Documentazione dell'infrastruttura Oracle Cloud

Database OCI con criteri PostgreSQL

Utilizzare il servizio Oracle Cloud Infrastructure Identity and Access Management (IAM) per creare criteri per il database OCI con risorse PostgreSQL.

In questo argomento vengono descritti i dettagli per la scrittura dei criteri per controllare l'accesso al database OCI con il servizio PostgreSQL. Per ulteriori informazioni, consulta la guida introduttiva ai criteri.

Panoramica della sintassi dei criteri

La sintassi generale di un'istruzione criterio è la seguente:

allow <subject> to <verb> <resource-type> in <location> where <condition>

Ad esempio, è possibile specificare quanto riportato di seguito.

  • Gruppo o gruppo dinamico per nome o OCID come <subject>. In alternativa, è possibile utilizzare any-user per coprire tutti gli utenti nella tenancy.

  • inspect, read, use e manage come <verb> per concedere a <subject> l'accesso a una o più autorizzazioni.

    Come si passa da inspect > read > use > manage, il livello di accesso in genere aumenta e le autorizzazioni concesse sono cumulative. Ad esempio, use include read più la possibilità di eseguire l'aggiornamento.

  • Una famiglia di risorse come virtual-network-family per resource-type. In alternativa, è possibile specificare una singola risorsa in una famiglia come vcns e subnets.

  • Compartimento in base al nome o all'OCID come <location>. In alternativa, è possibile utilizzare tenancy per coprire l'intera tenancy.

Per ulteriori informazioni sulla creazione dei criteri, vedere Guida introduttiva ai criteri e Informazioni di riferimento sui criteri.

Tipi di risorsa

Per concedere agli utenti l'accesso a OCI Database con risorse PostgreSQL, creare criteri IAM con OCI Database con tipi di risorse PostgreSQL.

Per accedere al database OCI con risorse PostgreSQL, utilizzare ciascuno dei seguenti tipi di risorse:

  • sistemi postgres-db
  • backup postgres
  • configurazioni postgres
  • richieste postgres-work

Per ulteriori informazioni, vedere Esempi di criteri.

Variabili supportate

Il servizio OCI Database con PostgreSQL supporta tutte le variabili generali.

Per ulteriori informazioni sulle variabili generali supportate dai servizi OCI, vedere Variabili generali per tutte le richieste.

Dettagli per combinazioni di verbi + tipo di risorsa

Per creare un criterio è possibile utilizzare vari verbi e tipi di risorse di Oracle Cloud Infrastructure.

Le tabelle seguenti mostrano le autorizzazioni e le operazioni API coperte da ciascun verbo per OCI Database con PostgreSQL. Il livello di accesso è cumulativo quando si passa da inspect a read a use a manage. Un segno più (+) in una cella di tabella indica l'accesso incrementale rispetto alla cella che la precede direttamente, mentre "no extra" indica l'assenza di accesso incrementale.

postgres-db-systems
Verbs Autorizzazioni API completamente coperte API parzialmente coperte
ispezionare

POSTGRES_DB_SYSTEM_INSPECT

ListDbSystems

nessuno
leggi

ISPEZIONA +

POSTGRES_DB_SYSTEM_READ

ISPEZIONA +

GetDbSystem

GetConnectionDetails

GetManagementPolicy

GetPrimaryDbInstance

nessuno
usa

LEGGI +

POSTGRES_DB_SYSTEM_UPDATE

POSTGRES_DB_SYSTEM_RESTART

LEGGI +

UpdateDbSystem

UpdateManagementPolicy

FailoverDbSystem

RestoreDbSystem

ResetMasterUserPassword

UpdateDbSystemDbInstance

RestartDbInstanceInDbSystem

GetConfiguration

GetBackup

gestisci

USE +

POSTGRES_DB_SYSTEM_CREATE

POSTGRES_DB_SYSTEM_DELETE

POSTGRES_DB_SYSTEM_MOVE

USE +

CreateDbsystem

DeleteDbSystem

ChangeDbSystemCompartment

GetConfiguration

GetBackup

postgres-backups
Verbs Autorizzazioni API completamente coperte API parzialmente coperte
ispezionare

POSTGRES_BACKUP_INSPECT

ListBackups

nessuno
leggi

ISPEZIONA +

POSTGRES_BACKUP_READ

ISPEZIONA +

GetBackup

nessuno
usa

LEGGI +

POSTGRES_BACKUP_UPDATE

LEGGI +

UpdateBackup

nessuno
gestisci

USE +

POSTGRES_BACKUP_CREATE

POSTGRES_BACKUP_DELETE

POSTGRES_BACKUP_MOVE

POSTGRES_BACKUP_COPY

USE +

CreateBackup

DeleteBackup

ChangeBackupCompartment

BackupCopy

GetDbSystem

postgres-configurations
Verbs Autorizzazioni API completamente coperte API parzialmente coperte
ispezionare

POSTGRES_CONFIGURATION_INSPECT

ListConfigurations

nessuno
leggi

ISPEZIONA +

POSTGRES_CONFIGURATION_READ

ISPEZIONA +

GetConfiguration

nessuno
usa

LEGGI +

POSTGRES_CONFIGURATION_UPDATE

LEGGI +

UpdateConfiguration

nessuno
gestisci

USE +

POSTGRES_CONFIGURATION_CREATE

POSTGRES_CONFIGURATION_DELETE

POSTGRES_CONFIGURATION_MOVE

USE +

CreateConfiguration

DeleteConfiguration

ChangeConfigurationCompartment

nessuno
postgres-work-requests
Verbs Autorizzazioni API completamente coperte API parzialmente coperte
ispezionare

POSTGRES_WORK_REQUEST_INSPECT

ListWorkRequests

ListWorkRequestErrors

ListWorkRequestLogs

nessuno
leggi

ISPEZIONA +

POSTGRES_WORK_REQUEST_READ

ISPEZIONA +

GetWorkRequest

nessuno

Autorizzazioni necessarie per ogni operazione API

Nella tabella seguente sono elencate le operazioni API per il database OCI con PostgreSQL in un ordine logico, raggruppate per tipo di risorsa.

I tipi di risorsa sono postgres-db-systems, postgres-backups, postgres-configurations e postgres-work-requests.

Per informazioni sulle autorizzazioni, vedere Autorizzazioni.

Autorizzazioni richieste
Operazione API Autorizzazioni necessarie per utilizzare l'operazione
ListDbSystems POSTGRES_DB_SYSTEM_INSPECT
GetDbSystem POSTGRES_DB_SYSTEM_READ
CreateDbsystem POSTGRES_DB_SYSTEM_CREATE
UpdateDbSystem POSTGRES_DB_SYSTEM_UPDATE
DeleteDbSystem POSTGRES_DB_SYSTEM_DELETE
GetConnectionDetails POSTGRES_DB_SYSTEM_READ
GetManagementPolicy POSTGRES_DB_SYSTEM_READ
CreateManagementPolicy POSTGRES_DB_SYSTEM_CREATE
UpdateManagementPolicy POSTGRES_DB_SYSTEM_UPDATE
DeleteManagementPolicy POSTGRES_DB_SYSTEM_DELETE
ChangeDbSystemCompartment POSTGRES_DB_SYSTEM_MOVE
FailoverDbSystem POSTGRES_DB_SYSTEM_UPDATE
RestartDbSystem POSTGRES_DB_SYSTEM_RESTART
ListShapes Nessuno. Qualsiasi utente autenticato può elencare le forme.
ListBackups POSTGRES_BACKUP_INSPECT
GetBackup POSTGRES_BACKUP_READ
CreateBackup POSTGRES_BACKUP_CREATE
UpdateBackup POSTGRES_BACKUP_UPDATE
DeleteBackup POSTGRES_BACKUP_DELETE
BackupCopy POSTGRES_BACKUP_COPY
ChangeBackupCompartment POSTGRES_BACKUP_MOVE
ListConfigurations POSTGRES_CONFIGURATION_INSPECT
GetConfiguration POSTGRES_CONFIGURATION_READ
CreateConfiguration POSTGRES_CONFIGURATION_CREATE
UpdateConfiguration POSTGRES_CONFIGURATION_UPDATE
DeleteConfiguration POSTGRES_CONFIGURATION_DELETE
ChangeConfigurationCompartment POSTGRES_CONFIGURATION_MOVE
ListWorkRequests POSTGRES_WORK_REQUEST_INSPECT
GetWorkRequest POSTGRES_WORK_REQUEST_READ
ListWorkRequestErrors POSTGRES_WORK_REQUEST_READ
ListWorkRequestLogs POSTGRES_WORK_REQUEST_READ

Esempi di criteri

Le istruzioni dei criteri seguenti consentono a un gruppo di amministratori di gestire il database OCI con i sistemi di database PostgreSQL:

Allow group <postgresql-admin-group> to read compartments in tenancy
Allow group <postgresql-admin-group> to manage postgres-db-systems in [ tenancy | compartment <compartment_name> | compartment id <compartment_OCID> ]
Allow group <postgresql-admin-group> to manage postgres-backups in [ tenancy | compartment <compartment_name> | compartment id <compartment_OCID> ]
Allow group <postgresql-admin-group> to read postgres-work-requests in [ tenancy | compartment <compartment_name> | compartment id <compartment_OCID> ]
Allow group <postgresql-admin-group> to manage postgres-configuration in [ tenancy | compartment <compartment_name> | compartment id <compartment_OCID> ]
Allow group <postgresql-admin-group> to manage virtual-network-family in [ tenancy | compartment <compartment_name> | compartment id <compartment_OCID> ]
Allow group <postgresql-admin-group> to read secret-family in [ tenancy | compartment <compartment_name> | compartment id <compartment_OCID> ]
Allow group <postgresql-admin-group> to read vaults in [ tenancy | compartment <compartment_name> | compartment id <compartment_OCID> ]
Allow group <postgresql-admin-group> to read metrics in [ tenancy | compartment <compartment_name> | compartment id <compartment_OCID> ]
Allow group <postgresql-admin-group> to use tag-namespaces in tenancy

Le istruzioni dei criteri seguenti consentono a un gruppo di amministratori di gestire il database OCI con i backup del database PostgreSQL:

Allow group <postgresql-admin-group> to read compartments in tenancy
Allow group <postgresql-admin-group> to manage postgres-backups in [ tenancy | compartment <compartment_name> | compartment id <compartment_OCID> ]
Allow group <postgresql-admin-group> to read postgres-db-systems in [ tenancy | compartment <compartment_name> | compartment id <compartment_OCID> ]
Allow group <postgresql-admin-group> to use tag-namespaces in tenancy

Le istruzioni dei criteri riportate di seguito consentono a un gruppo di amministratori di gestire il database OCI con configurazioni di database PostgreSQL.

Allow group <postgresql-admin-group> to read compartments in tenancy
Allow group <postgresql-admin-group> to manage postgres-configuration in [ tenancy | compartment <compartment_name> | compartment id <compartment_OCID> ]
Allow group <postgresql-admin-group> to use tag-namespaces in tenancy

Le istruzioni dei criteri riportate di seguito consentono a un gruppo di amministratori di gestire il database OCI con risorse PostgreSQL nel compartimento specificato.

Allow group <postgresql-admin-group> to manage postgres-db-systems in compartment <database_compartment>
Allow group <postgresql-admin-group> to manage postgres-backups in compartment <database_compartment>
Allow group <postgresql-admin-group> to manage postgres-configurations in compartment <database_compartment>
Allow group <postgresql-admin-group> to read postgres-work-requests in compartment <database_compartment>

L'istruzione seguente consente a un gruppo di utenti di utilizzare i database, il che significa che possono aggiornare o riavviare un database esistente, ma non crearne o eliminarne uno:

Allow group <postgresql-user-group> to use postgres-db-systems in compartment <database_compartment>