Stratégies IAM pour Autonomous Database sur une infrastructure Exadata dédiée
Cet article répertorie les stratégies IAM requises pour la gestion des ressources d'infrastructure d'Autonomous Database sur une infrastructure Exadata dédiée.
Oracle Autonomous Database on Dedicated Exadata Infrastructure s'appuie sur le service IAM (Identity and Access Management) afin d'authentifier les utilisateurs cloud et de les autoriser à effectuer des opérations qui utilisent l'une des interfaces Oracle Cloud Infrastructure (console, API REST, CLI ou kit SDK). Le service IAM utilise des groupes, des compartiments, et des stratégies pour déterminer quels utilisateurs cloud peuvent accéder à quelles ressources.
Détails de stratégie pour Autonomous Database
Cette rubrique traite des détails relatifs à l'écriture de stratégies visant à contrôler l'accès aux ressources Autonomous Database.
Conseil :
Pour consulter un exemple de stratégie, reportez-vous à Autoriser les administrateurs de base de données et de parc à gérer des bases de données autonomes.Types de ressource
Le type agrégé de ressource couvre la liste des types individuels de ressource indiqués immédiatement après. Par exemple, écrire une seule stratégie pour permettre à un groupe d'accéder à autonomous-database-family
équivaut à écrire quatre stratégies distinctes qui octroient à ce groupe l'accès aux types de ressource autonomous-databases
, autonomous-backups
, autonomous-container-databases
et cloud-autonomous-vmclusters
. Pour plus d'informations, reportez-vous à Types de ressource.
Type agrégé de ressource:
autonomous-database-family
Types de ressource individuels:
autonomous-databases
autonomous-backups
autonomous-container-databases
cloud-autonomous-vmclusters
(Déploiements Oracle Public Cloud uniquement)
autonomous-vmclusters
(Déploiements Oracle Exadata Cloud@Customer uniquement)
autonomous-virtual-machine
Conseil :
Les types de ressourcecloud-exadata-infrastructures
et exadata-infrastructures
nécessaires pour provisionner Autonomous Database sur Oracle Public Cloud et Exadata Cloud@Customer respectivement sont couverts par le type agrégé de ressource database-family
. Pour plus d'informations sur les ressources concernées par database-family
, reportez-vous à Détails de stratégie pour les instances Exadata Cloud Service et à Détails de stratégie pour Base Database Service.
Variables prises en charge
Les variables générales sont prises en charge. Pour plus d'informations, reportez-vous à Variables générales pour toutes les demandes.
En outre, vous pouvez utiliser la variable target.workloadType
, comme indiqué dans le tableau suivant :
Valeur target.workloadType | Description |
---|---|
OLTP |
Traitement des transactions en ligne, utilisée pour les instances Autonomous Database avec la charge globale Autonomous Transaction Processing |
DW |
Entrepôt de données, utilisé pour les instances Autonomous Database avec la charge globale Autonomous Data Warehouse. |
Allow group ADB-Admins
to manage autonomous-database
in tenancy where target.workloadType = 'workload_type'
Détails des combinaisons de verbe et de type de ressource
Le niveau d'accès est cumulatif à mesure que vous passez d'un verbe à l'autre, dans l'ordre suivant : inspect > read > use > manage
. Le signe plus (+) dans une cellule du tableau indique un accès incrémentiel par rapport à la cellule directement au-dessus, alors que la mention "aucun élément supplémentaire" n'indique aucun accès incrémentiel.
Par exemple, le verbe read
pour le type de ressource autonomous-databases
couvre les mêmes droits d'accès et opérations d'API que le verbe inspect
, plus le droit d'accès AUTONOMOUS_DATABASE_CONTENT_READ. Le verbe read
couvre en partie l'opération CreateAutonomousDatabaseBackup
, qui nécessite également des droits d'accès en gestion pour autonomous-backups
.
Les tableaux suivants indiquent les droits d'accès et les opérations d'API que couvre chaque verbe. Pour plus d'informations sur les droits d'accès, reportez-vous à Droits d'accès.
Remarques :
La famille de ressources couverte par autAutonomous-database-family peut être utilisée pour accorder l'accès aux ressources de base de données associées à tous les types de charge globale Autonomous Database.Verbes | Autorisations d'accès | API entièrement couvertes | API partiellement couvertes |
---|---|---|---|
inspect |
|
|
aucune |
read |
|
aucun en plus |
|
use |
|
|
|
manage |
|
|
aucune |
Verbes | Autorisations d'accès | API entièrement couvertes | API partiellement couvertes |
---|---|---|---|
inspect |
|
|
aucune |
read |
|
aucun en plus |
|
use |
READ + aucun en plus |
aucun en plus |
aucune |
manage |
|
|
|
Verbes | Autorisations d'accès | API entièrement couvertes | API partiellement couvertes |
---|---|---|---|
inspect |
|
|
aucune |
read |
INSPECT + aucun en plus |
aucun en plus |
aucune |
use |
READ +
|
|
|
manage |
|
aucun en plus |
|
Verbes | Autorisations d'accès | API entièrement couvertes | API partiellement couvertes |
---|---|---|---|
inspect |
|
|
aucune |
read |
aucun en plus |
aucun en plus |
aucune |
use |
READ +
|
|
|
manage |
|
aucun en plus |
(requièrent également |
autonomous-vmclusters
Verbes | Autorisations d'accès | API entièrement couvertes | API partiellement couvertes |
---|---|---|---|
inspect |
|
|
|
read |
INSPECT + aucun en plus |
aucun en plus |
aucune |
use |
|
|
|
manage |
|
|
|
Verbes | Autorisations d'accès | API entièrement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | AUTONOMOUS_VIRTUAL_MACHINE_INSPECT |
|
aucune |
Droits d'accès requis pour chaque opération d'API
Les bases de données Conteneur Autonomous et Autonomous Database (ADB) sont des ressources communes entre les déploiements Oracle Public Cloud, Multicloud et Exadata Cloud@Customer. Par conséquent, leurs droits d'accès sont les mêmes pour les deux déploiements dans le tableau suivant.
-
Droits d'accès AUTONOMOUS_VM_CLUSTER_UPDATE et AUTONOMOUS_CONTAINER_DATABASE_CREATE sur Exadata Cloud@Customer.
-
Droits d'accès CLOUD_AUTONOMOUS_VM_CLUSTER_UPDATE et AUTONOMOUS_CONTAINER_DATABASE_CREATE sur Oracle Public Cloud et Multicloud.
Pour plus d'informations sur les droits d'accès, reportez-vous à Droits d'accès.
Le tableau suivant présente les opérations d'API pour les ressources Autonomous Database dans un ordre logique, regroupées par type de ressource.
Vous pouvez utiliser l'API pour visualiser et gérer les différentes ressources d'infrastructure d'une instance Autonomous Database. Pour obtenir la liste des adresses d'API REST permettant de gérer différentes ressources Autonomous Database, reportez-vous à Référence d'API pour Autonomous Database on Dedicated Exadata Infrastructure.
L'accès utilisateur est défini dans des instructions de stratégie IAM. Lorsque vous créez une instruction de stratégie accordant à un groupe l'accès à un verbe et à un type de ressource particuliers, vous accordez à ce groupe l'accès à des droits IAM prédéfinis. L'objectif des verbes est de simplifier le processus d'octroi de plusieurs droits d'accès associés.
Pour autoriser ou refuser des droits d'accès IAM spécifiques, ajoutez une condition where
à l'instruction de stratégie. Par exemple, pour autoriser un groupe d'administrateurs de parc à effectuer n'importe quelle opération sur les ressources d'infrastructure Exadata, sauf leur suppression, vous pouvez créer l'instruction de stratégie suivante :
Allow group FleetAdmins to manage cloud-exadata-infrastructures in tenancy where request.permission != 'CLOUD_EXADATA_INFRASTRUCTURE_DELETE'
Vous pouvez ensuite autoriser un plus petit groupe d'administrateurs de parc à effectuer n'importe quelle opération (y compris la suppression) sur les ressources d'infrastructure Exadata en omettant la condition where
:
Allow group FleetSuperAdmins to manage cloud-exadata-infrastructures in tenancy
Pour plus d'informations sur cette utilisation de la condition where
, reportez-vous à la section "Définition de la portée de l'accès avec des droits d'accès ou des opérations d'API" dans Droits d'accès.
Stratégies de gestion de ressources d'infrastructure Exadata
Le tableau suivant répertorie les stratégies IAM requises pour qu'un utilisateur cloud puisse effectuer des opérations de gestion sur des ressources d'infrastructure Exadata.
Opération | Stratégies IAM requises sur Oracle Public Cloud et le multicloud | Stratégies IAM requises sur Exadata Cloud@Customer |
---|---|---|
Création d'une ressource d'infrastructure Exadata |
|
|
Affichage de la liste des ressources d'infrastructure Exadata |
|
|
Affichage des détails d'une ressource d'infrastructure Exadata |
|
|
Modification de la programmation de maintenance d'une ressource d'infrastructure Exadata |
|
|
Déplacement d'une ressource d'infrastructure Exadata vers un autre compartiment |
|
|
Gestion des certificats de sécurité pour une ressource d'infrastructure Exadata |
|
|
Terminaison d'une ressource d'infrastructure Exadata |
|
|
Stratégies de gestion des clusters de machines virtuelles Exadata Autonomous
Le tableau suivant répertorie les stratégies IAM requises pour qu'un utilisateur cloud puisse effectuer des opérations de gestion sur des clusters de machines virtuelles Exadata Autonomous.
Opération | Stratégies IAM requises sur Oracle Public Cloud et le multicloud | Stratégies IAM requises sur Exadata Cloud@Customer |
---|---|---|
Création d'un cluster de machines virtuelles Exadata Autonomous |
|
|
Affichage de la liste des clusters de machines virtuelles Exadata Autonomous |
|
|
Affichage des détails d'un cluster de machines virtuelles Exadata Autonomous |
|
|
Modification du type de licence d'un cluster de machines virtuelles Autonomous |
Non applicable |
|
Déplacement d'un cluster de machines virtuelles Exadata Autonomous vers un autre compartiment |
|
|
Terminaison d'un cluster de machines virtuelles Exadata Autonomous |
|
|
Stratégies de gestion des bases de données Conteneur Autonomous
Le tableau suivant répertorie les stratégies IAM requises pour qu'un utilisateur cloud puisse effectuer des opérations de gestion sur des bases de données Conteneur Autonomous (ACD).
Opération | Stratégies IAM requises |
---|---|
Création d'une base de données Conteneur Autonomous |
|
Affichage de la liste des bases de données Conteneur Autonomous |
|
Affichage des détails d'une base de données Conteneur Autonomous |
|
Modification de la stratégie de conservation de sauvegarde d'une base de données Conteneur Autonomous |
|
Modification des préférences de maintenance d'une base de données Conteneur Autonomous |
|
Redémarrage d'une base de données Conteneur Autonomous |
|
Déplacement d'une base de données Conteneur Autonomous vers un autre compartiment |
|
Rotation d'une clé de cryptage de base de données Conteneur Autonomous |
|
Terminaison d'une base de données Conteneur Autonomous |
|
Stratégies de gestion de la configuration Autonomous Data Guard
Le tableau suivant répertorie les stratégies IAM requises pour qu'un utilisateur cloud puisse effectuer des opérations de gestion sur des configurations Autonomous Data Guard.
Opération | Stratégies IAM requises |
---|---|
Affichage de l'association Autonomous Data Guard avec une base de données Conteneur Autonomous. |
|
Répertoriez les bases de données Conteneur Autonomous activées avec Autonomous Data Guard associé à la base de données Conteneur Autonomous ou à Autonomous Database indiquée. |
|
Rétablissez la base de données de secours désactivée sur une base de données Conteneur Autonomous de secours active. |
|
Permuter les rôles des bases de données Conteneur Autonomous principale et de secours. |
|
Basculement vers la base de données Conteneur Autonomous de secours. Cette base de données Conteneur Autonomous de secours deviendra la nouvelle base de données Conteneur Autonomous principale une fois le basculement terminé. |
|
Modifiez les paramètres Autonomous Data Guard, tels que le mode de protection, le basculement automatique et la limite de décalage de basculement Fast-Start. |
|
Obtention d'une base de données où Autonomous Data Guard est activé associée à la base de données autonome indiquée. |
|
Répertoriez les associations Data Guard Autonomous Database. |
|
Activez Autonomous Data Guard sur une base de données Conteneur Autonomous. |
|
Convertissez la base de données Conteneur Autonomous de secours entre la base de données de secours physique et la base de données Conteneur Autonomous de secours instantanée. |
|
Stratégies de gestion des instances Autonomous Database
Le tableau suivant répertorie les stratégies IAM requises pour qu'un utilisateur cloud puisse effectuer des opérations de gestion sur des instances Autonomous Database.
Opération | Stratégies IAM requises |
---|---|
Créer une instance Autonomous Database |
|
Affichage de la liste des instances Autonomous Database |
|
Affichage des détails d'une instance Autonomous Database |
|
Définition du mot de passe de l'utilisateur ADMIN d'une base de données Autonomous Database |
|
Redimensionnement du nombre de coeurs de processeur ou du stockage d'une instance Autonomous Database |
|
Activation ou désactivation du redimensionnement automatique pour une instance Autonomous Database |
|
Déplacement d'une instance Autonomous Database vers un autre compartiment |
|
Arrêt ou démarrage d'une instance Autonomous Database |
|
Redémarrage d'une instance Autonomous Database |
|
Sauvegarde manuelle d'une instance Autonomous Database |
|
Restauration d'une instance Autonomous Database |
|
Clonage d'une instance Autonomous Database |
|
Terminaison d'une instance Autonomous Database |
|