Politiques IAM pour Autonomous AI Database

Fournit des informations sur les politiques IAM requises pour les opérations d'API sur la base de données autonome avec intelligence artificielle.

Oracle Autonomous AI Database s'appuie sur le service IAM (Identity and Access Management) pour authentifier et autoriser les utilisateurs du nuage à effectuer des opérations utilisant l'une des interfaces Oracle Cloud Infrastructure (console, API REST, interface de ligne de commande ou trousse SDK).

Le service GIA utilise des groupes, des compartiments, et des politiques pour contrôler les utilisateurs Oracle Cloud qui peuvent accéder aux différentes ressources.

Informations détaillées sur les politiques pour Autonomous AI Database
Cette rubrique présente des informations détaillées sur l'écriture de politiques pour contrôler l'accès aux ressources Autonomous AI Database.
Autorisations IAM et opérations d'API pour Autonomous AI Database
Cette rubrique présente les autorisations IAM disponibles pour les opérations sur Autonomous AI Database.
Fournir des privilèges spécifiques dans les politiques IAM pour gérer la base de données d'IA autonome
Liste les politiques IAM que vous pouvez utiliser avec un verbe d'autorisation et une condition pour accorder des opérations plus granulaires à un groupe.

Rubrique parent : Sécurité

Informations détaillées sur les politiques pour Autonomous AI Database

Cette rubrique présente des détails sur l'écriture de politiques permettant de contrôler l'accès aux ressources de base de données du service d'intelligence artificielle autonome.

Une politique définit le type d'accès d'un groupe d'utilisateurs à une ressource spécifique d'un compartiment individuel. Pour plus d'informations, voir Introduction aux politiques.

Types de ressource

Un type de ressource agrégé couvre la liste des types de ressource individuels qui suivent. Par exemple, l'écriture d'une politique pour permettre à un groupe d'accéder à autonomous-database-family équivaut à l'écriture de quatre politiques distinctes pour le groupe qui accorderaient l'accès aux types de ressource autonomous-databases, autonomous-backups. Pour plus d'information, voir Types de ressource

Types de ressource pour Autonomous AI Database

Type de ressource agrégé :

autonomous-database-family

Types de ressource individuels :

autonomous-databases

autonomous-backups

Informations détaillées sur les combinaisons Verbe + Type de ressource

Le niveau d'accès est cumulatif au fur et à mesure que vous progressez depuis inspect > read > use > manage. Un signe plus (+) dans une cellule de tableau indique un accès incrémentiel par rapport à la cellule directement au-dessus, alors que la mention "aucun accès supplémentaire" indique qu'il n'y a aucun accès incrémentiel.

Par exemple, le verbe read pour le type de ressource autonomous-databases couvre les mêmes autorisations et opérations d'API que le verbe inspect, plus l'autorisation AUTONOMOUS_DATABASE_CONTENT_READ. Le verbe read couvre partiellement l'opération CreateAutonomousDatabaseBackup, qui nécessite également des autorisations de gestion pour autonomous-backups.

Les tableaux suivants présentent les opérations d'autorisation et d'API couvertes par chaque verbe. Pour plus d'informations sur les autorisations, voir Autorisations.

Note

La famille de ressources couverte par autonomous-database-family peut être utilisée pour accorder l'accès aux ressources de base de données associées à tous les types de charge de travail de base de données de l'IA autonome.

Types de ressource de bases de données autonomes

Verbes	Permissions	API entièrement couvertes	API partiellement couvertes
inspect	`AUTONOMOUS_DATABASE_INSPECT`	`GetAutonomousDatabase, GetAutonomousDatabaseBackupConfig, GetAutonomousDatabaseCapability, ListAutonomousDatabases, ListAutonomousDatabaseClones, ListAutonomousDatabasePeers, ListAutonomousDatabaseRefreshableClones, ResourcePoolShapes`	aucune
lire	`INSPECT +` `AUTONOMOUS_DATABASE_CONTENT_READ`	`GenerateAutonomousDatabasePerformanceData, GenerateAutonomousDatabaseWallet, GetAutonomousDatabaseRegionalWallet, GetAutonomousDatabaseWallet, RetrieveDatabasePerformanceBulkData`	`CreateAutonomousDatabaseBackup` (requiert également `manage autonomous-backups`)
use	`READ +` `AUTONOMOUS_DATABASE_CONTENT_WRITE` `AUTONOMOUS_DATABASE_UPDATE`	AutonomousDatabaseManualRefresh, CancelAutonomousDatabaseSession, ChangeDisasterRecoveryConfiguration, ConfigureAutonomousDatabaseVaultKey, DeregisterAutonomousDatabaseDataSafe, DisableAutonomousDatabaseOperationsInsights, DisableDatabaseManagement, EnableAutonomousDatabaseOperationsInsights, EnableDatabaseManagement, FailOverAutonomousDatabase, GetAutonomousDatabaseConsoleToken, RegisterAutonomousDatabaseDataSafe, RestartAutonomousDatabase, RotateAutonomousDatabaseEncryptionKey, ShrinkAutonomousDatabase, StartAutonomousDatabase, StopAutonomousDatabase, SwitchOverAutonomousDatabase, UpdateAutonomousDatabaseRegionalWallet, UpdateAutonomousDatabase	`RestoreAutonomousDatabase` (requiert également `read autonomous-backups`) `ChangeAutonomousDatabaseCompartment` (requiert également `read autonomous-backups`)
manage	`USE +` `AUTONOMOUS_DATABASE_CREATE` `AUTONOMOUS_DATABASE_DELETE` `NETWORK_SECURITY_GROUP_UPDATE_MEMBERS`	`CreateAutonomousDatabase, DeleteAutonomousDatabase`	aucune

Liste des opérations et des politiques IAM requises pour gérer une instance Autonomous AI Database

Opération	Politiques GIA requises
Ajouter une base de données pair	`use autonomous-databases`
Ajouter des attributs de sécurité	`use autonomous-databases`
Modifier le modèle de calcul	`use autonomous-databases`
Modifier le mode de base de données	`use autonomous-databases`
Modifier le réseau	`use autonomous-databases`
Modifier le type de charge de travail	`use autonomous-databases`
Cloner une base de données autonome avec intelligence artificielle	`manage autonomous-databases` Voir Autorisations IAM et opérations d'API pour Autonomous AI Database pour obtenir des autorisations de clonage supplémentaires sur Autonomous AI Database.
Créer une base de données autonome avec intelligence artificielle	`manage autonomous-databases` `read autonomous-databases`
Modifier la configuration du service d'outils de base de données	`use autonomous-databases`
Modifier le programme de début/arrêt	`use autonomous-databases`
Activer le groupe élastique	`use autonomous-databases`
Activer ou désactiver l'ajustement automatique pour une base de données d'intelligence artificielle autonome	`use autonomous-databases`
Joindre un groupe élastique	`use autonomous-databases`
Gérer les contacts chez le client	`use autonomous-databases`
Gérer la clé de chiffrement	`use autonomous-databases`
Déplacer une base de données autonome vers un autre compartiment	`use autonomous-databases` dans le compartiment courant de la base de données et dans le compartiment vers lequel vous la déplacez `read autonomous-backups`
Renommer une base de données IA autonome	`use autonomous-databases`
Redémarrer une base de données autonome avec intelligence artificielle	`use autonomous-databases`
Restaurer une base de données IA autonome	`use autonomous-databases` `read autonomous-backups`
Adapter le nombre d'ECPU ou le stockage d'une base de données autonome basée sur l'IA	`use autonomous-databases`
Définir le mot de passe de l'utilisateur ADMIN	`use autonomous-databases`
Arrêter ou démarrer une base de données autonome avec intelligence artificielle	`use autonomous-databases`
Permutation	`use autonomous-databases`
Mettre fin à une base de données autonome avec intelligence artificielle	`manage autonomous-databases`
Mettre à jour la récupération après sinistre	`use autonomous-databases`
Mettre à jour le nom d'affichage	`use autonomous-databases`
Mettre à jour la licence et l'édition d'Oracle Database	`use autonomous-databases`
Mettre à jour l'accès au réseau pour les listes de contrôle d'accès	`use autonomous-databases`
Mettre à jour l'accès au réseau pour un point d'extrémité privé	`use autonomous-databases`
Voir une liste de bases de données d'intelligence artificielle autonomes	`inspect autonomous-databases`
Voir les détails d'une base de données autonome avec intelligence artificielle	`inspect autonomous-databases`

sauvegardes autonomes

Verbes	Permissions	API entièrement couvertes	API partiellement couvertes
inspect	`AUTONOMOUS_DB_BACKUP_INSPECT`	`ListAutonomousDatabaseBackups, GetAutonomousDatabaseBackup`	aucune
manage	`USE +` `AUTONOMOUS_DB_BACKUP_CREATE` `AUTONOMOUS_DB_BACKUP_DELETE`	`DeleteAutonomousDatabaseBackup`	`CreateAutonomousDatabaseBackup` (requiert également `read autonomous-databases`)
lire	`INSPECT +` `AUTONOMOUS_DB_BACKUP_CONTENT_READ`	aucun accès supplémentaire	`RestoreAutonomousDatabase` (requiert également `use autonomous-databases`) `ChangeAutonomousDatabaseCompartment` (requiert également `use autonomous-databases`)
use	READ + aucun accès supplémentaire	aucun accès supplémentaire	aucune

Variables prises en charge

Toutes les variables générales de gestion des identités et des accès OCI sont prises en charge. Pour plus d'informations, voir Variables générales pour toutes les demandes.

En outre, vous pouvez utiliser la variable target.id avec l'OCID d'une base de données après la création d'une base de données et la variable target.workloadType avec une valeur, comme indiqué dans le tableau suivant :

Valeur target.workloadType	Description
`OLTP`	Traitement de transactions en ligne, utilisé pour les bases de données autonomes avec charge de travail de traitement de transactions.
`LH`	Lac à fonctionnalités d'entrepôt, utilisé pour les bases de données autonomes avec charges de travail de plate-forme d'analyse et de données.
`DW`	Data Warehouse, utilisé pour les bases de données autonomes avec charge de travail Data Warehouse.
`AJD`	Base de données Autonomous JSON Database utilisée pour les bases de données Autonomous AI Databases avec charge de travail JSON.
`APEX`	Service APEX utilisé pour le service APEX de base de données autonome avec intelligence artificielle.

Exemple de politique utilisant la variable target.id :

Allow group ADB-Admins to manage autonomous-databases in tenancy where target.id = 'OCID'

Exemple de politique utilisant la variable target.workloadType :

Allow group ADB-Admins to manage autonomous-databases in tenancy where target.workloadType = 'AJD'

Rubrique parent : Politiques IAM pour une base de données d'intelligence artificielle autonome

Autorisations IAM et opérations d'API pour Autonomous AI Database

Cette rubrique présente les autorisations IAM disponibles pour les opérations sur une base de données autonome avec intelligence artificielle.

Voici les autorisations IAM pour Autonomous AI Database :

AUTONOMOUS_DATABASE_CONTENT_READ
AUTONOMOUS_DATABASE_CONTENT_WRITE
AUTONOMOUS_DATABASE_CREATE

Voir Autorisations de clonage pour plus de limites de clonage.
AUTONOMOUS_DATABASE_DELETE
AUTONOMOUS_DATABASE_INSPECT
AUTONOMOUS_DATABASE_UPDATE
AUTONOMOUS_DB_BACKUP_CONTENT_READ
AUTONOMOUS_DB_BACKUP_CREATE
AUTONOMOUS_DB_BACKUP_INSPECT
NETWORK_SECURITY_GROUP_UPDATE_MEMBERS
VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP

Exemple de politique permettant à un groupe d'être autorisé à créer Oracle Autonomous AI Database dans un compartiment :

Allow group group-name to manage autonomous-database in compartment id compartment-ocid 
    where all{request.permission = 'AUTONOMOUS_DATABASE_UPDATE'}

Autorisations requises pour utiliser l'opération	Opérations d'API
`AUTONOMOUS_DATABASE_CONTENT_READ`	`GenerateAutonomousDatabaseWallet` `GetAutonomousDatabaseRegionalWallet` `GetAutonomousDatabaseWallet` `RetrieveDatabasePerformanceBulkData`
`AUTONOMOUS_DATABASE_CREATE`	`CreateAutonomousDatabase`
`AUTONOMOUS_DATABASE_DELETE`	`DeleteAutonomousDatabase`
`AUTONOMOUS_DATABASE_INSPECT`	`GetAutonomousDatabase` `ListAutonomousDatabaseClones` `ListAutonomousDatabasePeers` `ListAutonomousDatabaseRefreshableClones` `ListAutonomousDatabases` `ResourcePoolShapes`
`AUTONOMOUS_DATABASE_UPDATE`	`AutonomousDatabaseManualRefresh` `ConfigureAutonomousDatabaseVaultKey` `DeregisterAutonomousDatabaseDataSafe` `DisableAutonomousDatabaseOperationsInsights` `DisableDatabaseManagement` `EnableAutonomousDatabaseOperationsInsights` `EnableDatabaseManagement` `FailOverAutonomousDatabase` `RegisterAutonomousDatabaseDataSafe` `RestartAutonomousDatabase` `RotateAutonomousDatabaseEncryptionKey` `ShrinkAutonomousDatabase` `StartAutonomousDatabase` `StopAutonomousDatabase` `SwitchOverAutonomousDatabase` `UpdateAutonomousDatabaseWallet` `UpdateAutonomousDatabaseRegionalWallet`
`AUTONOMOUS_DB_BACKUP_INSPECT`	`GetAutonomousDatabaseBackup` `ListAutonomousDatabaseBackups`
`AUTONOMOUS_DB_BACKUP_UPDATE`	`UpdateAutonomousDatabaseBackup`
`AUTONOMOUS_DB_BACKUP_CREATE` `AUTONOMOUS_DATABASE_CONTENT_READ`	`CreateAutonomousDatabaseBackup`
`AUTONOMOUS_DB_BACKUP_INSPECT` `AUTONOMOUS_DB_BACKUP_DELETE`	`DeleteAutonomousDatabaseBackup`
`AUTONOMOUS_DB_BACKUP_INSPECT` `AUTONOMOUS_DB_BACKUP_CONTENT_READ` `AUTONOMOUS_DATABASE_CONTENT_WRITE`	`RestoreAutonomousDatabase`
Obligatoire pour le compartiment source et le compartiment cible : `AUTONOMOUS_DATABASE_UPDATE` `AUTONOMOUS_DB_BACKUP_INSPECT` `AUTONOMOUS_DB_BACKU_CREATE` `AUTONOMOUS_DATABASE_CONTENT_WRITE` Obligatoire à la fois dans le compartiment source et dans le compartiment cible lorsque le point d'extrémité privé est activé : `WNIC_ASSOCIATE_NETOWRK_SECURITY_GROUP` `NETWORK_SECURITY_GROUP_UPDATE_MEMBERS`	`ChangeAutonomousDatabaseCompartment`
Trois cas possibles : Si la charge de travail est `NULL` : `AUTONOMOUS_DATABASE_UPDATE` Si la charge de travail n'est pas `NULL` : `AUTONOMOUS_DATABASE_CREATE` `AUTONOMOUS_DATABASE_UPDATE` Si le marquage est activé : `AUTONOMOUS_DATABASE_UPDATE` `AUTONOMOUS_DATABASE_INSPECT`	`UpdateAutonomousDatabase` : Utilisez cette API pour apporter des modifications ou des mises à jour à l'une des opérations suivantes : définir le mot de passe de l'administrateur (`adminPassword`) programme de démarrage/arrêt automatique (`scheduledOperations`) gérer les contacts clients (`customerContacts`) modifier la configuration de l'outil (`dbToolsDetails`) mettre à jour les options de licence BYOL (`licenseModel` et `byolComputeCountLimit`) mettre à jour le nom d'affichage (`displayName`) joindre un pool élastique mettre à jour les options de groupe élastique gérer les clés de chiffrement mise à jour vers le service de protection de données autonome pour la récupération après sinistre (`isLocalDataGuardEnabled` et `disasterRecoveryType`) modifier le mode d'opération de base de données en lecture/écriture seule (`openMode`) mettre à jour l'accès au réseau avec les listes de contrôle d'accès (`whitelistedIps`) mettre à jour l'accès au réseau avec un point d'extrémité privé (`privateEndpointLabel`) renommer la base de données (`dbName`) ajuster les limites de calcul (`computeCount`) gérer l'option d'ajustement automatique des calculs (`isAutoScalingEnabled`) ajuster les limites de stockage ( `dataStorageSizeInTBs`) gérer les options d'ajustement automatique du stockage (`isAutoScalingForStorageEnabled`) modifier le type de charge de travail (`dbWorkload`)
requiert `changeAutonomousDatabaseSubscription`	`ChangeAutonomousDatabaseSubscription`
requiert `getSaasAdminUser`	`SaasAdminUserStatus`
requiert `updateSaasAdminUser`	`ConfigureSaasAdminUser` `ListAutonomousDatabaseCharacterSets` `ListAutonomousDatabaseMaintenanceWindows`

Clonage des autorisations

Les autorisations IAM générales sont prises en charge pour Autonomous AI Database. En outre, vous pouvez utiliser target.autonomous-database.cloneType avec les valeurs d'autorisation prises en charge pour contrôler le niveau d'accès, comme illustré dans le tableau suivant.

target.autonomous-database.cloneType Valeur	Description
`CLONE-FULL`	Autoriser le clonage complet uniquement.
`CLONE-METADATA`	Autoriser le clonage des métadonnées uniquement.
`CLONE-REFRESHABLE`	Autoriser le clone actualisable uniquement.
`/CLONE*/`	Autoriser tout type de clone.

Exemples de politiques avec les valeurs d'autorisation target.autonomous-database.cloneType prises en charge :

Allow group group-name to manage autonomous-databases in compartment id compartment-ocid 
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-FULL'}

Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-METADATA'}

Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-REFRESHABLE'}

Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = /CLONE*/}

Pour plus d'informations, voir Autorisations.

Rubrique parent : Politiques IAM pour une base de données d'intelligence artificielle autonome

Fournir des privilèges spécifiques dans les politiques IAM pour gérer une base de données autonome avec intelligence artificielle

Répertorie les politiques IAM que vous pouvez utiliser avec un verbe d'autorisation et une condition pour accorder des opérations plus granulaires à un groupe.

Par exemple, pour permettre au groupe MyGroup de démarrer des bases de données d'intelligence artificielle autonomes à l'aide de l'API StartAutonomousDatabase :

Allow MyGroup to manage autonomous-databases where request.operation = 'StartAutonomousDatabase'

Pour plus d'informations, voir Verbes et Conditions.

Liste de verbes d'autorisation
`autonomousDatabaseManualRefresh`
`changeAutonomousDatabaseCompartment`
`changeAutonomousDatabaseSubscription`
`changeDisasterRecoveryConfiguration`
`configureAutonomousDatabaseVaultKey`
`configureSaasAdminUser`
`createAutonomousDatabase`
`createAutonomousDatabaseBackup`
`deleteAutonomousDatabase`
`deleteAutonomousDatabaseBackup`
`deregisterAutonomousDatabaseDataSafe`
`disableAutonomousDatabaseManagement`
`disableAutonomousDatabaseOperationsInsights`
`enableAutonomousDatabaseManagement`
`enableAutonomousDatabaseOperationsInsights`
`failOverAutonomousDatabase`
`generateAutonomousDatabaseWallet`
`getAutonomousDatabase`
`getAutonomousDatabaseBackup`
`getAutonomousDatabaseRegionalWallet`
`getAutonomousDatabaseWallet`
`listAutonomousDatabaseBackups`
`listAutonomousDatabaseCharacterSets`
`listAutonomousDatabaseClones`
`listAutonomousDatabaseMaintenanceWindows`
`listAutonomousDatabasePeers`
`listAutonomousDatabaseRefreshableClones`
`listAutonomousDatabases`
`registerAutonomousDatabaseDataSafe`
`resourcePoolShapes`
`restartAutonomousDatabase`
`restoreAutonomousDatabase`
`rotateAutonomousDatabaseEncryptionKey`
`SaasAdminUserStatus`
`shrinkAutonomousDatabase`
`startAutonomousDatabase`
`stopAutonomousDatabase`
`switchoverAutonomousDatabase`
`updateAutonomousDatabase`
`updateAutonomousDatabaseBackup`
`updateAutonomousDatabaseRegionalWallet`
`updateAutonomousDatabaseWallet`

Le verbe d'autorisation updateAutonomousDatabase regroupe les privilèges permettant d'utiliser plusieurs opérations d'API.

Opération
`DeregisterAutonomousDatabaseDataSafe`
`DisableAutonomousDatabaseOperationsInsights`
`DisableDatabaseManagement`
`EnableAutonomousDatabaseOperationsInsights`
`RegisterAutonomousDatabaseDataSafe`

Exemple :

Allow MyGroup to manage autonomous-databases where request.operation =  'updateAutonomousDatabase'

Rubrique parent : Politiques IAM pour une base de données d'intelligence artificielle autonome

Documentation sur Oracle Cloud Infrastructure

Politiques IAM pour Autonomous AI Database

Informations détaillées sur les politiques pour Autonomous AI Database

Autorisations IAM et opérations d'API pour Autonomous AI Database

Fournir des privilèges spécifiques dans les politiques IAM pour gérer une base de données autonome avec intelligence artificielle