Politiques IAM pour Autonomous AI Database
Fournit des informations sur les politiques IAM requises pour les opérations d'API sur la base de données autonome avec intelligence artificielle.
Oracle Autonomous AI Database s'appuie sur le service IAM (Identity and Access Management) pour authentifier et autoriser les utilisateurs du nuage à effectuer des opérations utilisant l'une des interfaces Oracle Cloud Infrastructure (console, API REST, interface de ligne de commande ou trousse SDK).
Vous pouvez affecter des rôles aux utilisateurs en fonction des activités de base de données spécifiques qu'ils sont autorisés à effectuer, telles que les opérations de sauvegarde et de récupération, de gestion des clés et de cycle de vie (telles que l'arrêt, le démarrage et l'ajustement).
Le service IAM utilise des groupes, des compartiments et des politiques pour contrôler quels utilisateurs du nuage peuvent accéder à quelles ressources.
Informations détaillées sur les politiques pour Autonomous AI Database
Cette rubrique présente des détails sur l'écriture de politiques permettant de contrôler l'accès aux ressources de base de données du service d'intelligence artificielle autonome.
Une politique définit le type d'accès d'un groupe d'utilisateurs à une ressource spécifique d'un compartiment individuel. Pour plus d'informations, voir Introduction aux politiques.
Types de ressource
Un type de ressource agrégé couvre la liste des types de ressource individuels qui suivent. Par exemple, l'écriture d'une politique pour permettre à un groupe d'accéder à l'instance autonomous-database-family revient à écrire quatre politiques distinctes pour le groupe qui autoriseraient l'accès aux types de ressource autonomous-databases, autonomous-backups. Pour plus d'information, voir Types de ressource
Types de ressource pour Autonomous AI Database
Type de ressource agrégé :
autonomous-database-family
Types de ressource individuels :
autonomous-databases
autonomous-backups
Informations détaillées sur les combinaisons Verbe + Type de ressource
Le niveau d'accès est cumulatif au fur et à mesure que vous progressez depuis inspect > read > use > manage. Un signe plus (+) dans une cellule de tableau indique un accès supplémentaire par rapport à la cellule directement au-dessus, alors que la mention "aucun accès supplémentaire" indique qu'il n'y a aucun accès supplémentaire.
Par exemple, le verbe read pour le type de ressource autonomous-databases couvre les mêmes autorisations et opérations d'API que le verbe inspect, plus l'autorisation AUTONOMOUS_DATABASE_CONTENT_READ. Le verbe read couvre partiellement l'opération CreateAutonomousDatabaseBackup, qui nécessite également des autorisations de gestion pour autonomous-backups.
Les tableaux suivants présentent les opérations d'autorisation et d'API couvertes par chaque verbe. Pour plus d'informations sur les autorisations, voir Autorisations.
Note
Note : La famille de ressources couverte par autonomous-database-family peut être utilisée pour accorder l'accès aux ressources de base de données associées à tous les types de charge de travail de base de données de l'IA autonome.
Types de ressource de bases de données autonomes
| Verbes | Permissions | API entièrement couvertes | API partiellement couvertes |
|---|---|---|---|
| inspect | AUTONOMOUS_DATABASE_INSPECT |
GetAutonomousDatabase, GetAutonomousDatabaseBackupConfig, GetAutonomousDatabaseCapability, ListAutonomousDatabases, ListAutonomousDatabaseClones, ListAutonomousDatabasePeers, ListAutonomousDatabaseRefreshableClones, ResourcePoolShapes |
aucune |
| lire |
|
GenerateAutonomousDatabasePerformanceData, GenerateAutonomousDatabaseWallet, GetAutonomousDatabaseRegionalWallet, GetAutonomousDatabaseWallet, RetrieveDatabasePerformanceBulkData |
CreateAutonomousDatabaseBackup (requiert également manage autonomous-backups) |
| use |
|
AutonomousDatabaseManualRefresh, CancelAutonomousDatabaseSession, ChangeDisasterRecoveryConfiguration, ConfigureAutonomousDatabaseVaultKey, DeregisterAutonomousDatabaseDataSafe, DisableAutonomousDatabaseOperationsInsights, DisableDatabaseManagement, EnableAutonomousDatabaseOperationsInsights, EnableDatabaseManagement, FailOverAutonomousDatabase, GetAutonomousDatabaseConsoleToken, RegisterAutonomousDatabaseDataSafe, RestartAutonomousDatabase, RotateAutonomousDatabaseEncryptionKey, ShrinkAutonomousDatabase, StartAutonomousDatabase, StopAutonomousDatabase, SwitchOverAutonomousDatabase, UpdateAutonomousDatabaseRegionalWallet, UpdateAutonomousDatabase |
|
| manage |
|
CreateAutonomousDatabase, DeleteAutonomousDatabase |
aucune |
Liste des opérations et des politiques IAM requises pour gérer une instance de base de données d'intelligence artificielle autonome
| Opération | Politiques GIA requises |
|---|---|
| Ajouter une base de données pair | use autonomous-databases |
| Ajouter des attributs de sécurité | use autonomous-databases |
| Modifier le modèle de calcul | use autonomous-databases |
| Modifier le mode de base de données | use autonomous-databases |
| Modifier le réseau | use autonomous-databases |
| Modifier le type de charge de travail | use autonomous-databases |
| Cloner une base de données autonome avec intelligence artificielle |
Voir Autorisations IAM et opérations d'API pour Autonomous AI Database pour obtenir des autorisations de clonage supplémentaires sur Autonomous AI Database. |
| Créer une base de données autonome avec intelligence artificielle |
|
| Modifier la configuration du service d'outils de base de données | use autonomous-databases |
| Modifier le programme de début/arrêt | use autonomous-databases |
| Activer le groupe élastique | use autonomous-databases |
| Activer ou désactiver l'ajustement automatique pour une base de données d'intelligence artificielle autonome | use autonomous-databases |
| Joindre un groupe élastique | use autonomous-databases |
| Gérer les contacts chez le client | use autonomous-databases |
| Gérer la clé de chiffrement | use autonomous-databases |
| Déplacer une base de données autonome vers un autre compartiment |
|
| Renommer une base de données IA autonome | use autonomous-databases |
| Redémarrer une base de données autonome avec intelligence artificielle | use autonomous-databases |
| Restaurer une base de données IA autonome |
|
| Adapter le nombre d'ECPU ou le stockage d'une base de données autonome basée sur l'IA | use autonomous-databases |
| Définir le mot de passe de l'utilisateur ADMIN | use autonomous-databases |
| Arrêter ou démarrer une base de données autonome avec intelligence artificielle | use autonomous-databases |
| Permutation | use autonomous-databases |
| Mettre fin à une base de données autonome avec intelligence artificielle | manage autonomous-databases |
| Mettre à jour la récupération après sinistre | use autonomous-databases |
| Mettre à jour le nom d'affichage | use autonomous-databases |
| Mettre à jour la licence et l'édition d'Oracle AI Database | use autonomous-databases |
| Mettre à jour l'accès au réseau pour les listes de contrôle d'accès | use autonomous-databases |
| Mettre à jour l'accès au réseau pour un point d'extrémité privé | use autonomous-databases |
| Voir une liste de bases de données d'intelligence artificielle autonomes | inspect autonomous-databases |
| Voir les détails d'une base de données autonome avec intelligence artificielle | inspect autonomous-databases |
sauvegardes de bases de données autonomes
| Verbes | Permissions | API entièrement couvertes | API partiellement couvertes |
|---|---|---|---|
| inspect | AUTONOMOUS_DB_BACKUP_INSPECT |
ListAutonomousDatabaseBackups, GetAutonomousDatabaseBackup |
aucune |
| manage |
|
DeleteAutonomousDatabaseBackup |
CreateAutonomousDatabaseBackup (requiert également read autonomous-databases) |
| lire |
|
aucun accès supplémentaire |
|
| use | READ + aucun accès supplémentaire |
aucun accès supplémentaire | aucune |
Variables prises en charge
Toutes les variables générales de gestion des identités et des accès OCI sont prises en charge. Pour plus d'informations, voir Variables générales pour toutes les demandes.
En outre, vous pouvez utiliser la variable target.id avec l'OCID d'une base de données après la création d'une base de données et la variable target.workloadType avec une valeur, comme indiqué dans le tableau suivant :
| Valeur target.workloadType | Description |
|---|---|
OLTP |
Traitement de transactions en ligne, utilisé pour les bases de données autonomes avec charge de travail de traitement de transactions. |
LH |
Lac à fonctionnalités d'entrepôt, utilisé pour les bases de données autonomes avec charges de travail de plate-forme d'analyse et de données. |
DW |
Data Warehouse, utilisé pour les bases de données autonomes avec charge de travail Data Warehouse. |
AJD |
Base de données Autonomous JSON Database utilisée pour les bases de données Autonomous AI Databases avec charge de travail JSON. |
APEX |
Service APEX utilisé pour le service APEX Autonomous AI Database. |
Exemple de politique utilisant la variable target.id :
Allow group ADB-Admins to manage autonomous-databases in tenancy where target.id = 'OCID'Exemple de politique utilisant la variable target.workloadType :
Allow group ADB-Admins to manage autonomous-databases in tenancy where target.workloadType = 'AJD'Vous pouvez utiliser la variable request.operation.actiontype qui identifie la sous-opération ou la modification de configuration spécifique demandée dans une opération telle que updateAutonomousDatabase ou createAutonomousDatabase. Vous pouvez contrôler ces types d'action dans les politiques à l'aide du paramètre request.operation.actiontype. Cela vous permet de contrôler les actions en détail, en vous assurant que vous disposez de l'accès requis pour votre rôle.
Exemple de politiques utilisant la variable request.operation.actiontype :
Lorsqu'une politique accorde l'accès à un type d'action spécifique à l'aide de request.operation.actiontype, vous êtes limité à cette sous-opération et vous ne pouvez pas effectuer d'autres actions de mise à jour, sauf si celles-ci sont explicitement incluses dans la politique. Par exemple :
allow group MyGroup to manage autonomous-database-family where request.operation.actiontype =
'adminPassword'La politique ci-dessus accorde au groupe l'autorisation de modifier le mot de passe ADMIN, mais pas de modifier d'autres attributs tels que le calcul, le stockage ou la configuration réseau.
De même, il est possible d'exclure une opération sensible tout en autorisant d'autres, par example :
allow group MyGroup to manage autonomous-database-family where request.operation.actiontype
!= 'adminPassword'Le tableau suivant répertorie la variable ActionType, chacune représentant une sous-opération spécifique peut être utilisée avec CreateAutonomousDatabase ou UpdateAutonomousDatabase :
| Type d'action | Opération |
|---|---|
adminPassword |
Définissez le mot de passe de l'administrateur ou définissez secretID pour la chambre forte. |
scheduledOperations |
Définir la planification des sauvegardes à long terme. |
customerContacts |
Gérer les coordonnées des clients pour les avis opérationnels, les annonces et la maintenance non planifiée. |
dbToolsConfigure |
Activez ou désactivez les outils de base de données. |
licenseModel |
Mettre à jour les options Utiliser sa propre licence (BYOL) et le nombre d'ECPU pour BYOL. |
updateElasticPool |
Mettez à jour les options du pool élastique. |
upgradeToPaid |
Autoriser une mise à niveau du développeur ou de la version gratuite vers la version payante. |
displayName |
Mettre à jour le nom d'affichage. |
joinElasticPool |
Joignez un groupe élastique en tant que membre. |
disasterRecoveryType |
Mise à jour d'Autonomous Data Guard pour la récupération après sinistre. |
manageEncryptionKeys |
Gérer les clés de chiffrement (gérées par Oracle ou par le client). |
openMode |
Modifiez les modes d'opération de base de données entre la lecture ou l'écriture et la lecture seule. |
whitelistedIps |
Modifiez les adresses IP autorisées dans les listes de contrôle d'accès à la base de données du service d'intelligence artificielle autonome pour contrôler l'accès au réseau. |
networkConfig |
Mettre à jour la configuration du réseau, y compris les options publiques ou privées. |
dbName |
Renommez la base de données. |
computeCount |
Ajuster les limites de calcul. |
autoScalingConfig |
Activer ou désactiver l'ajustement automatique des calculs. |
dataStorageSize |
Ajuster les limites de stockage. |
autoScalingForStorageConfig |
Activez ou désactivez l'option d'ajustement automatique. |
dbWorkload |
Modifiez le type de charge de travail. |
scheduleDbVersionUpgrade |
Définissez des dates spécifiques ou les programmes disponibles les plus anciens pour les mises à niveau planifiées de la version de base de données. |
vanityUrl |
Définissez l'URL personnalisée ou modifiez les détails de l'URL personnalisée. |
maintenanceScheduleType |
Changez le programme d'application de correctifs entre les fenêtres de maintenance early et regular. |
Autorisations IAM et opérations d'API pour Autonomous AI Database
Cette rubrique présente les autorisations IAM disponibles pour les opérations sur une base de données autonome avec intelligence artificielle.
Ces opérations sont regroupées sous forme d'autorisations permettant aux rôles habituels d'effectuer ces opérations. Si des autorisations plus détaillées sont nécessaires, elles peuvent être combinées avec des sous-opérations et des types d'action. UpdateAutonomousDatabase comprenait plusieurs opérations, mais elles peuvent être limitées en fonction des types d'action décrits dans la section précédente.
Voici les autorisations IAM pour Autonomous AI Database :
-
AUTONOMOUS_DATABASE_CONTENT_READ -
AUTONOMOUS_DATABASE_CONTENT_WRITE -
AUTONOMOUS_DATABASE_CREATEVoir Autorisations de clonage pour plus de limites de clonage.
-
AUTONOMOUS_DATABASE_DELETE -
AUTONOMOUS_DATABASE_INSPECT -
AUTONOMOUS_DATABASE_UPDATE -
AUTONOMOUS_DB_BACKUP_CONTENT_READ -
AUTONOMOUS_DB_BACKUP_CREATE -
AUTONOMOUS_DB_BACKUP_INSPECT -
NETWORK_SECURITY_GROUP_UPDATE_MEMBERS -
VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP
Exemple de politique pour un groupe autorisé à créer Oracle Autonomous AI Database dans un compartiment :
Allow group group-name to manage autonomous-database in compartment id compartment-ocid
where all{request.permission = 'AUTONOMOUS_DATABASE_UPDATE'}| Opération API | Autorisations requises pour utiliser l'opération | | — | — | |
GenerateAutonomousDatabaseWallet
GetAutonomousDatabaseRegionalWallet
GetAutonomousDatabaseWallet
RetrieveDatabasePerformanceBulkData
AUTONOMOUS_DATABASE_CONTENT_READ | | CreateAutonomousDatabase | AUTONOMOUS_DATABASE_CREATE | | DeleteAutonomousDatabase | AUTONOMOUS_DATABASE_DELETE | | GetAutonomousDatabase
ListAutonomousDatabaseClones
ListAutonomousDatabasePeers
ListAutonomousDatabaseRefreshableClones
ListAutonomousDatabases
ResourcePoolShapes
AUTONOMOUS_DATABASE_INSPECT | | AutonomousDatabaseManualRefresh
ConfigureAutonomousDatabaseVaultKey
DeregisterAutonomousDatabaseDataSafe
DisableAutonomousDatabaseOperationsInsights
DisableDatabaseManagement
EnableAutonomousDatabaseOperationsInsights
EnableDatabaseManagement
FailOverAutonomousDatabase
RegisterAutonomousDatabaseDataSafe
RestartAutonomousDatabase
RotateAutonomousDatabaseEncryptionKey
ShrinkAutonomousDatabase
StartAutonomousDatabase
StopAutonomousDatabase
SwitchOverAutonomousDatabase
UpdateAutonomousDatabaseWallet
UpdateAutonomousDatabaseRegionalWallet
AUTONOMOUS_DATABASE_UPDATE | | GetAutonomousDatabaseBackup
ListAutonomousDatabaseBackups
AUTONOMOUS_DB_BACKUP_INSPECT | | UpdateAutonomousDatabaseBackup | AUTONOMOUS_DB_BACKUP_UPDATE | | CreateAutonomousDatabaseBackup | AUTONOMOUS_DB_BACKUP_CREATE{::nomarkdown}<p>AUTONOMOUS_DATABASE_CONTENT_READ</p>{:/} | | DeleteAutonomousDatabaseBackup | AUTONOMOUS_DB_BACKUP_INSPECT{::nomarkdown}<p>AUTONOMOUS_DB_BACKUP_DELETE</p>{:/} | | RestoreAutonomousDatabase | {::nomarkdown}<p><code class="codeph">AUTONOMOUS_DB_BACKUP_INSPECT</code></p><p><code class="codeph"> AUTONOMOUS_DB_BACKUP_CONTENT_READ</code></p><p><code class="codeph">AUTONOMOUS_DATABASE_CONTENT_WRITE</code></p> {:/} | | ChangeAutonomousDatabaseCompartment | {::nomarkdown}<p>Required on the source and the target compartment:</p><p><code class="codeph">AUTONOMOUS_DATABASE_UPDATE</code></p><p><code class="codeph">AUTONOMOUS_DB_BACKUP_INSPECT</code></p><p><code class="codeph">AUTONOMOUS_DB_BACKU_CREATE</code></p><p><code class="codeph">AUTONOMOUS_DATABASE_CONTENT_WRITE</code></p><p>Required in both the source and the target compartment when Private Endpoint is enabled:</p><p> <code class="codeph">WNIC_ASSOCIATE_NETOWRK_SECURITY_GROUP</code></p><p> <code class="codeph">NETWORK_SECURITY_GROUP_UPDATE_MEMBERS</code></p> {:/} | | {::nomarkdown}<p><code class="codeph">UpdateAutonomousDatabase</code>: Use this API for changes or updates for any of the following operations:</p><p><b>Note: </b>For more granular permissions use these suboperations as an <code class="codeph">actiontype</code> when defining a policy for the user. </p><ul> <li>set admin password (<code class="codeph">adminPassword</code>)</li><li>auto start/stop schedule (<code class="codeph">scheduledOperations</code>)</li><li>manage customer contacts (<code class="codeph">customerContacts</code>)</li><li>edit tool configuration (<code class="codeph">dbToolsDetails</code>)</li><li>update BYOL license options (<code class="codeph">licenseModel</code> and <code class="codeph">byolComputeCountLimit</code>)</li><li>update display name (<code class="codeph">displayName</code>)</li><li>join an elastic pool</li><li>update elastic pool options</li><li>manage encryption keys</li><li>update to autonomous data guard for disaster recovery (<code class="codeph">isLocalDataGuardEnabled</code> and <code class="codeph">disasterRecoveryType</code>)</li><li>change database operation modes between read or write and read-only (<code class="codeph">openMode</code>)</li><li>modify whitelisted IPs in Autonomous AI Database access control lists to control network access (<code class="codeph">whitelistedIps</code>)</li><li>update network access with private endpoint (<code class="codeph">privateEndpointLabel</code>)</li><li>rename database (<code class="codeph">dbName</code>)</li><li>scale compute limits (<code class="codeph">computeCount</code>)</li><li>manage compute auto scaling option (<code class="codeph">isAutoScalingEnabled</code>)</li><li>scale storage limits ( <code class="codeph">dataStorageSizeInTBs</code>)</li><li>manage storage auto scaling options (<code class="codeph">isAutoScalingForStorageEnabled</code>)</li><li>change workload type (<code class="codeph">dbWorkload</code>) </li> </ul> {:/} | {::nomarkdown}<p>Three possible cases:</p><ul> <li>If Workload is <code class="codeph">NULL</code>: <code class="codeph">AUTONOMOUS_DATABASE_UPDATE</code></li><li>If Workload is not <code class="codeph">NULL</code>: <p><code class="codeph">AUTONOMOUS_DATABASE_CREATE</code></p><p><code class="codeph">AUTONOMOUS_DATABASE_UPDATE</code></p></li><li>If Tagging is enabled: <p><code class="codeph">AUTONOMOUS_DATABASE_UPDATE</code></p><p><code class="codeph">AUTONOMOUS_DATABASE_INSPECT</code></p></li> </ul> {:/} | | ChangeAutonomousDatabaseSubscription | requires changeAutonomousDatabaseSubscription | | SaasAdminUserStatus | requires getSaasAdminUser | | {::nomarkdown}<p><code class="codeph">ConfigureSaasAdminUser</code></p><p><code class="codeph">ListAutonomousDatabaseCharacterSets</code></p><p><code class="codeph">ListAutonomousDatabaseMaintenanceWindows</code></p> {:/} | requires updateSaasAdminUser` |
Clonage des autorisations
Les autorisations IAM générales sont prises en charge pour Autonomous AI Database. En outre, vous pouvez utiliser target.autonomous-database.cloneType avec les valeurs d'autorisation prises en charge pour contrôler le niveau d'accès, comme illustré dans le tableau suivant.
| target.autonomous-database.cloneType Valeur | Description |
|---|---|
CLONE-FULL |
Autoriser le clonage complet uniquement. |
CLONE-METADATA |
Autoriser le clonage des métadonnées uniquement. |
CLONE-REFRESHABLE |
Autoriser le clone actualisable uniquement. |
/CLONE*/ |
Autoriser tout type de clone. |
Exemples de politiques avec les valeurs d'autorisation target.autonomous-database.cloneType prises en charge :
Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
where all {request.permission = 'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-FULL'}Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
where all {request.permission = 'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-METADATA'}Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
where all {request.permission = 'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-REFRESHABLE'}Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
where all {request.permission = 'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = /CLONE*/}Pour plus d'informations, voir Autorisations.
Fournir des privilèges spécifiques dans les politiques IAM pour gérer une base de données autonome avec intelligence artificielle
Répertorie les politiques IAM que vous pouvez utiliser avec un verbe d'autorisation et une condition pour accorder des opérations plus granulaires à un groupe.
Par exemple, pour permettre au groupe MyGroup de démarrer des bases de données d'intelligence artificielle autonomes à l'aide de l'API StartAutonomousDatabase :
Allow MyGroup to manage autonomous-databases where request.operation = 'StartAutonomousDatabase'Pour plus d'informations, voir Verbes et Conditions.
| Liste de verbes d'autorisation |
|---|
autonomousDatabaseManualRefresh |
changeAutonomousDatabaseCompartment |
changeAutonomousDatabaseSubscription |
changeDisasterRecoveryConfiguration |
configureAutonomousDatabaseVaultKey |
configureSaasAdminUser |
createAutonomousDatabase |
createAutonomousDatabaseBackup |
deleteAutonomousDatabase |
deleteAutonomousDatabaseBackup |
deregisterAutonomousDatabaseDataSafe |
disableAutonomousDatabaseManagement |
disableAutonomousDatabaseOperationsInsights |
enableAutonomousDatabaseManagement |
enableAutonomousDatabaseOperationsInsights |
failOverAutonomousDatabase |
generateAutonomousDatabaseWallet |
getAutonomousDatabase |
getAutonomousDatabaseBackup |
getAutonomousDatabaseRegionalWallet |
getAutonomousDatabaseWallet |
listAutonomousDatabaseBackups |
listAutonomousDatabaseCharacterSets |
listAutonomousDatabaseClones |
listAutonomousDatabaseMaintenanceWindows |
listAutonomousDatabasePeers |
listAutonomousDatabaseRefreshableClones |
listAutonomousDatabases |
registerAutonomousDatabaseDataSafe |
resourcePoolShapes |
restartAutonomousDatabase |
restoreAutonomousDatabase |
rotateAutonomousDatabaseEncryptionKey |
SaasAdminUserStatus |
shrinkAutonomousDatabase |
startAutonomousDatabase |
stopAutonomousDatabase |
switchoverAutonomousDatabase |
updateAutonomousDatabase |
updateAutonomousDatabaseBackup |
updateAutonomousDatabaseRegionalWallet |
updateAutonomousDatabaseWallet |
Le verbe d'autorisation updateAutonomousDatabase regroupe les privilèges permettant d'utiliser plusieurs opérations d'API.
| Opération |
|---|
DeregisterAutonomousDatabaseDataSafe |
DisableAutonomousDatabaseOperationsInsights |
DisableDatabaseManagement |
EnableAutonomousDatabaseOperationsInsights |
RegisterAutonomousDatabaseDataSafe |
Exemple :
Allow MyGroup to manage autonomous-databases where request.operation = 'updateAutonomousDatabase'