Stratégies IAM pour la base de données Autonomous AI sur une infrastructure Exadata dédiée
Cet article répertorie les stratégies IAM requises pour gérer les ressources d'infrastructure d'une base de données Autonomous AI sur une infrastructure Exadata dédiée.
Oracle Autonomous AI Database sur une infrastructure Exadata dédiée s'appuie sur le service IAM (Identity and Access Management) pour authentifier les utilisateurs cloud et les autoriser à effectuer des opérations qui utilisent l'une des interfaces Oracle Cloud Infrastructure (console, API REST, CLI ou kit SDK). Le service IAM utilise les groupes, les compartiments et les stratégies pour contrôler quels utilisateurs cloud peuvent accéder à certaines ressources.
Détails de stratégie pour la base de données Autonomous AI
Cette rubrique traite de l'écriture de stratégies visant à contrôler l'accès aux ressources de base de données Autonomous AI,
Une stratégie définit le type d'accès dont dispose un groupe d'utilisateurs à une ressource spécifique dans un compartiment individuel. Pour plus d'informations, reportez-vous à Introduction aux stratégies.
A savoir : pour consulter un exemple de stratégie, reportez-vous à Autoriser l'administration de base de données et de parc à gérer des bases de données Autonomous AI.
Types de ressource
Le type agrégé de ressource couvre la liste des types individuels de ressource indiqués immédiatement après. Par exemple, écrire une seule stratégie pour permettre à un groupe d'accéder à autonomous-database-family équivaut à écrire quatre stratégies distinctes qui octroient à ce groupe l'accès aux types de ressource autonomous-databases, autonomous-backups, autonomous-container-databases et cloud-autonomous-vmclusters. Pour plus d'informations, reportez-vous à Types de ressource.
Types de ressource pour la base de données Autonomous AI
Type agrégé de ressource:
autonomous-database-family
Types de ressource individuels:
autonomous-databases
autonomous-backups
autonomous-container-databases
cloud-autonomous-vmclusters (déploiements Oracle Public Cloud uniquement)
autonomous-vmclusters (déploiements Oracle Exadata Cloud@Customer uniquement)
autonomous-virtual-machine
A savoir : Les types de ressource cloud-exadata-infrastructures et exadata-infrastructures nécessaires pour provisionner une base de données d'IA autonome sur Oracle Public Cloud et Exadata Cloud@Customer respectivement sont couverts par le type agrégé de ressource database-family. Pour plus d'informations sur les ressources concernées par database-family, reportez-vous à Détails de stratégie pour les instances Exadata Cloud Service et àDétails de stratégie pour le service Base Database.
Variables prises en charge
Les variables générales sont prises en charge. Pour plus d'informations, reportez-vous à Variables générales pour toutes les demandes.
En outre, vous pouvez utiliser la variable target.workloadType, comme indiqué dans le tableau suivant :
| Valeur target.workloadType | Description |
|---|---|
OLTP |
Traitement des transactions en ligne, utilisé pour les bases de données Autonomous AI avec la charge globale Autonomous Transaction Processing. |
DW |
Data Warehouse, utilisé pour les bases de données Autonomous AI avec la charge de travail Autonomous Data Warehouse. |
Exemple de stratégie utilisant la variable target.workloadType :
Allow group ADB-Admins
to manage autonomous-database
in tenancy where target.workloadType = 'workload_type'Détails des combinaisons de verbe et de type de ressource
Le niveau d'accès est cumulatif à mesure que vous passez d'un verbe à l'autre, dans l'ordre suivant : inspect > read > use > manage. Le signe plus (+) dans une cellule de tableau indique un accès incrémentiel par rapport à la cellule directement au-dessus, alors que la référence "aucun autre élément supplémentaire" n'indique aucun accès incrémentiel.
Par exemple, le verbe read pour la ressource autonomous-databases couvre les mêmes droits d'accès et opérations d'API que le verbe inspect, plus le droit d'accès AUTONOMOUS_DATABASE_CONTENT_READ. Le verbe read couvre en partie l'opération CreateAutonomousDatabaseBackup, qui nécessite également des droits d'accès en gestion pour autonomous-backups.
Les tableaux suivants indiquent les droits d'utilisation et les opérations d'API couverts par chaque verbe. Pour plus d'informations sur les droits d'accès, reportez-vous à Droits d'accès.
Pour les types de ressource autonomous-database-family
Remarque : la famille de ressources couverte par autonomous-database-family peut être utilisée pour octroyer un accès aux ressources de base de données associées aux types d'ensemble de charge globale de base de données Autonomous AI.
autonomous-databases
| Verbes | Autorisations d'accès | API entièrement couvertes | API partiellement couvertes |
|---|---|---|---|
| inspect | AUTONOMOUS_DATABASE_INSPECT |
GetAutonomousDatabase, ListAutonomousDatabases |
Aucun élément |
| read |
|
aucun en plus | CreateAutonomousDatabaseBackup (manage autonomous-backups est également requis) |
| use |
|
UpdateAutonomousDatabase |
|
| manage |
|
CreateAutonomousDatabase |
Aucun élément |
sauvegardes autonomes
| Verbes | Autorisations d'accès | API entièrement couvertes | API partiellement couvertes |
|---|---|---|---|
| inspect | AUTONOMOUS_DB_BACKUP_INSPECT |
ListAutonomousDatabaseBackups, GetAutonomousDatabaseBackup |
Aucun élément |
| read |
|
aucun en plus |
|
| use | READ + aucun en plus |
aucun en plus | Aucun élément |
| manage |
|
DeleteAutonomousDatabaseBackup |
CreateAutonomousDatabaseBackup (requiert également read autonomous-databases) |
autonomous-container-databases
| Verbes | Autorisations d'accès | API entièrement couvertes | API partiellement couvertes |
|---|---|---|---|
| inspect | AUTONOMOUS_CONTAINER_DATABASE_INSPECT |
ListAutonomousContainerDatabases, GetAutonomousContainerDatabase |
Aucun élément |
| read | INSPECT + aucun en plus |
aucun en plus | Aucun élément |
| use | READ +
|
|
CreateAutonomousDatabase (requiert également manage autonomous-databases) |
| manage |
|
aucun en plus | CreateAutonomousContainerDatabase, TerminateAutonomousContainerDatabase (requièrent également use cloud-autonomous-vmclusters, use cloud-exadata-infrastructures) |
cloud-autonomous-vmclusters
| Verbes | Autorisations d'accès | API entièrement couvertes | API partiellement couvertes |
|---|---|---|---|
| inspect | CLOUD_AUTONOMOUS_VM_CLUSTER_INSPECT |
|
Aucun élément |
| read |
aucun en plus |
aucun en plus | Aucun élément |
| use | READ +
|
|
|
| manage |
|
aucun en plus |
(requièrent également |
autonomous-vmclusters
| Verbes | Autorisations d'accès | API entièrement couvertes | API partiellement couvertes |
|---|---|---|---|
| inspect | AUTONOMOUS_VM_CLUSTER_INSPECT |
|
ChangeAutonomousVmClusterCompartment |
| read | INSPECT + aucun en plus |
aucun en plus | Aucun élément |
| use |
|
ChangeAutonomousVmClusterCompartment |
|
| manage |
|
DeleteAutonomousVmCluster |
CreateAutonomousVmCluster |
machine virtuelle autonome
| Verbes | Autorisations d'accès | API entièrement couvertes | API partiellement couvertes |
|---|---|---|---|
| inspect | AUTONOMOUS_VIRTUAL_MACHINE_INSPECT |
|
Aucun élément |
Droits d'accès requis pour chaque opération d'API
La base de données Conteneur Autonomous (ACD) et la base de données Autonomous AI (ADB) sont des ressources communes entre les déploiements Oracle Public Cloud, Multicloud et Exadata Cloud@Customer. Par conséquent, leurs droits d'accès sont les mêmes pour les deux déploiements dans le tableau suivant.
Toutefois, certaines opérations de base de données Conteneur Autonomous nécessitent des droits d'accès de niveau AVMC. Etant donné que les ressources AVMC sont différentes pour Oracle Public Cloud et Exadata Cloud@Customer, vous avez besoin de droits d'accès différents sur chaque type de déploiement. Par exemple, pour créer une base de données Conteneur Autonomous, vous devez :
-
Droits d'accès AUTONOMOUS_VM_CLUSTER_UPDATE et AUTONOMOUS_CONTAINER_DATABASE_CREATE sur Exadata Cloud@Customer.
-
Droits d'accès CLOUD_AUTONOMOUS_VM_CLUSTER_UPDATE et AUTONOMOUS_CONTAINER_DATABASE_CREATE sur Oracle Public Cloud et multicloud.
Pour plus d'informations sur les droits d'accès, reportez-vous à Droits d'accès.
Le tableau suivant répertorie les opérations d'API pour les ressources de base de données Autonomous AI dans un ordre logique, regroupées par type de ressource.
Opérations d'API de base de données d'IA autonome
Vous pouvez utiliser l'API pour visualiser et gérer les différentes ressources d'infrastructure d'une base de données d'IA autonome. Reportez-vous à Référence d'API pour Autonomous AI Database on Dedicated Exadata Infrastructure pour obtenir la liste des adresses d'API REST permettant de gérer différentes ressources Autonomous AI Database.
Limitation de l'accès utilisateur à des droits spécifiques
L'accès utilisateur est défini dans des instructions de stratégie IAM. Lorsque vous créez une instruction de stratégie accordant à un groupe l'accès à un verbe et à un type de ressource particuliers, vous accordez à ce groupe l'accès à des droits IAM prédéfinis. L'objectif des verbes est de simplifier le processus d'octroi de plusieurs droits d'accès associés.
Pour autoriser ou refuser des Droits d'accès IAM spécifiques, ajoutez une condition where à l'instruction de stratégie. Par exemple, pour autoriser un groupe d'administrateurs de parc à effectuer n'importe quelle opération sur les ressources d'infrastructure Exadata, sauf leur suppression, vous devez créer l'instruction de stratégie suivante :
Allow group FleetAdmins to manage cloud-exadata-infrastructures in tenancy where request.permission != 'CLOUD_EXADATA_INFRASTRUCTURE_DELETE'Vous pouvez ensuite autoriser un plus petit groupe d'administrateurs de parc à effectuer n'importe quelle opération (y compris la suppression) sur les ressources d'infrastructure Exadata en omettant la condition where :
Allow group FleetSuperAdmins to manage cloud-exadata-infrastructures in tenancyPour plus d'informations sur cette utilisation de la condition where, reportez-vous à Droits d'accès dans la section relative à l'étendue de l'accès avec des droits d'accès ou des opérations d'interface d'API.
Stratégies de gestion des ressources d'infrastructure Exadata
Le tableau suivant répertorie les stratégies IAM requises pour qu'un utilisateur cloud puisse effectuer des opérations de gestion sur des ressources d'infrastructure Exadata.
| Opération | Stratégies IAM requises sur Oracle Public Cloud et le multicloud | Stratégies IAM requises sur Exadata Cloud@Customer |
|---|---|---|
| Création d'une ressource d'infrastructure Exadata |
|
manage exadata-infrastructures |
| Affichage de la liste des ressources d'infrastructure Exadata | inspect cloud-exadata-infrastructures |
inspect exadata-infrastructures |
| Affichage des détails d'une ressource d'infrastructure Exadata | inspect cloud-exadata-infrastructures |
inspect exadata-infrastructures |
| Modification de la programmation de maintenance d'une ressource d'infrastructure Exadata | use cloud-exadata-infrastructures |
use exadata-infrastructures |
| Déplacement d'une ressource d'infrastructure Exadata vers un autre compartiment | use cloud-exadata-infrastructures |
use exadata-infrastructures |
| Gestion des certificats de sécurité pour une ressource d'infrastructure Exadata | manage cloud-exadata-infrastructures |
manage exadata-infrastructures |
| Terminaison d'une ressource d'infrastructure Exadata |
|
manage exadata-infrastructures |
Stratégies de gestion des clusters des machines virtuelles Exadata Autonomous
Le tableau suivant répertorie les stratégies IAM requises pour qu'un utilisateur cloud puisse effectuer des opérations de gestion sur des clusters de machines virtuelles Exadata Autonomous.
| Opération | Stratégies IAM requises sur Oracle Public Cloud et le multicloud | Stratégies IAM requises sur Exadata Cloud@Customer |
|---|---|---|
| Création d'un cluster de machines virtuelles Exadata Autonomous |
|
|
| Affichage de la liste des clusters de machines virtuelles Exadata Autonomous | inspect cloud-autonomous-vmclusters |
inspect autonomous-vmclusters |
| Affichage des détails d'un cluster de machines virtuelles Exadata Autonomous | inspect cloud-autonomous-vmclusters |
inspect autonomous-vmclusters |
| Modification du type de licence d'un cluster de machines virtuelles Autonomous | Non applicable |
|
| Déplacement d'un cluster de machines virtuelles Exadata Autonomous vers un autre compartiment | use cloud-autonomous-vmclusters |
use autonomous-vmclusters |
| Terminaison d'un cluster de machines virtuelles Exadata Autonomous | manage cloud-autonomous-vmclusters |
manage autonomous-vmclusters |
Stratégies de gestion des bases de données Conteneur Autonomous
Le tableau suivant répertorie les stratégies IAM requises pour qu'un utilisateur cloud puisse effectuer des opérations De gestion sur les bases de données Conteneur Autonomous (ACD).
| Opération | Stratégies IAM requises |
|---|---|
| Création d'une base de données Conteneur Autonomous |
|
| Affichage de la liste des bases de données Conteneur Autonomous | inspect autonomous-container-databases |
| Affichage des détails d'une base de données Conteneur Autonomous | inspect autonomous-container-databases |
| Modification de la stratégie de conservation de sauvegarde d'une base de données Conteneur Autonomous | use autonomous-container-databases |
| Modification des préférences de maintenance d'une base de données Conteneur Autonomous | use autonomous-container-databases |
| Redémarrage d'une base de données Conteneur Autonomous | use autonomous-container-databases |
| Déplacement d'une base de données Conteneur Autonomous vers un autre compartiment | use autonomous-container-databases |
| Rotation d'une clé de cryptage de base des données Conteneur Autonomous |
|
| Terminaison d'une base de données Conteneur Autonomous |
|
Stratégies de gestion d'une configuration Autonomous Data Guard
Le tableau suivant répertorie les stratégies IAM requises pour qu'un utilisateur cloud puissent effectuer des opérations d'administration sur des configurations Autonomous Data Guard.
| Opération | Stratégies IAM requises |
|---|---|
| Affichez les groupes Autonomous Data Guard avec une base de données Conteneur Autonomous. | inspect autonomous-container-databases |
| Répertoriez les bases de données Conteneur Autonomous activées avec Autonomous Data Guard associé à la base de données Conteneur Autonomous ou Autonomous AI indiquée. | inspect autonomous-container-databases |
| Rétablissez la base de données de secours désactivée sur une base de données Conteneur Autonomous de secours active. |
|
| Basculez les rôles des bases de données Conteneur Autonomous principale et de secours. |
|
| Basculement vers l'ACD de secours. Cette base de données Conteneur Autonomous de secours deviendra la nouvelle base de données Conteneur Autonomous principale lorsque le basculement sera effectué. |
|
| Modifiez les paramètres Autonomous Data Guard tels que le mode de protection, le basculement automatique et la limite de décalage de démarrage rapide. |
|
| Obtenez une base de données Autonomous Data Guard activée associée à la base de données Autonomous AI indiquée. | inspect autonomous-container-databases |
| Répertoriez les groupes de protection des données de base de données Autonomous AI. | inspect autonomous-container-databases |
| Activer Autonomous Data Guard sur une base de données Conteneur Autonomous. |
|
| Convertissez la base de données Conteneur Autonomous de secours entre la base de données de secours physique et la base de données de secours instantanée. |
|
Stratégies de gestion des bases de données d'IA autonomes
Le tableau suivant répertorie les stratégies IAM requises pour qu'un utilisateur cloud permette d'effectuer des opérations d'administration sur une base de données Autonomous AI.
| Opération | Stratégies IAM requises |
|---|---|
| Création d'une base de données d'IA autonome |
|
| Affichage de la liste de bases d'IA autonomes | inspect autonomous-databases |
| Afficher les détails d'une base de données Autonomous AI | inspect autonomous-databases |
| Définir le mot de passe de l'utilisateur ADMIN d'une base de données Autonomous AI | use autonomous-databases |
| Redimensionner le nombre de coeurs de processeur ou le stockage d'une base de données Autonomous AI | use autonomous-databases |
| Activer ou désactiver le redimensionnement automatique pour une base de données Autonomous AI | use autonomous-databases |
| Déplacement d'une base de données Autonomous AI vers un autre compartiment |
|
| Arrêter ou démarrer une base de données Autonomous AI | use autonomous-databases |
| Redémarrage d'une base de données Autonomous AI | use autonomous-databases |
| Sauvegarde manuelle d'une base de données Autonomous AI |
|
| Restauration d'une base de données Autonomous AI |
|
| Clonage d'une base de données d'IA autonome |
|
| Terminaison d'une base de données d'IA autonome | manage autonomous-databases |
Contenu connexe
Contrôle d'accès dans une base de données d'IA autonome dans une infrastructure Exadata dédiée