Criteri IAM per Autonomous Database sull'infrastruttura Exadata dedicata
In questo articolo vengono elencati i criteri IAM necessari per gestire le risorse dell'infrastruttura di Autonomous Database su un'infrastruttura Exadata dedicata.
Oracle Autonomous Database on Dedicated Exadata Infrastructure si basa sul servizio IAM (Identity and Access Management) per autenticare e autorizzare gli utenti cloud a eseguire operazioni che utilizzano qualsiasi interfaccia Oracle Cloud Infrastructure (la console, l'API REST, l'interfaccia CLI o l'SDK). Il servizio IAM utilizza i gruppi, i compartimenti e i criteri per controllare quali utenti cloud possono accedere a quali risorse.
Dettagli dei criteri per Autonomous Database
In questo argomento vengono descritti i dettagli per la scrittura dei criteri per controllare l'accesso alle risorse di Autonomous Database.
Suggerimento
Per un criterio di esempio, vedere Consenti agli amministratori di database e flotta di gestire i database autonomi.Tipi risorsa
Un tipo di risorsa aggregato copre l'elenco dei singoli tipi di risorsa che seguono direttamente. Ad esempio, la scrittura di un criterio per consentire a un gruppo di accedere a autonomous-database-family
equivale alla scrittura di quattro criteri separati per il gruppo che concederebbero l'accesso ai tipi di risorsa autonomous-databases
, autonomous-backups
, autonomous-container-databases
e cloud-autonomous-vmclusters
. Per maggiori informazioni, vedere Resource-Types.
Tipo di risorsa aggregata:
autonomous-database-family
Singolo tipo di risorsa:
autonomous-databases
autonomous-backups
autonomous-container-databases
cloud-autonomous-vmclusters
(solo distribuzioni di Oracle Public Cloud)
autonomous-vmclusters
(solo implementazioni di Oracle Exadata Cloud@Customer)
autonomous-virtual-machine
Suggerimento
I tipi di risorsacloud-exadata-infrastructures
e exadata-infrastructures
necessari per eseguire il provisioning di Autonomous Database su Oracle Public Cloud e Exadata Cloud@Customer rispettivamente sono coperti dal tipo di risorsa aggregato database-family
. Per ulteriori informazioni sulle risorse coperte da database-family
, vedere Dettagli dei criteri per le istanze di Exadata Cloud Service e Dettagli dei criteri per Base Database Service.
Variabili supportate
Sono supportate variabili generali. Per ulteriori informazioni, vedere Variabili generali per tutte le richieste.
È inoltre possibile utilizzare la variabile target.workloadType
, come illustrato nella tabella riportata di seguito.
Valore target.workloadType | Descrizione |
---|---|
OLTP |
Elaborazione delle transazioni online, utilizzata per gli Autonomous Database con il carico di lavoro di Autonomous Transaction Processing. |
DW |
Data Warehouse, utilizzato per gli Autonomous Database con carico di lavoro di Autonomous Data Warehouse. |
Allow group ADB-Admins
to manage autonomous-database
in tenancy where target.workloadType = 'workload_type'
Dettagli per le combinazioni verbo-tipo di risorsa
Il livello di accesso è cumulativo quando si passa da inspect > read > use > manage
. Un segno più (+) in una cella di tabella indica l'accesso incrementale rispetto alla cella direttamente sopra di essa, mentre "nessun extra" indica nessun accesso incrementale.
Ad esempio, il verbo read
per il tipo di risorsa autonomous-databases
copre le stesse autorizzazioni e le stesse operazioni API del verbo inspect
, oltre all'autorizzazione AUTONOMOUS_DATABASE_CONTENT_READ. Il verbo read
copre parzialmente l'operazione CreateAutonomousDatabaseBackup
, che richiede anche le autorizzazioni di gestione per autonomous-backups
.
Le tabelle seguenti mostrano le operazioni Autorizzazioni e API coperte da ciascun verbo. Per informazioni sulle autorizzazioni, vedere Autorizzazioni.
Nota
La famiglia di risorse coperta da famiglia-database-autonoma può essere utilizzata per concedere l'accesso alle risorse di database associate a tutti i tipi di carico di lavoro di Autonomous Database.Verbs | Autorizzazioni | API completamente coperte | API parzialmente coperte |
---|---|---|---|
ispezionare |
|
|
nessuno |
letto |
|
nessun altro |
|
utilizzare |
|
|
|
gestire |
|
|
nessuno |
Verbs | Autorizzazioni | API completamente coperte | API parzialmente coperte |
---|---|---|---|
ispezionare |
|
|
nessuno |
letto |
|
nessun altro |
|
utilizzare |
LETTURA + nessun altro |
nessun altro |
nessuno |
gestire |
|
|
|
Verbs | Autorizzazioni | API completamente coperte | API parzialmente coperte |
---|---|---|---|
ispezionare |
|
|
nessuno |
letto |
ISPEZIONA + nessun altro |
nessun altro |
nessuno |
utilizzare |
LETTURA +
|
|
|
gestire |
|
nessun altro |
|
Verbs | Autorizzazioni | API completamente coperte | API parzialmente coperte |
---|---|---|---|
ispezionare |
|
|
nessuno |
letto |
nessun altro |
nessun altro |
nessuno |
utilizzare |
LETTURA +
|
|
|
gestire |
|
nessun altro |
(entrambi richiedono |
cluster VM autonomi
Verbs | Autorizzazioni | API completamente coperte | API parzialmente coperte |
---|---|---|---|
ispezionare |
|
|
|
letto |
ISPEZIONA + nessun altro |
nessun altro |
nessuno |
utilizzare |
|
|
|
gestire |
|
|
|
Verbs | Autorizzazioni | API completamente coperte | API parzialmente coperte |
---|---|---|---|
ispezionare | AUTONOMOUS_VIRTUAL_MACHINE_INSPECT |
|
nessuno |
Autorizzazioni necessarie per ogni operazione API
Autonomous Container Database (ACD) e Autonomous Database (ADB) sono risorse comuni tra le distribuzioni di Oracle Public Cloud, Multicloud e Exadata Cloud@Customer. Pertanto, le relative autorizzazioni sono uguali per entrambe le distribuzioni nella tabella seguente.
-
Autorizzazioni AUTONOMOUS_VM_CLUSTER_UPDATE e AUTONOMOUS_CONTAINER_DATABASE_CREATE su Exadata Cloud@Customer.
-
Autorizzazioni CLOUD_AUTONOMOUS_VM_CLUSTER_UPDATE e AUTONOMOUS_CONTAINER_DATABASE_CREATE su Oracle Public Cloud e Multicloud.
Per informazioni sulle autorizzazioni, vedere Autorizzazioni.
La tabella riportata di seguito elenca le operazioni API per le risorse di Autonomous Database in ordine logico, raggruppate per tipo di risorsa.
Puoi utilizzare l'API per visualizzare e gestire le diverse risorse dell'infrastruttura di un Autonomous Database. Consulta il riferimento API per Autonomous Database sull'infrastruttura Exadata dedicata per una lista di endpoint API REST per gestire diverse risorse di Autonomous Database.
L'accesso utente è definito nelle istruzioni dei criteri IAM. Quando si crea un'istruzione criterio che consente a un gruppo di accedere a un verbo e a un tipo di risorsa specifici, in realtà si concede a tale gruppo l'accesso a una o più autorizzazioni IAM predefinite. Lo scopo dei verbi è quello di semplificare il processo di concessione di più autorizzazioni correlate.
Se si desidera consentire o negare autorizzazioni IAM specifiche, aggiungere una condizione where
all'istruzione del criterio. Ad esempio, per consentire a un gruppo di amministratori della flotta di eseguire qualsiasi operazione sulle risorse dell'infrastruttura Exadata tranne per eliminarle, creare questa istruzione dei criteri:
Allow group FleetAdmins to manage cloud-exadata-infrastructures in tenancy where request.permission != 'CLOUD_EXADATA_INFRASTRUCTURE_DELETE'
Successivamente, potresti consentire a un gruppo più piccolo di amministratori della flotta di eseguire qualsiasi operazione (inclusa l'eliminazione) sulle risorse dell'infrastruttura Exadata omettendo la condizione where
:
Allow group FleetSuperAdmins to manage cloud-exadata-infrastructures in tenancy
Per ulteriori informazioni sull'uso della condizione where
in questo modo, vedere la sezione "Scoping Access with Permissions or API Operations" in Autorizzazioni.
Criteri per gestire le risorse dell'infrastruttura Exadata
La tabella riportata di seguito elenca i criteri IAM necessari per consentire a un utente cloud di eseguire operazioni di gestione sulle risorse dell'infrastruttura Exadata.
Operazione | Criteri IAM richiesti su Oracle Public Cloud e multicloud | Criteri IAM obbligatori in Exadata Cloud@Customer |
---|---|---|
Crea una risorsa dell'infrastruttura Exadata |
|
|
Visualizzare una lista di risorse dell'infrastruttura Exadata |
|
|
Visualizza i dettagli di una risorsa dell'infrastruttura Exadata |
|
|
Modificare la pianificazione di manutenzione di una risorsa dell'infrastruttura Exadata |
|
|
Spostare una risorsa dell'infrastruttura Exadata in un altro compartimento |
|
|
Gestire i certificati di sicurezza per una risorsa dell'infrastruttura Exadata |
|
|
Termina una risorsa dell'infrastruttura Exadata |
|
|
Criteri per la gestione dei cluster VM Autonomous Exadata
La tabella riportata di seguito elenca i criteri IAM necessari per consentire a un utente cloud di eseguire operazioni di gestione sui cluster VM Autonomous Exadata.
Operazione | Criteri IAM richiesti su Oracle Public Cloud e multicloud | Criteri IAM obbligatori in Exadata Cloud@Customer |
---|---|---|
Creare un cluster VM Autonomous Exadata |
|
|
Visualizzare una lista di cluster VM Autonomous Exadata |
|
|
Visualizzare i dettagli di un cluster VM Autonomous Exadata |
|
|
Modificare il tipo di licenza di un cluster VM Autonomous |
Non applicabile |
|
Spostare un cluster VM Autonomous Exadata in un altro compartimento |
|
|
Termina un cluster VM Autonomous Exadata |
|
|
Criteri per gestire le Autonomous Container Database
La tabella riportata di seguito elenca i criteri IAM necessari per consentire a un utente cloud di eseguire operazioni di gestione su Autonomous Container Database (ACD).
Operazione | Criteri IAM necessari |
---|---|
Creare un Autonomous Container Database |
|
Visualizzare una lista di Autonomous Container Database |
|
Visualizzare i dettagli di un Autonomous Container Database |
|
Modificare il criterio di conservazione backup di un Autonomous Container Database |
|
Modificare le preferenze di manutenzione di un Autonomous Container Database |
|
Riavviare un Autonomous Container Database |
|
Spostare un Autonomous Container Database in un altro compartimento |
|
Ruotare una chiave di cifratura di Autonomous Container Database |
|
Arrestare un Autonomous Container Database |
|
Criteri per gestire la configurazione di Autonomous Data Guard
La tabella riportata di seguito elenca i criteri IAM necessari per consentire a un utente cloud di eseguire operazioni di gestione sulle configurazioni Autonomous Data Guard.
Operazione | Criteri IAM necessari |
---|---|
Visualizzare l'associazione di Autonomous Data Guard con un ACD. |
|
Elenca gli ACD abilitati con Autonomous Data Guard associato all'ACD o all'Autonomous Database specificato. |
|
Reinstallare il database di standby disabilitato in un ACD in standby attivo. |
|
Cambiare i ruoli degli ACD primari e di standby. |
|
Esecuzione del failover dell'ACD in standby. Questo ACD in standby diventerà il nuovo ACD primario quando il failover viene completato correttamente. |
|
Modificare le impostazioni di Autonomous Data Guard quali la modalità di protezione, il failover automatico e il limite di ritardo del failover rapido. |
|
Ottieni un database abilitato per Autonomous Data Guard associato all'Autonomous Database specificato. |
|
Elenca le associazioni Data Guard di Autonomous Database. |
|
Abilita Autonomous Data Guard su un ACD. |
|
Convertire l'ACD in standby tra l'ACD in standby fisico e quello in standby snapshot. |
|
Criteri per gestire gli Autonomous Database
La tabella riportata di seguito elenca i criteri IAM necessari per consentire a un utente cloud di eseguire operazioni di gestione su Autonomous Database.
Operazione | Criteri IAM necessari |
---|---|
Crea un Autonomous Database |
|
Visualizza una lista di Autonomous Database |
|
Visualizza i dettagli di un Autonomous Database |
|
Impostare la password dell'utente ADMIN di un Autonomous Database |
|
Ridimensionare il numero di memorie centrali CPU o lo storage di un Autonomous Database |
|
Abilita o disabilita la scala automatica per un Autonomous Database |
|
Spostare un Autonomous Database in un altro compartimento |
|
arrestare o avviare un Autonomous Database; |
|
Riavvia un Autonomous Database |
|
Eseguire manualmente il backup di un Autonomous Database |
|
Ripristina un Autonomous Database |
|
Duplica un Autonomous Database |
|
Termina un Autonomous Database |
|