Détails de stratégie pour Autonomous Database Serverless
Cette rubrique explique en détail comment écrire des stratégies afin de contrôler l'accès aux ressources sur Autonomous Database sans serveur.
Pour consulter un exemple de stratégie, reportez-vous à Autoriser les administrateurs de base de données et de parc à gérer des bases de données autonomes.
Types de ressource
Un type agrégé de ressource couvre la liste des types individuels de ressource qui suivent immédiatement. Par exemple, écrire une seule stratégie pour permettre à un groupe d'accéder à autonomous-database-family équivaut à écrire quatre stratégies distinctes qui octroient à ce groupe l'accès aux types de ressource autonomous-databases et autonomous-backups. Pour plus d'informations, reportez-vous à Types de ressource.
Types de ressource pour Autonomous Database
Type agrégé de ressource
autonomous-database-family
Types individuels de ressource :
autonomous-databases
autonomous-backups
database-connections
Variables prises en charge
Les variables générales sont prises en charge. Pour plus d'informations, reportez-vous à Variables générales pour toutes les demandes.
En outre, vous pouvez utiliser la variable target.workloadType, comme indiqué dans le tableau suivant :
| Valeur target.workloadType | Description |
|---|---|
OLTP
|
Traitement des transactions en ligne, utilisée pour la base de données Autonomous Transaction Processing |
DW
|
Entrepôt de données, utilisée pour la base de données Autonomous Data Warehouse |
AJD
|
Autonomous JSON Database |
APEX
|
Oracle APEX Application Development |
Exemple de stratégie utilisant la variable target.workloadType :
Allow group ADB-Admins to manage autonomous-database in tenancy where target.workloadType = 'workload_type'Détails des combinaisons de verbe et de type de ressource
inspect > read > use > manage. Par exemple, un groupe qui peut utiliser une ressource peut également inspecter et lire cette ressource. La présence d'un signe plus (+) dans une cellule du tableau indique un accès incrémentiel par rapport à la cellule située directement au-dessus, tandis que la mention "aucun élément supplémentaire" indique l'absence d'accès incrémentiel.
Par exemple, le verbe read pour le type de ressource autonomous-databases couvre les mêmes droits d'accès et opérations d'API que le verbe inspect, plus le droit d'accès AUTONOMOUS_DATABASE_CONTENT_READ. Le verbe read couvre en partie l'opération CreateAutonomousDatabaseBackup, qui nécessite également des droits d'accès en gestion pour autonomous-backups.
Pour les types de ressource autonomous-database-family
La famille de ressources couverte par autonomous-database-family peut être utilisée pour octroyer un accès aux ressources de base de données associées à tous les types de charge globale Autonomous Database.
| Verbes | Droits d'accès | API complètement couvertes | API partiellement couvertes |
|---|---|---|---|
| inspect | AUTONOMOUS_DATABASE_INSPECT |
GetAutonomousDatabase, ListAutonomousDatabases
|
none |
| read | INSPECT + AUTONOMOUS_DATABASE_CONTENT_READ |
no extra | CreateAutonomousDatabaseBackup (requiert également manage autonomous-backups)
|
| use | READ + AUTONOMOUS_DATABASE_CONTENT_WRITE AUTONOMOUS_DATABASE_UPDATE |
UpdateAutonomousDatabase
|
|
| manage | USE + AUTONOMOUS_DATABASE_CREATE AUTONOMOUS_DATABASE_DELETE |
|
none |
| Verbes | Droits d'accès | API complètement couvertes | API partiellement couvertes |
|---|---|---|---|
| inspect | AUTONOMOUS_DB_BACKUP_INSPECT |
ListAutonomousDatabaseBackups, GetAutonomousDatabaseBackup
|
none |
| read | INSPECT + AUTONOMOUS_DB_BACKUP_CONTENT_READ |
no extra |
|
| use | no extra | no extra | none |
| manage | USE + AUTONOMOUS_DB_BACKUP_CREATE AUTONOMOUS_DB_BACKUP_DELETE |
DeleteAutonomousDatabaseBackup
|
CreateAutonomousDatabaseBackup (requiert également read autonomous-databases)
|
Droits d'accès requis pour chaque opération d'API
Les tableaux suivants répertorient les opérations d'API pour les ressources Autonomous Database dans un ordre logique et regroupées par type de ressource.
Pour plus d'informations sur les droits d'accès, reportez-vous à Droits d'accès.
Opérations d'API Autonomous Database
| Opération d'API | Droits d'accès requis pour utiliser l'opération |
|---|---|
GetCloudAutonomousVmCluster |
CLOUD_AUTONOMOUS_VM_CLUSTER_INSPECT |
GetAutonomousDatabase
|
AUTONOMOUS_DATABASE_INSPECT |
ListAutonomousDatabases
|
AUTONOMOUS_DATABASE_INSPECT |
CreateAutonomousDatabase
|
AUTONOMOUS_DATABASE_CREATE Afin d'utiliser la fonctionnalité d'adresse privée pour une base de données sur Autonomous Database sans serveur, procédez comme suit :
|
UpdateAutonomousDatabase
|
AUTONOMOUS_DATABASE_UPDATE Pour mettre à jour une base de données sur Autonomous Database sans serveur qui utilise la fonctionnalité d'adresse privée, les éléments suivants sont également requis dans le compartiment de l'instance Autonomous Database :
|
ChangeAutonomousDatabaseCompartment
|
AUTONOMOUS_DATABASE_UPDATE, AUTONOMOUS_DB_BACKUP_INSPECT, AUTONOMOUS_DB_BACKUP_CONTENT_READ et AUTONOMOUS_DATABASE_CONTENT_WRITE |
DeleteAutonomousDatabase
|
AUTONOMOUS_DATABASE_DELETE Pour mettre à jour une base de données sur Autonomous Database sans serveur qui utilise la fonctionnalité d'adresse privée, les éléments suivants sont également requis dans le compartiment de l'instance Autonomous Database :
|
StartAutonomousDatabase
|
AUTONOMOUS_DATABASE_UPDATE |
StopAutonomousDatabase
|
AUTONOMOUS_DATABASE_UPDATE |
RestoreAutonomousDatabase
|
AUTONOMOUS_DB_BACKUP_CONTENT_READ et AUTONOMOUS_DATABASE_CONTENT_WRITE |
CreateAutonomousDatabaseBackup
|
AUTONOMOUS_DB_BACKUP_CREATE et AUTONOMOUS_DATABASE_CONTENT_READ |
DeleteAutonomousDatabaseBackup
|
AUTONOMOUS_DB_BACKUP_DELETE |
ListAutonomousDatabaseBackups
|
AUTONOMOUS_DB_BACKUP_INSPECT |
GetAutonomousDatabaseBackup
|
AUTONOMOUS_DB_BACKUP_INSPECT |