Documentation Oracle Cloud Infrastructure

Stratégies IAM pour Autonomous Database

Fournit des informations sur les stratégies IAM requises pour les opérations d'API sur Autonomous Database.

Oracle Autonomous Database s'appuie sur le service IAM (Identity and Access Management) pour authentifier les utilisateurs cloud et les autoriser à effectuer des opérations employant l'une des interfaces Oracle Cloud Infrastructure (console, API REST, CLI, ou kit SDK).

Le service IAM recourt aux groupes, aux compartiments, et aux stratégies pour déterminer quels utilisateurs cloud peuvent accéder à quelles ressources.

Rubrique parent : Sécurité

Détails de stratégie pour Autonomous Database

Cette rubrique traite des détails relatifs au contrôle de l'accès aux ressources Autonomous Database par l'écriture de stratégies.

Une stratégie définit le type d'accès dont dispose un groupe d'utilisateurs à une ressource spécifique dans un compartiment individuel. Pour plus d'informations, reportez-vous à Introduction aux stratégies.

Types de ressource

Le type agrégé de ressource couvre la liste des types individuels de ressource indiqués immédiatement après. Par exemple, écrireune seule stratégie pour permettre à un groupe d'accéder à autonomous-database-family équivaut à écrire quatre stratégies distinctes qui octroient l'accès aux types autonomous-databases et autonomous-backups pour le groupe. Pour plus d'informations, reportez-vous à Types de ressource.

Types de ressource pour Autonomous Database

Type agrégé de ressource:

autonomous-database-family

Types individuels de ressource :

autonomous-databases

autonomous-backups

Détails des combinaisons de verbe et de type de ressource

Le niveau d'accès est cumulatif à mesure que vous passez d'un verbe à l'autre, dans l'ordre suivant : inspect > read > use > manage. Le signe plus (+) dans une cellule du tableau indique un accès incrémentiel par rapport à la cellule directement au-dessus, alors que la mention "aucun élément supplémentaire" n'indique aucun accès incrémentiel.

Par exemple, le verbe read pour le Type de ressource autonomous-databases couvre les mêmes droits d'accès et opérations d'API que le verbe inspect, plus le droit d'accès AUTONOMOUS_DATABASE_CONTENT_READ. Le verbe read couvre partiellement l'opération CreateAutonomousDatabaseBackup, qui doit également disposer de droits d'accès de gestion pour autonomous-backups.

Les tableaux suivants indiquent les droits d'utilisation et les opérations d'API couverts par chaque verbe. Pour plus d'informations sur les droits d'accès, reportez-vous à Droits d'accès.

Remarque

La famille de ressources couverte par autonomous-database-family peut être utilisée pour octroyer un accès aux ressources de base de données associées Autonomous Database à tous les types d'import de charge globale.
types de ressource de bases de données autonomes
Verbes Droits d'accès API entièrement couvertes API partiellement couvertes

inspect

AUTONOMOUS_DATABASE_INSPECT

GetAutonomousDatabase, GetAutonomousDatabaseBackupConfig, GetAutonomousDatabaseCapability, ListAutonomousDatabases, ListAutonomousDatabaseClones, ListAutonomousDatabasePeers, ListAutonomousDatabaseRefreshableClones, ResourcePoolShapes

aucune

lire

INSPECT +

AUTONOMOUS_DATABASE_CONTENT_READ

GenerateAutonomousDatabasePerformanceData, GenerateAutonomousDatabaseWallet, GetAutonomousDatabaseRegionalWallet, GetAutonomousDatabaseWallet, RetrieveDatabasePerformanceBulkData

CreateAutonomousDatabaseBackup (manage autonomous-backups est également requis)

utiliser

READ +

AUTONOMOUS_DATABASE_CONTENT_WRITE

AUTONOMOUS_DATABASE_UPDATE

AutonomousDatabaseManualRefresh, CancelAutonomousDatabaseSession, ChangeDisasterRecoveryConfiguration, ConfigureAutonomousDatabaseVaultKey, DeregisterAutonomousDatabaseDataSafe, DisableAutonomousDatabaseOperationsInsights, DisableDatabaseManagement, EnableAutonomousDatabaseOperationsInsights, EnableDatabaseManagement, FailOverAutonomousDatabase, GetAutonomousDatabaseConsoleToken, RegisterAutonomousDatabaseDataSafe, RestartAutonomousDatabase, RotateAutonomousDatabaseEncryptionKey, ShrinkAutonomousDatabase, StartAutonomousDatabase, StopAutonomousDatabase, SwitchOverAutonomousDatabase, UpdateAutonomousDatabaseRegionalWallet, UpdateAutonomousDatabase

RestoreAutonomousDatabase (read autonomous-backups est également requis)

ChangeAutonomousDatabaseCompartment (read autonomous-backups est également requis)

manage

USE +

AUTONOMOUS_DATABASE_CREATE

AUTONOMOUS_DATABASE_DELETE

CreateAutonomousDatabase, DeleteAutonomousDatabase

aucune

Liste des stratégies IAM requises et des opérations pour gérer une instance Autonomous Database

Opération Stratégies IAM requises

Ajouter une base de données homologue

use autonomous-databases

Ajouter des attributs de sécurité

use autonomous-databases

Modifier le modèle de calcul

use autonomous-databases

Changer le mode de base de données

use autonomous-databases

Changer de réseau

use autonomous-databases

Modifier le type de charge globale

use autonomous-databases

Clonage d'une base de données autonome

manage autonomous-databases

Pour obtenir des droits d'accès de clonage supplémentaires sur Autonomous Database, reportez-vous à Droits d'accès IAM et opérations d'API pour Autonomous Database.

Création d'une base de données autonome

manage autonomous-databases

read autonomous-databases

Modifier la configuration des outils de base de données

use autonomous-databases

Modifier le planning de début/fin

use autonomous-databases
Activer le pool élastique

use autonomous-databases

Activation ou désactivation du redimensionnement automatique pour une base de données autonome

use autonomous-databases
Joindre un pool élastique

use autonomous-databases

Gérer les contacts client

use autonomous-databases

Gérer la clé de cryptage

use autonomous-databases

Déplacement d'une base de données autonome vers un autre compartiment

use autonomous-databases dans le compartiment et dans le compartiment vers lesquels vous le déplacez.

read autonomous-backups

Renommer une instance Autonomous Database

use autonomous-databases

Redémarrage d'une base de données autonome

use autonomous-databases

Restauration d'une base de données autonome

use autonomous-databases

read autonomous-backups

Redimensionnement du nombre d'ECPU ou du stockage d'une instance Autonomous Database

use autonomous-databases

Définir un mot de passe d'utilisateur ADMIN

use autonomous-databases

Arrêt ou démarrage d'une base de données autonome

use autonomous-databases

Permutation

use autonomous-databases

Terminaison d'une base de données autonome

manage autonomous-databases

Mettre à jour la récupération après sinistre

use autonomous-databases

Mettre à jour le nom d'affichage

use autonomous-databases

Mettre à jour la licence et l'édition Oracle Database

use autonomous-databases

Mettre à jour l'accès réseau pour les ACL

use autonomous-databases

Mettre à jour l'accès réseau pour une adresse privée

use autonomous-databases

Affichage de la liste d'une base de données autonome

inspect autonomous-databases

Affichage des détails d'une base de données autonome

inspect autonomous-databases

sauvegardes autonomes

Verbes Droits d'accès API entièrement couvertes API partiellement couvertes

inspect

AUTONOMOUS_DB_BACKUP_INSPECT

ListAutonomousDatabaseBackups, GetAutonomousDatabaseBackup

aucune

manage

USE +

AUTONOMOUS_DB_BACKUP_CREATE

AUTONOMOUS_DB_BACKUP_DELETE

DeleteAutonomousDatabaseBackup

CreateAutonomousDatabaseBackup (requiert également read autonomous-databases)

lire

INSPECT +

AUTONOMOUS_DB_BACKUP_CONTENT_READ

aucun élément supplémentaire

RestoreAutonomousDatabase (requiert également use autonomous-databases)

ChangeAutonomousDatabaseCompartment (requiert également use autonomous-databases)

utiliser

READ +

aucun élément supplémentaire

aucun élément supplémentaire

aucune

Variables prises en charge

Toutes les variables OCI Identity and Access Management générales sont prises en charge. Pour plus d'informations, reportez-vous à Variables générales pour toutes les demandes.

En outre, vous pouvez utiliser la variable target.id avec l'OCID d'une base de données après la création d'une base de données et la variable target.workloadType avec une valeur, comme indiqué dans le tableau suivant :

Valeur target.workloadType Description
OLTP Traitement des transactions en ligne, utilisé pour les bases de données autonomes avec charge globale de traitement des transactions.
DW Data Warehouse, utilisé pour les bases de données autonomes avec une charge globale Data Warehouse.
AJD

Base de données JSON autonome utilisée pour les bases de données autonomes avec une charge globale JSON.

APEX

Service APEX utilisé pour le service APEX Autonomous Database.

Exemple de stratégie utilisant la variable target.id : 

Allow group ADB-Admins to manage autonomous-databases in tenancy where target.id = 'OCID'

Exemple de stratégie utilisant la variable target.workloadType : 

Allow group ADB-Admins to manage autonomous-databases in tenancy where target.workloadType = 'AJD'

Droits d'accès IAM et opérations d'API pour Autonomous Database

Cette rubrique traite des droits d'accès IAM disponibles pour les opérations sur Autonomous Database.

Voici les droits d'accès IAM pour Autonomous Database :

  • AUTONOMOUS_DATABASE_CONTENT_READ

  • AUTONOMOUS_DATABASE_CONTENT_WRITE

  • AUTONOMOUS_DATABASE_CREATE

    Reportez-vous à Droits d'accès de clonage pour connaître les limites de clonage supplémentaires.

  • AUTONOMOUS_DATABASE_DELETE

  • AUTONOMOUS_DATABASE_INSPECT

  • AUTONOMOUS_DATABASE_UPDATE

  • AUTONOMOUS_DB_BACKUP_CONTENT_READ

  • AUTONOMOUS_DB_BACKUP_CREATE

  • AUTONOMOUS_DB_BACKUP_INSPECT

  • NETWORK_SECURITY_GROUP_UPDATE_MEMBERS

  • VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP

Exemple de stratégie permettant à un groupe de disposer des droits d'accès permettant de créer Autonomous Database dans un compartiment : 

Allow group group-name to manage autonomous-database in compartment id compartment-ocid 
    where all{request.permission = 'AUTONOMOUS_DATABASE_UPDATE'}
Droits d'accès requis pour utiliser une opération Opération d'API
AUTONOMOUS_DATABASE_CONTENT_READ

GenerateAutonomousDatabaseWallet

GetAutonomousDatabaseRegionalWallet

GetAutonomousDatabaseWallet

RetrieveDatabasePerformanceBulkData
AUTONOMOUS_DATABASE_CREATE

CreateAutonomousDatabase
AUTONOMOUS_DATABASE_DELETE

DeleteAutonomousDatabase
AUTONOMOUS_DATABASE_INSPECT

GetAutonomousDatabase

ListAutonomousDatabaseClones

ListAutonomousDatabasePeers

ListAutonomousDatabaseRefreshableClones

ListAutonomousDatabases

ResourcePoolShapes
AUTONOMOUS_DATABASE_UPDATE

AutonomousDatabaseManualRefresh

ConfigureAutonomousDatabaseVaultKey

DeregisterAutonomousDatabaseDataSafe

DisableAutonomousDatabaseOperationsInsights

DisableDatabaseManagement

EnableAutonomousDatabaseOperationsInsights

EnableDatabaseManagement

FailOverAutonomousDatabase

RegisterAutonomousDatabaseDataSafe

RestartAutonomousDatabase

RotateAutonomousDatabaseEncryptionKey

ShrinkAutonomousDatabase

StartAutonomousDatabase

StopAutonomousDatabase

SwitchOverAutonomousDatabase

UpdateAutonomousDatabaseWallet

UpdateAutonomousDatabaseRegionalWallet
AUTONOMOUS_DB_BACKUP_INSPECT

GetAutonomousDatabaseBackup

ListAutonomousDatabaseBackups
AUTONOMOUS_DB_BACKUP_UPDATE

UpdateAutonomousDatabaseBackup
AUTONOMOUS_DB_BACKUP_CREATE

AUTONOMOUS_DATABASE_CONTENT_READ

CreateAutonomousDatabaseBackup
AUTONOMOUS_DB_BACKUP_INSPECT

AUTONOMOUS_DB_BACKUP_DELETE

DeleteAutonomousDatabaseBackup

AUTONOMOUS_DB_BACKUP_INSPECT

AUTONOMOUS_DB_BACKUP_CONTENT_READ

AUTONOMOUS_DATABASE_CONTENT_WRITE

RestoreAutonomousDatabase

Requis sur le compartiment source et le compartiment cible :

AUTONOMOUS_DATABASE_UPDATE

AUTONOMOUS_DB_BACKUP_INSPECT

AUTONOMOUS_DB_BACKU_CREATE

AUTONOMOUS_DATABASE_CONTENT_WRITE

Requis dans le compartiment source et cible lorsque l'adresse privée est activée :

WNIC_ASSOCIATE_NETOWRK_SECURITY_GROUP

NETWORK_SECURITY_GROUP_UPDATE_MEMBERS

ChangeAutonomousDatabaseCompartment

Trois cas possibles :

  • Si la charge globale est NULL : AUTONOMOUS_DATABASE_UPDATE
  • Si la charge globale n'est pas NULL :

    AUTONOMOUS_DATABASE_CREATE

    AUTONOMOUS_DATABASE_UPDATE

  • Si le balisage est activé :

    AUTONOMOUS_DATABASE_UPDATE

    AUTONOMOUS_DATABASE_INSPECT

UpdateAutonomousDatabase : utilisez cette API pour les modifications ou les mises à jour de l'une des opérations suivantes :

  • définir le mot de passe administrateur (adminPassword)
  • programmation de démarrage/d'arrêt automatique (scheduledOperations)
  • gérer les contacts client (customerContacts)
  • modifier la configuration d'outil (dbToolsDetails)
  • mettre à jour les options de licence BYOL (licenseModel et byolComputeCountLimit)
  • mettre à jour le nom d'affichage (displayName)
  • joindre un pool élastique
  • mettre à jour les options de pool élastique
  • Gérer les clés de cryptage
  • mise à jour vers Autonomous Data Guard pour la récupération après sinistre (isLocalDataGuardEnabled et disasterRecoveryType)
  • modifier le mode de fonctionnement de la base de données en lecture/écriture en lecture seule (openMode)
  • mettre à jour l'accès réseau avec les ACL (whitelistedIps)
  • mettre à jour l'accès réseau avec l'adresse privée (privateEndpointLabel)
  • renommer la base de données (dbName)
  • mettre à l'échelle les limites de calcul (computeCount)
  • Gérer l'option de redimensionnement automatique de calcul (isAutoScalingEnabled)
  • Mettre à l'échelle les limites de stockage (dataStorageSizeInTBs)
  • Gérer les options de redimensionnement automatique du stockage (isAutoScalingForStorageEnabled)
  • modifier le type de charge globale (dbWorkload)
requiert changeAutonomousDatabaseSubscription

ChangeAutonomousDatabaseSubscription

requiert getSaasAdminUser

SaasAdminUserStatus
requiert updateSaasAdminUser

ConfigureSaasAdminUser

ListAutonomousDatabaseCharacterSets

ListAutonomousDatabaseMaintenanceWindows

Clonage des autorisations

Les droits d'accès IAM généraux sont pris en charge pour Autonomous Database. En outre, vous pouvez utiliser target.autonomous-database.cloneType avec les valeurs de droit d'accès prises en charge pour contrôler le niveau d'accès, comme indiqué dans le tableau suivant.

Valeur target.autonomous-database.cloneType Description
CLONE-FULL

Autoriser le clonage complet uniquement.
CLONE-METADATA

Autoriser le clone de métadonnées uniquement.
CLONE-REFRESHABLE

Autoriser le clone actualisable uniquement.
/CLONE*/

Autorisez tout type de clone.

Exemples de stratégie avec les valeurs de droit d'accès target.autonomous-database.cloneType prises en charge : 

Allow group group-name to manage autonomous-databases in compartment id compartment-ocid 
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-FULL'}
Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-METADATA'}
Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-REFRESHABLE'}
Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = /CLONE*/}

Pour plus d'informations, reportez-vous à Autorisations.

Fourniture de privilèges spécifiques dans les stratégies IAM pour la gestion d'Autonomous Database

Répertorie les stratégies IAM que vous pouvez utiliser avec un verbe d'autorisation et une condition pour accorder des opérations plus détaillées à un groupe.

Par exemple, pour autoriser le groupe MyGroup à démarrer des bases de données autonomes à l'aide de l'API StartAutonomousDatabase, procédez comme suit : 

Allow MyGroup to manage autonomous-databases where request.operation = 'StartAutonomousDatabase'

Pour plus d'informations, reportez-vous à Verbes et à Conditions.

Liste des verbes d'autorisation
autonomousDatabaseManualRefresh
changeAutonomousDatabaseCompartment
changeAutonomousDatabaseSubscription
changeDisasterRecoveryConfiguration
configureAutonomousDatabaseVaultKey
configureSaasAdminUser
createAutonomousDatabase
createAutonomousDatabaseBackup
deleteAutonomousDatabase
deleteAutonomousDatabaseBackup
deregisterAutonomousDatabaseDataSafe
disableAutonomousDatabaseManagement
disableAutonomousDatabaseOperationsInsights
enableAutonomousDatabaseManagement
enableAutonomousDatabaseOperationsInsights
failOverAutonomousDatabase
generateAutonomousDatabaseWallet
getAutonomousDatabase
getAutonomousDatabaseBackup
getAutonomousDatabaseRegionalWallet
getAutonomousDatabaseWallet
listAutonomousDatabaseBackups
listAutonomousDatabaseCharacterSets
listAutonomousDatabaseClones
listAutonomousDatabaseMaintenanceWindows
listAutonomousDatabasePeers
listAutonomousDatabaseRefreshableClones
listAutonomousDatabases
registerAutonomousDatabaseDataSafe
resourcePoolShapes
restartAutonomousDatabase
restoreAutonomousDatabase
rotateAutonomousDatabaseEncryptionKey
SaasAdminUserStatus
shrinkAutonomousDatabase
startAutonomousDatabase
stopAutonomousDatabase
switchoverAutonomousDatabase
updateAutonomousDatabase
updateAutonomousDatabaseBackup
updateAutonomousDatabaseRegionalWallet
updateAutonomousDatabaseWallet

Le verbe d'autorisation updateAutonomousDatabase regroupe les privilèges pour utiliser plusieurs opérations d'API.

Opération
DeregisterAutonomousDatabaseDataSafe
DisableAutonomousDatabaseOperationsInsights
DisableDatabaseManagement
EnableAutonomousDatabaseOperationsInsights
RegisterAutonomousDatabaseDataSafe

Par exemple :

Allow MyGroup to manage autonomous-databases where request.operation =  'updateAutonomousDatabase'