Criteri IAM per Autonomous Database

Fornisce informazioni sui criteri IAM necessari per le operazioni API su Autonomous Database.

Oracle Autonomous Database si basa sul servizio IAM (Identity and Access Management) per autenticare e autorizzare gli utenti cloud a eseguire operazioni che utilizzano qualsiasi interfaccia Oracle Cloud Infrastructure (la console, l'API REST, l'interfaccia CLI o l'SDK).

Il servizio IAM utilizza i gruppi, i compartimenti e i criteri per controllare quali utenti cloud possono accedere a quali risorse.

Dettagli dei criteri per Autonomous Database
In questo argomento vengono descritti i dettagli per la scrittura dei criteri per controllare l'accesso alle risorse di Autonomous Database.
Autorizzazioni IAM e operazioni API per Autonomous Database
In questo argomento vengono descritte le autorizzazioni IAM disponibili per le operazioni su Autonomous Database.
Fornire privilegi specifici nei criteri IAM per gestire Autonomous Database
Elenca i criteri IAM che è possibile utilizzare con un verbo di autorizzazione e una condizione per concedere operazioni più granulari a un gruppo.

Argomento padre: Sicurezza

Dettagli dei criteri per Autonomous Database

In questo argomento vengono descritti i dettagli per la scrittura dei criteri per controllare l'accesso alle risorse di Autonomous Database.

Un criterio definisce il tipo di accesso di un gruppo di utenti a una risorsa specifica in un singolo compartimento. Per ulteriori informazioni, consulta la guida introduttiva ai criteri.

Resource-Types

Un tipo di risorsa aggregato copre l'elenco dei singoli tipi di risorsa che seguono direttamente. Ad esempio, la scrittura di un criterio per consentire a un gruppo di accedere a autonomous-database-family equivale alla scrittura di quattro criteri separati per il gruppo che concederebbe l'accesso ai tipi di risorsa autonomous-databases e autonomous-backups. Per maggiori informazioni, vedere Resource-Types.

Tipi di risorsa per Autonomous Database

Tipo di risorsa aggregato:

autonomous-database-family

Tipi di singole risorse:

autonomous-databases

autonomous-backups

Dettagli per le combinazioni verbo-tipo di risorsa

Il livello di accesso è cumulativo quando si passa da inspect > read > use > manage. Un segno più (+) in una cella di tabella indica l'accesso incrementale rispetto alla cella direttamente sopra di essa, mentre "nessun extra" indica nessun accesso incrementale.

Ad esempio, il verbo read per il tipo di risorsa autonomous-databases copre le stesse autorizzazioni e le stesse operazioni API del verbo inspect, oltre all'autorizzazione AUTONOMOUS_DATABASE_CONTENT_READ. Il verbo read copre parzialmente l'operazione CreateAutonomousDatabaseBackup, che richiede anche le autorizzazioni di gestione per autonomous-backups.

Le tabelle seguenti mostrano le operazioni Autorizzazioni e API coperte da ciascun verbo. Per informazioni sulle autorizzazioni, vedere Autorizzazioni.

Nota

La famiglia di risorse coperta da autonomous-database-family può essere utilizzata per concedere l'accesso alle risorse di database associate a tutti i tipi di carico di lavoro di Autonomous Database.

Tipi di risorse database autonomi

Verbi	Autorizzazioni	API completamente coperte	API parzialmente coperte
ispezionare	`AUTONOMOUS_DATABASE_INSPECT`	`GetAutonomousDatabase, GetAutonomousDatabaseBackupConfig, GetAutonomousDatabaseCapability, ListAutonomousDatabases, ListAutonomousDatabaseClones, ListAutonomousDatabasePeers, ListAutonomousDatabaseRefreshableClones, ResourcePoolShapes`	nessuno
letto	`INSPECT +` `AUTONOMOUS_DATABASE_CONTENT_READ`	`GenerateAutonomousDatabasePerformanceData, GenerateAutonomousDatabaseWallet, GetAutonomousDatabaseRegionalWallet, GetAutonomousDatabaseWallet, RetrieveDatabasePerformanceBulkData`	`CreateAutonomousDatabaseBackup` (ha bisogno anche di `manage autonomous-backups`)
utilizzare	`READ +` `AUTONOMOUS_DATABASE_CONTENT_WRITE` `AUTONOMOUS_DATABASE_UPDATE`	AutonomousDatabaseManualRefresh, CancelAutonomousDatabaseSession, ChangeDisasterRecoveryConfiguration, ConfigureAutonomousDatabaseVaultKey, DeregisterAutonomousDatabaseDataSafe, DisableAutonomousDatabaseOperationsInsights, DisableDatabaseManagement, EnableAutonomousDatabaseOperationsInsights, EnableDatabaseManagement, FailOverAutonomousDatabase, GetAutonomousDatabaseConsoleToken, RegisterAutonomousDatabaseDataSafe, RestartAutonomousDatabase, RotateAutonomousDatabaseEncryptionKey, ShrinkAutonomousDatabase, StartAutonomousDatabase, StopAutonomousDatabase, SwitchOverAutonomousDatabase, UpdateAutonomousDatabaseRegionalWallet, UpdateAutonomousDatabase	`RestoreAutonomousDatabase` (ha bisogno anche di `read autonomous-backups`) `ChangeAutonomousDatabaseCompartment` (ha bisogno anche di `read autonomous-backups`)
gestisci	`USE +` `AUTONOMOUS_DATABASE_CREATE` `AUTONOMOUS_DATABASE_DELETE`	`CreateAutonomousDatabase, DeleteAutonomousDatabase`	nessuno

Lista di operazioni e criteri IAM necessari per gestire un'istanza di Autonomous Database

Operazione	Criteri IAM necessari
Aggiungi database peer	`use autonomous-databases`
Aggiungi attributi di sicurezza	`use autonomous-databases`
Modifica modello di calcolo	`use autonomous-databases`
Modifica modalità del database	`use autonomous-databases`
Modifica rete	`use autonomous-databases`
Modifica tipo di carico di lavoro	`use autonomous-databases`
Duplicare un Autonomous Database	`manage autonomous-databases` Per ulteriori autorizzazioni di duplicazione su Autonomous Database, vedere Autorizzazioni IAM e operazioni API per Autonomous Database.
Crea un Autonomous Database	`manage autonomous-databases` `read autonomous-databases`
Modifica configurazione strumenti di database	`use autonomous-databases`
Modifica pianificazione di inizio/arresto	`use autonomous-databases`
Abilita pool elastico	`use autonomous-databases`
Abilita o disabilita la scala automatica per un Autonomous Database	`use autonomous-databases`
Unisci pool elastico	`use autonomous-databases`
Gestisci contatti cliente	`use autonomous-databases`
Gestisci chiave di cifratura	`use autonomous-databases`
Spostare un Autonomous Database in un altro compartimento	`use autonomous-databases` nel compartimento corrente del database e nel compartimento in cui viene spostato `read autonomous-backups`
Rinomina Autonomous Database	`use autonomous-databases`
Riavviare un Autonomous Database	`use autonomous-databases`
Ripristina un Autonomous Database	`use autonomous-databases` `read autonomous-backups`
Ridimensionare il conteggio o lo storage ECPU di un Autonomous Database	`use autonomous-databases`
Impostazione password utente ADMIN	`use autonomous-databases`
Arrestare o avviare un Autonomous Database	`use autonomous-databases`
Switchover	`use autonomous-databases`
Termina un Autonomous Database	`manage autonomous-databases`
Aggiorna disaster recovery	`use autonomous-databases`
Aggiorna nome visualizzato	`use autonomous-databases`
Aggiorna licenza ed edizione del database Oracle	`use autonomous-databases`
Aggiornamento dell'accesso di rete per le ACL	`use autonomous-databases`
Aggiorna accesso di rete per un endpoint privato	`use autonomous-databases`
Visualizza una lista di database autonomi	`inspect autonomous-databases`
Visualizza i dettagli di un Autonomous Database	`inspect autonomous-databases`

backup autonomi

Verbi	Autorizzazioni	API completamente coperte	API parzialmente coperte
ispezionare	`AUTONOMOUS_DB_BACKUP_INSPECT`	`ListAutonomousDatabaseBackups, GetAutonomousDatabaseBackup`	nessuno
gestisci	`USE +` `AUTONOMOUS_DB_BACKUP_CREATE` `AUTONOMOUS_DB_BACKUP_DELETE`	`DeleteAutonomousDatabaseBackup`	`CreateAutonomousDatabaseBackup` (ha bisogno anche di `read autonomous-databases`)
letto	`INSPECT +` `AUTONOMOUS_DB_BACKUP_CONTENT_READ`	nessun altro	`RestoreAutonomousDatabase` (ha bisogno anche di `use autonomous-databases`) `ChangeAutonomousDatabaseCompartment` (ha bisogno anche di `use autonomous-databases`)
utilizzare	LETTURA + nessun altro	nessun altro	nessuno

Variabili supportate

Sono supportate tutte le variabili generali di OCI Identity and Access Management. Per ulteriori informazioni, vedere Variabili generali per tutte le richieste.

Inoltre, è possibile utilizzare la variabile target.id con l'OCID di un database dopo la creazione di un database e la variabile target.workloadType con un valore, come illustrato nella tabella riportata di seguito.

Valore target.workloadType	descrizione;
`OLTP`	Elaborazione delle transazioni online, utilizzata per i database autonomi con carico di lavoro di elaborazione delle transazioni.
`DW`	Data warehouse, utilizzato per database autonomi con carico di lavoro di data warehouse.
`AJD`	Autonomous JSON Database utilizzato per Autonomous Database con carico di lavoro JSON.
`APEX`	Servizio APEX utilizzato per il servizio APEX di Autonomous Database.

Criteri di esempio che utilizzano la variabile target.id:

Allow group ADB-Admins to manage autonomous-databases in tenancy where target.id = 'OCID'

Criteri di esempio che utilizzano la variabile target.workloadType:

Allow group ADB-Admins to manage autonomous-databases in tenancy where target.workloadType = 'AJD'

Argomento padre: Policy IAM per Autonomous Database

Autorizzazioni IAM e operazioni API per Autonomous Database

Questo argomento descrive le autorizzazioni IAM disponibili per le operazioni su Autonomous Database.

Di seguito sono riportate le autorizzazioni IAM per Autonomous Database.

AUTONOMOUS_DATABASE_CONTENT_READ
AUTONOMOUS_DATABASE_CONTENT_WRITE
AUTONOMOUS_DATABASE_CREATE

Per ulteriori limitazioni relative alla duplicazione, vedere Duplicazione delle autorizzazioni.
AUTONOMOUS_DATABASE_DELETE
AUTONOMOUS_DATABASE_INSPECT
AUTONOMOUS_DATABASE_UPDATE
AUTONOMOUS_DB_BACKUP_CONTENT_READ
AUTONOMOUS_DB_BACKUP_CREATE
AUTONOMOUS_DB_BACKUP_INSPECT
NETWORK_SECURITY_GROUP_UPDATE_MEMBERS
VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP

Criterio di esempio per un gruppo che dispone delle autorizzazioni per creare Autonomous Database in un compartimento:

Allow group group-name to manage autonomous-database in compartment id compartment-ocid 
    where all{request-permission = 'AUTONOMOUS_DATABASE_UPDATE'}

Autorizzazioni necessarie per utilizzare l'operazione	Operazione API
`AUTONOMOUS_DATABASE_CONTENT_READ`	`GenerateAutonomousDatabaseWallet` `GetAutonomousDatabaseRegionalWallet` `GetAutonomousDatabaseWallet` `RetrieveDatabasePerformanceBulkData`
`AUTONOMOUS_DATABASE_CREATE`	`CreateAutonomousDatabase`
`AUTONOMOUS_DATABASE_DELETE`	`DeleteAutonomousDatabase`
`AUTONOMOUS_DATABASE_INSPECT`	`GetAutonomousDatabase` `ListAutonomousDatabaseClones` `ListAutonomousDatabasePeers` `ListAutonomousDatabaseRefreshableClones` `ListAutonomousDatabases` `ResourcePoolShapes`
`AUTONOMOUS_DATABASE_UPDATE`	`AutonomousDatabaseManualRefresh` `ConfigureAutonomousDatabaseVaultKey` `DeregisterAutonomousDatabaseDataSafe` `DisableAutonomousDatabaseOperationsInsights` `DisableDatabaseManagement` `EnableAutonomousDatabaseOperationsInsights` `EnableDatabaseManagement` `FailOverAutonomousDatabase` `RegisterAutonomousDatabaseDataSafe` `RestartAutonomousDatabase` `RotateAutonomousDatabaseEncryptionKey` `ShrinkAutonomousDatabase` `StartAutonomousDatabase` `StopAutonomousDatabase` `SwitchOverAutonomousDatabase` `UpdateAutonomousDatabaseWallet` `UpdateAutonomousDatabaseRegionalWallet`
`AUTONOMOUS_DB_BACKUP_INSPECT`	`GetAutonomousDatabaseBackup` `ListAutonomousDatabaseBackups`
`AUTONOMOUS_DB_BACKUP_UPDATE`	`UpdateAutonomousDatabaseBackup`
`AUTONOMOUS_DB_BACKUP_CREATE` `AUTONOMOUS_DATABASE_CONTENT_READ`	`CreateAutonomousDatabaseBackup`
`AUTONOMOUS_DB_BACKUP_INSPECT` `AUTONOMOUS_DB_BACKUP_DELETE`	`DeleteAutonomousDatabaseBackup`
`AUTONOMOUS_DB_BACKUP_INSPECT` `AUTONOMOUS_DB_BACKUP_CONTENT_READ` `AUTONOMOUS_DATABASE_CONTENT_WRITE`	`RestoreAutonomousDatabase`
Obbligatorio per il compartimento di origine e di destinazione: `AUTONOMOUS_DATABASE_UPDATE` `AUTONOMOUS_DB_BACKUP_INSPECT` `AUTONOMOUS_DB_BACKU_CREATE` `AUTONOMOUS_DATABASE_CONTENT_WRITE` Obbligatorio sia nel compartimento di origine che nel compartimento di destinazione quando l'endpoint privato è abilitato: `WNIC_ASSOCIATE_NETOWRK_SECURITY_GROUP` `NETWORK_SECURITY_GROUP_UPDATE_MEMBERS`	`ChangeAutonomousDatabaseCompartment`
Tre casi possibili: Se il carico di lavoro è `NULL`: `AUTONOMOUS_DATABASE_UPDATE` Se il carico di lavoro non è `NULL`: `AUTONOMOUS_DATABASE_CREATE` `AUTONOMOUS_DATABASE_UPDATE` Se l'applicazione di tag è abilitata: `AUTONOMOUS_DATABASE_UPDATE` `AUTONOMOUS_DATABASE_INSPECT`	`UpdateAutonomousDatabase`: utilizzare questa API per modifiche o aggiornamenti per una qualsiasi delle operazioni riportate di seguito. impostazione password amministratore (`adminPassword`) pianificazione avvio/arresto automatico (`scheduledOperations`) gestire i contatti dei clienti (`customerContacts`) modificare la configurazione dello strumento (`dbToolsDetails`) aggiornare le opzioni di licenza BYOL (`licenseModel` e `byolComputeCountLimit`) aggiornare il nome visualizzato (`displayName`) unire un pool elastico aggiornare le opzioni del pool elastico gestire le chiavi di cifratura aggiornamento a Autonomous Data Guard per il disaster recovery (`isLocalDataGuardEnabled` e `disasterRecoveryType`) modifica della modalità di operazione del database di sola lettura/scrittura (`openMode`) aggiornare l'accesso alla rete con le ACL (`whitelistedIps`) aggiornare l'accesso di rete con l'endpoint privato (`privateEndpointLabel`) rinominare il database (`dbName`) limiti di calcolo della scala (`computeCount`) opzione di gestione della scala automatica della computazione (`isAutoScalingEnabled`) limiti di storage in scala ( `dataStorageSizeInTBs`) gestire le opzioni di scala automatica dello storage (`isAutoScalingForStorageEnabled`) modifica tipo di carico di lavoro (`dbWorkload`)
richiede `changeAutonomousDatabaseSubscription`	`ChangeAutonomousDatabaseSubscription`
richiede `getSaasAdminUser`	`SaasAdminUserStatus`
richiede `updateSaasAdminUser`	`ConfigureSaasAdminUser` `ListAutonomousDatabaseCharacterSets` `ListAutonomousDatabaseMaintenanceWindows`

Duplicazione autorizzazioni

Le autorizzazioni IAM generali sono supportate per Autonomous Database. È inoltre possibile utilizzare target.autonomous-database.cloneType con i valori di autorizzazione supportati per controllare il livello di accesso, come illustrato nella tabella riportata di seguito.

Valore target.autonomous-database.cloneType	descrizione;
`CLONE-FULL`	Consenti solo copia completa.
`CLONE-METADATA`	Consente solo la copia dei metadati.
`CLONE-REFRESHABLE`	Consenti solo copia aggiornabile.
`/CLONE*/`	Permettere qualsiasi tipo di clone.

Criteri di esempio con i valori di autorizzazione target.autonomous-database.cloneType supportati:

Allow group group-name to manage autonomous-databases in compartment id compartment-ocid 
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-FULL'}

Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-METADATA'}

Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-REFRESHABLE'}

Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = /CLONE*/}

Per ulteriori informazioni, vedere Autorizzazioni.

Argomento padre: Policy IAM per Autonomous Database

Fornire privilegi specifici nei criteri IAM per gestire Autonomous Database

Elenca i criteri IAM che è possibile utilizzare con un verbo di autorizzazione e una condizione per concedere operazioni più granulari a un gruppo.

Ad esempio, per consentire al gruppo MyGroup di avviare i database autonomi utilizzando l'API StartAutonomousDatabase:

Allow MyGroup to manage autonomous-databases where request.operation = 'StartAutonomousDatabase'

Per ulteriori informazioni, vedere Verbi e Condizioni.

Elenco verbi autorizzazione
`autonomousDatabaseManualRefresh`
`changeAutonomousDatabaseCompartment`
`changeAutonomousDatabaseSubscription`
`changeDisasterRecoveryConfiguration`
`configureAutonomousDatabaseVaultKey`
`configureSaasAdminUser`
`createAutonomousDatabase`
`createAutonomousDatabaseBackup`
`deleteAutonomousDatabase`
`deleteAutonomousDatabaseBackup`
`deregisterAutonomousDatabaseDataSafe`
`disableAutonomousDatabaseManagement`
`disableAutonomousDatabaseOperationsInsights`
`enableAutonomousDatabaseManagement`
`enableAutonomousDatabaseOperationsInsights`
`failOverAutonomousDatabase`
`generateAutonomousDatabaseWallet`
`getAutonomousDatabase`
`getAutonomousDatabaseBackup`
`getAutonomousDatabaseRegionalWallet`
`getAutonomousDatabaseWallet`
`listAutonomousDatabaseBackups`
`listAutonomousDatabaseCharacterSets`
`listAutonomousDatabaseClones`
`listAutonomousDatabaseMaintenanceWindows`
`listAutonomousDatabasePeers`
`listAutonomousDatabaseRefreshableClones`
`listAutonomousDatabases`
`registerAutonomousDatabaseDataSafe`
`resourcePoolShapes`
`restartAutonomousDatabase`
`restoreAutonomousDatabase`
`rotateAutonomousDatabaseEncryptionKey`
`SaasAdminUserStatus`
`shrinkAutonomousDatabase`
`startAutonomousDatabase`
`stopAutonomousDatabase`
`switchoverAutonomousDatabase`
`updateAutonomousDatabase`
`updateAutonomousDatabaseBackup`
`updateAutonomousDatabaseRegionalWallet`
`updateAutonomousDatabaseWallet`

Il verbo di autorizzazione updateAutonomousDatabase raggruppa i privilegi per utilizzare diverse operazioni API.

Operation
`DeregisterAutonomousDatabaseDataSafe`
`DisableAutonomousDatabaseOperationsInsights`
`DisableDatabaseManagement`
`EnableAutonomousDatabaseOperationsInsights`
`RegisterAutonomousDatabaseDataSafe`

Ad esempio:

Allow MyGroup to manage autonomous-databases where request.operation =  'updateAutonomousDatabase'

Argomento padre: Policy IAM per Autonomous Database

Documentazione di Oracle Cloud Infrastructure