créer une base de données autonome avec intelligence artificielle |
|
| Voir une liste de bases de données d'intelligence artificielle autonomes | inspect autonomous-databases |
| Voir les détails d'une base de données autonome avec intelligence artificielle | inspect autonomous-databases |
| Définir le mot de passe de l'utilisateur ADMIN d'une base de données d'intelligence artificielle autonome | use autonomous-databases |
| Adapter le nombre de coeurs d'UC ou le stockage d'une base de données autonome basée sur l'intelligence artificielle | use autonomous-databases |
| Activer ou désactiver l'ajustement automatique pour une base de données d'intelligence artificielle autonome | use autonomous-databases |
| Déplacer une base de données autonome vers un autre compartiment |
|
| Arrêter ou démarrer une base de données autonome avec intelligence artificielle | use autonomous-databases |
| Redémarrer une base de données autonome avec intelligence artificielle | use autonomous-databases |
| Sauvegarder manuellement une base de données IA autonome |
|
| Restaurer une base de données IA autonome |
|
| Cloner une base de données autonome avec intelligence artificielle |
|
| Mettre fin à une base de données autonome avec intelligence artificielle | manage autonomous-databases |