Criteri IAM per Autonomous Database

Fornisce informazioni sui criteri IAM necessari per le operazioni API su Autonomous Database.

Oracle Autonomous Database si basa sul servizio IAM (Identity and Access Management) per autenticare e autorizzare gli utenti cloud a eseguire operazioni che utilizzano qualsiasi interfaccia di Oracle Cloud Infrastructure (console, API REST, CLI o SDK).

Il servizio IAM utilizza gruppi, compartimenti, e criteri per controllare quali utenti cloud possono accedere a quali risorse.

Dettagli dei criteri per Autonomous Database
In questo argomento vengono descritti i dettagli per la scrittura dei criteri per controllare l'accesso alle risorse di Autonomous Database.
Autorizzazioni IAM e operazioni API per Autonomous Database
Questo argomento descrive le autorizzazioni IAM disponibili per le operazioni su Autonomous Database.
Fornire privilegi specifici nei criteri IAM per gestire Autonomous Database
Elenca i criteri IAM che è possibile utilizzare con un verbo di autorizzazione e una condizione per concedere operazioni più granulari a un gruppo.

Argomento padre: Sicurezza

Dettagli dei criteri per Autonomous Database

In questo argomento vengono descritti i dettagli per la scrittura dei criteri per controllare l'accesso alle risorse di Autonomous Database.

Un criterio definisce il tipo di accesso di un gruppo di utenti a una risorsa specifica in un singolo compartimento. Per ulteriori informazioni, vedere Guida introduttiva ai criteri.

Tipi di risorsa

Un tipo di risorsa aggregato copre l'elenco dei singoli tipi di risorsa che seguono direttamente. Ad esempio, scrivere un criterio per consentire a un gruppo di accedere a autonomous-database-family equivale a scrivere quattro criteri separati per il gruppo che concede l'accesso ai tipi di risorse autonomous-databases e autonomous-backups. Per ulteriori informazioni, vedere Tipi di risorse.

Tipi di risorse per Autonomous Database

Tipo di risorsa aggregato:

autonomous-database-family

Singoli tipi di risorse:

autonomous-databases

autonomous-backups

Dettagli per le combinazioni verbo-tipo di risorsa

Il livello di accesso è cumulativo mentre si passa da inspect > read > use > manage. Un segno più (+) in una cella di tabella indica l'accesso incrementale rispetto alla cella direttamente sopra di essa, mentre "no extra" indica l'assenza di accesso incrementale.

Ad esempio, il verbo read per il tipo di risorsa autonomous-databases copre le stesse autorizzazioni e le stesse operazioni API del verbo inspect, oltre all'autorizzazione AUTONOMOUS_DATABASE_CONTENT_READ. Il verbo read copre parzialmente l'operazione CreateAutonomousDatabaseBackup, che richiede anche le autorizzazioni di gestione per autonomous-backups.

Le tabelle seguenti mostrano le autorizzazioni e le operazioni API coperte da ciascun verbo. Per informazioni sulle autorizzazioni, vedere Autorizzazioni.

Nota

La famiglia di risorse coperta da autonomous-database-family può essere utilizzata per concedere l'accesso alle risorse di database associate a tutti i tipi di carico di lavoro di Autonomous Database.

tipi di risorse di database autonomi

Verbs	Autorizzazioni	API completamente coperte	API parzialmente coperte
ispezionare	`AUTONOMOUS_DATABASE_INSPECT`	`GetAutonomousDatabase, GetAutonomousDatabaseBackupConfig, GetAutonomousDatabaseCapability, ListAutonomousDatabases, ListAutonomousDatabaseClones, ListAutonomousDatabasePeers, ListAutonomousDatabaseRefreshableClones, ResourcePoolShapes`	nessuno
leggi	`INSPECT +` `AUTONOMOUS_DATABASE_CONTENT_READ`	`GenerateAutonomousDatabasePerformanceData, GenerateAutonomousDatabaseWallet, GetAutonomousDatabaseRegionalWallet, GetAutonomousDatabaseWallet, RetrieveDatabasePerformanceBulkData`	`CreateAutonomousDatabaseBackup` (ha anche bisogno di `manage autonomous-backups`)
usa	`READ +` `AUTONOMOUS_DATABASE_CONTENT_WRITE` `AUTONOMOUS_DATABASE_UPDATE`	AutonomousDatabaseManualRefresh, CancelAutonomousDatabaseSession, ChangeDisasterRecoveryConfiguration, ConfigureAutonomousDatabaseVaultKey, DeregisterAutonomousDatabaseDataSafe, DisableAutonomousDatabaseOperationsInsights, DisableDatabaseManagement, EnableAutonomousDatabaseOperationsInsights, EnableDatabaseManagement, FailOverAutonomousDatabase, GetAutonomousDatabaseConsoleToken, RegisterAutonomousDatabaseDataSafe, RestartAutonomousDatabase, RotateAutonomousDatabaseEncryptionKey, ShrinkAutonomousDatabase, StartAutonomousDatabase, StopAutonomousDatabase, SwitchOverAutonomousDatabase, UpdateAutonomousDatabaseRegionalWallet, UpdateAutonomousDatabase	`RestoreAutonomousDatabase` (ha anche bisogno di `read autonomous-backups`) `ChangeAutonomousDatabaseCompartment` (ha anche bisogno di `read autonomous-backups`)
gestisci	`USE +` `AUTONOMOUS_DATABASE_CREATE` `AUTONOMOUS_DATABASE_DELETE`	`CreateAutonomousDatabase, DeleteAutonomousDatabase`	nessuno

Lista delle operazioni e dei criteri IAM necessari per gestire un'istanza di Autonomous Database

Operation	Criteri IAM necessari
Aggiungi database peer	`use autonomous-databases`
Aggiungi attributi di sicurezza	`use autonomous-databases`
Modifica modello di calcolo	`use autonomous-databases`
Modifica modalità del database	`use autonomous-databases`
Cambia rete	`use autonomous-databases`
Modifica tipo di carico di lavoro	`use autonomous-databases`
Duplicare un Autonomous Database	`manage autonomous-databases` Per ulteriori autorizzazioni di copia su Autonomous Database, vedere Autorizzazioni IAM e operazioni API per Autonomous Database.
Crea un Autonomous Database	`manage autonomous-databases` `read autonomous-databases`
Modifica configurazione strumenti di database	`use autonomous-databases`
Modifica pianificazione avvio/arresto	`use autonomous-databases`
Abilita pool elastico	`use autonomous-databases`
Abilita o disabilita la scala automatica per un Autonomous Database	`use autonomous-databases`
Unisci pool elastico	`use autonomous-databases`
Gestisci contatti cliente	`use autonomous-databases`
Gestisci chiave di cifratura	`use autonomous-databases`
Spostare un Autonomous Database in un altro compartimento	`use autonomous-databases` nel compartimento corrente del database e nel compartimento in cui si sta spostando `read autonomous-backups`
Rinominare un Autonomous Database	`use autonomous-databases`
Riavviare un Autonomous Database	`use autonomous-databases`
Ripristinare un Autonomous Database	`use autonomous-databases` `read autonomous-backups`
Ridimensiona il conteggio ECPU o lo storage di un Autonomous Database	`use autonomous-databases`
Imposta password utente ADMIN	`use autonomous-databases`
Arrestare o avviare un Autonomous Database	`use autonomous-databases`
Switchover	`use autonomous-databases`
Arresta un Autonomous Database	`manage autonomous-databases`
Aggiorna disaster recovery	`use autonomous-databases`
Aggiorna nome visualizzato	`use autonomous-databases`
Aggiorna licenza ed edizione del database Oracle	`use autonomous-databases`
Aggiornamento dell'accesso alla rete per le ACL	`use autonomous-databases`
Aggiornare l'accesso di rete per un endpoint privato	`use autonomous-databases`
Visualizzare una lista di database autonomi	`inspect autonomous-databases`
Visualizzare i dettagli di un Autonomous Database	`inspect autonomous-databases`

backup autonomi

Verbs	Autorizzazioni	API completamente coperte	API parzialmente coperte
ispezionare	`AUTONOMOUS_DB_BACKUP_INSPECT`	`ListAutonomousDatabaseBackups, GetAutonomousDatabaseBackup`	nessuno
gestisci	`USE +` `AUTONOMOUS_DB_BACKUP_CREATE` `AUTONOMOUS_DB_BACKUP_DELETE`	`DeleteAutonomousDatabaseBackup`	`CreateAutonomousDatabaseBackup` (ha anche bisogno di `read autonomous-databases`)
leggi	`INSPECT +` `AUTONOMOUS_DB_BACKUP_CONTENT_READ`	nessun extra	`RestoreAutonomousDatabase` (ha anche bisogno di `use autonomous-databases`) `ChangeAutonomousDatabaseCompartment` (ha anche bisogno di `use autonomous-databases`)
usa	LEGGI + nessun extra	nessun extra	nessuno

Variabili supportate

Tutte le variabili generali di OCI Identity and Access Management sono supportate. Per ulteriori informazioni, vedere Variabili generali per tutte le richieste.

Inoltre, è possibile utilizzare la variabile target.id con l'OCID di un database dopo la creazione di un database e la variabile target.workloadType con un valore come mostrato nella tabella seguente:

Valore target.workloadType	Descrizione
`OLTP`	Elaborazione delle transazioni online, utilizzata per i database autonomi con carico di lavoro di Transaction Processing.
`DW`	Data Warehouse, utilizzato per i database autonomi con carico di lavoro di Data Warehouse.
`AJD`	Autonomous JSON Database utilizzato per gli Autonomous Database con carico di lavoro JSON.
`APEX`	Servizio APEX utilizzato per Autonomous Database APEX Service.

Esempio di criterio che utilizza la variabile target.id:

Allow group ADB-Admins to manage autonomous-databases in tenancy where target.id = 'OCID'

Esempio di criterio che utilizza la variabile target.workloadType:

Allow group ADB-Admins to manage autonomous-databases in tenancy where target.workloadType = 'AJD'

Argomento padre: Policy IAM per Autonomous Database

Autorizzazioni IAM e operazioni API per Autonomous Database

Questo argomento descrive le autorizzazioni IAM disponibili per le operazioni su Autonomous Database.

Di seguito sono riportate le autorizzazioni IAM per Autonomous Database.

AUTONOMOUS_DATABASE_CONTENT_READ
AUTONOMOUS_DATABASE_CONTENT_WRITE
AUTONOMOUS_DATABASE_CREATE

Per ulteriori limitazioni di duplicazione, vedere Autorizzazioni di duplicazione.
AUTONOMOUS_DATABASE_DELETE
AUTONOMOUS_DATABASE_INSPECT
AUTONOMOUS_DATABASE_UPDATE
AUTONOMOUS_DB_BACKUP_CONTENT_READ
AUTONOMOUS_DB_BACKUP_CREATE
AUTONOMOUS_DB_BACKUP_INSPECT
NETWORK_SECURITY_GROUP_UPDATE_MEMBERS
VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP

Criterio di esempio per un gruppo che dispone delle autorizzazioni per creare Autonomous Database in un compartimento:

Allow group group-name to manage autonomous-database in compartment id compartment-ocid 
    where all{request.permission = 'AUTONOMOUS_DATABASE_UPDATE'}

Autorizzazioni necessarie per utilizzare l'operazione	Operazione API
`AUTONOMOUS_DATABASE_CONTENT_READ`	`GenerateAutonomousDatabaseWallet` `GetAutonomousDatabaseRegionalWallet` `GetAutonomousDatabaseWallet` `RetrieveDatabasePerformanceBulkData`
`AUTONOMOUS_DATABASE_CREATE`	`CreateAutonomousDatabase`
`AUTONOMOUS_DATABASE_DELETE`	`DeleteAutonomousDatabase`
`AUTONOMOUS_DATABASE_INSPECT`	`GetAutonomousDatabase` `ListAutonomousDatabaseClones` `ListAutonomousDatabasePeers` `ListAutonomousDatabaseRefreshableClones` `ListAutonomousDatabases` `ResourcePoolShapes`
`AUTONOMOUS_DATABASE_UPDATE`	`AutonomousDatabaseManualRefresh` `ConfigureAutonomousDatabaseVaultKey` `DeregisterAutonomousDatabaseDataSafe` `DisableAutonomousDatabaseOperationsInsights` `DisableDatabaseManagement` `EnableAutonomousDatabaseOperationsInsights` `EnableDatabaseManagement` `FailOverAutonomousDatabase` `RegisterAutonomousDatabaseDataSafe` `RestartAutonomousDatabase` `RotateAutonomousDatabaseEncryptionKey` `ShrinkAutonomousDatabase` `StartAutonomousDatabase` `StopAutonomousDatabase` `SwitchOverAutonomousDatabase` `UpdateAutonomousDatabaseWallet` `UpdateAutonomousDatabaseRegionalWallet`
`AUTONOMOUS_DB_BACKUP_INSPECT`	`GetAutonomousDatabaseBackup` `ListAutonomousDatabaseBackups`
`AUTONOMOUS_DB_BACKUP_UPDATE`	`UpdateAutonomousDatabaseBackup`
`AUTONOMOUS_DB_BACKUP_CREATE` `AUTONOMOUS_DATABASE_CONTENT_READ`	`CreateAutonomousDatabaseBackup`
`AUTONOMOUS_DB_BACKUP_INSPECT` `AUTONOMOUS_DB_BACKUP_DELETE`	`DeleteAutonomousDatabaseBackup`
`AUTONOMOUS_DB_BACKUP_INSPECT` `AUTONOMOUS_DB_BACKUP_CONTENT_READ` `AUTONOMOUS_DATABASE_CONTENT_WRITE`	`RestoreAutonomousDatabase`
Obbligatorio nel compartimento di origine e di destinazione: `AUTONOMOUS_DATABASE_UPDATE` `AUTONOMOUS_DB_BACKUP_INSPECT` `AUTONOMOUS_DB_BACKU_CREATE` `AUTONOMOUS_DATABASE_CONTENT_WRITE` Obbligatorio sia nel compartimento di origine che nel compartimento di destinazione quando l'endpoint privato è abilitato: `WNIC_ASSOCIATE_NETOWRK_SECURITY_GROUP` `NETWORK_SECURITY_GROUP_UPDATE_MEMBERS`	`ChangeAutonomousDatabaseCompartment`
Tre casi possibili: Se il Carico di Lavoro è `NULL`: `AUTONOMOUS_DATABASE_UPDATE` Se il Carico di Lavoro non è `NULL`: `AUTONOMOUS_DATABASE_CREATE` `AUTONOMOUS_DATABASE_UPDATE` Se l'applicazione di tag è abilitata: `AUTONOMOUS_DATABASE_UPDATE` `AUTONOMOUS_DATABASE_INSPECT`	`UpdateAutonomousDatabase`: utilizzare questa API per le modifiche o gli aggiornamenti per una delle operazioni riportate di seguito. impostazione della password amministratore (`adminPassword`) pianificazione avvio/arresto automatico (`scheduledOperations`) gestire i contatti cliente (`customerContacts`) modifica configurazione strumento (`dbToolsDetails`) aggiornare le opzioni di licenza BYOL (`licenseModel` e `byolComputeCountLimit`) aggiornare il nome visualizzato (`displayName`) unire un pool elastico aggiorna opzioni pool elastico gestire le chiavi di cifratura aggiornamento a Autonomous Data Guard per il disaster recovery (`isLocalDataGuardEnabled` e `disasterRecoveryType`) modifica modalità operazione database di sola lettura/scrittura (`openMode`) aggiornare l'accesso alla rete con le ACL (`whitelistedIps`) aggiornamento dell'accesso di rete con endpoint privato (`privateEndpointLabel`) rinomina database (`dbName`) limiti di calcolo della scala (`computeCount`) gestire l'opzione di scala automatica di computazione (`isAutoScalingEnabled`) limiti di storage in scala ( `dataStorageSizeInTBs`) gestire le opzioni di scala automatica dello storage (`isAutoScalingForStorageEnabled`) modifica tipo carico di lavoro (`dbWorkload`)
richiede `changeAutonomousDatabaseSubscription`	`ChangeAutonomousDatabaseSubscription`
richiede `getSaasAdminUser`	`SaasAdminUserStatus`
richiede `updateSaasAdminUser`	`ConfigureSaasAdminUser` `ListAutonomousDatabaseCharacterSets` `ListAutonomousDatabaseMaintenanceWindows`

Duplicazione autorizzazioni

Le autorizzazioni IAM generali sono supportate per Autonomous Database. Inoltre, è possibile utilizzare target.autonomous-database.cloneType con i valori di autorizzazione supportati per controllare il livello di accesso, come mostrato nella tabella seguente.

Valore target.autonomous-database.cloneType	Descrizione
`CLONE-FULL`	Consenti solo clone completo.
`CLONE-METADATA`	Consenti solo la copia dei metadati.
`CLONE-REFRESHABLE`	Consenti solo copia aggiornabile.
`/CLONE*/`	Consentire qualsiasi tipo di clone.

Criteri di esempio con i valori di autorizzazione target.autonomous-database.cloneType supportati:

Allow group group-name to manage autonomous-databases in compartment id compartment-ocid 
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-FULL'}

Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-METADATA'}

Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-REFRESHABLE'}

Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = /CLONE*/}

Per ulteriori informazioni, vedere Autorizzazioni.

Argomento padre: Policy IAM per Autonomous Database

Fornire privilegi specifici nei criteri IAM per gestire Autonomous Database

Elenca i criteri IAM che è possibile utilizzare con un verbo di autorizzazione e una condizione per concedere operazioni più granulari a un gruppo.

Ad esempio, per consentire al gruppo MyGroup di avviare i database autonomi utilizzando l'API StartAutonomousDatabase:

Allow MyGroup to manage autonomous-databases where request.operation = 'StartAutonomousDatabase'

Per ulteriori informazioni, vedere Verbi e Condizioni.

Elenco verbi autorizzazione
`autonomousDatabaseManualRefresh`
`changeAutonomousDatabaseCompartment`
`changeAutonomousDatabaseSubscription`
`changeDisasterRecoveryConfiguration`
`configureAutonomousDatabaseVaultKey`
`configureSaasAdminUser`
`createAutonomousDatabase`
`createAutonomousDatabaseBackup`
`deleteAutonomousDatabase`
`deleteAutonomousDatabaseBackup`
`deregisterAutonomousDatabaseDataSafe`
`disableAutonomousDatabaseManagement`
`disableAutonomousDatabaseOperationsInsights`
`enableAutonomousDatabaseManagement`
`enableAutonomousDatabaseOperationsInsights`
`failOverAutonomousDatabase`
`generateAutonomousDatabaseWallet`
`getAutonomousDatabase`
`getAutonomousDatabaseBackup`
`getAutonomousDatabaseRegionalWallet`
`getAutonomousDatabaseWallet`
`listAutonomousDatabaseBackups`
`listAutonomousDatabaseCharacterSets`
`listAutonomousDatabaseClones`
`listAutonomousDatabaseMaintenanceWindows`
`listAutonomousDatabasePeers`
`listAutonomousDatabaseRefreshableClones`
`listAutonomousDatabases`
`registerAutonomousDatabaseDataSafe`
`resourcePoolShapes`
`restartAutonomousDatabase`
`restoreAutonomousDatabase`
`rotateAutonomousDatabaseEncryptionKey`
`SaasAdminUserStatus`
`shrinkAutonomousDatabase`
`startAutonomousDatabase`
`stopAutonomousDatabase`
`switchoverAutonomousDatabase`
`updateAutonomousDatabase`
`updateAutonomousDatabaseBackup`
`updateAutonomousDatabaseRegionalWallet`
`updateAutonomousDatabaseWallet`

Il verbo autorizzazione updateAutonomousDatabase raggruppa i privilegi per utilizzare diverse operazioni API.

Operation
`DeregisterAutonomousDatabaseDataSafe`
`DisableAutonomousDatabaseOperationsInsights`
`DisableDatabaseManagement`
`EnableAutonomousDatabaseOperationsInsights`
`RegisterAutonomousDatabaseDataSafe`

Ad esempio:

Allow MyGroup to manage autonomous-databases where request.operation =  'updateAutonomousDatabase'

Argomento padre: Policy IAM per Autonomous Database

Documentazione dell'infrastruttura Oracle Cloud

Criteri IAM per Autonomous Database

Dettagli dei criteri per Autonomous Database

Autorizzazioni IAM e operazioni API per Autonomous Database

Fornire privilegi specifici nei criteri IAM per gestire Autonomous Database