Stratégies IAM pour Autonomous Database sur une infrastructure Exadata dédiée

Cet article répertorie les stratégies IAM requises pour la gestion des ressources d'infrastructure d'Autonomous Database sur une infrastructure Exadata dédiée.

Oracle Autonomous Database on Dedicated Exadata Infrastructure s'appuie sur le service IAM (Identity and Access Management) afin d'authentifier les utilisateurs cloud et de les autoriser à effectuer des opérations qui utilisent l'une des interfaces Oracle Cloud Infrastructure (console, API REST, CLI ou kit SDK). Le service IAM utilise des groupes, des compartiments, et des stratégies pour déterminer quels utilisateurs cloud peuvent accéder à quelles ressources.

Rubriques connexes

Contrôle d'accès dans Autonomous Database dans une infrastructure Exadata dédiée

Détails de stratégie pour Autonomous Database

Cette rubrique traite des détails relatifs à l'écriture de stratégies visant à contrôler l'accès aux ressources Autonomous Database.

Une stratégie définit le type d'accès dont dispose un groupe d'utilisateurs à une ressource spécifique dans un compartiment individuel. Pour plus d'informations, reportez-vous à Introduction aux stratégies.

Conseil :

Pour consulter un exemple de stratégie, reportez-vous à Autoriser les administrateurs de base de données et de parc à gérer des bases de données autonomes.

Types de ressource

Le type agrégé de ressource couvre la liste des types individuels de ressource indiqués immédiatement après. Par exemple, écrire une seule stratégie pour permettre à un groupe d'accéder à autonomous-database-family équivaut à écrire quatre stratégies distinctes qui octroient à ce groupe l'accès aux types de ressource autonomous-databases, autonomous-backups, autonomous-container-databases et cloud-autonomous-vmclusters. Pour plus d'informations, reportez-vous à Types de ressource.

Types de ressource pour Autonomous Database

Type agrégé de ressource:

autonomous-database-family

Types de ressource individuels:

autonomous-databases

autonomous-backups

autonomous-container-databases

cloud-autonomous-vmclusters (Déploiements Oracle Public Cloud uniquement)

autonomous-vmclusters (Déploiements Oracle Exadata Cloud@Customer uniquement)

autonomous-virtual-machine

Conseil :

Les types de ressource cloud-exadata-infrastructures et exadata-infrastructures nécessaires pour provisionner Autonomous Database sur Oracle Public Cloud et Exadata Cloud@Customer respectivement sont couverts par le type agrégé de ressource database-family. Pour plus d'informations sur les ressources concernées par database-family, reportez-vous à Détails de stratégie pour les instances Exadata Cloud Service et à Détails de stratégie pour Base Database Service.

Variables prises en charge

Les variables générales sont prises en charge. Pour plus d'informations, reportez-vous à Variables générales pour toutes les demandes.

En outre, vous pouvez utiliser la variable target.workloadType, comme indiqué dans le tableau suivant :

Valeur target.workloadType	Description
`OLTP`	Traitement des transactions en ligne, utilisée pour les instances Autonomous Database avec la charge globale Autonomous Transaction Processing
`DW`	Entrepôt de données, utilisé pour les instances Autonomous Database avec la charge globale Autonomous Data Warehouse.

Exemple de stratégie utilisant la variable target.workloadType :

Allow group ADB-Admins 
to manage autonomous-database 
in tenancy where target.workloadType = 'workload_type'

Détails des combinaisons de verbe et de type de ressource

Le niveau d'accès est cumulatif à mesure que vous passez d'un verbe à l'autre, dans l'ordre suivant : inspect > read > use > manage. Le signe plus (+) dans une cellule du tableau indique un accès incrémentiel par rapport à la cellule directement au-dessus, alors que la mention "aucun élément supplémentaire" n'indique aucun accès incrémentiel.

Par exemple, le verbe read pour le type de ressource autonomous-databases couvre les mêmes droits d'accès et opérations d'API que le verbe inspect, plus le droit d'accès AUTONOMOUS_DATABASE_CONTENT_READ. Le verbe read couvre en partie l'opération CreateAutonomousDatabaseBackup, qui nécessite également des droits d'accès en gestion pour autonomous-backups.

Les tableaux suivants indiquent les droits d'accès et les opérations d'API que couvre chaque verbe. Pour plus d'informations sur les droits d'accès, reportez-vous à Droits d'accès.

Pour les types de ressource autonomous-database-family

Remarques :

La famille de ressources couverte par autAutonomous-database-family peut être utilisée pour accorder l'accès aux ressources de base de données associées à tous les types de charge globale Autonomous Database.

autonomous-databases

Verbes	Autorisations d'accès	API entièrement couvertes	API partiellement couvertes
inspect	`AUTONOMOUS_DATABASE_INSPECT`	`GetAutonomousDatabase, ListAutonomousDatabases`	aucune
read	`INSPECT +` `AUTONOMOUS_DATABASE_CONTENT_READ`	aucun en plus	`CreateAutonomousDatabaseBackup` (`manage autonomous-backups` est également requis)
use	`READ +` `AUTONOMOUS_DATABASE_CONTENT_WRITE` `AUTONOMOUS_DATABASE_UPDATE`	`UpdateAutonomousDatabase`	`RestoreAutonomousDatabase` (`read autonomous-backups` est également requis) `ChangeAutonomousDatabaseCompartment` (`read autonomous-backups` est également requis)
manage	`USE +` `AUTONOMOUS_DATABASE_CREATE` `AUTONOMOUS_DATABASE_DELETE`	`CreateAutonomousDatabase`	aucune

sauvegardes autonomes

Verbes	Autorisations d'accès	API entièrement couvertes	API partiellement couvertes
inspect	`AUTONOMOUS_DB_BACKUP_INSPECT`	`ListAutonomousDatabaseBackups, GetAutonomousDatabaseBackup`	aucune
read	`INSPECT +` `AUTONOMOUS_DB_BACKUP_CONTENT_READ`	aucun en plus	`RestoreAutonomousDatabase` (requiert également `use autonomous-databases`) `ChangeAutonomousDatabaseCompartment` (requiert également `use autonomous-databases`)
use	READ + aucun en plus	aucun en plus	aucune
manage	`USE +` `AUTONOMOUS_DB_BACKUP_CREATE` `AUTONOMOUS_DB_BACKUP_DELETE`	`DeleteAutonomousDatabaseBackup`	`CreateAutonomousDatabaseBackup` (retient également `read autonomous-databases`)

autonomous-container-databases

Verbes	Autorisations d'accès	API entièrement couvertes	API partiellement couvertes
inspect	`AUTONOMOUS_CONTAINER_DATABASE_INSPECT`	`ListAutonomousContainerDatabases, GetAutonomousContainerDatabase`	aucune
read	INSPECT + aucun en plus	aucun en plus	aucune
use	READ + `AUTONOMOUS_CONTAINER_DATABASE_UPDATE`	`UpdateAutonomousContainerDatabase` `ChangeAutonomousContainerDatabaseCompartment`	`CreateAutonomousDatabase` (requiert également `manage autonomous-databases`)
manage	`USE +` `AUTONOMOUS_CONTAINER_DATABASE_CREATE` `AUTONOMOUS_CONTAINER_DATABASE_DELETE`	aucun en plus	`CreateAutonomousContainerDatabase, TerminateAutonomousContainerDatabase` (requièrent également `use cloud-autonomous-vmclusters, use cloud-exadata-infrastructures`)

cloud-autonome-vmclusters

Verbes	Autorisations d'accès	API entièrement couvertes	API partiellement couvertes
inspect	`CLOUD_AUTONOMOUS_VM_CLUSTER_INSPECT`	`ListCloudAutonomousVmClusters` `GetCloudAutonomousVmCluster`	aucune
read	`INSPECT +` aucun en plus	aucun en plus	aucune
use	READ + `CLOUD_AUTONOMOUS_VM_CLUSTER_UPDATE`	`UpdateCloudAutonomousVmCluster` `ChangeCloudAutonomousVmClusterCompartment`	`CreateAutonomousDatabase` (requiert également `manage autonomous-databases`) `CreateAutonomousContainerDatabase` (requiert également `manage autonomous-container-databases`)
manage	`USE +` `CLOUD_AUTONOMOUS_VM_CLUSTER_CREATE` `CLOUD_AUTONOMOUS_VM_CLUSTER_DELETE`	aucun en plus	`CreateCloudAutonomousVmCluster, DeleteCloudAutonomousVmCluster` (requièrent également `use vnics, use subnets, use cloud-exadata-infrastructures`)

autonomous-vmclusters

Verbes	Autorisations d'accès	API entièrement couvertes	API partiellement couvertes
inspect	`AUTONOMOUS_VM_CLUSTER_INSPECT`	`ListAutonomousVmClusters` `GetAutonomousVmCluster`	`ChangeAutonomousVmClusterCompartment`
read	INSPECT + aucun en plus	aucun en plus	aucune
use	`READ` + `AUTONOMOUS_VM_CLUSTER_UPDATE`	`ChangeAutonomousVmClusterCompartment`	`UpdateAutonomousVmCluster` `CreateAutonomousContainerDatabase` `TerminateAutonomousContainerDatabase`
manage	`USE` + `AUTONOMOUS_VM_CLUSTER_CREATE` + `AUTONOMOUS_VM_CLUSTER_DELETE`	`DeleteAutonomousVmCluster`	`CreateAutonomousVmCluster`

machine virtuelle autonome

Verbes Autorisations d'accès API entièrement couvertes API partiellement couvertes

inspect

Verbes	Autorisations d'accès	API entièrement couvertes	API partiellement couvertes
inspect	`AUTONOMOUS_VIRTUAL_MACHINE_INSPECT`	`GetAutonomousVirtualMachine` `ListAutonomousVirtualMachines`	aucune

AUTONOMOUS_VIRTUAL_MACHINE_INSPECT

GetAutonomousVirtualMachine

ListAutonomousVirtualMachines

aucune

Droits d'accès requis pour chaque opération d'API

Les bases de données Conteneur Autonomous et Autonomous Database (ADB) sont des ressources communes entre les déploiements Oracle Public Cloud, Multicloud et Exadata Cloud@Customer. Par conséquent, leurs droits d'accès sont les mêmes pour les deux déploiements dans le tableau suivant.

Cependant, certaines opérations de base de données Conteneur Autonomous requièrent des droits d'accès de niveau AVMC. Etant donné que les ressources AVMC sont différentes pour Oracle Public Cloud et Exadata Cloud@Customer, vous avez besoin de droits d'accès différents pour chaque type de déploiement. Par exemple, pour créer une base de données Conteneur Autonomous, vous devez :

Droits d'accès AUTONOMOUS_VM_CLUSTER_UPDATE et AUTONOMOUS_CONTAINER_DATABASE_CREATE sur Exadata Cloud@Customer.
Droits d'accès CLOUD_AUTONOMOUS_VM_CLUSTER_UPDATE et AUTONOMOUS_CONTAINER_DATABASE_CREATE sur Oracle Public Cloud et Multicloud.

Pour plus d'informations sur les droits d'accès, reportez-vous à Droits d'accès.

Le tableau suivant présente les opérations d'API pour les ressources Autonomous Database dans un ordre logique, regroupées par type de ressource.

Opérations d'API Autonomous Database

Vous pouvez utiliser l'API pour visualiser et gérer les différentes ressources d'infrastructure d'une instance Autonomous Database. Pour obtenir la liste des adresses d'API REST permettant de gérer différentes ressources Autonomous Database, reportez-vous à Référence d'API pour Autonomous Database on Dedicated Exadata Infrastructure.

Limitation de l'accès utilisateur à des droits spécifiques

L'accès utilisateur est défini dans des instructions de stratégie IAM. Lorsque vous créez une instruction de stratégie accordant à un groupe l'accès à un verbe et à un type de ressource particuliers, vous accordez à ce groupe l'accès à des droits IAM prédéfinis. L'objectif des verbes est de simplifier le processus d'octroi de plusieurs droits d'accès associés.

Pour autoriser ou refuser des droits d'accès IAM spécifiques, ajoutez une condition where à l'instruction de stratégie. Par exemple, pour autoriser un groupe d'administrateurs de parc à effectuer n'importe quelle opération sur les ressources d'infrastructure Exadata, sauf leur suppression, vous pouvez créer l'instruction de stratégie suivante :

Allow group FleetAdmins to manage cloud-exadata-infrastructures in tenancy where request.permission != 'CLOUD_EXADATA_INFRASTRUCTURE_DELETE'

Vous pouvez ensuite autoriser un plus petit groupe d'administrateurs de parc à effectuer n'importe quelle opération (y compris la suppression) sur les ressources d'infrastructure Exadata en omettant la condition where :

Allow group FleetSuperAdmins to manage cloud-exadata-infrastructures in tenancy

Pour plus d'informations sur cette utilisation de la condition where, reportez-vous à la section "Définition de la portée de l'accès avec des droits d'accès ou des opérations d'API" dans Droits d'accès.

Stratégies de gestion de ressources d'infrastructure Exadata

Le tableau suivant répertorie les stratégies IAM requises pour qu'un utilisateur cloud puisse effectuer des opérations de gestion sur des ressources d'infrastructure Exadata.

Opération	Stratégies IAM requises sur Oracle Public Cloud et le multicloud	Stratégies IAM requises sur Exadata Cloud@Customer
Création d'une ressource d'infrastructure Exadata	`manage cloud-exadata-infrastructures` `use vnic` `use subnet`	`manage exadata-infrastructures`
Affichage de la liste des ressources d'infrastructure Exadata	`inspect cloud-exadata-infrastructures`	`inspect exadata-infrastructures`
Affichage des détails d'une ressource d'infrastructure Exadata	`inspect cloud-exadata-infrastructures`	`inspect exadata-infrastructures`
Modification de la programmation de maintenance d'une ressource d'infrastructure Exadata	`use cloud-exadata-infrastructures`	`use exadata-infrastructures`
Déplacement d'une ressource d'infrastructure Exadata vers un autre compartiment	`use cloud-exadata-infrastructures`	`use exadata-infrastructures`
Gestion des certificats de sécurité pour une ressource d'infrastructure Exadata	`manage cloud-exadata-infrastructures`	`manage exadata-infrastructures`
Terminaison d'une ressource d'infrastructure Exadata	`manage cloud-exadata-infrastructures` `use vnic` `use subnet`	`manage exadata-infrastructures`

Stratégies de gestion des clusters de machines virtuelles Exadata Autonomous

Le tableau suivant répertorie les stratégies IAM requises pour qu'un utilisateur cloud puisse effectuer des opérations de gestion sur des clusters de machines virtuelles Exadata Autonomous.

Opération	Stratégies IAM requises sur Oracle Public Cloud et le multicloud	Stratégies IAM requises sur Exadata Cloud@Customer
Création d'un cluster de machines virtuelles Exadata Autonomous	`manage cloud-autonomous-vmclusters` `use cloud-exadata-infrastructures`	`manage autonomous-vmclusters` `use exadata-infrastructures`
Affichage de la liste des clusters de machines virtuelles Exadata Autonomous	`inspect cloud-autonomous-vmclusters`	`inspect autonomous-vmclusters`
Affichage des détails d'un cluster de machines virtuelles Exadata Autonomous	`inspect cloud-autonomous-vmclusters`	`inspect autonomous-vmclusters`
Modification du type de licence d'un cluster de machines virtuelles Autonomous	Non applicable	`use autonomous-vmclusters` `inspect exadata-infrastructures`
Déplacement d'un cluster de machines virtuelles Exadata Autonomous vers un autre compartiment	`use cloud-autonomous-vmclusters`	`use autonomous-vmclusters`
Terminaison d'un cluster de machines virtuelles Exadata Autonomous	`manage cloud-autonomous-vmclusters`	`manage autonomous-vmclusters`

Stratégies de gestion des bases de données Conteneur Autonomous

Le tableau suivant répertorie les stratégies IAM requises pour qu'un utilisateur cloud puisse effectuer des opérations de gestion sur des bases de données Conteneur Autonomous (ACD).

Opération	Stratégies IAM requises
Création d'une base de données Conteneur Autonomous	`manage autonomous-container-databases` `use cloud-exadata-infrastructures` si vous créez la base de données Conteneur Autonomous sur Oracle Public Cloud et Multicloud. `use cloud-autonomous-vmclusters` si la base de données Conteneur Autonomous est créée sur Oracle Public Cloud et Multicloud. `use autonomous-vmclusters` en cas de création de la base de données Conteneur Autonomous sur Exadata Cloud@Customer. `use backup-destinations` en cas de création de la base de données Conteneur Autonomous sur Exadata Cloud@Customer.
Affichage de la liste des bases de données Conteneur Autonomous	`inspect autonomous-container-databases`
Affichage des détails d'une base de données Conteneur Autonomous	`inspect autonomous-container-databases`
Modification de la stratégie de conservation de sauvegarde d'une base de données Conteneur Autonomous	`use autonomous-container-databases`
Modification des préférences de maintenance d'une base de données Conteneur Autonomous	`use autonomous-container-databases`
Redémarrage d'une base de données Conteneur Autonomous	`use autonomous-container-databases`
Déplacement d'une base de données Conteneur Autonomous vers un autre compartiment	`use autonomous-container-databases`
Rotation d'une clé de cryptage de base de données Conteneur Autonomous	`use autonomous-container-databases` `inspect autonomous-container-databases`
Terminaison d'une base de données Conteneur Autonomous	`manage autonomous-container-databases` `use cloud-exadata-infrastructures` si vous créez la base de données Conteneur Autonomous sur Oracle Public Cloud et Multicloud. `use cloud-autonomous-vmclusters` si la base de données Conteneur Autonomous est créée sur Oracle Public Cloud et Multicloud. `use autonomous-vmclusters` en cas de création de la base de données Conteneur Autonomous sur Exadata Cloud@Customer.

Stratégies de gestion de la configuration Autonomous Data Guard

Le tableau suivant répertorie les stratégies IAM requises pour qu'un utilisateur cloud puisse effectuer des opérations de gestion sur des configurations Autonomous Data Guard.

Opération	Stratégies IAM requises
Affichage de l'association Autonomous Data Guard avec une base de données Conteneur Autonomous.	`inspect autonomous-container-databases`
Répertoriez les bases de données Conteneur Autonomous activées avec Autonomous Data Guard associé à la base de données Conteneur Autonomous ou à Autonomous Database indiquée.	`inspect autonomous-container-databases`
Rétablissez la base de données de secours désactivée sur une base de données Conteneur Autonomous de secours active.	`inspect autonomous-container-databases` `update autonomous-container-databases`
Permuter les rôles des bases de données Conteneur Autonomous principale et de secours.	`inspect autonomous-container-databases` `update autonomous-container-databases`
Basculement vers la base de données Conteneur Autonomous de secours. Cette base de données Conteneur Autonomous de secours deviendra la nouvelle base de données Conteneur Autonomous principale une fois le basculement terminé.	`inspect autonomous-container-databases` `update autonomous-container-databases`
Modifiez les paramètres Autonomous Data Guard, tels que le mode de protection, le basculement automatique et la limite de décalage de basculement Fast-Start.	`inspect autonomous-container-databases` `update autonomous-container-databases`
Obtention d'une base de données où Autonomous Data Guard est activé associée à la base de données autonome indiquée.	`inspect autonomous-container-databases`
Répertoriez les associations Data Guard Autonomous Database.	`inspect autonomous-container-databases`
Activez Autonomous Data Guard sur une base de données Conteneur Autonomous.	`inspect cloud-autonomous-vmclusters` OU `inspect autonomous-vmclusters` `inspect autonomous-container-databases` `update autonomous-container-databases`
Convertissez la base de données Conteneur Autonomous de secours entre la base de données de secours physique et la base de données Conteneur Autonomous de secours instantanée.	`inspect cloud-autonomous-vmclusters` OU `inspect autonomous-vmclusters` `inspect autonomous-container-databases` `update autonomous-container-databases`

Stratégies de gestion des instances Autonomous Database

Le tableau suivant répertorie les stratégies IAM requises pour qu'un utilisateur cloud puisse effectuer des opérations de gestion sur des instances Autonomous Database.

Opération	Stratégies IAM requises
Créer une instance Autonomous Database	`manage autonomous-databases` `read autonomous-container-databases`
Affichage de la liste des instances Autonomous Database	`inspect autonomous-databases`
Affichage des détails d'une instance Autonomous Database	`inspect autonomous-databases`
Définition du mot de passe de l'utilisateur ADMIN d'une base de données Autonomous Database	`use autonomous-databases`
Redimensionnement du nombre de coeurs de processeur ou du stockage d'une instance Autonomous Database	`use autonomous-databases`
Activation ou désactivation du redimensionnement automatique pour une instance Autonomous Database	`use autonomous-databases`
Déplacement d'une instance Autonomous Database vers un autre compartiment	`use autonomous-databases` dans le compartiment en cours de l'instance Autonomous Database et dans le compartiment vers lequel vous la déplacez `read autonomous-backups`
Arrêt ou démarrage d'une instance Autonomous Database	`use autonomous-databases`
Redémarrage d'une instance Autonomous Database	`use autonomous-databases`
Sauvegarde manuelle d'une instance Autonomous Database	`read autonomous-databases` `manage autonomous-backups`
Restauration d'une instance Autonomous Database	`use autonomous-databases` `read autonomous-backups`
Clonage d'une instance Autonomous Database	`manage autonomous-databases` `read autonomous-container-databases`
Terminaison d'une instance Autonomous Database	`manage autonomous-databases`

Informations relatives au titre et au copyright

Oracle et/ou ses affiliés.