Informations détaillées sur les politiques pour le service de base de données de base
Cet article fournit des informations détaillées sur l'écriture de politiques du service de gestion des identités et des accès (GIA) pour Oracle Cloud Infrastructure pour contrôler l'accès aux ressources du service de base de données de base Oracle.
Conseil :
Pour un exemple de politique, voir Permettre aux administrateurs de base de données de gérer les systèmes de base de données Oracle Cloud.Types de ressource
Un type de ressource agrégé couvre la liste des types de ressource individuels qui suivent. Par exemple, l'écriture d'une politique pour permettre à un groupe d'accéder à database-family équivaut à l'écriture de politiques distinctes pour le groupe qui lui donneraient accès aux types de ressource db-systems, db-nodes, db-homes, databases, database-software-image et db-backups. Pour plus d'informations, voir Types de ressource dans Fonctionnement des politiques.
Type de ressource agrégé
database-family
Types de ressource individuels
db-systemsdb-nodesdb-homesdatabasespluggable databasesdb-backups
Variables prises en charge
Seules les variables générales sont prises en charge. Pour plus d'informations, voir Variables générales pour toutes les demandes dans Informations de référence sur les politiques.
Informations détaillées sur les combinaisons Verbe + Type de ressource
Les tableaux suivants présentent les autorisations et les opérations d'API couvertes par chaque verbe. Le niveau d'accès est cumulatif au fur et à mesure que vous progressez depuis inspect > read > use > manage. Un signe plus (+) dans une cellule de tableau indique un accès incrémentiel par rapport à la cellule directement au-dessus, alors que la mention "aucun accès supplémentaire" indique qu'il n'y a aucun accès incrémentiel.
Par exemple, les verbes read et use pour le type de ressource db-systems ne couvrent aucune autorisation ou opération d'API supplémentaire par rapport au verbe inspect. En revanche, le verbe manage comprend deux autorisations supplémentaires et couvre partiellement deux autres opérations d'API.
db-systems
| Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
|---|---|---|---|
| inspect | DB_SYSTEM_INSPECT |
|
aucune |
| read | aucun accès supplémentaire | aucun accès supplémentaire | aucune |
| use | DB_SYSTEM_UPDATE | aucun accès supplémentaire | ChangeDbSystemCompartment (nécessite également use db-homes, use databases et inspect db-backups)
|
| manage |
USE + DB_SYSTEM_CREATE DB_SYSTEM_DELETE |
UpdateDBSystem |
LaunchDBSystem, TerminateDbSystem (les deux nécessitent également manage db-homes, manage databases, use vnics et use subnets)
|
db-nodes
| Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
|---|---|---|---|
| inspect |
DB_NODE_INSPECT DB_NODE_QUERY |
GetDbNode |
aucune |
| read | aucun accès supplémentaire | aucun accès supplémentaire | aucune |
| use | aucun accès supplémentaire | aucun accès supplémentaire | aucune |
| manage |
USE + DB_NODE_POWER_ACTIONS |
DbNodeAction |
aucune |
db-homes
| Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
|---|---|---|---|
| inspect | DB_HOME_INSPECT |
|
aucune |
| read | aucun accès supplémentaire | aucun accès supplémentaire | aucune |
| use | DB_HOME_UPDATE | UpdateDBHome |
ChangeDbSystemCompartment (nécessite également use db-systems, use databases et inspect db-backups)
|
| manage |
USE + DB_HOME_CREATE DB_HOME_DELETE |
aucun accès supplémentaire |
Si les sauvegardes automatiques sont activées sur la base de données par défaut,
Si vous créez le répertoire de base Oracle Database en le restaurant à partir d'une sauvegarde,
Si les sauvegardes automatiques sont activées sur la base de données par défaut, Si l'option |
databases
| Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
|---|---|---|---|
| inspect | DATABASE_INSPECT |
|
aucune |
| read |
aucun accès supplémentaire DATABASE_CONTENT_READ |
aucun accès supplémentaire | aucune |
| use |
READ + DATABASE_CONTENT_WRITE DATABASE_UPDATE |
|
|
| manage |
USE + DATABASE_CREATE DATABASE_DELETE |
aucun accès supplémentaire | LaunchDBSystem, TerminateDbSystem (les deux nécessitent également manage db-systems, manage db-homes, use vnics et use subnets)
|
pluggable databases
| Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
|---|---|---|---|
| inspect | PLUGGABLE_DATABASE_INSPECT |
|
aucune |
| read |
INSPECT + PLUGGABLE_DATABASE_CONTENT_READ |
aucun accès supplémentaire | aucune |
| use |
READ + PLUGGABLE_DATABASE_CONTENT_WRITE PLUGGABLE_DATABASE_UPDATE |
|
aucune |
| manage |
USE + PLUGGABLE_DATABASE_CREATE PLUGGABLE_DATABASE_DELETE |
aucun accès supplémentaire | CreatePluggableDatabase, DeletePluggableDatabase, LocalClonePluggableDatabase, RemoteClonePluggableDatabase (toutes requièrent également use databases)
|
Sauvegardes de base de données
| Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
|---|---|---|---|
| inspect | DB_BACKUP_INSPECT |
|
ChangeDbSystemCompartment (nécessite également use db-systems, use db-homes et use databases)
|
| read |
INSPECT + DB_BACKUP_CONTENT_READ |
aucune | RestoreDatabase (requiert également use databases)
|
| use | aucun accès supplémentaire | aucun accès supplémentaire | aucune |
| manage |
USE + DB_BACKUP_CREATE DB_BACKUP_DELETE |
DeleteBackup |
CreateBackup (requiert également read databases)
|
Autorisations requises pour chaque opération d'API
Les tableaux suivants listent les opérations d'API pour les systèmes de base de données et les bases de données enfichables dans un ordre logique, regroupées par type de ressource.
Opérations d'API de base de données
| Opération d'API | Autorisations requises pour utiliser l'opération |
|---|---|
ListDbSystems |
DB_SYSTEM_INSPECT |
GetDbSystem |
DB_SYSTEM_INSPECT |
LaunchDbSystem |
DB_SYSTEM_CREATE, DB_HOME_CREATE, DATABASE_CREATE, VNIC_CREATE, VNIC_ATTACH et SUBNET_ATTACH Pour activer les sauvegardes automatiques de la base de données initiale, il faut également DB_BACKUP_CREATE et DATABASE_CONTENT_READ |
UpdateDbSystem |
DB_SYSTEM_INSPECT et DB_SYSTEM_UPDATE |
ChangeDbSystemCompartment |
DB_SYSTEM_UPDATE, DB_HOME_UPDATE, DATABASE_UPDATE et DB_BACKUP_INSPECT |
ListDbSystemPatches |
DB_SYSTEM_INSPECT |
ListDbSystemPatchHistoryEntries |
DB_SYSTEM_INSPECT |
GetDbSystemPatch |
DB_SYSTEM_INSPECT |
GetDbSystemPatchHistoryEntry |
DB_SYSTEM_INSPECT |
TerminateDbSystem |
DB_SYSTEM_DELETE, DB_HOME_DELETE, DATABASE_DELETE, VNIC_DETACH, VNIC_DELETE et SUBNET_DETACH Si les sauvegardes automatiques sont activées pour une base de données du système de base de données, DB_BACKUP_DELETE est également nécessaire |
GetDbNode |
DB_NODE_INSPECT |
DbNodeAction |
DB_NODE_POWER_ACTIONS |
ListDbHomes |
DB_HOME_INSPECT |
GetDbHome |
DB_HOME_INSPECT |
ListDbHomePatches |
DB_HOME_INSPECT |
ListDbHomePatchHistoryEntries |
DB_HOME_INSPECT |
GetDbHomePatch |
DB_HOME_INSPECT |
GetDbHomePatchHistoryEntry |
DB_HOME_INSPECT |
CreateDbHome |
DB_SYSTEM_INSPECT et DB_SYSTEM_UPDATE et DB_HOME_CREATE et DATABASE_CREATE Pour activer les sauvegardes automatiques de la base de données, il faut également DB_BACKUP_CREATE et DATABASE_CONTENT_READ |
UpdateDbHome |
DB_HOME_UPDATE |
DeleteDbHome |
DB_SYSTEM_UPDATE et DB_HOME_DELETE et DATABASE_DELETE Si les sauvegardes automatiques sont activées, DB_BACKUP_DELETE est également nécessaire En cas d'exécution d'une sauvegarde finale, vous devez également disposer de DB_BACKUP_CREATE et de DATABASE_CONTENT_READ |
ListDatabases |
DATABASE_INSPECT |
GetDatabase |
DATABASE_INSPECT |
UpdateDatabase |
DATABASE_UPDATE Pour activer les sauvegardes automatiques, il faut également DB_BACKUP_CREATE et DATABASE_CONTENT_READ |
ListDbSystemShapes |
(aucune autorisation requise; accessible à tous) |
ListDbVersions |
(aucune autorisation requise; accessible à tous) |
GetDataGuardAssociation |
DATABASE_INSPECT |
ListDataGuardAssociations |
DATABASE_INSPECT |
CreateDataGuardAssociation |
DB_SYSTEM_UPDATE et DB_HOME_CREATE et DB_HOME_UPDATE et DATABASE_CREATE et DATABASE_UPDATE |
SwitchoverDataGuardAssociation |
DATABASE_UPDATE |
FailoverDataGuardAssociation |
DATABASE_UPDATE |
ReinstateDataGuardAssociation |
DATABASE_UPDATE |
MigrateVaultKey |
DATABASE_UPDATE |
RotateVaultKey |
DATABASE_UPDATE |
GetBackup |
DB_BACKUP_INSPECT |
ListBackups |
DB_BACKUP_INSPECT |
CreateBackup |
DB_BACKUP_CREATE et DATABASE_CONTENT_READ |
DeleteBackup |
DB_BACKUP_DELETE et DB_BACKUP_INSPECT |
RestoreDatabase |
DB_BACKUP_INSPECT et DB_BACKUP_CONTENT_READ et DATABASE_CONTENT_WRITE |
Opérations d'API de base de données enfichable
| Opération d'API | Autorisations requises pour utiliser l'opération |
|---|---|
ListPluggableDatabase |
PLUGGABLE_DATABASE_INSPECT |
GetPluggableDatabase |
PLUGGABLE_DATABASE_INSPECT |
CreatePluggableDatabase |
DATABASE_INSPECT* DATABASE_UPDATE* PLUGGABLE_DATABASE_CREATE Autorisations supplémentaires requises si les sauvegardes automatiques sont activées pour la base de données conteneur et que cette base de données enfichable est incluse : PLUGGABLE_DATABASE_CONTENT_READ |
UpdatePluggableDatabase |
PLUGGABLE_DATABASE_INSPECT et PLUGGABLE_DATABASE_UPDATE Autorisations supplémentaires requises si les sauvegardes automatiques sont activées pour la base de données conteneur et que cette base de données enfichable est incluse : PLUGGABLE_DATABASE_CONTENT_READ |
StartPluggableDatabase |
PLUGGABLE_DATABASE_INSPECT et PLUGGABLE_DATABASE_UPDATE |
StopPluggableDatabase |
PLUGGABLE_DATABASE_INSPECT et PLUGGABLE_DATABASE_UPDATE |
DeletePluggableDatabase |
DATABASE_INSPECT (existe) DATABASE_UPDATE (existe) PLUGGABLE_DATABASE_DELETE |
LocalClonePluggableDatabase |
DATABASE_INSPECT* DATABASE_UPDATE* PLUGGABLE_DATABASE_INSPECT PLUGGABLE_DATABASE_UPDATE PLUGGABLE_DATABASE_CONTENT_READ PLUGGABLE_DATABASE_CREATE PLUGGABLE_DATABASE_CONTENT_WRITE |
RemoteClonePluggableDatabase |
DATABASE_INSPECT* DATABASE_UPDATE* PLUGGABLE_DATABASE_INSPECT PLUGGABLE_DATABASE_UPDATE PLUGGABLE_DATABASE_CONTENT_READ PLUGGABLE_DATABASE_CREATE PLUGGABLE_DATABASE_CONTENT_WRITE |