Documentation Oracle Cloud Infrastructure

OCI Database with PostgreSQL

Utilisez le service Oracle Cloud Infrastructure Identity and Access Management (IAM) afin de créer des stratégies pour OCI Database with PostgreSQL.

Cette rubrique traite de l'écriture de stratégies visant à contrôler l'accès au service OCI Database with PostgreSQL, Pour plus d'informations, reportez-vous à Introduction aux stratégies.

Présentation de la syntaxe de stratégie

La syntaxe générale d'une instruction de stratégie est la suivante :

allow <subject> to <verb> <resource-type> in <location> where <condition>

Voici des exemples de ce que vous pouvez indiquer :

  • Un groupe ou un groupe dynamique par son nom ou son OCID en tant que <subject>. Vous pouvez également utiliser any-user pour couvrir tous les utilisateurs dans la location.

  • inspect, read, use et manage en tant que <verb> pour accorder à <subject> des droits d'accès.

    Lorsque vous passez de inspect à read, puis à use, puis à manage, le niveau d'accès augmente généralement et les droits d'accès octroyés sont cumulés. Par exemple, use inclut read et autorise en plus la mise à jour.

  • Une famille de ressources telle que virtual-network-family pour resource-type. Vous pouvez également indiquer une ressource individuelle d'une famille telle que vcns ou subnets.

  • Un compartiment par son nom ou son OCID en tant que <location>. Vous pouvez également utiliser tenancy pour couvrir l'intégralité de la location.

Pour plus d'informations sur la création de stratégies, reportez-vous à Introduction aux stratégies et à Référence de stratégie.

Types de ressource

Pour permettre aux utilisateurs d'accéder à OCI Database with PostgreSQL, créez des stratégies IAM avec OCI Database with PostgreSQL.

Pour accéder à OCI Database with PostgreSQL, utilisez chacun des types de ressource suivants :

  • postgres-db-systèmes
  • post-sauvegardes
  • postgres-configurations
  • postgres-demandes de travail

Pour plus d'informations, reportez-vous à Exemples de stratégie.

Variables prises en charge

Le service OCI Database with PostgreSQL prend en charge toutes les variables générales.

Pour plus d'informations sur les variables générales prises en charge par Les services OCI, reportez-vous à Variables générales pour toutes les demandes.

Détails des combinaisons de verbe et de type de ressource

Vous pouvez utiliser différents verbes et types de ressource Oracle Cloud Infrastructure pour créer une stratégie.

Les tableaux suivants indiquent les droits d'accès et les opérations d'API couverts par chaque verbe pour OCI Database with PostgreSQL. Le niveau d'accès est cumulatif à mesure que vous passez d'un verbe à l'autre, dans l'ordre suivant : inspect, read, use, manage. La présence d'un signe plus (+) dans une cellule de tableau indique l'accès incrémentiel par rapport à la cellule qui la précède directement, tandis que la référence "aucun autre élément supplémentaire" indique l'absence d'accès incrémentiel.

postgres-db-systems
Verbes Droits d'accès API entièrement couvertes API partiellement couvertes
inspect

POSTGRES_DB_SYSTEM_INSPECT

ListDbSystems

aucun
lire

INSPECT +

POSTGRES_DB_SYSTEM_READ

INSPECT +

GetDbSystem

GetConnectionDetails

GetManagementPolicy

GetPrimaryDbInstance

aucun
utiliser

READ +

POSTGRES_DB_SYSTEM_UPDATE

POSTGRES_DB_SYSTEM_RESTART

READ +

UpdateDbSystem

UpdateManagementPolicy

FailoverDbSystem

RestoreDbSystem

ResetMasterUserPassword

UpdateDbSystemDbInstance

RestartDbInstanceInDbSystem

GetConfiguration

GetBackup

manage

USE +

POSTGRES_DB_SYSTEM_CREATE

POSTGRES_DB_SYSTEM_DELETE

POSTGRES_DB_SYSTEM_MOVE

USE +

CreateDbsystem

DeleteDbSystem

ChangeDbSystemCompartment

GetConfiguration

GetBackup

postgres-backups
Verbes Droits d'accès API entièrement couvertes API partiellement couvertes
inspect

POSTGRES_BACKUP_INSPECT

ListBackups

aucun
lire

INSPECT +

POSTGRES_BACKUP_READ

INSPECT +

GetBackup

aucun
utiliser

READ +

POSTGRES_BACKUP_UPDATE

READ +

UpdateBackup

aucun
manage

USE +

POSTGRES_BACKUP_CREATE

POSTGRES_BACKUP_DELETE

POSTGRES_BACKUP_MOVE

POSTGRES_BACKUP_COPY

USE +

CreateBackup

DeleteBackup

ChangeBackupCompartment

BackupCopy

GetDbSystem

postgres-configurations
Verbes Droits d'accès API entièrement couvertes API partiellement couvertes
inspect

POSTGRES_CONFIGURATION_INSPECT

ListConfigurations

aucun
lire

INSPECT +

POSTGRES_CONFIGURATION_READ

INSPECT +

GetConfiguration

aucun
utiliser

READ +

POSTGRES_CONFIGURATION_UPDATE

READ +

UpdateConfiguration

aucun
manage

USE +

POSTGRES_CONFIGURATION_CREATE

POSTGRES_CONFIGURATION_DELETE

POSTGRES_CONFIGURATION_MOVE

USE +

CreateConfiguration

DeleteConfiguration

ChangeConfigurationCompartment

aucun
postgres-work-requests
Verbes Droits d'accès API entièrement couvertes API partiellement couvertes
inspect

POSTGRES_WORK_REQUEST_INSPECT

ListWorkRequests

ListWorkRequestErrors

ListWorkRequestLogs

aucun
lire

INSPECT +

POSTGRES_WORK_REQUEST_READ

INSPECT +

GetWorkRequest

aucun

Droits d'accès requis pour chaque opération d'API

Le tableau suivant répertorie les opérations d'API pour OCI Database with PostgreSQL dans un ordre logique, regroupées par type de ressource.

Les types de ressource sont postgres-db-systems, postgres-backups, postgres-configurations et postgres-work-requests.

Pour plus d'informations sur les droits d'accès, reportez-vous à Droits d'accès.

Droits d'accès requis
Opération d'API Droits d'accès requis pour utiliser l'opération
ListDbSystems POSTGRES_DB_SYSTEM_INSPECT
GetDbSystem POSTGRES_DB_SYSTEM_READ
CreateDbsystem POSTGRES_DB_SYSTEM_CREATE
UpdateDbSystem POSTGRES_DB_SYSTEM_UPDATE
DeleteDbSystem POSTGRES_DB_SYSTEM_DELETE
GetConnectionDetails POSTGRES_DB_SYSTEM_READ
GetManagementPolicy POSTGRES_DB_SYSTEM_READ
CreateManagementPolicy POSTGRES_DB_SYSTEM_CREATE
UpdateManagementPolicy POSTGRES_DB_SYSTEM_UPDATE
DeleteManagementPolicy POSTGRES_DB_SYSTEM_DELETE
ChangeDbSystemCompartment POSTGRES_DB_SYSTEM_MOVE
FailoverDbSystem POSTGRES_DB_SYSTEM_UPDATE
RestartDbSystem POSTGRES_DB_SYSTEM_RESTART
ListShapes Aucun. Tout utilisateur authentifié peut répertorier les formes.
ListBackups POSTGRES_BACKUP_INSPECT
GetBackup POSTGRES_BACKUP_READ
CreateBackup POSTGRES_BACKUP_CREATE
UpdateBackup POSTGRES_BACKUP_UPDATE
DeleteBackup POSTGRES_BACKUP_DELETE
BackupCopy POSTGRES_BACKUP_COPY
ChangeBackupCompartment POSTGRES_BACKUP_MOVE
ListConfigurations POSTGRES_CONFIGURATION_INSPECT
GetConfiguration POSTGRES_CONFIGURATION_READ
CreateConfiguration POSTGRES_CONFIGURATION_CREATE
UpdateConfiguration POSTGRES_CONFIGURATION_UPDATE
DeleteConfiguration POSTGRES_CONFIGURATION_DELETE
ChangeConfigurationCompartment POSTGRES_CONFIGURATION_MOVE
ListWorkRequests POSTGRES_WORK_REQUEST_INSPECT
GetWorkRequest POSTGRES_WORK_REQUEST_READ
ListWorkRequestErrors POSTGRES_WORK_REQUEST_READ
ListWorkRequestLogs POSTGRES_WORK_REQUEST_READ

Exemples de stratégie

Les instructions de stratégie suivantes permettent à un groupe d'administrateurs de gérer OCI Database with PostgreSQL :

Allow group <postgresql-admin-group> to read compartments in tenancy
Allow group <postgresql-admin-group> to manage postgres-db-systems in [ tenancy | compartment <compartment_name> | compartment id <compartment_OCID> ]
Allow group <postgresql-admin-group> to manage postgres-backups in [ tenancy | compartment <compartment_name> | compartment id <compartment_OCID> ]
Allow group <postgresql-admin-group> to read postgres-work-requests in [ tenancy | compartment <compartment_name> | compartment id <compartment_OCID> ]
Allow group <postgresql-admin-group> to manage postgres-configuration in [ tenancy | compartment <compartment_name> | compartment id <compartment_OCID> ]
Allow group <postgresql-admin-group> to manage virtual-network-family in [ tenancy | compartment <compartment_name> | compartment id <compartment_OCID> ]
Allow group <postgresql-admin-group> to read secret-family in [ tenancy | compartment <compartment_name> | compartment id <compartment_OCID> ]
Allow group <postgresql-admin-group> to read vaults in [ tenancy | compartment <compartment_name> | compartment id <compartment_OCID> ]
Allow group <postgresql-admin-group> to read metrics in [ tenancy | compartment <compartment_name> | compartment id <compartment_OCID> ]
Allow group <postgresql-admin-group> to use tag-namespaces in tenancy

Les instructions de stratégie suivantes permettent à un groupe d'administrateurs de gérer OCI Database with PostgreSQL :

Allow group <postgresql-admin-group> to read compartments in tenancy
Allow group <postgresql-admin-group> to manage postgres-backups in [ tenancy | compartment <compartment_name> | compartment id <compartment_OCID> ]
Allow group <postgresql-admin-group> to read postgres-db-systems in [ tenancy | compartment <compartment_name> | compartment id <compartment_OCID> ]
Allow group <postgresql-admin-group> to use tag-namespaces in tenancy

Les instructions de stratégie suivantes permettent à un groupe d'administrateurs de gérer les configurations de base de données OCI Database with PostgreSQL :

Allow group <postgresql-admin-group> to read compartments in tenancy
Allow group <postgresql-admin-group> to manage postgres-configuration in [ tenancy | compartment <compartment_name> | compartment id <compartment_OCID> ]
Allow group <postgresql-admin-group> to use tag-namespaces in tenancy

Les instructions de stratégie suivantes permettent à un groupe d'administrateurs de gérer OCI Database with PostgreSQL dans le compartiment indiqué :

Allow group <postgresql-admin-group> to manage postgres-db-systems in compartment <database_compartment>
Allow group <postgresql-admin-group> to manage postgres-backups in compartment <database_compartment>
Allow group <postgresql-admin-group> to manage postgres-configurations in compartment <database_compartment>
Allow group <postgresql-admin-group> to read postgres-work-requests in compartment <database_compartment>

L'instruction suivante permet à un groupe d'utilisateurs d'utiliser des bases de données, ce qui signifie qu'ils peuvent mettre à jour ou redémarrer une base de données existante, mais pas en créer ou en supprimer une :

Allow group <postgresql-user-group> to use postgres-db-systems in compartment <database_compartment>