Politiques GIA pour une base de données autonome sur une infrastructure Exadata dédiée

Cet article répertorie les politiques IAM requises pour gérer les ressources d'infrastructure d'Autonomous Database sur une infrastructure Exadata dédiée.

Oracle Autonomous Database on Dedicated Exadata Infrastructure s'appuie sur le service IAM (service de gestion des identités et des accès) pour authentifier et autoriser les utilisateurs du nuage à effectuer des opérations qui utilisent l'une des interfaces Oracle Cloud Infrastructure (console, API REST, interface de ligne de commande ou trousse SDK). Le service IAM utilise des groupes, des compartiments et des politiques pour contrôler quels utilisateurs du nuage peuvent accéder à quelles ressources.

Rubriques connexes

Contrôle d'accès dans Autonomous Database dans une infrastructure Exadata dédiée

Informations détaillées sur les politiques pour Autonomous Database

Cette rubrique présente des informations détaillées sur l'écriture de politiques pour contrôler l'accès aux ressources Autonomous Database.

Une politique définit le type d'accès d'un groupe d'utilisateurs à une ressource spécifique d'un compartiment individuel. Pour plus d'informations, voir Introduction aux politiques.

Conseil :

Pour un exemple de politique, voir Permettre aux administrateurs de bases de données et de parc de gérer les bases de données autonomes.

Types de ressource

Un type de ressource agrégé couvre la liste des types de ressource individuels qui suivent. Par exemple, l'écriture d'une politique pour permettre à un groupe d'accéder à l'instance autonomous-database-family équivaut à l'écriture de quatre politiques distinctes pour le groupe qui autoriseraient l'accès aux types de ressource autonomous-databases, autonomous-backups, autonomous-container-databases et cloud-autonomous-vmclusters. Pour plus d'information, voir Types de ressource

Types de ressource pour Autonomous Database

Type de ressource agrégé :

autonomous-database-family

Types de ressource individuels :

autonomous-databases

autonomous-backups

autonomous-container-databases

cloud-autonomous-vmclusters (Déploiements Oracle Public Cloud uniquement)

autonomous-vmclusters (Déploiements Oracle Exadata Cloud@Customer uniquement)

autonomous-virtual-machine

Conseil :

Les types de ressource cloud-exadata-infrastructures et exadata-infrastructures nécessaires pour provisionner Autonomous Database sur Oracle Public Cloud et Exadata Cloud@Customer sont couverts respectivement par le type de ressource agrégé database-family. Pour plus d'informations sur les ressources couvertes par database-family, voir Informations détaillées sur les politiques pour les instances Exadata Cloud Service et Informations détaillées sur les politiques pour le service de base de données de base.

Variables prises en charge

Les variables générales sont prises en charge. Pour plus d'informations, voir Variables générales pour toutes les demandes.

De plus, vous pouvez utiliser la variable target.workloadType, comme illustré dans le tableau suivant :

Valeur target.workloadType	Description
`OLTP`	Online Transaction Processing, utilisé pour les Autonomous Database avec une charge de travail Autonomous Transaction Processing.
`DW`	Data Warehouse, utilisé pour les Autonomous Database avec une charge de travail Autonomous Data Warehouse.

Exemple de politique utilisant la variable target.workloadType :

Allow group ADB-Admins 
to manage autonomous-database 
in tenancy where target.workloadType = 'workload_type'

Informations détaillées sur les combinaisons Verbe + Type de ressource

Le niveau d'accès est cumulatif au fur et à mesure que vous progressez depuis inspect > read > use > manage. Un signe plus (+) dans une cellule de tableau indique un accès incrémentiel par rapport à la cellule directement au-dessus, alors que la mention "aucun accès supplémentaire" indique qu'il n'y a aucun accès incrémentiel.

Par exemple, le verbe read pour le type de ressource autonomous-databases couvre les mêmes autorisations et opérations d'API que le verbe inspect, plus l'autorisation AUTONOMOUS_DATABASE_CONTENT_READ. Le verbe read couvre partiellement l'opération CreateAutonomousDatabaseBackup, qui nécessite également des autorisations de gestion pour autonomous-backups.

Les tableaux suivants présentent les autorisations et les opérations d'API couvertes par chaque verbe. Pour plus d'informations sur les autorisations, voir Autorisations.

Pour les types de ressource Autonomous-database-family

Note :

La famille de ressources couverte par autonomous-database-family peut être utilisée pour accorder l'accès aux ressources de base de données associées à tous les types de charge de travail Autonomous Database.

autonomous-databases

Verbes	Autorisations	API entièrement couvertes	API partiellement couvertes
inspect	`AUTONOMOUS_DATABASE_INSPECT`	`GetAutonomousDatabase, ListAutonomousDatabases`	aucune
read	`INSPECT +` `AUTONOMOUS_DATABASE_CONTENT_READ`	aucun accès supplémentaire	`CreateAutonomousDatabaseBackup` (requiert également `manage autonomous-backups`)
use	`READ +` `AUTONOMOUS_DATABASE_CONTENT_WRITE` `AUTONOMOUS_DATABASE_UPDATE`	`UpdateAutonomousDatabase`	`RestoreAutonomousDatabase` (requiert également `read autonomous-backups`) `ChangeAutonomousDatabaseCompartment` (requiert également `read autonomous-backups`)
manage	`USE +` `AUTONOMOUS_DATABASE_CREATE` `AUTONOMOUS_DATABASE_DELETE`	`CreateAutonomousDatabase`	aucune

sauvegardes autonomes

Verbes	Autorisations	API entièrement couvertes	API partiellement couvertes
inspect	`AUTONOMOUS_DB_BACKUP_INSPECT`	`ListAutonomousDatabaseBackups, GetAutonomousDatabaseBackup`	aucune
read	`INSPECT +` `AUTONOMOUS_DB_BACKUP_CONTENT_READ`	aucun accès supplémentaire	`RestoreAutonomousDatabase` (requiert également `use autonomous-databases`) `ChangeAutonomousDatabaseCompartment` (requiert également `use autonomous-databases`)
use	READ + aucun accès supplémentaire	aucun accès supplémentaire	aucune
manage	`USE +` `AUTONOMOUS_DB_BACKUP_CREATE` `AUTONOMOUS_DB_BACKUP_DELETE`	`DeleteAutonomousDatabaseBackup`	`CreateAutonomousDatabaseBackup` ( requiert également `read autonomous-databases`)

Bases de données conteneur autonomes

Verbes	Autorisations	API entièrement couvertes	API partiellement couvertes
inspect	`AUTONOMOUS_CONTAINER_DATABASE_INSPECT`	`ListAutonomousContainerDatabases, GetAutonomousContainerDatabase`	aucune
read	INSPECT + aucun accès supplémentaire	aucun accès supplémentaire	aucune
use	READ + `AUTONOMOUS_CONTAINER_DATABASE_UPDATE`	`UpdateAutonomousContainerDatabase` `ChangeAutonomousContainerDatabaseCompartment`	`CreateAutonomousDatabase` (requiert également `manage autonomous-databases`)
manage	`USE +` `AUTONOMOUS_CONTAINER_DATABASE_CREATE` `AUTONOMOUS_CONTAINER_DATABASE_DELETE`	aucun accès supplémentaire	`CreateAutonomousContainerDatabase, TerminateAutonomousContainerDatabase` (les deux requièrent également `use cloud-autonomous-vmclusters, use cloud-exadata-infrastructures`)

Grappes de machines virtuelles autonomes en nuage

Verbes	Autorisations	API entièrement couvertes	API partiellement couvertes
inspect	`CLOUD_AUTONOMOUS_VM_CLUSTER_INSPECT`	`ListCloudAutonomousVmClusters` `GetCloudAutonomousVmCluster`	aucune
read	`INSPECT +` aucun accès supplémentaire	aucun accès supplémentaire	aucune
use	READ + `CLOUD_AUTONOMOUS_VM_CLUSTER_UPDATE`	`UpdateCloudAutonomousVmCluster` `ChangeCloudAutonomousVmClusterCompartment`	`CreateAutonomousDatabase` ( requiert également `manage autonomous-databases`) `CreateAutonomousContainerDatabase` ( requiert également `manage autonomous-container-databases`)
manage	`USE +` `CLOUD_AUTONOMOUS_VM_CLUSTER_CREATE` `CLOUD_AUTONOMOUS_VM_CLUSTER_DELETE`	aucun accès supplémentaire	`CreateCloudAutonomousVmCluster, DeleteCloudAutonomousVmCluster` (les deux requièrent également `use vnics, use subnets, use cloud-exadata-infrastructures`)

Grappes de MV autonomes

Verbes	Autorisations	API entièrement couvertes	API partiellement couvertes
inspect	`AUTONOMOUS_VM_CLUSTER_INSPECT`	`ListAutonomousVmClusters` `GetAutonomousVmCluster`	`ChangeAutonomousVmClusterCompartment`
read	INSPECT + aucun accès supplémentaire	aucun accès supplémentaire	aucune
use	`READ` + `AUTONOMOUS_VM_CLUSTER_UPDATE`	`ChangeAutonomousVmClusterCompartment`	`UpdateAutonomousVmCluster` `CreateAutonomousContainerDatabase` `TerminateAutonomousContainerDatabase`
manage	`USE` + `AUTONOMOUS_VM_CLUSTER_CREATE` + `AUTONOMOUS_VM_CLUSTER_DELETE`	`DeleteAutonomousVmCluster`	`CreateAutonomousVmCluster`

machine virtuelle autonome

Verbes Autorisations API entièrement couvertes API partiellement couvertes

inspect

Verbes	Autorisations	API entièrement couvertes	API partiellement couvertes
inspect	`AUTONOMOUS_VIRTUAL_MACHINE_INSPECT`	`GetAutonomousVirtualMachine` `ListAutonomousVirtualMachines`	aucune

AUTONOMOUS_VIRTUAL_MACHINE_INSPECT

GetAutonomousVirtualMachine

ListAutonomousVirtualMachines

aucune

Autorisations requises pour chaque opération d'API

Les bases de données conteneur autonomes (ACD) et Autonomous Database (ADB) sont des ressources communes entre les déploiements Oracle Public Cloud, Multicloud et Exadata Cloud@Customer. Par conséquent, leurs autorisations sont les mêmes pour les deux déploiements du tableau suivant.

Toutefois, certaines opérations de base de données conteneur autonome nécessitent des autorisations au niveau de la grappe de machines virtuelles autonome. Comme les ressources de la grappe de machines virtuelles autonome sont différentes pour Oracle Public Cloud et Exadata Cloud@Customer, vous avez besoin d'autorisations différentes pour chaque type de déploiement. Par exemple, pour créer une base de données conteneur autonome, vous devez :

Autorisations AUTONOMOUS_VM_CLUSTER_UPDATE et AUTONOMOUS_CONTAINER_DATABASE_CREATE sur Exadata Cloud@Customer.
Autorisations CLOUD_AUTONOMOUS_VM_CLUSTER_UPDATE et AUTONOMOUS_CONTAINER_DATABASE_CREATE sur Oracle Public Cloud et Multicloud.

Pour plus d'informations sur les autorisations, voir Autorisations.

Le tableau suivant liste les opérations d'API pour les ressources Autonomous Database dans un ordre logique, regroupées par type de ressource.

Opérations d'API pour les bases de données autonomes

Vous pouvez utiliser une API pour voir et gérer les différentes ressources d'infrastructure d'une base de données Autonomous Database. Voir Informations de référence sur les API pour Autonomous Database sur une infrastructure Exadata dédiée pour obtenir la liste des points d'extrémité d'API REST permettant de gérer différentes ressources Autonomous Database.

Limitation de l'accès des utilisateurs à des autorisations spécifiques

L'accès des utilisateurs est défini dans des énoncés de politique GIA. Lorsque vous créez un énoncé de politique permettant à un groupe d'accéder à un verbe et à un type de ressource donnés, vous donnez en fait à ce groupe l'accès à une ou à plusieurs autorisations GIA prédéfinies. L'objectif des verbes est de simplifier l'octroi de plusieurs autorisations connexes.

Si vous voulez autoriser ou refuser des autorisations IAM spécifiques, vous ajoutez une condition where à l'énoncé de politique. Par exemple, pour permettre à un groupe d'administrateurs de parc d'effectuer toutes les opérations possibles sur les ressources d'infrastructure Exadata sauf la suppression, vous devez créer cet énoncé de politique :

Allow group FleetAdmins to manage cloud-exadata-infrastructures in tenancy where request.permission != 'CLOUD_EXADATA_INFRASTRUCTURE_DELETE'

Vous pouvez ensuite autoriser un petit groupe d'administrateurs de parc à effectuer toutes les opérations (y compris la suppression) sur les ressources d'infrastructure Exadata en omettant la condition where :

Allow group FleetSuperAdmins to manage cloud-exadata-infrastructures in tenancy

Pour plus d'informations sur l'utilisation de la condition where de cette façon, voir la section Définition de la portée de l'accès avec des autorisations ou des opérations d'API dans Autorisations.

Politiques pour gérer les ressources d'infrastructure Exadata

Le tableau suivant liste les politiques GIA requises pour qu'un utilisateur Oracle Cloud puisse effectuer des opérations de gestion sur des ressources d'infrastructure Exadata.

Opération	Politiques IAM requises sur Oracle Public Cloud et multinuage	Politiques IAM requises sur Exadata Cloud@Customer
Créer une ressource d'infrastructure Exadata	`manage cloud-exadata-infrastructures` `use vnic` `use subnet`	`manage exadata-infrastructures`
Voir une liste des ressources d'infrastructure Exadata	`inspect cloud-exadata-infrastructures`	`inspect exadata-infrastructures`
Voir les détails d'une ressource d'infrastructure Exadata	`inspect cloud-exadata-infrastructures`	`inspect exadata-infrastructures`
Modifier le programme de maintenance d'une ressource d'infrastructure Exadata	`use cloud-exadata-infrastructures`	`use exadata-infrastructures`
Déplacer une ressource d'infrastructure Exadata vers un autre compartiment	`use cloud-exadata-infrastructures`	`use exadata-infrastructures`
Gérer les certificats de sécurité pour une ressource d'infrastructure Exadata	`manage cloud-exadata-infrastructures`	`manage exadata-infrastructures`
Mettre fin à une ressource d'infrastructure Exadata	`manage cloud-exadata-infrastructures` `use vnic` `use subnet`	`manage exadata-infrastructures`

Politiques pour gérer les grappe de machines virtuelles Exadata autonome

Le tableau suivant liste les politiques GIA requises pour qu'un utilisateur Oracle Cloud puisse effectuer des opérations de gestion sur des grappes de machines virtuelles Exadata autonomes.

Opération	Politiques IAM requises sur Oracle Public Cloud et multinuage	Politiques IAM requises sur Exadata Cloud@Customer
Créer une grappe de machines virtuelles Exadata autonome	`manage cloud-autonomous-vmclusters` `use cloud-exadata-infrastructures`	`manage autonomous-vmclusters` `use exadata-infrastructures`
Voir une liste de grappes de machines virtuelles Exadata autonomes	`inspect cloud-autonomous-vmclusters`	`inspect autonomous-vmclusters`
Voir les détails d'une grappe de machines virtuelles Exadata autonome	`inspect cloud-autonomous-vmclusters`	`inspect autonomous-vmclusters`
Modifier le type de licence d'une grappe de machines virtuelles autonome	Sans objet	`use autonomous-vmclusters` `inspect exadata-infrastructures`
Déplacer une grappe de machines virtuelles Exadata autonome vers un autre compartiment	`use cloud-autonomous-vmclusters`	`use autonomous-vmclusters`
Mettre fin à une grappe de machines virtuelles Exadata autonome	`manage cloud-autonomous-vmclusters`	`manage autonomous-vmclusters`

Politiques pour gérer les bases de données conteneur autonomes

Le tableau suivant répertorie les politiques IAM requises par un utilisateur de nuage pour effectuer des opérations de gestion sur des bases de données conteneur autonomes.

Opération	Politiques GIA requises
Créer une base de données conteneur autonome	`manage autonomous-container-databases` `use cloud-exadata-infrastructures` si vous créez la base de données conteneur autonome sur Oracle Public Cloud et sur Plusieurs nuages. `use cloud-autonomous-vmclusters` si vous créez la base de données conteneur autonome sur Oracle Public Cloud et Plusieurs nuages. `use autonomous-vmclusters` si vous créez la base de données conteneur autonome sur Exadata Cloud@Customer. `use backup-destinations` si vous créez la base de données conteneur autonome sur Exadata Cloud@Customer.
Voir une liste de bases de données conteneur autonomes	`inspect autonomous-container-databases`
Voir les détails d'une base de données conteneur autonome	`inspect autonomous-container-databases`
Modifier la politique de conservation des sauvegardes d'une base de données conteneur autonome	`use autonomous-container-databases`
Modifier les préférences de maintenance d'une base de données conteneur autonome	`use autonomous-container-databases`
Redémarrer une base de données conteneur autonome	`use autonomous-container-databases`
Déplacer une base de données conteneur autonome vers un autre compartiment	`use autonomous-container-databases`
Rotation d'une clé de chiffrement de base de données conteneur autonome	`use autonomous-container-databases` `inspect autonomous-container-databases`
Mettre fin à une base de données conteneur autonome	`manage autonomous-container-databases` `use cloud-exadata-infrastructures` si vous créez la base de données conteneur autonome sur Oracle Public Cloud et sur Plusieurs nuages. `use cloud-autonomous-vmclusters` si vous créez la base de données conteneur autonome sur Oracle Public Cloud et Plusieurs nuages. `use autonomous-vmclusters` si vous créez la base de données conteneur autonome sur Exadata Cloud@Customer.

Politiques pour gérer la configuration Autonomous Data Guard

Le tableau suivant répertorie les politiques IAM requises par un utilisateur en nuage pour effectuer des opérations de gestion sur des configurations Autonomous Data Guard.

Opération	Politiques GIA requises
Voir l'association d'Autonomous Data Guard avec une base de données conteneur autonome.	`inspect autonomous-container-databases`
Listez les bases de données conteneur autonomes activées avec Autonomous Data Guard associées à la base de données conteneur autonome ou à Autonomous Database spécifiée.	`inspect autonomous-container-databases`
Rétablir la base de données de secours désactivée sur une base de données conteneur autonome de secours active.	`inspect autonomous-container-databases` `update autonomous-container-databases`
Changer de rôle pour les bases de données conteneur autonomes principale et de secours.	`inspect autonomous-container-databases` `update autonomous-container-databases`
Basculer vers la base de données conteneur autonome de secours. Cette base de données conteneur autonome de secours deviendra la nouvelle base de données conteneur autonome principale lorsque le basculement sera terminé avec succès.	`inspect autonomous-container-databases` `update autonomous-container-databases`
Modifiez les paramètres Autonomous Data Guard tels que le mode de protection, le basculement automatique et la limite de décalage pour le basculement de démarrage rapide.	`inspect autonomous-container-databases` `update autonomous-container-databases`
Obtenir une base de données activée pour Autonomous Data Guard associée à la base de données autonome spécifiée.	`inspect autonomous-container-databases`
Répertorier les associations de protection de données pour Autonomous Database.	`inspect autonomous-container-databases`
Activez Autonomous Data Guard sur une base de données conteneur autonome.	`inspect cloud-autonomous-vmclusters` OU `inspect autonomous-vmclusters` `inspect autonomous-container-databases` `update autonomous-container-databases`
Convertissez la base de données conteneur autonome de secours entre la base de secours physique et la base de données conteneur autonome de secours instantanée.	`inspect cloud-autonomous-vmclusters` OU `inspect autonomous-vmclusters` `inspect autonomous-container-databases` `update autonomous-container-databases`

Politiques pour gérer les bases de données Autonomous Database

Le tableau suivant répertorie les politiques IAM requises pour qu'un utilisateur du nuage effectue des opérations de gestion sur des bases de données Autonomous Database.

Opération	Politiques GIA requises
Créer une base de données Autonomous Database	`manage autonomous-databases` `read autonomous-container-databases`
Voir une liste de Autonomous Database	`inspect autonomous-databases`
Voir les détails d'une base de données Autonomous Database	`inspect autonomous-databases`
Définir le mot de passe de l'utilisateur ADMIN d'une base de données Autonomous Database	`use autonomous-databases`
Ajuster le nombre de coeurs d'UC ou le stockage d'une base de données Autonomous Database	`use autonomous-databases`
Activer ou désactiver l'ajustement automatique pour une base de données Autonomous Database	`use autonomous-databases`
Déplacer une base de données Autonomous Database vers un autre compartiment	`use autonomous-databases` dans le compartiment courant d'Autonomous Database et dans le compartiment vers lequel vous la déplacez `read autonomous-backups`
Arrêter ou démarrer une base de données Autonomous Database	`use autonomous-databases`
Redémarrer une base de données Autonomous Database	`use autonomous-databases`
Sauvegarder une base de données Autonomous Database manuellement	`read autonomous-databases` `manage autonomous-backups`
Restaurer une base de données Autonomous Database	`use autonomous-databases` `read autonomous-backups`
Cloner une base de données Autonomous Database	`manage autonomous-databases` `read autonomous-container-databases`
Mettre fin à une base de données Autonomous Database	`manage autonomous-databases`

Titre et Copyright

Oracle et/ou ses sociétés affiliées.