Documentation Oracle Cloud Infrastructure

Stratégies IAM pour Autonomous Database

Fournit des informations sur les stratégies IAM requises pour les opérations d'API sur Autonomous Database.

Oracle Autonomous Database s'appuie sur le service IAM (Identity and Access Management) pour authentifier les utilisateurs cloud et les autoriser à effectuer des opérations employant l'une des interfaces Oracle Cloud Infrastructure (console, API REST, CLI, ou kit SDK).

Le service IAM recourt aux groupes, aux compartiments, et aux stratégies pour déterminer quels utilisateurs cloud peuvent accéder à quelles ressources.

Remarque parent : Sécurité

Détails de stratégie pour Autonomous Database

Cette rubrique traite des détails relatifs à l'écriture de stratégies visant à contrôler l'accès aux ressources Autonomous Database.

Une stratégie définit le type d'accès dont dispose un groupe d'utilisateurs à une ressource spécifique d'un compartiment individuel. Pour plus d'informations, reportez-vous à Introduction aux stratégies.

Types de ressource

Le type agrégé de ressource couvre la liste des types individuels de ressource indiqués immédiatement après. Par exemple, écrire une seule stratégie pour permettre à un groupe d'accéder à autonomous-database-family revient à écrire quatre stratégies distinctes qui octroient à ce groupe l'accès aux types de ressource autonomous-databases et autonomous-backups. Pour plus d'informations, reportez-vous à Types de ressource.

Types de ressource pour Autonomous Database

Type agrégé de ressource :

autonomous-database-family

Types individuels de ressource :

autonomous-databases

autonomous-backups

Détails des combinaisons de verbe et de type de ressource

Le niveau d'accès est cumulatif à mesure que vous passez d'un verbe à l'autre, dans l'ordre suivant : inspect > read > use > manage. Le signe plus (+) dans une cellule du tableau indique un accès incrémentiel par rapport à la cellule directement au-dessus, alors que la mention "aucun élément supplémentaire" n'indique aucun accès incrémentiel.

Par exemple, le verbe read pour le type de ressource autonomous-databases couvre les mêmes droits d'accès et opérations d'API que le verbe inspect, plus le droit d'accès AUTONOMOUS_DATABASE_CONTENT_READ. Le verbe read couvre en partie l'opération CreateAutonomousDatabaseBackup, qui nécessite également des droits d'accès en gestion pour autonomous-backups.

Les tableaux suivants indiquent les droits d'accès et les opérations d'API que couvre chaque verbe. Pour plus d'informations sur les droits d'accès, reportez-vous à Droits d'accès.

Remarque

La famille de ressources couverte par autAutonomous-database-family peut être utilisée pour accorder l'accès aux ressources de base de données associées à tous les types de charge globale Autonomous Database.
Types de ressource autonomous-databases
Verbes Droits d'accès API entièrement couverte API partiellement couvertes

inspecter

AUTONOMOUS_DATABASE_INSPECT

GetAutonomousDatabase, GetAutonomousDatabaseBackupConfig, GetAutonomousDatabaseCapability, ListAutonomousDatabases, ListAutonomousDatabaseClones, ListAutonomousDatabasePeers, ListAutonomousDatabaseRefreshableClones, ResourcePoolShapes

aucun

lu

INSPECT +

AUTONOMOUS_DATABASE_CONTENT_READ

GenerateAutonomousDatabasePerformanceData, GenerateAutonomousDatabaseWallet, GetAutonomousDatabaseRegionalWallet, GetAutonomousDatabaseWallet, RetrieveDatabasePerformanceBulkData

CreateAutonomousDatabaseBackup (requiert également manage autonomous-backups)

utiliser

READ +

AUTONOMOUS_DATABASE_CONTENT_WRITE

AUTONOMOUS_DATABASE_UPDATE

AutonomousDatabaseManualRefresh, CancelAutonomousDatabaseSession, ChangeDisasterRecoveryConfiguration, ConfigureAutonomousDatabaseVaultKey, DeregisterAutonomousDatabaseDataSafe, DisableAutonomousDatabaseOperationsInsights, DisableDatabaseManagement, EnableAutonomousDatabaseOperationsInsights, EnableDatabaseManagement, FailOverAutonomousDatabase, GetAutonomousDatabaseConsoleToken, RegisterAutonomousDatabaseDataSafe, RestartAutonomousDatabase, RotateAutonomousDatabaseEncryptionKey, ShrinkAutonomousDatabase, StartAutonomousDatabase, StopAutonomousDatabase, SwitchOverAutonomousDatabase, UpdateAutonomousDatabaseRegionalWallet, UpdateAutonomousDatabase

RestoreAutonomousDatabase (read autonomous-backups est également requis)

ChangeAutonomousDatabaseCompartment (read autonomous-backups est également requis)

gestion

USE +

AUTONOMOUS_DATABASE_CREATE

AUTONOMOUS_DATABASE_DELETE

CreateAutonomousDatabase, DeleteAutonomousDatabase

aucun

Liste des opérations et des stratégies IAM requises pour gérer une instance Autonomous Database

Opération Stratégies IAM requises

Ajouter une base de données homologue

use autonomous-databases

Ajouter des attributs de sécurité

use autonomous-databases

Modifier le modèle de calcul

use autonomous-databases

Changer le mode de base de données

use autonomous-databases

Modifier le réseau

use autonomous-databases

Modifier le type de charge globale

use autonomous-databases

Clonage d'une base de données autonome

manage autonomous-databases

Pour obtenir des droits d'accès de clonage supplémentaires sur Autonomous Database, reportez-vous à Droits d'accès IAM et opérations d'API pour Autonomous Database.

Création d'une base de données autonome

manage autonomous-databases

read autonomous-databases

Modifier la configuration des outils de base de données

use autonomous-databases

Modifier la programmation de démarrage/d'arrêt

use autonomous-databases
Activer le pool élastique

use autonomous-databases

Activation ou désactivation du redimensionnement automatique pour une base de données autonome

use autonomous-databases
Rejoindre le pool élastique

use autonomous-databases

Gérer les contacts client

use autonomous-databases

Gérer la clé de cryptage

use autonomous-databases

Déplacement d'une base de données autonome vers un autre compartiment

use autonomous-databases dans le compartiment en cours de la base de données et dans le compartiment vers lequel vous la déplacez

read autonomous-backups

Modification du nom d'une instance Autonomous Database

use autonomous-databases

Redémarrage d'une base de données autonome

use autonomous-databases

Restauration d'une base de données autonome

use autonomous-databases

read autonomous-backups

Redimensionnement du nombre d'ECPU ou du stockage d'une instance Autonomous Database

use autonomous-databases

Définir le mot de passe utilisateur ADMIN

use autonomous-databases

Arrêt ou démarrage d'une base de données autonome

use autonomous-databases

Permutation

use autonomous-databases

Terminaison d'une base de données autonome

manage autonomous-databases

Mettre à jour la récupération après sinistre

use autonomous-databases

Mettre à jour le nom d'affichage

use autonomous-databases

Mettre à jour la licence et l'édition Oracle Database

use autonomous-databases

Mettre à jour l'accès réseau pour les ACL

use autonomous-databases

Mettre à jour l'accès réseau pour une adresse privée

use autonomous-databases

Affichage de la liste des bases de données autonomes

inspect autonomous-databases

Affichage des détails d'une base de données autonome

inspect autonomous-databases

sauvegardes autonomes

Verbes Droits d'accès API entièrement couverte API partiellement couvertes

inspecter

AUTONOMOUS_DB_BACKUP_INSPECT

ListAutonomousDatabaseBackups, GetAutonomousDatabaseBackup

aucun

gestion

USE +

AUTONOMOUS_DB_BACKUP_CREATE

AUTONOMOUS_DB_BACKUP_DELETE

DeleteAutonomousDatabaseBackup

CreateAutonomousDatabaseBackup (requiert également read autonomous-databases)

lu

INSPECT +

AUTONOMOUS_DB_BACKUP_CONTENT_READ

aucun élément supplémentaire

RestoreAutonomousDatabase (requiert également use autonomous-databases)

ChangeAutonomousDatabaseCompartment (requiert également use autonomous-databases)

utiliser

+ LU

pas de plus

aucun élément supplémentaire

Aucun

Variables prises en charge

Toutes les variables OCI Identity and Access Management générales sont prises en charge. Pour plus d'informations, reportez-vous à Variables générales pour toutes les demandes.

En outre, vous pouvez utiliser la variable target.id avec l'OCID d'une base de données après sa création et la variable target.workloadType avec une valeur, comme indiqué dans le tableau suivant :

Valeur target.workloadType Description
OLTP Traitement des transactions en ligne, utilisée pour les bases de données autonomes avec charge globale de traitement des transactions
DW Entrepôt de données, utilisé pour les bases de données autonomes avec charge globale d'entrepôt de données.
AJD

Base de données Autonomous JSON utilisée pour les bases de données autonomes avec charge globale JSON.

APEX

Service APEX utilisé pour le service Autonomous Database APEX.

Exemple de stratégie utilisant la variable target.id : 

Allow group ADB-Admins to manage autonomous-databases in tenancy where target.id = 'OCID'

Exemple de stratégie utilisant la variable target.workloadType : 

Allow group ADB-Admins to manage autonomous-databases in tenancy where target.workloadType = 'AJD'

Droits d'accès IAM et opérations d'API pour Autonomous Database

Cette rubrique traite des droits d'accès IAM disponibles pour les opérations sur Autonomous Database.

Voici les droits d'accès IAM pour Autonomous Database :

  • AUTONOMOUS_DATABASE_CONTENT_READ

  • AUTONOMOUS_DATABASE_CONTENT_WRITE

  • AUTONOMOUS_DATABASE_CREATE

    Reportez-vous à la section Cloning Permissions pour connaître les restrictions de clonage supplémentaires.

  • AUTONOMOUS_DATABASE_DELETE

  • AUTONOMOUS_DATABASE_INSPECT

  • AUTONOMOUS_DATABASE_UPDATE

  • AUTONOMOUS_DB_BACKUP_CONTENT_READ

  • AUTONOMOUS_DB_BACKUP_CREATE

  • AUTONOMOUS_DB_BACKUP_INSPECT

  • NETWORK_SECURITY_GROUP_UPDATE_MEMBERS

  • VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP

Exemple de stratégie pour un groupe disposant de droits d'accès permettant de créer une instance Autonomous Database dans un compartiment : 

Allow group group-name to manage autonomous-database in compartment id compartment-ocid 
    where all{request.permission = 'AUTONOMOUS_DATABASE_UPDATE'}
Droits d'accès requis pour utiliser l'opération Opération d'API
AUTONOMOUS_DATABASE_CONTENT_READ

GenerateAutonomousDatabaseWallet

GetAutonomousDatabaseRegionalWallet

GetAutonomousDatabaseWallet

RetrieveDatabasePerformanceBulkData
AUTONOMOUS_DATABASE_CREATE

CreateAutonomousDatabase
AUTONOMOUS_DATABASE_DELETE

DeleteAutonomousDatabase
AUTONOMOUS_DATABASE_INSPECT

GetAutonomousDatabase

ListAutonomousDatabaseClones

ListAutonomousDatabasePeers

ListAutonomousDatabaseRefreshableClones

ListAutonomousDatabases

ResourcePoolShapes
AUTONOMOUS_DATABASE_UPDATE

AutonomousDatabaseManualRefresh

ConfigureAutonomousDatabaseVaultKey

DeregisterAutonomousDatabaseDataSafe

DisableAutonomousDatabaseOperationsInsights

DisableDatabaseManagement

EnableAutonomousDatabaseOperationsInsights

EnableDatabaseManagement

FailOverAutonomousDatabase

RegisterAutonomousDatabaseDataSafe

RestartAutonomousDatabase

RotateAutonomousDatabaseEncryptionKey

ShrinkAutonomousDatabase

StartAutonomousDatabase

StopAutonomousDatabase

SwitchOverAutonomousDatabase

UpdateAutonomousDatabaseWallet

UpdateAutonomousDatabaseRegionalWallet
AUTONOMOUS_DB_BACKUP_INSPECT

GetAutonomousDatabaseBackup

ListAutonomousDatabaseBackups
AUTONOMOUS_DB_BACKUP_UPDATE

UpdateAutonomousDatabaseBackup
AUTONOMOUS_DB_BACKUP_CREATE

AUTONOMOUS_DATABASE_CONTENT_READ

CreateAutonomousDatabaseBackup
AUTONOMOUS_DB_BACKUP_INSPECT

AUTONOMOUS_DB_BACKUP_DELETE

DeleteAutonomousDatabaseBackup

AUTONOMOUS_DB_BACKUP_INSPECT

AUTONOMOUS_DB_BACKUP_CONTENT_READ

AUTONOMOUS_DATABASE_CONTENT_WRITE

RestoreAutonomousDatabase

Requis sur le compartiment source et le compartiment cible :

AUTONOMOUS_DATABASE_UPDATE

AUTONOMOUS_DB_BACKUP_INSPECT

AUTONOMOUS_DB_BACKU_CREATE

AUTONOMOUS_DATABASE_CONTENT_WRITE

Requis dans le compartiment source et le compartiment cible lorsque l'adresse privée est activée :

WNIC_ASSOCIATE_NETOWRK_SECURITY_GROUP

NETWORK_SECURITY_GROUP_UPDATE_MEMBERS

ChangeAutonomousDatabaseCompartment

Trois cas possibles :

  • Si la charge globale est NULL : AUTONOMOUS_DATABASE_UPDATE
  • Si la charge globale n'est pas NULL :

    AUTONOMOUS_DATABASE_CREATE

    AUTONOMOUS_DATABASE_UPDATE

  • Si le balisage est activé :

    AUTONOMOUS_DATABASE_UPDATE

    AUTONOMOUS_DATABASE_INSPECT

UpdateAutonomousDatabase : utilisez cette API pour apporter des modifications ou des mises à jour à l'une des opérations suivantes :

  • définir le mot de passe d'administration (adminPassword)
  • programmation de démarrage/d'arrêt automatique (scheduledOperations)
  • Gérer les contacts client (customerContacts)
  • modifier la configuration d'outil (dbToolsDetails)
  • Mettre à jour les options de licence BYOL (licenseModel et byolComputeCountLimit)
  • mettre à jour le nom d'affichage (displayName)
  • joindre un pool élastique
  • mettre à jour les options de pool élastique
  • gérer les clés de cryptage
  • mise à jour vers Autonomous Data Guard pour la récupération après sinistre (isLocalDataGuardEnabled et disasterRecoveryType)
  • modifier le mode de fonctionnement de la base de données en lecture/écriture (openMode)
  • mettre à jour l'accès réseau avec les listes de contrôle d'accès (whitelistedIps)
  • mettre à jour l'accès réseau avec l'adresse privée (privateEndpointLabel)
  • renommer la base de données (dbName)
  • Redimensionner les limites de calcul (computeCount)
  • option de gestion du redimensionnement automatique de Compute (isAutoScalingEnabled)
  • Redimensionner les limites de stockage (dataStorageSizeInTBs)
  • Gérer les options de redimensionnement automatique du stockage (isAutoScalingForStorageEnabled)
  • modifier le type de charge globale (dbWorkload)
requiert changeAutonomousDatabaseSubscription

ChangeAutonomousDatabaseSubscription

requiert getSaasAdminUser

SaasAdminUserStatus
requiert updateSaasAdminUser

ConfigureSaasAdminUser

ListAutonomousDatabaseCharacterSets

ListAutonomousDatabaseMaintenanceWindows

Cloner des autorisations

Les droits d'accès IAM généraux sont pris en charge pour Autonomous Database. En outre, vous pouvez utiliser target.autonomous-database.cloneType avec les valeurs de droit d'accès prises en charge pour contrôler le niveau d'accès, comme indiqué dans le tableau suivant.

Valeur target.autonomous-database.cloneType Description
CLONE-FULL

Autoriser le clonage complet uniquement.
CLONE-METADATA

Autoriser le clonage de métadonnées uniquement.
CLONE-REFRESHABLE

Clone actualisable autorisé uniquement.
/CLONE*/

Autorisez tout type de clone.

Exemples de stratégie avec les valeurs de droit d'accès target.autonomous-database.cloneType prises en charge : 

Allow group group-name to manage autonomous-databases in compartment id compartment-ocid 
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-FULL'}
Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-METADATA'}
Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-REFRESHABLE'}
Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = /CLONE*/}

Pour plus d'informations, reportez-vous à Droits d'accès.

Fourniture de privilèges spécifiques dans les stratégies IAM pour gérer Autonomous Database

Répertorie les stratégies IAM que vous pouvez utiliser avec un verbe d'autorisation et une condition pour accorder des opérations plus détaillées à un groupe.

Par exemple, pour autoriser le groupe MyGroup à démarrer des bases de données autonomes à l'aide de l'API StartAutonomousDatabase, procédez comme suit : 

Allow MyGroup to manage autonomous-databases where request.operation = 'StartAutonomousDatabase'

Pour plus d'informations, reportez-vous à Verbes et à Conditions.

Liste des verbes d'autorisation
autonomousDatabaseManualRefresh
changeAutonomousDatabaseCompartment
changeAutonomousDatabaseSubscription
changeDisasterRecoveryConfiguration
configureAutonomousDatabaseVaultKey
configureSaasAdminUser
createAutonomousDatabase
createAutonomousDatabaseBackup
deleteAutonomousDatabase
deleteAutonomousDatabaseBackup
deregisterAutonomousDatabaseDataSafe
disableAutonomousDatabaseManagement
disableAutonomousDatabaseOperationsInsights
enableAutonomousDatabaseManagement
enableAutonomousDatabaseOperationsInsights
failOverAutonomousDatabase
generateAutonomousDatabaseWallet
getAutonomousDatabase
getAutonomousDatabaseBackup
getAutonomousDatabaseRegionalWallet
getAutonomousDatabaseWallet
listAutonomousDatabaseBackups
listAutonomousDatabaseCharacterSets
listAutonomousDatabaseClones
listAutonomousDatabaseMaintenanceWindows
listAutonomousDatabasePeers
listAutonomousDatabaseRefreshableClones
listAutonomousDatabases
registerAutonomousDatabaseDataSafe
resourcePoolShapes
restartAutonomousDatabase
restoreAutonomousDatabase
rotateAutonomousDatabaseEncryptionKey
SaasAdminUserStatus
shrinkAutonomousDatabase
startAutonomousDatabase
stopAutonomousDatabase
switchoverAutonomousDatabase
updateAutonomousDatabase
updateAutonomousDatabaseBackup
updateAutonomousDatabaseRegionalWallet
updateAutonomousDatabaseWallet

Le verbe d'autorisation updateAutonomousDatabase regroupe des privilèges pour utiliser plusieurs opérations d'API.

Opération
DeregisterAutonomousDatabaseDataSafe
DisableAutonomousDatabaseOperationsInsights
DisableDatabaseManagement
EnableAutonomousDatabaseOperationsInsights
RegisterAutonomousDatabaseDataSafe

Exemples :

Allow MyGroup to manage autonomous-databases where request.operation =  'updateAutonomousDatabase'