Documentation Oracle Cloud Infrastructure

Stratégies IAM pour Autonomous AI Database

Fournit des informations sur les stratégies IAM requises pour les opérations d'API sur la base de données Autonomous AI.

Oracle Autonomous AI Database s'appuie sur le service IAM (Identity and Access Management) pour authentifier les utilisateurs cloud et les autoriser à effectuer les opérations employant l'une des interfaces Oracle Cloud Infrastructure (console, API REST, CLI ou kit SDK).

Vous pouvez affecter des rôles aux utilisateurs en fonction des activités de base de données spécifiques qu'ils sont autorisés à effectuer, telles que la sauvegarde et la récupération, la gestion des clés et les opérations de cycle de vie (telles que l'arrêt, le démarrage et le redimensionnement).

Le service IAM recourt aux groupes, aux compartiments, et aux stratégies pour déterminer quels utilisateurs cloud peuvent accéder à quelles ressources.

Rubrique parent : Sécurité

Détails de stratégie pour la base de données Autonomous AI

Cette rubrique traite de l'écriture de stratégies visant à contrôler l'accès aux ressources de base de données Autonomous AI,

Une stratégie définit le type d'accès dont dispose un groupe d'utilisateurs à une ressource spécifique dans un compartiment individuel. Pour plus d'informations, reportez-vous à Introduction aux stratégies.

Types de ressource

Le type agrégé de ressource couvre la liste des types individuels de ressource indiqués immédiatement après. Par exemple, écrire un seule stratégie pour permettre à un groupe d'accéder à autonomous-database-family équivaut à écrire quatre stratégies distinctes qui octroient l'accès aux types autonomous-databases et autonomous-backups à ce groupe. Pour plus d'informations, reportez-vous à Types de ressource.

Types de ressource pour la base de données Autonomous AI

Type agrégé de ressource:

autonomous-database-family

Types individuels de ressource :

autonomous-databases

autonomous-backups

Détails des combinaisons de verbe et de type de ressource

Le niveau d'accès est cumulatif à mesure que vous passez d'un verbe à l'autre, dans l'ordre suivant : inspect > read > use > manage. Le signe plus (+) dans une cellule du tableau indique un accès incrémentiel par rapport à la cellule directement au-dessus, alors que la mention "aucun élément supplémentaire" n'indique aucun accès incrémentiel.

Par exemple, le verbe read pour le Type de ressource autonomous-databases couvre les mêmes droits d'accès et opérations d'API que le verbe inspect, plus le droit d'accès AUTONOMOUS_DATABASE_CONTENT_READ. Le verbe read couvre partiellement l'opération CreateAutonomousDatabaseBackup, qui doit également disposer de droits d'accès de gestion pour autonomous-backups.

Les tableaux suivants indiquent les droits d'utilisation et les opérations d'API couverts par chaque verbe. Pour plus d'informations sur les droits d'accès, reportez-vous à Droits d'accès.

Remarque

La famille de ressources couverte par autonomous-database-family peut être utilisée pour octroyer un accès aux ressources de base de données associéesà tous les type de charge globale de base de données Autonomous AI.
types de ressource de bases de données autonomes
Verbes Droits d'accès API entièrement couvertes API partiellement couvertes

inspect

AUTONOMOUS_DATABASE_INSPECT

GetAutonomousDatabase, GetAutonomousDatabaseBackupConfig, GetAutonomousDatabaseCapability, ListAutonomousDatabases, ListAutonomousDatabaseClones, ListAutonomousDatabasePeers, ListAutonomousDatabaseRefreshableClones, ResourcePoolShapes

aucune

lire

INSPECT +

AUTONOMOUS_DATABASE_CONTENT_READ

GenerateAutonomousDatabasePerformanceData, GenerateAutonomousDatabaseWallet, GetAutonomousDatabaseRegionalWallet, GetAutonomousDatabaseWallet, RetrieveDatabasePerformanceBulkData

CreateAutonomousDatabaseBackup (manage autonomous-backups est également requis)

utiliser

READ +

AUTONOMOUS_DATABASE_CONTENT_WRITE

AUTONOMOUS_DATABASE_UPDATE

AutonomousDatabaseManualRefresh, CancelAutonomousDatabaseSession, ChangeDisasterRecoveryConfiguration, ConfigureAutonomousDatabaseVaultKey, DeregisterAutonomousDatabaseDataSafe, DisableAutonomousDatabaseOperationsInsights, DisableDatabaseManagement, EnableAutonomousDatabaseOperationsInsights, EnableDatabaseManagement, FailOverAutonomousDatabase, GetAutonomousDatabaseConsoleToken, RegisterAutonomousDatabaseDataSafe, RestartAutonomousDatabase, RotateAutonomousDatabaseEncryptionKey, ShrinkAutonomousDatabase, StartAutonomousDatabase, StopAutonomousDatabase, SwitchOverAutonomousDatabase, UpdateAutonomousDatabaseRegionalWallet, UpdateAutonomousDatabase

RestoreAutonomousDatabase (read autonomous-backups est également requis)

ChangeAutonomousDatabaseCompartment (read autonomous-backups est également requis)

manage

USE +

AUTONOMOUS_DATABASE_CREATE

AUTONOMOUS_DATABASE_DELETE

NETWORK_SECURITY_GROUP_UPDATE_MEMBERS

CreateAutonomousDatabase, DeleteAutonomousDatabase

aucune

Liste des opérations et des stratégies IAM requises pour gérer une instance de base de données Autonomous AI

Opération Stratégies IAM requises

Ajouter une base de données homologue

use autonomous-databases

Ajouter des attributs de sécurité

use autonomous-databases

Modifier le modèle de calcul

use autonomous-databases

Changer le mode de base de données

use autonomous-databases

Changer de réseau

use autonomous-databases

Modifier le type de charge globale

use autonomous-databases

Clonage d'une base de données d'IA autonome

manage autonomous-databases

Reportez-vous à Droits d'accès IAM et opérations d'API pour la base de données Autonomous AI pour obtenir des droits d'accès de clonage supplémentaires sur la base de données Autonomous AI.

Création d'une base de données d'IA autonome

manage autonomous-databases

read autonomous-databases

Modifier la configuration des outils de base de données

use autonomous-databases

Modifier le planning de début/fin

use autonomous-databases
Activer le pool élastique

use autonomous-databases

Activer ou désactiver le redimensionnement automatique pour une base de données Autonomous AI

use autonomous-databases
Joindre un pool élastique

use autonomous-databases

Gérer les contacts client

use autonomous-databases

Gérer la clé de cryptage

use autonomous-databases

Déplacement d'une base de données Autonomous AI vers un autre compartiment

use autonomous-databases dans le compartiment et dans le compartiment vers lesquels vous le déplacez.

read autonomous-backups

Renommer une base de données d'IA autonome

use autonomous-databases

Redémarrage d'une base de données Autonomous AI

use autonomous-databases

Restauration d'une base de données Autonomous AI

use autonomous-databases

read autonomous-backups

Redimensionnement du nombre d'ECPU ou du stockage d'une base de données Autonomous AI

use autonomous-databases

Définir le mot du passe d'utilisateur ADMIN

use autonomous-databases

Arrêter ou démarrer une base de données Autonomous AI

use autonomous-databases

Permutation

use autonomous-databases

Terminaison d'une base de données d'IA autonome

manage autonomous-databases

Mettre à jour la récupération après sinistre

use autonomous-databases

Mettre à jour le nom d'affichage

use autonomous-databases

Mettre à jour la licence et l'édition Oracle Database

use autonomous-databases

Mettre à jour l'accès réseau pour les ACL

use autonomous-databases

Mettre à jour l'accès réseau pour une adresse privée

use autonomous-databases

Affichage de la liste d'une base de données Autonomous AI

inspect autonomous-databases

Afficher les détails d'une base de données Autonomous AI

inspect autonomous-databases

sauvegardes autonomes

Verbes Droits d'accès API entièrement couvertes API partiellement couvertes

inspect

AUTONOMOUS_DB_BACKUP_INSPECT

ListAutonomousDatabaseBackups, GetAutonomousDatabaseBackup

aucune

manage

USE +

AUTONOMOUS_DB_BACKUP_CREATE

AUTONOMOUS_DB_BACKUP_DELETE

DeleteAutonomousDatabaseBackup

CreateAutonomousDatabaseBackup (requiert également read autonomous-databases)

lire

INSPECT +

AUTONOMOUS_DB_BACKUP_CONTENT_READ

aucun élément supplémentaire

RestoreAutonomousDatabase (requiert également use autonomous-databases)

ChangeAutonomousDatabaseCompartment (requiert également use autonomous-databases)

utiliser

READ +

aucun élément supplémentaire

aucun élément supplémentaire

aucune

Variables prises en charge

Toutes les variables OCI Identity and Access Management générales sont prises en charge. Pour plus d'informations, reportez-vous à Variables générales pour toutes les demandes.

En outre, vous pouvez utiliser la variable target.id avec l'OCID d'une base de données après la création d'une base de données et la variable target.workloadType avec une valeur, comme indiqué dans le tableau suivant :

Valeur target.workloadType Description
OLTP Traitement des transactions en ligne, utilisé pour les bases de données Autonomous AI avec la charge globale de traitement des transactions.
LH Lakehouse, utilisé pour la base de données d'IA autonome avec des workloads de plateforme d'analyse et de données.
DW Data Warehouse, utilisé pour les bases de données d'IA autonomes avec une charge de travail Data Warehouse.
AJD

Base de données JSON autonome utilisée pour les bases de données d'IA autonomes avec un workload JSON.

APEX

Service APEX utilisé pour le service APEX de base de données Autonomous AI.

Exemple de stratégie utilisant la variable target.id : 

Allow group ADB-Admins to manage autonomous-databases in tenancy where target.id = 'OCID'

Exemple de stratégie utilisant la variable target.workloadType : 

Allow group ADB-Admins to manage autonomous-databases in tenancy where target.workloadType = 'AJD'

Vous pouvez utiliser la variable request.operation.actiontype qui identifie la sous-opération ou la modification de configuration spécifique demandée dans une opération telle que updateAutonomousDatabase ou createAutonomousDatabase. Vous pouvez contrôler ces types d'action dans les stratégies à l'aide du paramètre request.operation.actiontype. Cela vous permet de contrôler les actions en détail, en vous assurant que vous disposez des droits d'accès requis pour votre rôle.

Exemple de stratégies utilisant la variable request.operation.actiontype :

Lorsqu'une stratégie accorde l'accès à un type d'action spécifique à l'aide de request.operation.actiontype, vous êtes limité à cette sous-opération et ne pouvez pas effectuer d'autres actions de mise à jour, sauf si celles-ci sont explicitement incluses dans la stratégie. Par exemple, 
allow group MyGroup to manage autonomous-database-family where request.operation.actiontype =
      'adminPassword'

La stratégie ci-dessus accorde au groupe le droit de modifier le mot de passe ADMIN, mais pas d'autres attributs tels que le calcul, le stockage ou la configuration réseau.

De même, il est possible d'exclure une opération sensible tout en autorisant d'autres, par example :
allow group MyGroup to manage autonomous-database-family where request.operation.actiontype
      != 'adminPassword'

Le tableau suivant répertorie la variable ActionType, chacune représentant une sous-opération spécifique pouvant être utilisée avec CreateAutonomousDatabase ou UpdateAutonomousDatabase :

ActionType Opération
adminPassword Définissez le mot de passe administrateur ou définissez secretID pour le coffre.
scheduledOperations Définissez la planification des sauvegardes à long terme.
customerContacts Gérer les informations de contact client pour les avis opérationnels, les annonces et la maintenance non planifiée.
dbToolsConfigure Activer ou désactiver les outils de base de données.
licenseModel Mettez à jour les options Bring Your Own License (BYOL) et le nombre d'ECPU pour BYOL.
updateElasticPool Mettez à jour les options du pool élastique.
upgradeToPaid Autoriser une mise à niveau du développeur ou de la version gratuite vers la version payante.
displayName Mise à jour du nom d'affichage.
joinElasticPool Rejoignez un pool élastique en tant que membre.
disasterRecoveryType Mise à jour vers Autonomous Data Guard pour la reprise après sinistre.
manageEncryptionKeys Gérer les clés de cryptage (gérées par Oracle ou par le client).
openMode Modifiez les modes de fonctionnement de la base de données entre lecture ou écriture et lecture seule.
whitelistedIps Modifiez les adresses IP autorisées dans les listes de contrôle d'accès à la base de données Autonomous AI pour contrôler l'accès réseau.
networkConfig Mettez à jour la configuration réseau, y compris les options publiques ou privées.
dbName Renommer la base de données.
computeCount Adapter les limites de calcul.
autoScalingConfig Activer ou désactiver le redimensionnement automatique de calcul.
dataStorageSize Redimensionnez les limites de stockage.
autoScalingForStorageConfig Activez ou désactivez l'option de redimensionnement automatique.
dbWorkload Modifiez le type de charge globale.
scheduleDbVersionUpgrade Définir des dates spécifiques ou les plannings les plus anciens disponibles pour les mises à niveau de version de base de données planifiées.
vanityUrl Définissez l'URL personnalisée ou modifiez les détails de l'URL personnalisée.
maintenanceScheduleType Basculez la programmation d'application de patches entre les fenêtres de maintenance early et regular.

Droits d'accès IAM et opérations d'API pour la base de données Autonomous AI

Cette rubrique traite des droits d'accès IAM disponibles pour les opérations sur la base de données Autonomous AI.

Ces opérations sont regroupées dans des droits d'accès permettant aux rôles standard d'effectuer ces opérations. Si des autorisations plus détaillées sont nécessaires, elles peuvent être combinées avec des sous-opérations et des types d'action. UpdateAutonomousDatabase a inclus plusieurs opérations, mais elles peuvent être limitées en fonction des types d'action décrits dans la section précédente.

Les droits d'accès IAM pour Autonomous AI Database sont les suivants :

  • AUTONOMOUS_DATABASE_CONTENT_READ

  • AUTONOMOUS_DATABASE_CONTENT_WRITE

  • AUTONOMOUS_DATABASE_CREATE

    Reportez-vous à Droits d'accès de clonage pour connaître les limites de clonage supplémentaires.

  • AUTONOMOUS_DATABASE_DELETE

  • AUTONOMOUS_DATABASE_INSPECT

  • AUTONOMOUS_DATABASE_UPDATE

  • AUTONOMOUS_DB_BACKUP_CONTENT_READ

  • AUTONOMOUS_DB_BACKUP_CREATE

  • AUTONOMOUS_DB_BACKUP_INSPECT

  • NETWORK_SECURITY_GROUP_UPDATE_MEMBERS

  • VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP

Exemple de stratégie permettant à un groupe de disposer des droits d'accès permettant de créer Oracle Autonomous AI Database dans un compartiment : 

Allow group group-name to manage autonomous-database in compartment id compartment-ocid 
    where all{request.permission = 'AUTONOMOUS_DATABASE_UPDATE'}
Opération d'API Droits d'accès requis pour utiliser une opération

GenerateAutonomousDatabaseWallet

GetAutonomousDatabaseRegionalWallet

GetAutonomousDatabaseWallet

RetrieveDatabasePerformanceBulkData

 AUTONOMOUS_DATABASE_CONTENT_READ

CreateAutonomousDatabase

 AUTONOMOUS_DATABASE_CREATE

DeleteAutonomousDatabase

 AUTONOMOUS_DATABASE_DELETE

GetAutonomousDatabase

ListAutonomousDatabaseClones

ListAutonomousDatabasePeers

ListAutonomousDatabaseRefreshableClones

ListAutonomousDatabases

ResourcePoolShapes

 AUTONOMOUS_DATABASE_INSPECT

AutonomousDatabaseManualRefresh

ConfigureAutonomousDatabaseVaultKey

DeregisterAutonomousDatabaseDataSafe

DisableAutonomousDatabaseOperationsInsights

DisableDatabaseManagement

EnableAutonomousDatabaseOperationsInsights

EnableDatabaseManagement

FailOverAutonomousDatabase

RegisterAutonomousDatabaseDataSafe

RestartAutonomousDatabase

RotateAutonomousDatabaseEncryptionKey

ShrinkAutonomousDatabase

StartAutonomousDatabase

StopAutonomousDatabase

SwitchOverAutonomousDatabase

UpdateAutonomousDatabaseWallet

UpdateAutonomousDatabaseRegionalWallet

 AUTONOMOUS_DATABASE_UPDATE

GetAutonomousDatabaseBackup

ListAutonomousDatabaseBackups

 AUTONOMOUS_DB_BACKUP_INSPECT

UpdateAutonomousDatabaseBackup

 AUTONOMOUS_DB_BACKUP_UPDATE

CreateAutonomousDatabaseBackup

 AUTONOMOUS_DB_BACKUP_CREATE

AUTONOMOUS_DATABASE_CONTENT_READ

DeleteAutonomousDatabaseBackup

 AUTONOMOUS_DB_BACKUP_INSPECT

AUTONOMOUS_DB_BACKUP_DELETE

RestoreAutonomousDatabase

AUTONOMOUS_DB_BACKUP_INSPECT

AUTONOMOUS_DB_BACKUP_CONTENT_READ

AUTONOMOUS_DATABASE_CONTENT_WRITE

ChangeAutonomousDatabaseCompartment

Requis sur le compartiment source et le compartiment cible :

AUTONOMOUS_DATABASE_UPDATE

AUTONOMOUS_DB_BACKUP_INSPECT

AUTONOMOUS_DB_BACKU_CREATE

AUTONOMOUS_DATABASE_CONTENT_WRITE

Requis dans le compartiment source et cible lorsque l'adresse privée est activée :

WNIC_ASSOCIATE_NETOWRK_SECURITY_GROUP

NETWORK_SECURITY_GROUP_UPDATE_MEMBERS

UpdateAutonomousDatabase : utilisez cette API pour les modifications ou les mises à jour de l'une des opérations suivantes :

Remarque

Pour plus de détails sur les droits d'accès, utilisez ces sous-opérations en tant que actiontype lors de la définition d'une stratégie pour l'utilisateur.
  • définir le mot de passe administrateur (adminPassword)
  • programmation de démarrage/d'arrêt automatique (scheduledOperations)
  • gérer les contacts client (customerContacts)
  • modifier la configuration d'outil (dbToolsDetails)
  • mettre à jour les options de licence BYOL (licenseModel et byolComputeCountLimit)
  • mettre à jour le nom d'affichage (displayName)
  • joindre un pool élastique
  • mettre à jour les options de pool élastique
  • Gérer les clés de cryptage
  • mise à jour vers Autonomous Data Guard pour la récupération après sinistre (isLocalDataGuardEnabled et disasterRecoveryType)
  • modifier les modes de fonctionnement de la base de données entre lecture ou écriture et lecture seule (openMode)
  • modifier les adresses IP sur liste blanche dans les listes de contrôle d'accès à la base de données Autonomous AI pour contrôler l'accès réseau (whitelistedIps)
  • mettre à jour l'accès réseau avec l'adresse privée (privateEndpointLabel)
  • renommer la base de données (dbName)
  • mettre à l'échelle les limites de calcul (computeCount)
  • Gérer l'option de redimensionnement automatique de calcul (isAutoScalingEnabled)
  • Mettre à l'échelle les limites de stockage (dataStorageSizeInTBs)
  • Gérer les options de redimensionnement automatique du stockage (isAutoScalingForStorageEnabled)
  • modifier le type de charge globale (dbWorkload)

Trois cas possibles :

  • Si la charge globale est NULL : AUTONOMOUS_DATABASE_UPDATE
  • Si la charge globale n'est pas NULL :

    AUTONOMOUS_DATABASE_CREATE

    AUTONOMOUS_DATABASE_UPDATE

  • Si le balisage est activé :

    AUTONOMOUS_DATABASE_UPDATE

    AUTONOMOUS_DATABASE_INSPECT

ChangeAutonomousDatabaseSubscription

 requiert changeAutonomousDatabaseSubscription

SaasAdminUserStatus

requiert getSaasAdminUser

ConfigureSaasAdminUser

ListAutonomousDatabaseCharacterSets

ListAutonomousDatabaseMaintenanceWindows

 requiert updateSaasAdminUser

Clonage des autorisations

Les droits d'accès IAM généraux sont pris en charge pour Autonomous AI Database. En outre, vous pouvez utiliser target.autonomous-database.cloneType avec les valeurs de droit d'accès prises en charge pour contrôler le niveau d'accès, comme indiqué dans le tableau suivant.

Valeur target.autonomous-database.cloneType Description
CLONE-FULL

Autoriser le clonage complet uniquement.
CLONE-METADATA

Autoriser le clone de métadonnées uniquement.
CLONE-REFRESHABLE

Autoriser le clone actualisable uniquement.
/CLONE*/

Autorisez tout type de clone.

Exemples de stratégie avec les valeurs de droit d'accès target.autonomous-database.cloneType prises en charge : 

Allow group group-name to manage autonomous-databases in compartment id compartment-ocid 
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-FULL'}
Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-METADATA'}
Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-REFRESHABLE'}
Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = /CLONE*/}

Pour plus d'informations, reportez-vous à Autorisations.

Fournir des privilèges spécifiques dans les stratégies IAM pour gérer une base de données d'IA autonome

Répertorie les stratégies IAM que vous pouvez utiliser avec un verbe d'autorisation et une condition pour accorder des opérations plus détaillées à un groupe.

Par exemple, pour autoriser le groupe MyGroup à démarrer des bases de données Autonomous AI à l'aide de l'API StartAutonomousDatabase, procédez comme suit : 

Allow MyGroup to manage autonomous-databases where request.operation = 'StartAutonomousDatabase'

Pour plus d'informations, reportez-vous à Verbes et à Conditions.

Liste des verbes d'autorisation
autonomousDatabaseManualRefresh
changeAutonomousDatabaseCompartment
changeAutonomousDatabaseSubscription
changeDisasterRecoveryConfiguration
configureAutonomousDatabaseVaultKey
configureSaasAdminUser
createAutonomousDatabase
createAutonomousDatabaseBackup
deleteAutonomousDatabase
deleteAutonomousDatabaseBackup
deregisterAutonomousDatabaseDataSafe
disableAutonomousDatabaseManagement
disableAutonomousDatabaseOperationsInsights
enableAutonomousDatabaseManagement
enableAutonomousDatabaseOperationsInsights
failOverAutonomousDatabase
generateAutonomousDatabaseWallet
getAutonomousDatabase
getAutonomousDatabaseBackup
getAutonomousDatabaseRegionalWallet
getAutonomousDatabaseWallet
listAutonomousDatabaseBackups
listAutonomousDatabaseCharacterSets
listAutonomousDatabaseClones
listAutonomousDatabaseMaintenanceWindows
listAutonomousDatabasePeers
listAutonomousDatabaseRefreshableClones
listAutonomousDatabases
registerAutonomousDatabaseDataSafe
resourcePoolShapes
restartAutonomousDatabase
restoreAutonomousDatabase
rotateAutonomousDatabaseEncryptionKey
SaasAdminUserStatus
shrinkAutonomousDatabase
startAutonomousDatabase
stopAutonomousDatabase
switchoverAutonomousDatabase
updateAutonomousDatabase
updateAutonomousDatabaseBackup
updateAutonomousDatabaseRegionalWallet
updateAutonomousDatabaseWallet

Le verbe d'autorisation updateAutonomousDatabase regroupe les privilèges pour utiliser plusieurs opérations d'API.

Opération
DeregisterAutonomousDatabaseDataSafe
DisableAutonomousDatabaseOperationsInsights
DisableDatabaseManagement
EnableAutonomousDatabaseOperationsInsights
RegisterAutonomousDatabaseDataSafe

Par exemple :

Allow MyGroup to manage autonomous-databases where request.operation =  'updateAutonomousDatabase'