Pour utiliser Oracle Cloud Infrastructure, un accès sécurisé doit vous être accordé par un administrateur à l'aide de stratégies IAM. Cet accès est requis, que vous utilisiez la console ou l'API REST avec un kit SDK, une interface de ligne de commande ou un autre outil. Si un message vous indique que vous n'y êtes pas autorisé ou autorisé, vérifiez avec l'administrateur le type d'accès qui vous a été accordé et le compartiment dans lequel vous devez travailler. Si vous ne connaissez pas les stratégies, reportez-vous à Introduction aux stratégies et à Stratégies courantes.

De plus, pour certaines opérations, vous devez autoriser les ressources de mise à jour de parc Exadata en tant qu'acteurs principaux pouvant agir sur d'autres ressources.

Etape 1 : création d'un groupe dynamique

Créez un groupe dynamique (exemple de nom : fsu-action-dyn-group) à l'aide de l'une des règles de mise en correspondance suivantes. Pour plus d'informations sur les groupes dynamiques, reportez-vous à Gestion des groupes dynamiques et à Ecriture de règles de mise en correspondance pour définir des groupes dynamiques. Vous avez besoin de ce groupe dynamique pour autoriser les actions de mise à jour de parc Exadata à émettre des appels d'API vers d'autres services, le cas échéant. Les actions de mise à jour de parc Exadata doivent généralement être autorisées à utiliser les ressources de service Oracle Cloud Infrastructure Database.

Cette règle de mise en correspondance définit un groupe dynamique qui inclut toutes les actions de mise à jour de parc Exadata en tant que membres.

resource.type='fsuaction'

Etape 2 : création d'une stratégie pour le groupe dynamique

Une fois que vous avez créé le groupe dynamique, vous devez créer une stratégie pour ce dernier. Ce type de stratégie est appelé stratégie de principal de ressource car il définit une ressource en tant qu'acteur principal autorisé à effectuer des actions sur d'autres ressources.

La stratégie suivante autorise les membres du groupe dynamique fsu-action-dyn-group à créer des répertoires de base de base de données et à mettre à jour les bases de données Oracle ou CloudVmClusters sur Oracle Exadata Database Service on Dedicated Infrastructure (ExaDB-D). Les instructions fournissent l'accès minimal nécessaire pour effectuer des tâches d'administration avec les actions et les cycles de maintenance de mise à jour de parc Exadata. L'accès est limité aux ressources contenues dans les compartiments d'exemple indiqués.

allow dynamic-group fsu-action-dyn-group to read db-nodes in compartment ABC
allow dynamic-group fsu-action-dyn-group to use database-software-images in compartment ABC
allow dynamic-group fsu-action-dyn-group to manage db-homes in compartment ABC where any {request.permission='DB_HOME_CREATE', request.permission='DB_HOME_UPDATE', request.permission='DB_HOME_INSPECT'}
allow dynamic-group fsu-action-dyn-group to manage databases in compartment ABC where any {request.permission='DATABASE_CREATE', request.permission='DATABASE_UPDATE', request.permission='DATABASE_INSPECT'}
allow dynamic-group fsu-action-dyn-group to use cloud-vmclusters in compartment ABC
allow dynamic-group fsu-action-dyn-group to use vcns in compartment ABC
allow dynamic-group fsu-action-dyn-group to use subnets in compartment ABC
allow dynamic-group fsu-action-dyn-group to use vnics in compartment ABC
allow dynamic-group fsu-action-dyn-group to use private-ips in compartment ABC
allow service fppcsprod to use cloud-vmclusters in compartment ABC

La stratégie suivante autorise les membres du groupe dynamique fsu-action-dyn-group à créer des répertoires de base de base de données et à mettre à jour les bases de données Oracle ou VmClusters sur Oracle Exadata Database Service on Cloud@Customer (ExaDB-C@C). Les instructions fournissent l'accès minimal nécessaire pour effectuer des tâches d'administration avec les actions et les cycles de maintenance de mise à jour de parc Exadata. L'accès est limité aux ressources contenues dans les compartiments d'exemple indiqués.

allow dynamic-group fsu-action-dyn-group to read db-nodes in compartment ABC
allow dynamic-group fsu-action-dyn-group to inspect exadata-infrastructures in compartment ABC
allow dynamic-group fsu-action-dyn-group to use database-software-images in compartment ABC
allow dynamic-group fsu-action-dyn-group to manage db-homes in compartment ABC where any {request.permission='DB_HOME_CREATE', request.permission='DB_HOME_UPDATE', request.permission='DB_HOME_INSPECT'}
allow dynamic-group fsu-action-dyn-group to manage databases in compartment ABC where any {request.permission='DATABASE_CREATE', request.permission='DATABASE_UPDATE', request.permission='DATABASE_INSPECT'}
allow dynamic-group fsu-action-dyn-group to use vmclusters in compartment ABC

allow dynamic-group fsu-action-dyn-group to manage db-homes in compartment ABC where request.permission='DB_HOME_DELETE'
allow dynamic-group fsu-action-dyn-group to manage databases in compartment ABC where request.permission='DATABASE_DELETE'

Etape 3 : ajout d'une stratégie pour les utilisateurs

Les stratégies suivantes autorisent le groupe d'exemples CycleAdmins à gérer les ressources de cycle de maintenance et d'action de mise à jour de parc Exadata.

allow group CycleAdmins to use fleet-software-update-collections in compartment ABC
allow group CycleAdmins to manage fleet-software-update-cycles in compartment ABC
allow group CycleAdmins to manage fleet-software-update-actions in compartment ABC
allow group CycleAdmins to manage fleet-software-update-jobs in compartment ABC
allow group CycleAdmins to manage fleet-software-update-work-requests in compartment ABC
allow group CycleAdmins to use database-software-images in compartment ABC
allow group CycleAdmins to manage db-homes in compartment ABC 
allow group CycleAdmins to use cloud-vmclusters in compartment ABC
allow group CycleAdmins to manage databases in compartment ABC where any {request.permission='DATABASE_CREATE', request.permission='DATABASE_UPDATE', request.permission='DATABASE_INSPECT'}
allow group CycleAdmins to use vmclusters in compartment ABC
allow group CycleAdmins to inspect exadata-infrastructures in compartment ABC