Stratégies IAM pour Autonomous Database sur une infrastructure Exadata dédiée

Cet article répertorie les stratégies IAM requises pour la gestion des ressources d'infrastructure d'Autonomous Database sur une infrastructure Exadata dédiée.

Oracle Autonomous Database on Dedicated Exadata Infrastructure s'appuie sur le service IAM (Identity and Access Management) afin d'authentifier les utilisateurs cloud et de les autoriser à effectuer des opérations qui utilisent l'une des interfaces Oracle Cloud Infrastructure (console, API REST, CLI ou kit SDK). Le service IAM utilise des groupes, des compartiments, et des stratégies pour déterminer quels utilisateurs cloud peuvent accéder à quelles ressources.

Détails de stratégie pour Autonomous Database

Cette rubrique traite des détails relatifs à l'écriture de stratégies visant à contrôler l'accès aux ressources Autonomous Database.

Une stratégie définit le type d'accès dont dispose un groupe d'utilisateurs à une ressource spécifique dans un compartiment individuel. Pour plus d'informations, reportez-vous à Introduction aux stratégies.

Conseil :

Pour consulter un exemple de stratégie, reportez-vous à Autoriser les administrateurs de base de données et de parc à gérer des bases de données autonomes.

Types de ressource

Le type agrégé de ressource couvre la liste des types individuels de ressource indiqués immédiatement après. Par exemple, écrire une seule stratégie pour permettre à un groupe d'accéder à autonomous-database-family équivaut à écrire quatre stratégies distinctes qui octroient à ce groupe l'accès aux types de ressource autonomous-databases, autonomous-backups, autonomous-container-databases et cloud-autonomous-vmclusters. Pour plus d'informations, reportez-vous à Types de ressource.

Types de ressource pour Autonomous Database

Type agrégé de ressource:

autonomous-database-family

Types de ressource individuels:

autonomous-databases

autonomous-backups

autonomous-container-databases

cloud-autonomous-vmclusters (Déploiements Oracle Public Cloud uniquement)

autonomous-vmclusters (Déploiements Oracle Exadata Cloud@Customer uniquement)

autonomous-virtual-machine

Conseil :

Les types de ressource cloud-exadata-infrastructures et exadata-infrastructures nécessaires pour provisionner Autonomous Database sur Oracle Public Cloud et Exadata Cloud@Customer respectivement sont couverts par le type agrégé de ressource database-family. Pour plus d'informations sur les ressources concernées par database-family, reportez-vous à Détails de stratégie pour les instances Exadata Cloud Service et à Détails de stratégie pour Base Database Service.

Variables prises en charge

Les variables générales sont prises en charge. Pour plus d'informations, reportez-vous à Variables générales pour toutes les demandes.

En outre, vous pouvez utiliser la variable target.workloadType, comme indiqué dans le tableau suivant :

Valeur target.workloadType Description
OLTP Traitement des transactions en ligne, utilisée pour les instances Autonomous Database avec la charge globale Autonomous Transaction Processing
DW Entrepôt de données, utilisé pour les instances Autonomous Database avec la charge globale Autonomous Data Warehouse.
Exemple de stratégie utilisant la variable target.workloadType :
Allow group ADB-Admins 
to manage autonomous-database 
in tenancy where target.workloadType = 'workload_type'

Détails des combinaisons de verbe et de type de ressource

Le niveau d'accès est cumulatif à mesure que vous passez d'un verbe à l'autre, dans l'ordre suivant : inspect > read > use > manage. Le signe plus (+) dans une cellule du tableau indique un accès incrémentiel par rapport à la cellule directement au-dessus, alors que la mention "aucun élément supplémentaire" n'indique aucun accès incrémentiel.

Par exemple, le verbe read pour le type de ressource autonomous-databases couvre les mêmes droits d'accès et opérations d'API que le verbe inspect, plus le droit d'accès AUTONOMOUS_DATABASE_CONTENT_READ. Le verbe read couvre en partie l'opération CreateAutonomousDatabaseBackup, qui nécessite également des droits d'accès en gestion pour autonomous-backups.

Les tableaux suivants indiquent les droits d'accès et les opérations d'API que couvre chaque verbe. Pour plus d'informations sur les droits d'accès, reportez-vous à Droits d'accès.

Pour les types de ressource autonomous-database-family

Remarques :

La famille de ressources couverte par autAutonomous-database-family peut être utilisée pour accorder l'accès aux ressources de base de données associées à tous les types de charge globale Autonomous Database.
autonomous-databases
Verbes Autorisations d'accès API entièrement couvertes API partiellement couvertes

inspect

AUTONOMOUS_DATABASE_INSPECT

GetAutonomousDatabase, ListAutonomousDatabases

aucune

read

INSPECT +

AUTONOMOUS_DATABASE_CONTENT_READ

aucun en plus

CreateAutonomousDatabaseBackup (manage autonomous-backups est également requis)

use

READ +

AUTONOMOUS_DATABASE_CONTENT_WRITE

AUTONOMOUS_DATABASE_UPDATE

UpdateAutonomousDatabase

RestoreAutonomousDatabase (read autonomous-backups est également requis)

ChangeAutonomousDatabaseCompartment (read autonomous-backups est également requis)

manage

USE +

AUTONOMOUS_DATABASE_CREATE

AUTONOMOUS_DATABASE_DELETE

CreateAutonomousDatabase

aucune

sauvegardes autonomes
Verbes Autorisations d'accès API entièrement couvertes API partiellement couvertes

inspect

AUTONOMOUS_DB_BACKUP_INSPECT

ListAutonomousDatabaseBackups, GetAutonomousDatabaseBackup

aucune

read

INSPECT +

AUTONOMOUS_DB_BACKUP_CONTENT_READ

aucun en plus

RestoreAutonomousDatabase (requiert également use autonomous-databases)

ChangeAutonomousDatabaseCompartment (requiert également use autonomous-databases)

use

READ +

aucun en plus

aucun en plus

aucune

manage

USE +

AUTONOMOUS_DB_BACKUP_CREATE

AUTONOMOUS_DB_BACKUP_DELETE

DeleteAutonomousDatabaseBackup

CreateAutonomousDatabaseBackup (retient également read autonomous-databases)

autonomous-container-databases
Verbes Autorisations d'accès API entièrement couvertes API partiellement couvertes

inspect

AUTONOMOUS_CONTAINER_DATABASE_INSPECT

ListAutonomousContainerDatabases, GetAutonomousContainerDatabase

aucune

read

INSPECT +

aucun en plus

aucun en plus

aucune

use

READ +

AUTONOMOUS_CONTAINER_DATABASE_UPDATE

UpdateAutonomousContainerDatabase

ChangeAutonomousContainerDatabaseCompartment

CreateAutonomousDatabase (requiert également manage autonomous-databases)

manage

USE +

AUTONOMOUS_CONTAINER_DATABASE_CREATE

AUTONOMOUS_CONTAINER_DATABASE_DELETE

aucun en plus

CreateAutonomousContainerDatabase, TerminateAutonomousContainerDatabase (requièrent également use cloud-autonomous-vmclusters, use cloud-exadata-infrastructures)

cloud-autonome-vmclusters
Verbes Autorisations d'accès API entièrement couvertes API partiellement couvertes

inspect

CLOUD_AUTONOMOUS_VM_CLUSTER_INSPECT

ListCloudAutonomousVmClusters

GetCloudAutonomousVmCluster

aucune

read

INSPECT +

aucun en plus

aucun en plus

aucune

use

READ +

CLOUD_AUTONOMOUS_VM_CLUSTER_UPDATE

UpdateCloudAutonomousVmCluster

ChangeCloudAutonomousVmClusterCompartment

CreateAutonomousDatabase (requiert également manage autonomous-databases)

CreateAutonomousContainerDatabase (requiert également manage autonomous-container-databases)

manage

USE +

CLOUD_AUTONOMOUS_VM_CLUSTER_CREATE

CLOUD_AUTONOMOUS_VM_CLUSTER_DELETE

aucun en plus

CreateCloudAutonomousVmCluster, DeleteCloudAutonomousVmCluster

(requièrent également use vnics, use subnets, use cloud-exadata-infrastructures)

autonomous-vmclusters

Verbes Autorisations d'accès API entièrement couvertes API partiellement couvertes
inspect

AUTONOMOUS_VM_CLUSTER_INSPECT

ListAutonomousVmClusters

GetAutonomousVmCluster

ChangeAutonomousVmClusterCompartment

read

INSPECT +

aucun en plus

aucun en plus

aucune

use

READ +

AUTONOMOUS_VM_CLUSTER_UPDATE

ChangeAutonomousVmClusterCompartment

UpdateAutonomousVmCluster

CreateAutonomousContainerDatabase

TerminateAutonomousContainerDatabase

manage

USE +

AUTONOMOUS_VM_CLUSTER_CREATE +

AUTONOMOUS_VM_CLUSTER_DELETE

DeleteAutonomousVmCluster

CreateAutonomousVmCluster

machine virtuelle autonome
Verbes Autorisations d'accès API entièrement couvertes API partiellement couvertes
inspect AUTONOMOUS_VIRTUAL_MACHINE_INSPECT

GetAutonomousVirtualMachine

ListAutonomousVirtualMachines

aucune

Droits d'accès requis pour chaque opération d'API

Les bases de données Conteneur Autonomous et Autonomous Database (ADB) sont des ressources communes entre les déploiements Oracle Public Cloud, Multicloud et Exadata Cloud@Customer. Par conséquent, leurs droits d'accès sont les mêmes pour les deux déploiements dans le tableau suivant.

Cependant, certaines opérations de base de données Conteneur Autonomous requièrent des droits d'accès de niveau AVMC. Etant donné que les ressources AVMC sont différentes pour Oracle Public Cloud et Exadata Cloud@Customer, vous avez besoin de droits d'accès différents pour chaque type de déploiement. Par exemple, pour créer une base de données Conteneur Autonomous, vous devez :
  • Droits d'accès AUTONOMOUS_VM_CLUSTER_UPDATE et AUTONOMOUS_CONTAINER_DATABASE_CREATE sur Exadata Cloud@Customer.

  • Droits d'accès CLOUD_AUTONOMOUS_VM_CLUSTER_UPDATE et AUTONOMOUS_CONTAINER_DATABASE_CREATE sur Oracle Public Cloud et Multicloud.

Pour plus d'informations sur les droits d'accès, reportez-vous à Droits d'accès.

Le tableau suivant présente les opérations d'API pour les ressources Autonomous Database dans un ordre logique, regroupées par type de ressource.

Opérations d'API Autonomous Database

Vous pouvez utiliser l'API pour visualiser et gérer les différentes ressources d'infrastructure d'une instance Autonomous Database. Pour obtenir la liste des adresses d'API REST permettant de gérer différentes ressources Autonomous Database, reportez-vous à Référence d'API pour Autonomous Database on Dedicated Exadata Infrastructure.

Limitation de l'accès utilisateur à des droits spécifiques

L'accès utilisateur est défini dans des instructions de stratégie IAM. Lorsque vous créez une instruction de stratégie accordant à un groupe l'accès à un verbe et à un type de ressource particuliers, vous accordez à ce groupe l'accès à des droits IAM prédéfinis. L'objectif des verbes est de simplifier le processus d'octroi de plusieurs droits d'accès associés.

Pour autoriser ou refuser des droits d'accès IAM spécifiques, ajoutez une condition where à l'instruction de stratégie. Par exemple, pour autoriser un groupe d'administrateurs de parc à effectuer n'importe quelle opération sur les ressources d'infrastructure Exadata, sauf leur suppression, vous pouvez créer l'instruction de stratégie suivante :

Allow group FleetAdmins to manage cloud-exadata-infrastructures in tenancy where request.permission != 'CLOUD_EXADATA_INFRASTRUCTURE_DELETE'

Vous pouvez ensuite autoriser un plus petit groupe d'administrateurs de parc à effectuer n'importe quelle opération (y compris la suppression) sur les ressources d'infrastructure Exadata en omettant la condition where :

Allow group FleetSuperAdmins to manage cloud-exadata-infrastructures in tenancy

Pour plus d'informations sur cette utilisation de la condition where, reportez-vous à la section "Définition de la portée de l'accès avec des droits d'accès ou des opérations d'API" dans Droits d'accès.

Stratégies de gestion de ressources d'infrastructure Exadata

Le tableau suivant répertorie les stratégies IAM requises pour qu'un utilisateur cloud puisse effectuer des opérations de gestion sur des ressources d'infrastructure Exadata.

Opération Stratégies IAM requises sur Oracle Public Cloud et le multicloud Stratégies IAM requises sur Exadata Cloud@Customer

Création d'une ressource d'infrastructure Exadata

manage cloud-exadata-infrastructures

use vnic

use subnet

manage exadata-infrastructures

Affichage de la liste des ressources d'infrastructure Exadata

inspect cloud-exadata-infrastructures

inspect exadata-infrastructures

Affichage des détails d'une ressource d'infrastructure Exadata

inspect cloud-exadata-infrastructures

inspect exadata-infrastructures

Modification de la programmation de maintenance d'une ressource d'infrastructure Exadata

use cloud-exadata-infrastructures

use exadata-infrastructures

Déplacement d'une ressource d'infrastructure Exadata vers un autre compartiment

use cloud-exadata-infrastructures

use exadata-infrastructures

Gestion des certificats de sécurité pour une ressource d'infrastructure Exadata

manage cloud-exadata-infrastructures

manage exadata-infrastructures

Terminaison d'une ressource d'infrastructure Exadata

manage cloud-exadata-infrastructures

use vnic

use subnet

manage exadata-infrastructures

Stratégies de gestion des clusters de machines virtuelles Exadata Autonomous

Le tableau suivant répertorie les stratégies IAM requises pour qu'un utilisateur cloud puisse effectuer des opérations de gestion sur des clusters de machines virtuelles Exadata Autonomous.

Opération Stratégies IAM requises sur Oracle Public Cloud et le multicloud Stratégies IAM requises sur Exadata Cloud@Customer

Création d'un cluster de machines virtuelles Exadata Autonomous

manage cloud-autonomous-vmclusters

use cloud-exadata-infrastructures

manage autonomous-vmclusters

use exadata-infrastructures

Affichage de la liste des clusters de machines virtuelles Exadata Autonomous

inspect cloud-autonomous-vmclusters

inspect autonomous-vmclusters

Affichage des détails d'un cluster de machines virtuelles Exadata Autonomous

inspect cloud-autonomous-vmclusters

inspect autonomous-vmclusters

Modification du type de licence d'un cluster de machines virtuelles Autonomous

Non applicable

use autonomous-vmclusters

inspect exadata-infrastructures

Déplacement d'un cluster de machines virtuelles Exadata Autonomous vers un autre compartiment

use cloud-autonomous-vmclusters

use autonomous-vmclusters

Terminaison d'un cluster de machines virtuelles Exadata Autonomous

manage cloud-autonomous-vmclusters

manage autonomous-vmclusters

Stratégies de gestion des bases de données Conteneur Autonomous

Le tableau suivant répertorie les stratégies IAM requises pour qu'un utilisateur cloud puisse effectuer des opérations de gestion sur des bases de données Conteneur Autonomous (ACD).

Opération Stratégies IAM requises

Création d'une base de données Conteneur Autonomous

manage autonomous-container-databases

use cloud-exadata-infrastructures si vous créez la base de données Conteneur Autonomous sur Oracle Public Cloud et Multicloud.

use cloud-autonomous-vmclusters si la base de données Conteneur Autonomous est créée sur Oracle Public Cloud et Multicloud.

use autonomous-vmclusters en cas de création de la base de données Conteneur Autonomous sur Exadata Cloud@Customer.

use backup-destinations en cas de création de la base de données Conteneur Autonomous sur Exadata Cloud@Customer.

Affichage de la liste des bases de données Conteneur Autonomous

inspect autonomous-container-databases

Affichage des détails d'une base de données Conteneur Autonomous

inspect autonomous-container-databases

Modification de la stratégie de conservation de sauvegarde d'une base de données Conteneur Autonomous

use autonomous-container-databases

Modification des préférences de maintenance d'une base de données Conteneur Autonomous

use autonomous-container-databases

Redémarrage d'une base de données Conteneur Autonomous

use autonomous-container-databases

Déplacement d'une base de données Conteneur Autonomous vers un autre compartiment

use autonomous-container-databases

Rotation d'une clé de cryptage de base de données Conteneur Autonomous

use autonomous-container-databases

inspect autonomous-container-databases

Terminaison d'une base de données Conteneur Autonomous

manage autonomous-container-databases

use cloud-exadata-infrastructures si vous créez la base de données Conteneur Autonomous sur Oracle Public Cloud et Multicloud.

use cloud-autonomous-vmclusters si la base de données Conteneur Autonomous est créée sur Oracle Public Cloud et Multicloud.

use autonomous-vmclusters en cas de création de la base de données Conteneur Autonomous sur Exadata Cloud@Customer.

Stratégies de gestion de la configuration Autonomous Data Guard

Le tableau suivant répertorie les stratégies IAM requises pour qu'un utilisateur cloud puisse effectuer des opérations de gestion sur des configurations Autonomous Data Guard.

Opération Stratégies IAM requises

Affichage de l'association Autonomous Data Guard avec une base de données Conteneur Autonomous.

inspect autonomous-container-databases

Répertoriez les bases de données Conteneur Autonomous activées avec Autonomous Data Guard associé à la base de données Conteneur Autonomous ou à Autonomous Database indiquée.

inspect autonomous-container-databases

Rétablissez la base de données de secours désactivée sur une base de données Conteneur Autonomous de secours active.

inspect autonomous-container-databases

update autonomous-container-databases

Permuter les rôles des bases de données Conteneur Autonomous principale et de secours.

inspect autonomous-container-databases

update autonomous-container-databases

Basculement vers la base de données Conteneur Autonomous de secours. Cette base de données Conteneur Autonomous de secours deviendra la nouvelle base de données Conteneur Autonomous principale une fois le basculement terminé.

inspect autonomous-container-databases

update autonomous-container-databases

Modifiez les paramètres Autonomous Data Guard, tels que le mode de protection, le basculement automatique et la limite de décalage de basculement Fast-Start.

inspect autonomous-container-databases

update autonomous-container-databases

Obtention d'une base de données où Autonomous Data Guard est activé associée à la base de données autonome indiquée.

inspect autonomous-container-databases

Répertoriez les associations Data Guard Autonomous Database.

inspect autonomous-container-databases

Activez Autonomous Data Guard sur une base de données Conteneur Autonomous.

inspect cloud-autonomous-vmclusters OU inspect autonomous-vmclusters

inspect autonomous-container-databases

update autonomous-container-databases

Convertissez la base de données Conteneur Autonomous de secours entre la base de données de secours physique et la base de données Conteneur Autonomous de secours instantanée.

inspect cloud-autonomous-vmclusters OU inspect autonomous-vmclusters

inspect autonomous-container-databases

update autonomous-container-databases

Stratégies de gestion des instances Autonomous Database

Le tableau suivant répertorie les stratégies IAM requises pour qu'un utilisateur cloud puisse effectuer des opérations de gestion sur des instances Autonomous Database.

Opération Stratégies IAM requises

Créer une instance Autonomous Database

manage autonomous-databases

read autonomous-container-databases

Affichage de la liste des instances Autonomous Database

inspect autonomous-databases

Affichage des détails d'une instance Autonomous Database

inspect autonomous-databases

Définition du mot de passe de l'utilisateur ADMIN d'une base de données Autonomous Database

use autonomous-databases

Redimensionnement du nombre de coeurs de processeur ou du stockage d'une instance Autonomous Database

use autonomous-databases

Activation ou désactivation du redimensionnement automatique pour une instance Autonomous Database

use autonomous-databases

Déplacement d'une instance Autonomous Database vers un autre compartiment

use autonomous-databases dans le compartiment en cours de l'instance Autonomous Database et dans le compartiment vers lequel vous la déplacez

read autonomous-backups

Arrêt ou démarrage d'une instance Autonomous Database

use autonomous-databases

Redémarrage d'une instance Autonomous Database

use autonomous-databases

Sauvegarde manuelle d'une instance Autonomous Database

read autonomous-databases

manage autonomous-backups

Restauration d'une instance Autonomous Database

use autonomous-databases

read autonomous-backups

Clonage d'une instance Autonomous Database

manage autonomous-databases

read autonomous-container-databases

Terminaison d'une instance Autonomous Database

manage autonomous-databases