Criteri IAM per Autonomous AI Database su un'infrastruttura Exadata dedicata
In questo articolo vengono elencati i criteri IAM necessari per gestire le risorse dell'infrastruttura di Autonomous AI Database su un'infrastruttura Exadata dedicata.
Oracle Autonomous AI Database on Dedicated Exadata Infrastructure si basa sul servizio IAM (Identity and Access Management) per autenticare e autorizzare gli utenti cloud a eseguire operazioni che utilizzano qualsiasi interfaccia di Oracle Cloud Infrastructure (console, API REST, CLI o SDK). Il servizio IAM utilizza gruppi, compartimenti e criteri per controllare quali utenti cloud possono accedere a determinate risorse.
Dettagli dei criteri per Autonomous AI Database
In questo argomento vengono descritti i dettagli per la scrittura dei criteri per controllare l'accesso alle risorse di Autonomous AI Database.
Un criterio definisce il tipo di accesso di un gruppo di utenti a una risorsa specifica in un singolo compartimento. Per ulteriori informazioni, vedere Guida introduttiva ai criteri.
Suggerimento: per un criterio di esempio, vedere Consenti agli amministratori del database e della flotta di gestire i database AI autonomi.
Tipi di risorsa
Un tipo di risorsa aggregato copre l'elenco dei singoli tipi di risorsa che seguono direttamente. Ad esempio, scrivere un criterio per consentire a un gruppo di accedere a autonomous-database-family equivale a scrivere quattro criteri separati per il gruppo che concederebbero l'accesso ai tipi di risorse autonomous-databases, autonomous-backups, autonomous-container-databases e cloud-autonomous-vmclusters. Per ulteriori informazioni, vedere Tipi di risorse.
Tipi di risorse per Autonomous AI Database
Tipo di risorsa aggregato:
autonomous-database-family
Singoli tipi di risorse:
autonomous-databases
autonomous-backups
autonomous-container-databases
cloud-autonomous-vmclusters (solo distribuzioni di Oracle Public Cloud)
autonomous-vmclusters (solo distribuzioni Oracle Exadata Cloud@Customer)
autonomous-virtual-machine
Suggerimento: i tipi di risorse cloud-exadata-infrastructures e exadata-infrastructures necessari per eseguire il provisioning di Autonomous AI Database su Oracle Public Cloud ed Exadata Cloud@Customer rispettivamente sono coperti dal tipo di risorsa aggregato database-family. Per ulteriori informazioni sulle risorse coperte da database-family, vedere Dettagli dei criteri per le istanze di Exadata Cloud Service e Dettagli dei criteri per il servizio Base Database.
Variabili supportate
Sono supportate variabili generali. Per ulteriori informazioni, vedere Variabili generali per tutte le richieste.
Inoltre, è possibile utilizzare la variabile target.workloadType, come mostrato nella tabella seguente:
| valore target.workloadType | Descrizione |
|---|---|
OLTP |
Elaborazione delle transazioni online, utilizzata per i database AI autonomi con carico di lavoro Autonomous Transaction Processing. |
DW |
Data Warehouse, utilizzato per i database AI autonomi con carico di lavoro di Autonomous Data Warehouse. |
Criterio di esempio che utilizza la variabile target.workloadType:
Allow group ADB-Admins
to manage autonomous-database
in tenancy where target.workloadType = 'workload_type'Dettagli per le combinazioni verbo-tipo di risorsa
Il livello di accesso è cumulativo mentre si passa da inspect > read > use > manage. Un segno più (+) in una cella di tabella indica l'accesso incrementale rispetto alla cella direttamente sopra di essa, mentre "no extra" indica l'assenza di accesso incrementale.
Ad esempio, il verbo read per il tipo di risorsa autonomous-databases copre le stesse autorizzazioni e le stesse operazioni API del verbo inspect, oltre all'autorizzazione AUTONOMOUS_DATABASE_CONTENT_READ. Il verbo read copre parzialmente l'operazione CreateAutonomousDatabaseBackup, che richiede anche le autorizzazioni di gestione per autonomous-backups.
Le tabelle seguenti mostrano le autorizzazioni e le operazioni API coperte da ciascun verbo. Per informazioni sulle autorizzazioni, vedere Autorizzazioni.
Per i tipi di risorsa autonomous-database-family
Nota: la famiglia di risorse coperta da autonomous-database-family può essere utilizzata per concedere l'accesso alle risorse di database associate a tutti i tipi di carico di lavoro di Autonomous AI Database.
database autonomi
| Verbs | Autorizzazioni | API completamente coperte | API parzialmente coperte |
|---|---|---|---|
| ispeziona | AUTONOMOUS_DATABASE_INSPECT |
GetAutonomousDatabase, ListAutonomousDatabases |
nessuno |
| leggi |
|
nessun extra | CreateAutonomousDatabaseBackup (ha anche bisogno di manage autonomous-backups) |
| utilizzare |
|
UpdateAutonomousDatabase |
|
| gestire |
|
CreateAutonomousDatabase |
nessuno |
backup autonomi
| Verbs | Autorizzazioni | API completamente coperte | API parzialmente coperte |
|---|---|---|---|
| ispeziona | AUTONOMOUS_DB_BACKUP_INSPECT |
ListAutonomousDatabaseBackups, GetAutonomousDatabaseBackup |
nessuno |
| leggi |
|
nessun extra |
|
| utilizzare | LEGGI + nessun extra |
nessun extra | nessuno |
| gestire |
|
DeleteAutonomousDatabaseBackup |
CreateAutonomousDatabaseBackup (richiede anche read autonomous-databases) |
database autonomi-container
| Verbs | Autorizzazioni | API completamente coperte | API parzialmente coperte |
|---|---|---|---|
| ispeziona | AUTONOMOUS_CONTAINER_DATABASE_INSPECT |
ListAutonomousContainerDatabases, GetAutonomousContainerDatabase |
nessuno |
| leggi | ISPEZIONA + nessun extra |
nessun extra | nessuno |
| utilizzare | LEGGI +
|
|
CreateAutonomousDatabase (ha anche bisogno di manage autonomous-databases) |
| gestire |
|
nessun extra | CreateAutonomousContainerDatabase, TerminateAutonomousContainerDatabase (entrambi hanno bisogno anche di use cloud-autonomous-vmclusters, use cloud-exadata-infrastructures) |
cloud-autonomo-vmcluster
| Verbs | Autorizzazioni | API completamente coperte | API parzialmente coperte |
|---|---|---|---|
| ispeziona | CLOUD_AUTONOMOUS_VM_CLUSTER_INSPECT |
|
nessuno |
| leggi |
nessun extra |
nessun extra | nessuno |
| utilizzare | LEGGI +
|
|
|
| gestire |
|
nessun extra |
(entrambi hanno bisogno di |
cluster autonomi-vmc
| Verbs | Autorizzazioni | API completamente coperte | API parzialmente coperte |
|---|---|---|---|
| ispeziona | AUTONOMOUS_VM_CLUSTER_INSPECT |
|
ChangeAutonomousVmClusterCompartment |
| leggi | ISPEZIONA + nessun extra |
nessun extra | nessuno |
| utilizzare |
|
ChangeAutonomousVmClusterCompartment |
|
| gestire |
|
DeleteAutonomousVmCluster |
CreateAutonomousVmCluster |
virtual machine autonoma
| Verbs | Autorizzazioni | API completamente coperte | API parzialmente coperte |
|---|---|---|---|
| ispeziona | AUTONOMOUS_VIRTUAL_MACHINE_INSPECT |
|
nessuno |
Autorizzazioni necessarie per ogni operazione API
Autonomous Container Database (ACD) e Autonomous AI Database (ADB) sono risorse comuni tra le distribuzioni di Oracle Public Cloud, Multicloud ed Exadata Cloud@Customer. Pertanto, le relative autorizzazioni sono uguali per entrambe le distribuzioni nella tabella seguente.
Tuttavia, alcune operazioni ACD richiedono autorizzazioni a livello di AVMC e, poiché le risorse AVMC sono diverse per Oracle Public Cloud ed Exadata Cloud@Customer, sono necessarie autorizzazioni diverse per ciascun tipo di distribuzione. Ad esempio, per creare un ACD, è necessario:
-
Autorizzazioni AUTONOMOUS_VM_CLUSTER_UPDATE e AUTONOMOUS_CONTAINER_DATABASE_CREATE su Exadata Cloud@Customer.
-
Autorizzazioni CLOUD_AUTONOMOUS_VM_CLUSTER_UPDATE e AUTONOMOUS_CONTAINER_DATABASE_CREATE su Oracle Public Cloud e Multicloud.
Per informazioni sulle autorizzazioni, vedere Autorizzazioni.
La tabella riportata di seguito elenca le operazioni API per le risorse di Autonomous AI Database in un ordine logico, raggruppate per tipo di risorsa.
Operazioni API di Autonomous AI Database
Puoi utilizzare l'API per visualizzare e gestire le diverse risorse dell'infrastruttura di un Autonomous AI Database. Consulta la riferimento API per Autonomous AI Database su un'infrastruttura Exadata dedicata per una lista di endpoint API REST per gestire diverse risorse di Autonomous AI Database.
Limitazione dell'accesso utente a autorizzazioni specifiche
L'accesso utente è definito nelle istruzioni dei criteri IAM. Quando si crea un'istruzione criterio che consente a un gruppo di accedere a un determinato verbo e tipo di risorsa, si concede effettivamente a tale gruppo l'accesso a una o più autorizzazioni IAM predefinite. Lo scopo dei verbi è quello di semplificare il processo di concessione di più autorizzazioni correlate.
Se si desidera consentire o negare autorizzazioni IAM specifiche, aggiungere una condizione dove all'istruzione dei criteri. Ad esempio, per consentire a un gruppo di amministratori della flotta di eseguire qualsiasi operazione sulle risorse dell'infrastruttura Exadata tranne per eliminarle, è necessario creare questa istruzione criterio:
Allow group FleetAdmins to manage cloud-exadata-infrastructures in tenancy where request.permission != 'CLOUD_EXADATA_INFRASTRUCTURE_DELETE'Quindi, è possibile consentire a un gruppo più piccolo di amministratori della flotta di eseguire qualsiasi operazione (inclusa l'eliminazione) sulle risorse dell'infrastruttura Exadata omettendo la condizione where:
Allow group FleetSuperAdmins to manage cloud-exadata-infrastructures in tenancyPer ulteriori informazioni sull'uso della condizione where in questo modo, vedere la sezione "Scopia dell'accesso con autorizzazioni o operazioni API" di Autorizzazioni.
Criteri per gestire le risorse dell'infrastruttura Exadata
La tabella riportata di seguito elenca i criteri IAM necessari per consentire a un utente cloud di eseguire operazioni di gestione sulle risorse dell'infrastruttura Exadata.
| Operazione | Criteri IAM richiesti su Oracle Public Cloud e multicloud | Criteri IAM richiesti su Exadata Cloud@Customer |
|---|---|---|
| Creare una risorsa dell'infrastruttura Exadata |
|
manage exadata-infrastructures |
| Visualizzare una lista di risorse dell'infrastruttura Exadata | inspect cloud-exadata-infrastructures |
inspect exadata-infrastructures |
| Visualizza i dettagli di una risorsa dell'infrastruttura Exadata | inspect cloud-exadata-infrastructures |
inspect exadata-infrastructures |
| Modificare la pianificazione di manutenzione di una risorsa dell'infrastruttura Exadata | use cloud-exadata-infrastructures |
use exadata-infrastructures |
| Spostare una risorsa dell'infrastruttura Exadata in un altro compartimento | use cloud-exadata-infrastructures |
use exadata-infrastructures |
| Gestire i certificati di sicurezza per una risorsa dell'infrastruttura Exadata | manage cloud-exadata-infrastructures |
manage exadata-infrastructures |
| Arresta una risorsa dell'infrastruttura Exadata |
|
manage exadata-infrastructures |
Criteri per gestire i cluster VM Autonomous Exadata
La tabella riportata di seguito elenca i criteri IAM necessari per consentire a un utente cloud di eseguire operazioni di gestione sui cluster VM Autonomous Exadata.
| Operazione | Criteri IAM richiesti su Oracle Public Cloud e multicloud | Criteri IAM richiesti su Exadata Cloud@Customer |
|---|---|---|
| Creare un Cluster VM Autonomous Exadata |
|
|
| Visualizzare una lista di cluster VM Autonomous Exadata | inspect cloud-autonomous-vmclusters |
inspect autonomous-vmclusters |
| Visualizzare i dettagli di un cluster VM Autonomous Exadata | inspect cloud-autonomous-vmclusters |
inspect autonomous-vmclusters |
| Modificare il tipo di licenza di un cluster VM Autonomous | Non applicabile |
|
| Spostare un cluster VM Autonomous Exadata in un altro compartimento | use cloud-autonomous-vmclusters |
use autonomous-vmclusters |
| Arresta cluster VM Autonomous Exadata | manage cloud-autonomous-vmclusters |
manage autonomous-vmclusters |
Criteri per gestire gli Autonomous Container Database
La tabella riportata di seguito elenca i criteri IAM necessari per consentire a un utente cloud di eseguire operazioni di gestione sugli Autonomous Container Database (ACD).
| Operazione | Criteri IAM necessari |
|---|---|
| Creare un Autonomous Container Database |
|
| Visualizzare una lista di Autonomous Container Database | inspect autonomous-container-databases |
| Visualizzare i dettagli di un Autonomous Container Database | inspect autonomous-container-databases |
| Modificare il criterio di conservazione del backup di un Autonomous Container Database | use autonomous-container-databases |
| Modificare le preferenze di manutenzione di un Autonomous Container Database | use autonomous-container-databases |
| Riavviare un Autonomous Container Database | use autonomous-container-databases |
| Spostare Autonomous Container Database in un altro compartimento | use autonomous-container-databases |
| Ruotare una chiave di cifratura di Autonomous Container Database |
|
| Arresta un Autonomous Container database |
|
Criteri per gestire la configurazione di Autonomous Data Guard
La tabella riportata di seguito elenca i criteri IAM necessari per consentire a un utente cloud di eseguire operazioni di gestione sulle configurazioni di Autonomous Data Guard.
| Operazione | Criteri IAM necessari |
|---|---|
| Visualizzare i gruppi Autonomous Data Guard con un ACD. | inspect autonomous-container-databases |
| Elenca gli ACD abilitati con Autonomous Data Guard associati all'ACD o ad Autonomous AI Database specificati. | inspect autonomous-container-databases |
| Ripristinare il standby disabilitato su un ACD in standby attivo. |
|
| Cambia ruoli degli ACD primari e di standby. |
|
| Failover sull'ACD in standby. Questo ACD in standby diventerà il nuovo ACD primario quando il failover verrà completato correttamente. |
|
| Modifica le impostazioni di Autonomous Data Guard, ad esempio la modalità di protezione, il failover automatico e il limite di ritardo del failover di avvio rapido. |
|
| Ottenere un database abilitato per Autonomous Data Guard associato all'Autonomous AI Database specificato. | inspect autonomous-container-databases |
| Elenca i gruppi di Data Guard di Autonomous AI Database. | inspect autonomous-container-databases |
| Abilita Autonomous Data Guard su un ACD. |
|
| Converte l'ACD di standby tra l'ACD di standby fisico e quello di standby snapshot. |
|
Criteri per gestire i database AI autonomi
La tabella riportata di seguito elenca i criteri IAM necessari per consentire a un utente cloud di eseguire operazioni di gestione sui database AI autonomi.
| Operazione | Criteri IAM necessari |
|---|---|
| Creare un Autonomous AI Database |
|
| Visualizza una lista di database AI autonomi | inspect autonomous-databases |
| Visualizza i dettagli di un Autonomous AI Database | inspect autonomous-databases |
| Impostare la password di un utente ADMIN di Autonomous AI Database | use autonomous-databases |
| Ridimensiona il conteggio delle memorie centrali CPU o lo storage di un Autonomous AI Database | use autonomous-databases |
| Abilita o disabilita la scala automatica per un Autonomous AI Database | use autonomous-databases |
| Spostare un Autonomous AI Database in un altro compartimento |
|
| Arrestare o avviare un Autonomous AI Database | use autonomous-databases |
| Riavviare un Autonomous AI Database | use autonomous-databases |
| Eseguire manualmente il backup di un Autonomous AI Database |
|
| Ripristina un Autonomous AI Database |
|
| Duplica un Autonomous AI Database |
|
| Arresta un Autonomous AI Database | manage autonomous-databases |
Contenuto correlato
Controllo dell'accesso all'interno di Autonomous AI Database nell'infrastruttura Exadata dedicata