Documentazione dell'infrastruttura Oracle Cloud

Criteri IAM per Autonomous AI Database

Fornisce informazioni sui criteri IAM necessari per le operazioni API su Autonomous AI Database.

Oracle Autonomous AI Database si basa sul servizio IAM (Identity and Access Management) per autenticare e autorizzare gli utenti cloud a eseguire operazioni che utilizzano qualsiasi interfaccia di Oracle Cloud Infrastructure (console, API REST, CLI o SDK).

È possibile assegnare ruoli agli utenti in base alle attività di database specifiche che sono autorizzati a eseguire, ad esempio backup e ripristino, gestione delle chiavi e operazioni del ciclo di vita (ad esempio arresto, avvio e ridimensionamento).

Il servizio IAM utilizza gruppi, compartimenti, e criteri per controllare quali utenti cloud possono accedere a quali risorse.

Argomento padre: Sicurezza

Dettagli dei criteri per Autonomous AI Database

In questo argomento vengono descritti i dettagli per la scrittura dei criteri per controllare l'accesso alle risorse di Autonomous AI Database.

Un criterio definisce il tipo di accesso di un gruppo di utenti a una risorsa specifica in un singolo compartimento. Per ulteriori informazioni, vedere la Guida introduttiva ai criteri.

Tipi di risorsa

Un tipo di risorsa aggregato copre l'elenco dei singoli tipi di risorsa che seguono direttamente. Ad esempio, scrivere un criterio per consentire a un gruppo di accedere a autonomous-database-family equivale a scrivere quattro criteri separati per il gruppo che concede l'accesso ai tipi di risorse autonomous-databases e autonomous-backups. Per ulteriori informazioni, vedere Tipi di risorse.

Tipi di risorse per Autonomous AI Database

Tipo di risorsa aggregato:

autonomous-database-family

Singoli tipi di risorse:

autonomous-databases

autonomous-backups

Dettagli per le combinazioni verbo-tipo di risorsa

Il livello di accesso è cumulativo mentre si passa da inspect > read > use > manage. Un segno più (+) in una cella di tabella indica l'accesso incrementale rispetto alla cella direttamente sopra di essa, mentre "no extra" indica l'assenza di accesso incrementale.

Ad esempio, il verbo read per il tipo di risorsa autonomous-databases copre le stesse autorizzazioni e le stesse operazioni API del verbo inspect, oltre all'autorizzazione AUTONOMOUS_DATABASE_CONTENT_READ. Il verbo read copre parzialmente l'operazione CreateAutonomousDatabaseBackup, che richiede anche le autorizzazioni di gestione per autonomous-backups.

Le tabelle seguenti mostrano le autorizzazioni e le operazioni API coperte da ciascun verbo. Per informazioni sulle autorizzazioni, vedere Autorizzazioni.

Nota

La famiglia di risorse coperta da autonomous-database-family può essere utilizzata per concedere l'accesso alle risorse di database associate a tutti i tipi di carico di lavoro di Autonomous AI Database.
tipi di risorse di database autonomi
Verbs Autorizzazioni API completamente coperte API parzialmente coperte

ispezionare

AUTONOMOUS_DATABASE_INSPECT

GetAutonomousDatabase, GetAutonomousDatabaseBackupConfig, GetAutonomousDatabaseCapability, ListAutonomousDatabases, ListAutonomousDatabaseClones, ListAutonomousDatabasePeers, ListAutonomousDatabaseRefreshableClones, ResourcePoolShapes

nessuno

leggi

INSPECT +

AUTONOMOUS_DATABASE_CONTENT_READ

GenerateAutonomousDatabasePerformanceData, GenerateAutonomousDatabaseWallet, GetAutonomousDatabaseRegionalWallet, GetAutonomousDatabaseWallet, RetrieveDatabasePerformanceBulkData

CreateAutonomousDatabaseBackup (ha anche bisogno di manage autonomous-backups)

usa

READ +

AUTONOMOUS_DATABASE_CONTENT_WRITE

AUTONOMOUS_DATABASE_UPDATE

AutonomousDatabaseManualRefresh, CancelAutonomousDatabaseSession, ChangeDisasterRecoveryConfiguration, ConfigureAutonomousDatabaseVaultKey, DeregisterAutonomousDatabaseDataSafe, DisableAutonomousDatabaseOperationsInsights, DisableDatabaseManagement, EnableAutonomousDatabaseOperationsInsights, EnableDatabaseManagement, FailOverAutonomousDatabase, GetAutonomousDatabaseConsoleToken, RegisterAutonomousDatabaseDataSafe, RestartAutonomousDatabase, RotateAutonomousDatabaseEncryptionKey, ShrinkAutonomousDatabase, StartAutonomousDatabase, StopAutonomousDatabase, SwitchOverAutonomousDatabase, UpdateAutonomousDatabaseRegionalWallet, UpdateAutonomousDatabase

RestoreAutonomousDatabase (ha anche bisogno di read autonomous-backups)

ChangeAutonomousDatabaseCompartment (ha anche bisogno di read autonomous-backups)

gestisci

USE +

AUTONOMOUS_DATABASE_CREATE

AUTONOMOUS_DATABASE_DELETE

NETWORK_SECURITY_GROUP_UPDATE_MEMBERS

CreateAutonomousDatabase, DeleteAutonomousDatabase

nessuno

Elenco di operazioni e criteri IAM necessari per gestire un'istanza di Autonomous AI Database

Operation Criteri IAM necessari

Aggiungi database peer

use autonomous-databases

Aggiungi attributi di sicurezza

use autonomous-databases

Modifica modello di calcolo

use autonomous-databases

Modifica modalità del database

use autonomous-databases

Cambia rete

use autonomous-databases

Modifica tipo di carico di lavoro

use autonomous-databases

Duplica un Autonomous AI Database

manage autonomous-databases

Consulta Autorizzazioni IAM e operazioni API per Autonomous AI Database per ulteriori autorizzazioni di duplicazione su Autonomous AI Database.

Creare un Autonomous AI Database

manage autonomous-databases

read autonomous-databases

Modifica configurazione strumenti di database

use autonomous-databases

Modifica pianificazione avvio/arresto

use autonomous-databases
Abilita pool elastico

use autonomous-databases

Abilita o disabilita la scala automatica per un Autonomous AI Database

use autonomous-databases
Unisci pool elastico

use autonomous-databases

Gestisci contatti cliente

use autonomous-databases

Gestisci chiave di cifratura

use autonomous-databases

Spostare un Autonomous AI Database in un altro compartimento

use autonomous-databases nel compartimento corrente del database e nel compartimento in cui si sta spostando

read autonomous-backups

Rinominare un Autonomous AI Database

use autonomous-databases

Riavviare un Autonomous AI Database

use autonomous-databases

Ripristina un Autonomous AI Database

use autonomous-databases

read autonomous-backups

Ridimensiona il conteggio o lo storage di ECPU di un Autonomous AI Database

use autonomous-databases

Imposta password utente ADMIN

use autonomous-databases

Arrestare o avviare un Autonomous AI Database

use autonomous-databases

Switchover

use autonomous-databases

Arresta un Autonomous AI Database

manage autonomous-databases

Aggiorna disaster recovery

use autonomous-databases

Aggiorna nome visualizzato

use autonomous-databases

Aggiorna licenza ed edizione del database Oracle

use autonomous-databases

Aggiornamento dell'accesso alla rete per le ACL

use autonomous-databases

Aggiornare l'accesso di rete per un endpoint privato

use autonomous-databases

Visualizza una lista di database AI autonomi

inspect autonomous-databases

Visualizza i dettagli di un Autonomous AI Database

inspect autonomous-databases

backup autonomi

Verbs Autorizzazioni API completamente coperte API parzialmente coperte

ispezionare

AUTONOMOUS_DB_BACKUP_INSPECT

ListAutonomousDatabaseBackups, GetAutonomousDatabaseBackup

nessuno

gestisci

USE +

AUTONOMOUS_DB_BACKUP_CREATE

AUTONOMOUS_DB_BACKUP_DELETE

DeleteAutonomousDatabaseBackup

CreateAutonomousDatabaseBackup (ha anche bisogno di read autonomous-databases)

leggi

INSPECT +

AUTONOMOUS_DB_BACKUP_CONTENT_READ

nessun extra

RestoreAutonomousDatabase (ha anche bisogno di use autonomous-databases)

ChangeAutonomousDatabaseCompartment (ha anche bisogno di use autonomous-databases)

usa

LEGGI +

nessun extra

nessun extra

nessuno

Variabili supportate

Tutte le variabili generali di OCI Identity and Access Management sono supportate. Per ulteriori informazioni, vedere Variabili generali per tutte le richieste.

Inoltre, è possibile utilizzare la variabile target.id con l'OCID di un database dopo la creazione di un database e la variabile target.workloadType con un valore come mostrato nella tabella seguente:

Valore target.workloadType Descrizione
OLTP Elaborazione delle transazioni online, utilizzata per database AI autonomi con carico di lavoro di elaborazione delle transazioni.
LH Lakehouse, utilizzato per Autonomous AI Database con carichi di lavoro analitici e della piattaforma dati.
DW Data Warehouse, utilizzato per i database AI autonomi con carico di lavoro di Data Warehouse.
AJD

Autonomous JSON Database utilizzato per Autonomous AI Database con carico di lavoro JSON.

APEX

Servizio APEX utilizzato per Autonomous AI Database APEX Service.

Esempio di criterio che utilizza la variabile target.id: 

Allow group ADB-Admins to manage autonomous-databases in tenancy where target.id = 'OCID'

Esempio di criterio che utilizza la variabile target.workloadType: 

Allow group ADB-Admins to manage autonomous-databases in tenancy where target.workloadType = 'AJD'

È possibile utilizzare la variabile request.operation.actiontype che identifica la specifica operazione secondaria o modifica della configurazione richiesta all'interno di un'operazione come updateAutonomousDatabase o createAutonomousDatabase. È possibile controllare questi tipi di azione nei criteri utilizzando il parametro request.operation.actiontype. Ciò consente di controllare in dettaglio le azioni, assicurandosi di disporre dell'accesso necessario per il proprio ruolo.

Esempio di criteri che utilizzano la variabile request.operation.actiontype:

Quando un criterio concede l'accesso a un tipo di azione specifico utilizzando request.operation.actiontype, l'utente è limitato a tale operazione secondaria e non può eseguire altre azioni di aggiornamento a meno che tali azioni non siano esplicitamente incluse nel criterio. Ad esempio: 
allow group MyGroup to manage autonomous-database-family where request.operation.actiontype =
      'adminPassword'

Il criterio riportato sopra concede al gruppo l'autorizzazione per modificare la password ADMIN, ma non per modificare altri attributi come la configurazione di computazione, storage o rete.

Allo stesso modo, è possibile escludere un'operazione sensibile pur consentendo ad altri, ad esempio:
allow group MyGroup to manage autonomous-database-family where request.operation.actiontype
      != 'adminPassword'

La tabella seguente elenca la variabile ActionType, ciascuna delle quali rappresenta un'operazione secondaria specifica può essere utilizzata con CreateAutonomousDatabase o UpdateAutonomousDatabase:

ActionType Operation
adminPassword Impostare la password dell'amministratore o impostare secretID per il vault.
scheduledOperations Impostare la pianificazione per i backup a lungo termine.
customerContacts Gestisci le informazioni di contatto dei clienti per avvisi operativi, annunci e manutenzione non pianificata.
dbToolsConfigure Abilita o disabilita gli strumenti di database.
licenseModel Aggiorna le opzioni Bring Your Own License (BYOL) e il conteggio di ECPU per BYOL.
updateElasticPool Aggiornare le opzioni del pool elastico.
upgradeToPaid Consenti l'aggiornamento dallo sviluppatore o dalla versione gratuita alla versione a pagamento.
displayName Aggiornare il nome visualizzato.
joinElasticPool Unisciti a un pool elastico come membro.
disasterRecoveryType Eseguire l'aggiornamento ad Autonomous Data Guard per il disaster recovery.
manageEncryptionKeys Gestire le chiavi di cifratura (gestite da Oracle o gestite dal cliente).
openMode Modificare le modalità operative del database tra lettura o scrittura e sola lettura.
whitelistedIps Modificare gli IP consentiti nelle liste di controllo dell'accesso di Autonomous AI Database per controllare l'accesso alla rete.
networkConfig Aggiornare la configurazione di rete, incluse le opzioni pubbliche o private.
dbName Rinomina il database.
computeCount Ridimensionare i limiti di computazione.
autoScalingConfig Abilitare o disabilitare la scala automatica di computazione.
dataStorageSize Ridimensionare i limiti di storage.
autoScalingForStorageConfig Abilita o disabilita l'opzione di ridimensionamento automatico.
dbWorkload Modificare il tipo di carico di lavoro.
scheduleDbVersionUpgrade Impostare date specifiche o pianificazioni disponibili meno recenti per gli aggiornamenti della versione pianificata del database.
vanityUrl Impostare l'URL univoco o modificare i dettagli dell'URL univoco.
maintenanceScheduleType Passare alla pianificazione dell'applicazione delle patch tra le finestre di manutenzione early e regular.

Autorizzazioni IAM e operazioni API per Autonomous AI Database

Questo argomento descrive le autorizzazioni IAM disponibili per le operazioni su Autonomous AI Database.

Queste operazioni sono raggruppate in autorizzazioni per consentire ai ruoli standard di eseguire queste operazioni. Se sono necessarie autorizzazioni più granulari, queste possono essere combinate con operazioni secondarie e tipi di azione. UpdateAutonomousDatabase includeva diverse operazioni, ma possono essere limitate in base ai tipi di azione descritti nella sezione precedente.

Di seguito sono riportate le autorizzazioni IAM per Autonomous AI Database.

  • AUTONOMOUS_DATABASE_CONTENT_READ

  • AUTONOMOUS_DATABASE_CONTENT_WRITE

  • AUTONOMOUS_DATABASE_CREATE

    Per ulteriori limitazioni di duplicazione, vedere Autorizzazioni di duplicazione.

  • AUTONOMOUS_DATABASE_DELETE

  • AUTONOMOUS_DATABASE_INSPECT

  • AUTONOMOUS_DATABASE_UPDATE

  • AUTONOMOUS_DB_BACKUP_CONTENT_READ

  • AUTONOMOUS_DB_BACKUP_CREATE

  • AUTONOMOUS_DB_BACKUP_INSPECT

  • NETWORK_SECURITY_GROUP_UPDATE_MEMBERS

  • VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP

Criterio di esempio per un gruppo che dispone delle autorizzazioni per creare Oracle Autonomous AI Database in un compartimento: 

Allow group group-name to manage autonomous-database in compartment id compartment-ocid 
    where all{request.permission = 'AUTONOMOUS_DATABASE_UPDATE'}
Operazione API Autorizzazioni necessarie per utilizzare l'operazione

GenerateAutonomousDatabaseWallet

GetAutonomousDatabaseRegionalWallet

GetAutonomousDatabaseWallet

RetrieveDatabasePerformanceBulkData

 AUTONOMOUS_DATABASE_CONTENT_READ

CreateAutonomousDatabase

 AUTONOMOUS_DATABASE_CREATE

DeleteAutonomousDatabase

 AUTONOMOUS_DATABASE_DELETE

GetAutonomousDatabase

ListAutonomousDatabaseClones

ListAutonomousDatabasePeers

ListAutonomousDatabaseRefreshableClones

ListAutonomousDatabases

ResourcePoolShapes

 AUTONOMOUS_DATABASE_INSPECT

AutonomousDatabaseManualRefresh

ConfigureAutonomousDatabaseVaultKey

DeregisterAutonomousDatabaseDataSafe

DisableAutonomousDatabaseOperationsInsights

DisableDatabaseManagement

EnableAutonomousDatabaseOperationsInsights

EnableDatabaseManagement

FailOverAutonomousDatabase

RegisterAutonomousDatabaseDataSafe

RestartAutonomousDatabase

RotateAutonomousDatabaseEncryptionKey

ShrinkAutonomousDatabase

StartAutonomousDatabase

StopAutonomousDatabase

SwitchOverAutonomousDatabase

UpdateAutonomousDatabaseWallet

UpdateAutonomousDatabaseRegionalWallet

 AUTONOMOUS_DATABASE_UPDATE

GetAutonomousDatabaseBackup

ListAutonomousDatabaseBackups

 AUTONOMOUS_DB_BACKUP_INSPECT

UpdateAutonomousDatabaseBackup

 AUTONOMOUS_DB_BACKUP_UPDATE

CreateAutonomousDatabaseBackup

 AUTONOMOUS_DB_BACKUP_CREATE

AUTONOMOUS_DATABASE_CONTENT_READ

DeleteAutonomousDatabaseBackup

 AUTONOMOUS_DB_BACKUP_INSPECT

AUTONOMOUS_DB_BACKUP_DELETE

RestoreAutonomousDatabase

AUTONOMOUS_DB_BACKUP_INSPECT

AUTONOMOUS_DB_BACKUP_CONTENT_READ

AUTONOMOUS_DATABASE_CONTENT_WRITE

ChangeAutonomousDatabaseCompartment

Obbligatorio nel compartimento di origine e di destinazione:

AUTONOMOUS_DATABASE_UPDATE

AUTONOMOUS_DB_BACKUP_INSPECT

AUTONOMOUS_DB_BACKU_CREATE

AUTONOMOUS_DATABASE_CONTENT_WRITE

Obbligatorio sia nel compartimento di origine che nel compartimento di destinazione quando l'endpoint privato è abilitato:

WNIC_ASSOCIATE_NETOWRK_SECURITY_GROUP

NETWORK_SECURITY_GROUP_UPDATE_MEMBERS

UpdateAutonomousDatabase: utilizzare questa API per le modifiche o gli aggiornamenti per una delle operazioni riportate di seguito.

Nota

Per autorizzazioni più granulari, utilizzare queste operazioni secondarie come actiontype durante la definizione di un criterio per l'utente.
  • impostazione della password amministratore (adminPassword)
  • pianificazione avvio/arresto automatico (scheduledOperations)
  • gestire i contatti cliente (customerContacts)
  • modifica configurazione strumento (dbToolsDetails)
  • aggiornare le opzioni di licenza BYOL (licenseModel e byolComputeCountLimit)
  • aggiornare il nome visualizzato (displayName)
  • unire un pool elastico
  • aggiorna opzioni pool elastico
  • gestire le chiavi di cifratura
  • aggiornamento a Autonomous Data Guard per il disaster recovery (isLocalDataGuardEnabled e disasterRecoveryType)
  • modificare le modalità di operazione del database tra lettura o scrittura e sola lettura (openMode)
  • modificare gli IP nella lista di inclusione nelle liste di controllo dell'accesso di Autonomous AI Database per controllare l'accesso alla rete (whitelistedIps)
  • aggiornamento dell'accesso di rete con endpoint privato (privateEndpointLabel)
  • rinomina database (dbName)
  • limiti di calcolo della scala (computeCount)
  • gestire l'opzione di scala automatica di computazione (isAutoScalingEnabled)
  • limiti di storage in scala ( dataStorageSizeInTBs)
  • gestire le opzioni di scala automatica dello storage (isAutoScalingForStorageEnabled)
  • modifica tipo carico di lavoro (dbWorkload)

Tre casi possibili:

  • Se il Carico di Lavoro è NULL: AUTONOMOUS_DATABASE_UPDATE
  • Se il Carico di Lavoro non è NULL:

    AUTONOMOUS_DATABASE_CREATE

    AUTONOMOUS_DATABASE_UPDATE

  • Se l'applicazione di tag è abilitata:

    AUTONOMOUS_DATABASE_UPDATE

    AUTONOMOUS_DATABASE_INSPECT

ChangeAutonomousDatabaseSubscription

 richiede changeAutonomousDatabaseSubscription

SaasAdminUserStatus

richiede getSaasAdminUser

ConfigureSaasAdminUser

ListAutonomousDatabaseCharacterSets

ListAutonomousDatabaseMaintenanceWindows

 richiede updateSaasAdminUser

Duplicazione autorizzazioni

Le autorizzazioni IAM generali sono supportate per Autonomous AI Database. Inoltre, è possibile utilizzare target.autonomous-database.cloneType con i valori di autorizzazione supportati per controllare il livello di accesso, come mostrato nella tabella seguente.

Valore target.autonomous-database.cloneType Descrizione
CLONE-FULL

Consenti solo clone completo.
CLONE-METADATA

Consenti solo la copia dei metadati.
CLONE-REFRESHABLE

Consenti solo copia aggiornabile.
/CLONE*/

Consentire qualsiasi tipo di clone.

Criteri di esempio con i valori di autorizzazione target.autonomous-database.cloneType supportati: 

Allow group group-name to manage autonomous-databases in compartment id compartment-ocid 
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-FULL'}
Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-METADATA'}
Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-REFRESHABLE'}
Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = /CLONE*/}

Per ulteriori informazioni, vedere Autorizzazioni.

Fornire privilegi specifici nei criteri IAM per gestire Autonomous AI Database

Elenca i criteri IAM che è possibile utilizzare con un verbo di autorizzazione e una condizione per concedere operazioni più granulari a un gruppo.

Ad esempio, per consentire al gruppo MyGroup di avviare i database AI autonomi utilizzando l'API StartAutonomousDatabase: 

Allow MyGroup to manage autonomous-databases where request.operation = 'StartAutonomousDatabase'

Per ulteriori informazioni, vedere Verbi e Condizioni.

Elenco verbi autorizzazione
autonomousDatabaseManualRefresh
changeAutonomousDatabaseCompartment
changeAutonomousDatabaseSubscription
changeDisasterRecoveryConfiguration
configureAutonomousDatabaseVaultKey
configureSaasAdminUser
createAutonomousDatabase
createAutonomousDatabaseBackup
deleteAutonomousDatabase
deleteAutonomousDatabaseBackup
deregisterAutonomousDatabaseDataSafe
disableAutonomousDatabaseManagement
disableAutonomousDatabaseOperationsInsights
enableAutonomousDatabaseManagement
enableAutonomousDatabaseOperationsInsights
failOverAutonomousDatabase
generateAutonomousDatabaseWallet
getAutonomousDatabase
getAutonomousDatabaseBackup
getAutonomousDatabaseRegionalWallet
getAutonomousDatabaseWallet
listAutonomousDatabaseBackups
listAutonomousDatabaseCharacterSets
listAutonomousDatabaseClones
listAutonomousDatabaseMaintenanceWindows
listAutonomousDatabasePeers
listAutonomousDatabaseRefreshableClones
listAutonomousDatabases
registerAutonomousDatabaseDataSafe
resourcePoolShapes
restartAutonomousDatabase
restoreAutonomousDatabase
rotateAutonomousDatabaseEncryptionKey
SaasAdminUserStatus
shrinkAutonomousDatabase
startAutonomousDatabase
stopAutonomousDatabase
switchoverAutonomousDatabase
updateAutonomousDatabase
updateAutonomousDatabaseBackup
updateAutonomousDatabaseRegionalWallet
updateAutonomousDatabaseWallet

Il verbo autorizzazione updateAutonomousDatabase raggruppa i privilegi per utilizzare diverse operazioni API.

Operation
DeregisterAutonomousDatabaseDataSafe
DisableAutonomousDatabaseOperationsInsights
DisableDatabaseManagement
EnableAutonomousDatabaseOperationsInsights
RegisterAutonomousDatabaseDataSafe

Ad esempio:

Allow MyGroup to manage autonomous-databases where request.operation =  'updateAutonomousDatabase'