Criteri IAM per Autonomous Database sull'infrastruttura Exadata dedicata

In questo articolo vengono elencati i criteri IAM necessari per gestire le risorse dell'infrastruttura di Autonomous Database su un'infrastruttura Exadata dedicata.

Oracle Autonomous Database on Dedicated Exadata Infrastructure si basa sul servizio IAM (Identity and Access Management) per autenticare e autorizzare gli utenti cloud a eseguire operazioni che utilizzano qualsiasi interfaccia Oracle Cloud Infrastructure (la console, l'API REST, l'interfaccia CLI o l'SDK). Il servizio IAM utilizza i gruppi, i compartimenti e i criteri per controllare quali utenti cloud possono accedere a quali risorse.

Dettagli dei criteri per Autonomous Database

In questo argomento vengono descritti i dettagli per la scrittura dei criteri per controllare l'accesso alle risorse di Autonomous Database.

Un criterio definisce il tipo di accesso di un gruppo di utenti a una risorsa specifica in un singolo compartimento. Per ulteriori informazioni, consulta la Guida introduttiva ai criteri.

Tipi risorsa

Un tipo di risorsa aggregato copre l'elenco dei singoli tipi di risorsa che seguono direttamente. Ad esempio, la scrittura di un criterio per consentire a un gruppo di accedere a autonomous-database-family equivale alla scrittura di quattro criteri separati per il gruppo che concederebbero l'accesso ai tipi di risorsa autonomous-databases, autonomous-backups, autonomous-container-databases e cloud-autonomous-vmclusters. Per maggiori informazioni, vedere Resource-Types.

Tipi di risorsa per Autonomous Database

Tipo di risorsa aggregata:

autonomous-database-family

Singolo tipo di risorsa:

autonomous-databases

autonomous-backups

autonomous-container-databases

cloud-autonomous-vmclusters (solo distribuzioni di Oracle Public Cloud)

autonomous-vmclusters (solo implementazioni di Oracle Exadata Cloud@Customer)

autonomous-virtual-machine

Suggerimento

I tipi di risorsa cloud-exadata-infrastructures e exadata-infrastructures necessari per eseguire il provisioning di Autonomous Database su Oracle Public Cloud e Exadata Cloud@Customer rispettivamente sono coperti dal tipo di risorsa aggregato database-family. Per ulteriori informazioni sulle risorse coperte da database-family, vedere Dettagli dei criteri per le istanze di Exadata Cloud Service e Dettagli dei criteri per Base Database Service.

Variabili supportate

Sono supportate variabili generali. Per ulteriori informazioni, vedere Variabili generali per tutte le richieste.

È inoltre possibile utilizzare la variabile target.workloadType, come illustrato nella tabella riportata di seguito.

Valore target.workloadType Descrizione
OLTP Elaborazione delle transazioni online, utilizzata per gli Autonomous Database con il carico di lavoro di Autonomous Transaction Processing.
DW Data Warehouse, utilizzato per gli Autonomous Database con carico di lavoro di Autonomous Data Warehouse.
Criteri di esempio che utilizzano la variabile target.workloadType:
Allow group ADB-Admins 
to manage autonomous-database 
in tenancy where target.workloadType = 'workload_type'

Dettagli per le combinazioni verbo-tipo di risorsa

Il livello di accesso è cumulativo quando si passa da inspect > read > use > manage. Un segno più (+) in una cella di tabella indica l'accesso incrementale rispetto alla cella direttamente sopra di essa, mentre "nessun extra" indica nessun accesso incrementale.

Ad esempio, il verbo read per il tipo di risorsa autonomous-databases copre le stesse autorizzazioni e le stesse operazioni API del verbo inspect, oltre all'autorizzazione AUTONOMOUS_DATABASE_CONTENT_READ. Il verbo read copre parzialmente l'operazione CreateAutonomousDatabaseBackup, che richiede anche le autorizzazioni di gestione per autonomous-backups.

Le tabelle seguenti mostrano le operazioni Autorizzazioni e API coperte da ciascun verbo. Per informazioni sulle autorizzazioni, vedere Autorizzazioni.

Per i tipi di risorsa autonomous-database-family

Nota

La famiglia di risorse coperta da famiglia-database-autonoma può essere utilizzata per concedere l'accesso alle risorse di database associate a tutti i tipi di carico di lavoro di Autonomous Database.
database autonomi
Verbs Autorizzazioni API completamente coperte API parzialmente coperte

ispezionare

AUTONOMOUS_DATABASE_INSPECT

GetAutonomousDatabase, ListAutonomousDatabases

nessuno

letto

INSPECT +

AUTONOMOUS_DATABASE_CONTENT_READ

nessun altro

CreateAutonomousDatabaseBackup (ha bisogno anche di manage autonomous-backups)

utilizzare

READ +

AUTONOMOUS_DATABASE_CONTENT_WRITE

AUTONOMOUS_DATABASE_UPDATE

UpdateAutonomousDatabase

RestoreAutonomousDatabase (ha bisogno anche di read autonomous-backups)

ChangeAutonomousDatabaseCompartment (ha bisogno anche di read autonomous-backups)

gestire

USE +

AUTONOMOUS_DATABASE_CREATE

AUTONOMOUS_DATABASE_DELETE

CreateAutonomousDatabase

nessuno

backup autonomi
Verbs Autorizzazioni API completamente coperte API parzialmente coperte

ispezionare

AUTONOMOUS_DB_BACKUP_INSPECT

ListAutonomousDatabaseBackups, GetAutonomousDatabaseBackup

nessuno

letto

INSPECT +

AUTONOMOUS_DB_BACKUP_CONTENT_READ

nessun altro

RestoreAutonomousDatabase (ha bisogno anche di use autonomous-databases)

ChangeAutonomousDatabaseCompartment (ha bisogno anche di use autonomous-databases)

utilizzare

LETTURA +

nessun altro

nessun altro

nessuno

gestire

USE +

AUTONOMOUS_DB_BACKUP_CREATE

AUTONOMOUS_DB_BACKUP_DELETE

DeleteAutonomousDatabaseBackup

CreateAutonomousDatabaseBackup (ha bisogno anche di read autonomous-databases)

autonomous-container-databases
Verbs Autorizzazioni API completamente coperte API parzialmente coperte

ispezionare

AUTONOMOUS_CONTAINER_DATABASE_INSPECT

ListAutonomousContainerDatabases, GetAutonomousContainerDatabase

nessuno

letto

ISPEZIONA +

nessun altro

nessun altro

nessuno

utilizzare

LETTURA +

AUTONOMOUS_CONTAINER_DATABASE_UPDATE

UpdateAutonomousContainerDatabase

ChangeAutonomousContainerDatabaseCompartment

CreateAutonomousDatabase (ha bisogno anche di manage autonomous-databases)

gestire

USE +

AUTONOMOUS_CONTAINER_DATABASE_CREATE

AUTONOMOUS_CONTAINER_DATABASE_DELETE

nessun altro

CreateAutonomousContainerDatabase, TerminateAutonomousContainerDatabase (entrambi richiedono use cloud-autonomous-vmclusters, use cloud-exadata-infrastructures)

cluster VM autonomi cloud
Verbs Autorizzazioni API completamente coperte API parzialmente coperte

ispezionare

CLOUD_AUTONOMOUS_VM_CLUSTER_INSPECT

ListCloudAutonomousVmClusters

GetCloudAutonomousVmCluster

nessuno

letto

INSPECT +

nessun altro

nessun altro

nessuno

utilizzare

LETTURA +

CLOUD_AUTONOMOUS_VM_CLUSTER_UPDATE

UpdateCloudAutonomousVmCluster

ChangeCloudAutonomousVmClusterCompartment

CreateAutonomousDatabase (ha bisogno anche di manage autonomous-databases)

CreateAutonomousContainerDatabase (ha bisogno anche di manage autonomous-container-databases)

gestire

USE +

CLOUD_AUTONOMOUS_VM_CLUSTER_CREATE

CLOUD_AUTONOMOUS_VM_CLUSTER_DELETE

nessun altro

CreateCloudAutonomousVmCluster, DeleteCloudAutonomousVmCluster

(entrambi richiedono use vnics, use subnets, use cloud-exadata-infrastructures)

cluster VM autonomi

Verbs Autorizzazioni API completamente coperte API parzialmente coperte
ispezionare

AUTONOMOUS_VM_CLUSTER_INSPECT

ListAutonomousVmClusters

GetAutonomousVmCluster

ChangeAutonomousVmClusterCompartment

letto

ISPEZIONA +

nessun altro

nessun altro

nessuno

utilizzare

READ +

AUTONOMOUS_VM_CLUSTER_UPDATE

ChangeAutonomousVmClusterCompartment

UpdateAutonomousVmCluster

CreateAutonomousContainerDatabase

TerminateAutonomousContainerDatabase

gestire

USE +

AUTONOMOUS_VM_CLUSTER_CREATE +

AUTONOMOUS_VM_CLUSTER_DELETE

DeleteAutonomousVmCluster

CreateAutonomousVmCluster

macchina-virtuale-autonoma
Verbs Autorizzazioni API completamente coperte API parzialmente coperte
ispezionare AUTONOMOUS_VIRTUAL_MACHINE_INSPECT

GetAutonomousVirtualMachine

ListAutonomousVirtualMachines

nessuno

Autorizzazioni necessarie per ogni operazione API

Autonomous Container Database (ACD) e Autonomous Database (ADB) sono risorse comuni tra le distribuzioni di Oracle Public Cloud, Multicloud e Exadata Cloud@Customer. Pertanto, le relative autorizzazioni sono uguali per entrambe le distribuzioni nella tabella seguente.

Tuttavia, alcune operazioni ACD richiedono autorizzazioni a livello di AVMC e, poiché le risorse AVMC sono diverse per Oracle Public Cloud ed Exadata Cloud@Customer, è necessario disporre di autorizzazioni diverse per ogni tipo di distribuzione. Ad esempio, per creare un ACD, è necessario:
  • Autorizzazioni AUTONOMOUS_VM_CLUSTER_UPDATE e AUTONOMOUS_CONTAINER_DATABASE_CREATE su Exadata Cloud@Customer.

  • Autorizzazioni CLOUD_AUTONOMOUS_VM_CLUSTER_UPDATE e AUTONOMOUS_CONTAINER_DATABASE_CREATE su Oracle Public Cloud e Multicloud.

Per informazioni sulle autorizzazioni, vedere Autorizzazioni.

La tabella riportata di seguito elenca le operazioni API per le risorse di Autonomous Database in ordine logico, raggruppate per tipo di risorsa.

Operazioni API Autonomous Database

Puoi utilizzare l'API per visualizzare e gestire le diverse risorse dell'infrastruttura di un Autonomous Database. Consulta il riferimento API per Autonomous Database sull'infrastruttura Exadata dedicata per una lista di endpoint API REST per gestire diverse risorse di Autonomous Database.

Limitazione dell'accesso utente a autorizzazioni specifiche

L'accesso utente è definito nelle istruzioni dei criteri IAM. Quando si crea un'istruzione criterio che consente a un gruppo di accedere a un verbo e a un tipo di risorsa specifici, in realtà si concede a tale gruppo l'accesso a una o più autorizzazioni IAM predefinite. Lo scopo dei verbi è quello di semplificare il processo di concessione di più autorizzazioni correlate.

Se si desidera consentire o negare autorizzazioni IAM specifiche, aggiungere una condizione where all'istruzione del criterio. Ad esempio, per consentire a un gruppo di amministratori della flotta di eseguire qualsiasi operazione sulle risorse dell'infrastruttura Exadata tranne per eliminarle, creare questa istruzione dei criteri:

Allow group FleetAdmins to manage cloud-exadata-infrastructures in tenancy where request.permission != 'CLOUD_EXADATA_INFRASTRUCTURE_DELETE'

Successivamente, potresti consentire a un gruppo più piccolo di amministratori della flotta di eseguire qualsiasi operazione (inclusa l'eliminazione) sulle risorse dell'infrastruttura Exadata omettendo la condizione where:

Allow group FleetSuperAdmins to manage cloud-exadata-infrastructures in tenancy

Per ulteriori informazioni sull'uso della condizione where in questo modo, vedere la sezione "Scoping Access with Permissions or API Operations" in Autorizzazioni.

Criteri per gestire le risorse dell'infrastruttura Exadata

La tabella riportata di seguito elenca i criteri IAM necessari per consentire a un utente cloud di eseguire operazioni di gestione sulle risorse dell'infrastruttura Exadata.

Operazione Criteri IAM richiesti su Oracle Public Cloud e multicloud Criteri IAM obbligatori in Exadata Cloud@Customer

Crea una risorsa dell'infrastruttura Exadata

manage cloud-exadata-infrastructures

use vnic

use subnet

manage exadata-infrastructures

Visualizzare una lista di risorse dell'infrastruttura Exadata

inspect cloud-exadata-infrastructures

inspect exadata-infrastructures

Visualizza i dettagli di una risorsa dell'infrastruttura Exadata

inspect cloud-exadata-infrastructures

inspect exadata-infrastructures

Modificare la pianificazione di manutenzione di una risorsa dell'infrastruttura Exadata

use cloud-exadata-infrastructures

use exadata-infrastructures

Spostare una risorsa dell'infrastruttura Exadata in un altro compartimento

use cloud-exadata-infrastructures

use exadata-infrastructures

Gestire i certificati di sicurezza per una risorsa dell'infrastruttura Exadata

manage cloud-exadata-infrastructures

manage exadata-infrastructures

Termina una risorsa dell'infrastruttura Exadata

manage cloud-exadata-infrastructures

use vnic

use subnet

manage exadata-infrastructures

Criteri per la gestione dei cluster VM Autonomous Exadata

La tabella riportata di seguito elenca i criteri IAM necessari per consentire a un utente cloud di eseguire operazioni di gestione sui cluster VM Autonomous Exadata.

Operazione Criteri IAM richiesti su Oracle Public Cloud e multicloud Criteri IAM obbligatori in Exadata Cloud@Customer

Creare un cluster VM Autonomous Exadata

manage cloud-autonomous-vmclusters

use cloud-exadata-infrastructures

manage autonomous-vmclusters

use exadata-infrastructures

Visualizzare una lista di cluster VM Autonomous Exadata

inspect cloud-autonomous-vmclusters

inspect autonomous-vmclusters

Visualizzare i dettagli di un cluster VM Autonomous Exadata

inspect cloud-autonomous-vmclusters

inspect autonomous-vmclusters

Modificare il tipo di licenza di un cluster VM Autonomous

Non applicabile

use autonomous-vmclusters

inspect exadata-infrastructures

Spostare un cluster VM Autonomous Exadata in un altro compartimento

use cloud-autonomous-vmclusters

use autonomous-vmclusters

Termina un cluster VM Autonomous Exadata

manage cloud-autonomous-vmclusters

manage autonomous-vmclusters

Criteri per gestire le Autonomous Container Database

La tabella riportata di seguito elenca i criteri IAM necessari per consentire a un utente cloud di eseguire operazioni di gestione su Autonomous Container Database (ACD).

Operazione Criteri IAM necessari

Creare un Autonomous Container Database

manage autonomous-container-databases

use cloud-exadata-infrastructures se si crea Autonomous Container Database su Oracle Public Cloud e Multicloud.

use cloud-autonomous-vmclusters se si crea Autonomous Container Database su Oracle Public Cloud e Multicloud.

use autonomous-vmclusters se si crea Autonomous Container Database su Exadata Cloud@Customer.

use backup-destinations se si crea Autonomous Container Database su Exadata Cloud@Customer.

Visualizzare una lista di Autonomous Container Database

inspect autonomous-container-databases

Visualizzare i dettagli di un Autonomous Container Database

inspect autonomous-container-databases

Modificare il criterio di conservazione backup di un Autonomous Container Database

use autonomous-container-databases

Modificare le preferenze di manutenzione di un Autonomous Container Database

use autonomous-container-databases

Riavviare un Autonomous Container Database

use autonomous-container-databases

Spostare un Autonomous Container Database in un altro compartimento

use autonomous-container-databases

Ruotare una chiave di cifratura di Autonomous Container Database

use autonomous-container-databases

inspect autonomous-container-databases

Arrestare un Autonomous Container Database

manage autonomous-container-databases

use cloud-exadata-infrastructures se si crea Autonomous Container Database su Oracle Public Cloud e Multicloud.

use cloud-autonomous-vmclusters se si crea Autonomous Container Database su Oracle Public Cloud e Multicloud.

use autonomous-vmclusters se si crea Autonomous Container Database su Exadata Cloud@Customer.

Criteri per gestire la configurazione di Autonomous Data Guard

La tabella riportata di seguito elenca i criteri IAM necessari per consentire a un utente cloud di eseguire operazioni di gestione sulle configurazioni Autonomous Data Guard.

Operazione Criteri IAM necessari

Visualizzare l'associazione di Autonomous Data Guard con un ACD.

inspect autonomous-container-databases

Elenca gli ACD abilitati con Autonomous Data Guard associato all'ACD o all'Autonomous Database specificato.

inspect autonomous-container-databases

Reinstallare il database di standby disabilitato in un ACD in standby attivo.

inspect autonomous-container-databases

update autonomous-container-databases

Cambiare i ruoli degli ACD primari e di standby.

inspect autonomous-container-databases

update autonomous-container-databases

Esecuzione del failover dell'ACD in standby. Questo ACD in standby diventerà il nuovo ACD primario quando il failover viene completato correttamente.

inspect autonomous-container-databases

update autonomous-container-databases

Modificare le impostazioni di Autonomous Data Guard quali la modalità di protezione, il failover automatico e il limite di ritardo del failover rapido.

inspect autonomous-container-databases

update autonomous-container-databases

Ottieni un database abilitato per Autonomous Data Guard associato all'Autonomous Database specificato.

inspect autonomous-container-databases

Elenca le associazioni Data Guard di Autonomous Database.

inspect autonomous-container-databases

Abilita Autonomous Data Guard su un ACD.

inspect cloud-autonomous-vmclusters OPPURE inspect autonomous-vmclusters

inspect autonomous-container-databases

update autonomous-container-databases

Convertire l'ACD in standby tra l'ACD in standby fisico e quello in standby snapshot.

inspect cloud-autonomous-vmclusters OPPURE inspect autonomous-vmclusters

inspect autonomous-container-databases

update autonomous-container-databases

Criteri per gestire gli Autonomous Database

La tabella riportata di seguito elenca i criteri IAM necessari per consentire a un utente cloud di eseguire operazioni di gestione su Autonomous Database.

Operazione Criteri IAM necessari

Crea un Autonomous Database

manage autonomous-databases

read autonomous-container-databases

Visualizza una lista di Autonomous Database

inspect autonomous-databases

Visualizza i dettagli di un Autonomous Database

inspect autonomous-databases

Impostare la password dell'utente ADMIN di un Autonomous Database

use autonomous-databases

Ridimensionare il numero di memorie centrali CPU o lo storage di un Autonomous Database

use autonomous-databases

Abilita o disabilita la scala automatica per un Autonomous Database

use autonomous-databases

Spostare un Autonomous Database in un altro compartimento

use autonomous-databases nel compartimento corrente di Autonomous Database e nel compartimento in cui viene spostato

read autonomous-backups

arrestare o avviare un Autonomous Database;

use autonomous-databases

Riavvia un Autonomous Database

use autonomous-databases

Eseguire manualmente il backup di un Autonomous Database

read autonomous-databases

manage autonomous-backups

Ripristina un Autonomous Database

use autonomous-databases

read autonomous-backups

Duplica un Autonomous Database

manage autonomous-databases

read autonomous-container-databases

Termina un Autonomous Database

manage autonomous-databases