Informations détaillées sur les politiques pour le service de base de données de base

Cet article fournit des informations détaillées sur l'écriture de politiques du service de gestion des identités et des accès (GIA) pour Oracle Cloud Infrastructure pour contrôler l'accès aux ressources du service de base de données de base Oracle.

Types de ressource

Un type de ressource agrégé couvre la liste des types de ressource individuels qui suivent. Par exemple, l'écriture d'une politique pour permettre à un groupe d'accéder à database-family équivaut à l'écriture de politiques distinctes pour le groupe qui lui donneraient accès aux types de ressource db-systems, db-nodes, db-homes, databases, database-software-image et db-backups. Pour plus d'informations, voir Types de ressource dans Fonctionnement des politiques.

Type de ressource agrégé

  • database-family

Types de ressource individuels

  • db-systems
  • db-nodes
  • db-homes
  • databases
  • pluggable databases
  • db-backups

Variables prises en charge

Seules les variables générales sont prises en charge. Pour plus d'informations, voir Variables générales pour toutes les demandes dans Informations de référence sur les politiques.

Informations détaillées sur les combinaisons Verbe + Type de ressource

Les tableaux suivants présentent les autorisations et les opérations d'API couvertes par chaque verbe. Le niveau d'accès est cumulatif au fur et à mesure que vous progressez depuis inspect > read > use > manage. Un signe plus (+) dans une cellule de tableau indique un accès incrémentiel par rapport à la cellule directement au-dessus, alors que la mention "aucun accès supplémentaire" indique qu'il n'y a aucun accès incrémentiel.

Par exemple, les verbes read et use pour le type de ressource db-systems ne couvrent aucune autorisation ou opération d'API supplémentaire par rapport au verbe inspect. En revanche, le verbe manage comprend deux autorisations supplémentaires et couvre partiellement deux autres opérations d'API.

db-systems

Verbes Autorisations API entièrement couvertes API partiellement couvertes
inspect DB_SYSTEM_INSPECT

ListDbSystems

GetDbSystem

ListDbSystemPatches

ListDbSystemPatchHistoryEntries

GetDbSystemPatch

GetDbSystemPatchHistoryEntry

aucune
read aucun accès supplémentaire aucun accès supplémentaire aucune
use DB_SYSTEM_UPDATE aucun accès supplémentaire ChangeDbSystemCompartment (nécessite également use db-homes, use databases et inspect db-backups)
manage

USE +

DB_SYSTEM_CREATE

DB_SYSTEM_DELETE

UpdateDBSystem LaunchDBSystem, TerminateDbSystem (les deux nécessitent également manage db-homes, manage databases, use vnics et use subnets)

db-nodes

Verbes Autorisations API entièrement couvertes API partiellement couvertes
inspect

DB_NODE_INSPECT

DB_NODE_QUERY

GetDbNode aucune
read aucun accès supplémentaire aucun accès supplémentaire aucune
use aucun accès supplémentaire aucun accès supplémentaire aucune
manage

USE +

DB_NODE_POWER_ACTIONS

DbNodeAction aucune

db-homes

Verbes Autorisations API entièrement couvertes API partiellement couvertes
inspect DB_HOME_INSPECT

ListDBHome

GetDBHome

ListDbHomePatches

ListDbHomePatchHistoryEntries

GetDbHomePatch

GetDbHomePatchHistoryEntry

aucune
read aucun accès supplémentaire aucun accès supplémentaire aucune
use DB_HOME_UPDATE UpdateDBHome ChangeDbSystemCompartment (nécessite également use db-systems, use databases et inspect db-backups)
manage

USE +

DB_HOME_CREATE

DB_HOME_DELETE

aucun accès supplémentaire

LaunchDBSystem, TerminateDbSystem (les deux nécessitent également manage db-systems, manage databases, use vnics et use subnets).

Si les sauvegardes automatiques sont activées sur la base de données par défaut, manage db-backups est également nécessaire.

CreateDbHome (nécessite également use db-systems et manage databases).

Si vous créez le répertoire de base Oracle Database en le restaurant à partir d'une sauvegarde, read db-backups est également nécessaire.

DeleteDbHome (nécessite également use db-systems et manage databases).

Si les sauvegardes automatiques sont activées sur la base de données par défaut, manage db-backups est également nécessaire.

Si l'option performFinalBackup est sélectionnée, manage db-backups et read databases sont également nécessaires.

databases

Verbes Autorisations API entièrement couvertes API partiellement couvertes
inspect DATABASE_INSPECT

ListDatabases

GetDatabase

ListDataGuardAssociations

GetDataGuardAssociation

aucune
read

aucun accès supplémentaire

DATABASE_CONTENT_READ

aucun accès supplémentaire aucune
use

READ +

DATABASE_CONTENT_WRITE

DATABASE_UPDATE

UpdateDatabase

SwitchoverDataGuardAssociation

FailoverDataGuardAssociation

ReinstateDataGuardAssociation

RotateVaultKey

MigrateVaultKey

CreateDataGuardAssociation

ChangeDbSystemCompartment (nécessite également use db-systems, use db-homes et inspect db-backups)

manage

USE +

DATABASE_CREATE

DATABASE_DELETE

aucun accès supplémentaire LaunchDBSystem, TerminateDbSystem (les deux nécessitent également manage db-systems, manage db-homes, use vnics et use subnets)

pluggable databases

Verbes Autorisations API entièrement couvertes API partiellement couvertes
inspect PLUGGABLE_DATABASE_INSPECT

ListPluggableDatabases

GetPluggableDatabase

aucune
read

INSPECT +

PLUGGABLE_DATABASE_CONTENT_READ

aucun accès supplémentaire aucune
use

READ +

PLUGGABLE_DATABASE_CONTENT_WRITE

PLUGGABLE_DATABASE_UPDATE

UpdatePluggableDatabases

StartPluggableDatabase

StopPluggableDatabase

aucune
manage

USE +

PLUGGABLE_DATABASE_CREATE

PLUGGABLE_DATABASE_DELETE

aucun accès supplémentaire CreatePluggableDatabase, DeletePluggableDatabase, LocalClonePluggableDatabase, RemoteClonePluggableDatabase (toutes requièrent également use databases)

Sauvegardes de base de données

Verbes Autorisations API entièrement couvertes API partiellement couvertes
inspect DB_BACKUP_INSPECT

GetBackup

ListBackups

ChangeDbSystemCompartment (nécessite également use db-systems, use db-homes et use databases)
read

INSPECT +

DB_BACKUP_CONTENT_READ

aucune RestoreDatabase (requiert également use databases)
use aucun accès supplémentaire aucun accès supplémentaire aucune
manage

USE +

DB_BACKUP_CREATE

DB_BACKUP_DELETE

DeleteBackup CreateBackup (requiert également read databases)
Pour plus d'informations sur les autorisations et les verbes, voir Fonctions avancées liées aux politiques.

Autorisations requises pour chaque opération d'API

Les tableaux suivants listent les opérations d'API pour les systèmes de base de données et les bases de données enfichables dans un ordre logique, regroupées par type de ressource.

Opérations d'API de base de données

Opération d'API Autorisations requises pour utiliser l'opération
ListDbSystems DB_SYSTEM_INSPECT
GetDbSystem DB_SYSTEM_INSPECT
LaunchDbSystem

DB_SYSTEM_CREATE, DB_HOME_CREATE, DATABASE_CREATE, VNIC_CREATE, VNIC_ATTACH et SUBNET_ATTACH

Pour activer les sauvegardes automatiques de la base de données initiale, il faut également DB_BACKUP_CREATE et DATABASE_CONTENT_READ

UpdateDbSystem DB_SYSTEM_INSPECT et DB_SYSTEM_UPDATE
ChangeDbSystemCompartment DB_SYSTEM_UPDATE, DB_HOME_UPDATE, DATABASE_UPDATE et DB_BACKUP_INSPECT
ListDbSystemPatches DB_SYSTEM_INSPECT
ListDbSystemPatchHistoryEntries DB_SYSTEM_INSPECT
GetDbSystemPatch DB_SYSTEM_INSPECT
GetDbSystemPatchHistoryEntry DB_SYSTEM_INSPECT
TerminateDbSystem

DB_SYSTEM_DELETE, DB_HOME_DELETE, DATABASE_DELETE, VNIC_DETACH, VNIC_DELETE et SUBNET_DETACH

Si les sauvegardes automatiques sont activées pour une base de données du système de base de données, DB_BACKUP_DELETE est également nécessaire

GetDbNode DB_NODE_INSPECT
DbNodeAction DB_NODE_POWER_ACTIONS
ListDbHomes DB_HOME_INSPECT
GetDbHome DB_HOME_INSPECT
ListDbHomePatches DB_HOME_INSPECT
ListDbHomePatchHistoryEntries DB_HOME_INSPECT
GetDbHomePatch DB_HOME_INSPECT
GetDbHomePatchHistoryEntry DB_HOME_INSPECT
CreateDbHome

DB_SYSTEM_INSPECT et DB_SYSTEM_UPDATE et DB_HOME_CREATE et DATABASE_CREATE

Pour activer les sauvegardes automatiques de la base de données, il faut également DB_BACKUP_CREATE et DATABASE_CONTENT_READ

UpdateDbHome DB_HOME_UPDATE
DeleteDbHome

DB_SYSTEM_UPDATE et DB_HOME_DELETE et DATABASE_DELETE

Si les sauvegardes automatiques sont activées, DB_BACKUP_DELETE est également nécessaire

En cas d'exécution d'une sauvegarde finale, vous devez également disposer de DB_BACKUP_CREATE et de DATABASE_CONTENT_READ

ListDatabases DATABASE_INSPECT
GetDatabase DATABASE_INSPECT
UpdateDatabase

DATABASE_UPDATE

Pour activer les sauvegardes automatiques, il faut également DB_BACKUP_CREATE et DATABASE_CONTENT_READ

ListDbSystemShapes (aucune autorisation requise; accessible à tous)
ListDbVersions (aucune autorisation requise; accessible à tous)
GetDataGuardAssociation DATABASE_INSPECT
ListDataGuardAssociations DATABASE_INSPECT
CreateDataGuardAssociation DB_SYSTEM_UPDATE et DB_HOME_CREATE et DB_HOME_UPDATE et DATABASE_CREATE et DATABASE_UPDATE
SwitchoverDataGuardAssociation DATABASE_UPDATE
FailoverDataGuardAssociation DATABASE_UPDATE
ReinstateDataGuardAssociation DATABASE_UPDATE
MigrateVaultKey DATABASE_UPDATE
RotateVaultKey DATABASE_UPDATE
GetBackup DB_BACKUP_INSPECT
ListBackups DB_BACKUP_INSPECT
CreateBackup DB_BACKUP_CREATE et DATABASE_CONTENT_READ
DeleteBackup DB_BACKUP_DELETE et DB_BACKUP_INSPECT
RestoreDatabase DB_BACKUP_INSPECT et DB_BACKUP_CONTENT_READ et DATABASE_CONTENT_WRITE

Opérations d'API de base de données enfichable

Opération d'API Autorisations requises pour utiliser l'opération
ListPluggableDatabase PLUGGABLE_DATABASE_INSPECT
GetPluggableDatabase PLUGGABLE_DATABASE_INSPECT
CreatePluggableDatabase

DATABASE_INSPECT*

DATABASE_UPDATE*

PLUGGABLE_DATABASE_CREATE

Autorisations supplémentaires requises si les sauvegardes automatiques sont activées pour la base de données conteneur et que cette base de données enfichable est incluse :

PLUGGABLE_DATABASE_CONTENT_READ

UpdatePluggableDatabase

PLUGGABLE_DATABASE_INSPECT et

PLUGGABLE_DATABASE_UPDATE

Autorisations supplémentaires requises si les sauvegardes automatiques sont activées pour la base de données conteneur et que cette base de données enfichable est incluse :

PLUGGABLE_DATABASE_CONTENT_READ

StartPluggableDatabase

PLUGGABLE_DATABASE_INSPECT et

PLUGGABLE_DATABASE_UPDATE

StopPluggableDatabase

PLUGGABLE_DATABASE_INSPECT et

PLUGGABLE_DATABASE_UPDATE

DeletePluggableDatabase

DATABASE_INSPECT (existe)

DATABASE_UPDATE (existe)

PLUGGABLE_DATABASE_DELETE

LocalClonePluggableDatabase

DATABASE_INSPECT*

DATABASE_UPDATE*

PLUGGABLE_DATABASE_INSPECT

PLUGGABLE_DATABASE_UPDATE

PLUGGABLE_DATABASE_CONTENT_READ

PLUGGABLE_DATABASE_CREATE

PLUGGABLE_DATABASE_CONTENT_WRITE

RemoteClonePluggableDatabase

DATABASE_INSPECT*

DATABASE_UPDATE*

PLUGGABLE_DATABASE_INSPECT

PLUGGABLE_DATABASE_UPDATE

PLUGGABLE_DATABASE_CONTENT_READ

PLUGGABLE_DATABASE_CREATE

PLUGGABLE_DATABASE_CONTENT_WRITE

Pour plus d'informations sur les autorisations et les verbes, voir Fonctions avancées liées aux politiques.