Détails de stratégie pour Base Database Service
Cet article fournit les détails relatifs à l'écriture de stratégies Oracle Cloud Infrastructure Identity and Access Management (IAM) visant à contrôler l'accès aux ressources Oracle Base Database Service.
Conseil :
Pour obtenir un exemple de stratégie, reportez-vous à Autoriser les administrateurs de base de données à gérer des systèmes de base de données Oracle Cloud.Types de ressource
Le type agrégé de ressource couvre la liste des types individuels de ressource indiqués immédiatement après. Par exemple, écrire une seule stratégie pour permettre à un groupe d'accéder à database-family équivaut à écrire des stratégies distinctes qui octroient à ce groupe l'accès aux types de ressource db-systems, db-nodes, db-homes, databases, database-software-image et db-backups. Pour plus d'informations, reportez-vous à Types de ressource dans Fonctionnement des stratégies.
Type agrégé de ressource
database-family
Types de ressource individuels
db-systemsdb-nodesdb-homesdatabasespluggable databasesdb-backups
Variables prises en charge
Seules les variables générales sont prises en charge. Pour plus d'informations, reportez-vous à Variables générales pour toutes les demandes dans Référence de stratégie.
Détails des combinaisons de verbe et de type de ressource
Les tableaux suivants indiquent les droits d'accès et les opérations d'API que couvre chaque verbe. Le niveau d'accès est cumulatif à mesure que vous passez d'un verbe à l'autre, dans l'ordre suivant : inspect > read > use > manage. Le signe plus (+) dans une cellule du tableau indique un accès incrémentiel par rapport à la cellule directement au-dessus, alors que la mention "aucun élément supplémentaire" n'indique aucun accès incrémentiel.
Par exemple, les verbes read et use du type de ressource db-systems ne couvre aucune opération d'API ni aucun droit d'accès supplémentaire par rapport au verbe inspect. En revanche, le verbe manage inclut deux droits d'accès supplémentaires et couvre partiellement deux autres opérations d'API.
db-systems
| Verbes | Autorisations d'accès | API entièrement couvertes | API partiellement couvertes |
|---|---|---|---|
| inspect | DB_SYSTEM_INSPECT |
|
Aucun élément |
| read | aucun en plus | aucun en plus | Aucun élément |
| use | DB_SYSTEM_UPDATE | aucun en plus | ChangeDbSystemCompartment (use db-homes, use databases et inspect db-backups sont également requis)
|
| manage |
USE + DB_SYSTEM_CREATE DB_SYSTEM_DELETE |
UpdateDBSystem |
LaunchDBSystem, TerminateDbSystem (les deux requièrent également manage db-homes, manage databases, use vnics et use subnets)
|
db-nodes
| Verbes | Autorisations d'accès | API entièrement couvertes | API partiellement couvertes |
|---|---|---|---|
| inspect |
DB_NODE_INSPECT DB_NODE_QUERY |
GetDbNode |
Aucun élément |
| read | aucun en plus | aucun en plus | Aucun élément |
| use | aucun en plus | aucun en plus | Aucun élément |
| manage |
USE + DB_NODE_POWER_ACTIONS |
DbNodeAction |
Aucun élément |
db-homes
| Verbes | Autorisations d'accès | API entièrement couvertes | API partiellement couvertes |
|---|---|---|---|
| inspect | DB_HOME_INSPECT |
|
Aucun élément |
| read | aucun en plus | aucun en plus | Aucun élément |
| use | DB_HOME_UPDATE | UpdateDBHome |
ChangeDbSystemCompartment (use db-systems, use databases et inspect db-backups sont également requis)
|
| manage |
USE + DB_HOME_CREATE DB_HOME_DELETE |
aucun en plus |
Si les sauvegardes automatiques sont activées sur la base de données par défaut,
Si vous créez le répertoire de base de base de données en effectuant une restauration à partir d'une sauvegarde,
Si les sauvegardes automatiques sont activées sur la base de données par défaut, Si l'option |
databases
| Verbes | Autorisations d'accès | API entièrement couvertes | API partiellement couvertes |
|---|---|---|---|
| inspect | DATABASE_INSPECT |
|
Aucun élément |
| read |
aucun en plus DATABASE_CONTENT_READ |
aucun en plus | Aucun élément |
| use |
READ + DATABASE_CONTENT_WRITE DATABASE_UPDATE |
|
|
| manage |
USE + DATABASE_CREATE DATABASE_DELETE |
aucun en plus | LaunchDBSystem, TerminateDbSystem (les deux requièrent également manage db-systems, manage db-homes, use vnics et use subnets)
|
pluggable databases
| Verbes | Autorisations d'accès | API entièrement couvertes | API partiellement couvertes |
|---|---|---|---|
| inspect | PLUGGABLE_DATABASE_INSPECT |
|
Aucun élément |
| read |
INSPECT + PLUGGABLE_DATABASE_CONTENT_READ |
aucun en plus | Aucun élément |
| use |
READ + PLUGGABLE_DATABASE_CONTENT_WRITE PLUGGABLE_DATABASE_UPDATE |
|
Aucun élément |
| manage |
USE + PLUGGABLE_DATABASE_CREATE PLUGGABLE_DATABASE_DELETE |
aucun en plus | CreatePluggableDatabase, DeletePluggableDatabase, LocalClonePluggableDatabase, RemoteClonePluggableDatabase (toutes requièrent également use databases)
|
db-backups
| Verbes | Autorisations d'accès | API entièrement couvertes | API partiellement couvertes |
|---|---|---|---|
| inspect | DB_BACKUP_INSPECT |
|
ChangeDbSystemCompartment (use db-systems, use db-homes et use databases sont également requis)
|
| read |
INSPECT + DB_BACKUP_CONTENT_READ |
Aucun élément | RestoreDatabase (use databases est également requis)
|
| use | aucun en plus | aucun en plus | Aucun élément |
| manage |
USE + DB_BACKUP_CREATE DB_BACKUP_DELETE |
DeleteBackup |
CreateBackup (read databases est également requis)
|
Droits d'accès requis pour chaque opération d'API
Les tableaux suivants répertorient les opérations d'API pour les systèmes de base de données et les bases de données pluggables dans un ordre logique, regroupées par type de ressource.
Opérations d'API Database
| Opération d'API | Droits d'accès requis pour utiliser l'opération |
|---|---|
ListDbSystems |
DB_SYSTEM_INSPECT |
GetDbSystem |
DB_SYSTEM_INSPECT |
LaunchDbSystem |
DB_SYSTEM_CREATE, DB_HOME_CREATE, DATABASE_CREATE, VNIC_CREATE, VNIC_ATTACH et SUBNET_ATTACH Afin d'activer les sauvegardes automatiques pour la base de données initiale, DB_BACKUP_CREATE et DATABASE_CONTENT_READ sont également requis. |
UpdateDbSystem |
DB_SYSTEM_INSPECT et DB_SYSTEM_UPDATE |
ChangeDbSystemCompartment |
DB_SYSTEM_UPDATE, DB_HOME_UPDATE, DATABASE_UPDATE et DB_BACKUP_INSPECT |
ListDbSystemPatches |
DB_SYSTEM_INSPECT |
ListDbSystemPatchHistoryEntries |
DB_SYSTEM_INSPECT |
GetDbSystemPatch |
DB_SYSTEM_INSPECT |
GetDbSystemPatchHistoryEntry |
DB_SYSTEM_INSPECT |
TerminateDbSystem |
DB_SYSTEM_DELETE, DB_HOME_DELETE, DATABASE_DELETE, VNIC_DETACH, VNIC_DELETE et SUBNET_DETACH Si les sauvegardes automatiques sont activées pour n'importe quelle base de données du système, DB_BACKUP_DELETE est également requis. |
GetDbNode |
DB_NODE_INSPECT |
DbNodeAction |
DB_NODE_POWER_ACTIONS |
ListDbHomes |
DB_HOME_INSPECT |
GetDbHome |
DB_HOME_INSPECT |
ListDbHomePatches |
DB_HOME_INSPECT |
ListDbHomePatchHistoryEntries |
DB_HOME_INSPECT |
GetDbHomePatch |
DB_HOME_INSPECT |
GetDbHomePatchHistoryEntry |
DB_HOME_INSPECT |
CreateDbHome |
DB_SYSTEM_INSPECT, DB_SYSTEM_UPDATE, DB_HOME_CREATE et DATABASE_CREATE Afin d'activer les sauvegardes automatiques pour la base de données, DB_BACKUP_CREATE et DATABASE_CONTENT_READ sont également requis |
UpdateDbHome |
DB_HOME_UPDATE |
DeleteDbHome |
DB_SYSTEM_UPDATE, DB_HOME_DELETE et DATABASE_DELETE Si les sauvegardes automatiques sont activées, DB_BACKUP_DELETE est également requis. Si vous effectuez une sauvegarde finale lors de la terminaison, DB_BACKUP_CREATE et DATABASE_CONTENT_READ sont également requis. |
ListDatabases |
DATABASE_INSPECT |
GetDatabase |
DATABASE_INSPECT |
UpdateDatabase |
DATABASE_UPDATE Pour activer les sauvegardes automatiques, DB_BACKUP_CREATE et DATABASE_CONTENT_READ sont également requis. |
ListDbSystemShapes |
(Aucun droit d'accès requis ; disponible pour tout le monde) |
ListDbVersions |
(Aucun droit d'accès requis ; disponible pour tout le monde) |
GetDataGuardAssociation |
DATABASE_INSPECT |
ListDataGuardAssociations |
DATABASE_INSPECT |
CreateDataGuardAssociation |
DB_SYSTEM_UPDATE, DB_HOME_CREATE, DB_HOME_UPDATE, DATABASE_CREATE et DATABASE_UPDATE |
SwitchoverDataGuardAssociation |
DATABASE_UPDATE |
FailoverDataGuardAssociation |
DATABASE_UPDATE |
ReinstateDataGuardAssociation |
DATABASE_UPDATE |
MigrateVaultKey |
DATABASE_UPDATE |
RotateVaultKey |
DATABASE_UPDATE |
GetBackup |
DB_BACKUP_INSPECT |
ListBackups |
DB_BACKUP_INSPECT |
CreateBackup |
DB_BACKUP_CREATE et DATABASE_CONTENT_READ |
DeleteBackup |
DB_BACKUP_DELETE et DB_BACKUP_INSPECT |
RestoreDatabase |
DB_BACKUP_INSPECT, DB_BACKUP_CONTENT_READ et DATABASE_CONTENT_WRITE |
Opérations d'API de base de données pluggable
| Opération d'API | Droits d'accès requis pour utiliser l'opération |
|---|---|
ListPluggableDatabase |
PLUGGABLE_DATABASE_INSPECT |
GetPluggableDatabase |
PLUGGABLE_DATABASE_INSPECT |
CreatePluggableDatabase |
DATABASE_INSPECT* DATABASE_UPDATE* PLUGGABLE_DATABASE_CREATE Droits d'accès supplémentaires requis si les sauvegardes automatiques sont activées sur la base de données Conteneur et incluent cette base de données pluggable : PLUGGABLE_DATABASE_CONTENT_READ |
UpdatePluggableDatabase |
PLUGGABLE_DATABASE_INSPECT et PLUGGABLE_DATABASE_UPDATE Droits d'accès supplémentaires requis si les sauvegardes automatiques sont activées sur la base de données Conteneur et incluent cette base de données pluggable : PLUGGABLE_DATABASE_CONTENT_READ |
StartPluggableDatabase |
PLUGGABLE_DATABASE_INSPECT et PLUGGABLE_DATABASE_UPDATE |
StopPluggableDatabase |
PLUGGABLE_DATABASE_INSPECT et PLUGGABLE_DATABASE_UPDATE |
DeletePluggableDatabase |
DATABASE_INSPECT (existe) DATABASE_UPDATE (existe) PLUGGABLE_DATABASE_DELETE |
LocalClonePluggableDatabase |
DATABASE_INSPECT* DATABASE_UPDATE* PLUGGABLE_DATABASE_INSPECT PLUGGABLE_DATABASE_UPDATE PLUGGABLE_DATABASE_CONTENT_READ PLUGGABLE_DATABASE_CREATE PLUGGABLE_DATABASE_CONTENT_WRITE |
RemoteClonePluggableDatabase |
DATABASE_INSPECT* DATABASE_UPDATE* PLUGGABLE_DATABASE_INSPECT PLUGGABLE_DATABASE_UPDATE PLUGGABLE_DATABASE_CONTENT_READ PLUGGABLE_DATABASE_CREATE PLUGGABLE_DATABASE_CONTENT_WRITE |