Criteri IAM per Autonomous Database sull'infrastruttura Exadata dedicata

In questo articolo vengono elencati i criteri IAM necessari per gestire le risorse dell'infrastruttura di Autonomous Database su un'infrastruttura Exadata dedicata.

Oracle Autonomous Database on Dedicated Exadata Infrastructure si basa sul servizio IAM (Identity and Access Management) per autenticare e autorizzare gli utenti cloud a eseguire operazioni che utilizzano qualsiasi interfaccia Oracle Cloud Infrastructure (la console, l'API REST, l'interfaccia CLI o l'SDK). Il servizio IAM utilizza i gruppi, i compartimenti e i criteri per controllare quali utenti cloud possono accedere a quali risorse.

Argomenti correlati

Controllo dell'accesso in Autonomous Database nell'infrastruttura Exadata dedicata

Dettagli dei criteri per Autonomous Database

In questo argomento vengono descritti i dettagli per la scrittura dei criteri per controllare l'accesso alle risorse di Autonomous Database.

Un criterio definisce il tipo di accesso di un gruppo di utenti a una risorsa specifica in un singolo compartimento. Per ulteriori informazioni, consulta la Guida introduttiva ai criteri.

Suggerimento

Per un criterio di esempio, vedere Consenti agli amministratori di database e flotta di gestire i database autonomi.

Tipi risorsa

Un tipo di risorsa aggregato copre l'elenco dei singoli tipi di risorsa che seguono direttamente. Ad esempio, la scrittura di un criterio per consentire a un gruppo di accedere a autonomous-database-family equivale alla scrittura di quattro criteri separati per il gruppo che concederebbero l'accesso ai tipi di risorsa autonomous-databases, autonomous-backups, autonomous-container-databases e cloud-autonomous-vmclusters. Per maggiori informazioni, vedere Resource-Types.

Tipi di risorsa per Autonomous Database

Tipo di risorsa aggregata:

autonomous-database-family

Singolo tipo di risorsa:

autonomous-databases

autonomous-backups

autonomous-container-databases

cloud-autonomous-vmclusters (solo distribuzioni di Oracle Public Cloud)

autonomous-vmclusters (solo implementazioni di Oracle Exadata Cloud@Customer)

autonomous-virtual-machine

Suggerimento

I tipi di risorsa cloud-exadata-infrastructures e exadata-infrastructures necessari per eseguire il provisioning di Autonomous Database su Oracle Public Cloud e Exadata Cloud@Customer rispettivamente sono coperti dal tipo di risorsa aggregato database-family. Per ulteriori informazioni sulle risorse coperte da database-family, vedere Dettagli dei criteri per le istanze di Exadata Cloud Service e Dettagli dei criteri per Base Database Service.

Variabili supportate

Sono supportate variabili generali. Per ulteriori informazioni, vedere Variabili generali per tutte le richieste.

È inoltre possibile utilizzare la variabile target.workloadType, come illustrato nella tabella riportata di seguito.

Valore target.workloadType	Descrizione
`OLTP`	Elaborazione delle transazioni online, utilizzata per gli Autonomous Database con il carico di lavoro di Autonomous Transaction Processing.
`DW`	Data Warehouse, utilizzato per gli Autonomous Database con carico di lavoro di Autonomous Data Warehouse.

Criteri di esempio che utilizzano la variabile target.workloadType:

Allow group ADB-Admins 
to manage autonomous-database 
in tenancy where target.workloadType = 'workload_type'

Dettagli per le combinazioni verbo-tipo di risorsa

Il livello di accesso è cumulativo quando si passa da inspect > read > use > manage. Un segno più (+) in una cella di tabella indica l'accesso incrementale rispetto alla cella direttamente sopra di essa, mentre "nessun extra" indica nessun accesso incrementale.

Ad esempio, il verbo read per il tipo di risorsa autonomous-databases copre le stesse autorizzazioni e le stesse operazioni API del verbo inspect, oltre all'autorizzazione AUTONOMOUS_DATABASE_CONTENT_READ. Il verbo read copre parzialmente l'operazione CreateAutonomousDatabaseBackup, che richiede anche le autorizzazioni di gestione per autonomous-backups.

Le tabelle seguenti mostrano le operazioni Autorizzazioni e API coperte da ciascun verbo. Per informazioni sulle autorizzazioni, vedere Autorizzazioni.

Per i tipi di risorsa autonomous-database-family

Nota

La famiglia di risorse coperta da famiglia-database-autonoma può essere utilizzata per concedere l'accesso alle risorse di database associate a tutti i tipi di carico di lavoro di Autonomous Database.

database autonomi

Verbs	Autorizzazioni	API completamente coperte	API parzialmente coperte
ispezionare	`AUTONOMOUS_DATABASE_INSPECT`	`GetAutonomousDatabase, ListAutonomousDatabases`	nessuno
letto	`INSPECT +` `AUTONOMOUS_DATABASE_CONTENT_READ`	nessun altro	`CreateAutonomousDatabaseBackup` (ha bisogno anche di `manage autonomous-backups`)
utilizzare	`READ +` `AUTONOMOUS_DATABASE_CONTENT_WRITE` `AUTONOMOUS_DATABASE_UPDATE`	`UpdateAutonomousDatabase`	`RestoreAutonomousDatabase` (ha bisogno anche di `read autonomous-backups`) `ChangeAutonomousDatabaseCompartment` (ha bisogno anche di `read autonomous-backups`)
gestire	`USE +` `AUTONOMOUS_DATABASE_CREATE` `AUTONOMOUS_DATABASE_DELETE`	`CreateAutonomousDatabase`	nessuno

backup autonomi

Verbs	Autorizzazioni	API completamente coperte	API parzialmente coperte
ispezionare	`AUTONOMOUS_DB_BACKUP_INSPECT`	`ListAutonomousDatabaseBackups, GetAutonomousDatabaseBackup`	nessuno
letto	`INSPECT +` `AUTONOMOUS_DB_BACKUP_CONTENT_READ`	nessun altro	`RestoreAutonomousDatabase` (ha bisogno anche di `use autonomous-databases`) `ChangeAutonomousDatabaseCompartment` (ha bisogno anche di `use autonomous-databases`)
utilizzare	LETTURA + nessun altro	nessun altro	nessuno
gestire	`USE +` `AUTONOMOUS_DB_BACKUP_CREATE` `AUTONOMOUS_DB_BACKUP_DELETE`	`DeleteAutonomousDatabaseBackup`	`CreateAutonomousDatabaseBackup` (ha bisogno anche di `read autonomous-databases`)

autonomous-container-databases

Verbs	Autorizzazioni	API completamente coperte	API parzialmente coperte
ispezionare	`AUTONOMOUS_CONTAINER_DATABASE_INSPECT`	`ListAutonomousContainerDatabases, GetAutonomousContainerDatabase`	nessuno
letto	ISPEZIONA + nessun altro	nessun altro	nessuno
utilizzare	LETTURA + `AUTONOMOUS_CONTAINER_DATABASE_UPDATE`	`UpdateAutonomousContainerDatabase` `ChangeAutonomousContainerDatabaseCompartment`	`CreateAutonomousDatabase` (ha bisogno anche di `manage autonomous-databases`)
gestire	`USE +` `AUTONOMOUS_CONTAINER_DATABASE_CREATE` `AUTONOMOUS_CONTAINER_DATABASE_DELETE`	nessun altro	`CreateAutonomousContainerDatabase, TerminateAutonomousContainerDatabase` (entrambi richiedono `use cloud-autonomous-vmclusters, use cloud-exadata-infrastructures`)

cluster VM autonomi cloud

Verbs	Autorizzazioni	API completamente coperte	API parzialmente coperte
ispezionare	`CLOUD_AUTONOMOUS_VM_CLUSTER_INSPECT`	`ListCloudAutonomousVmClusters` `GetCloudAutonomousVmCluster`	nessuno
letto	`INSPECT +` nessun altro	nessun altro	nessuno
utilizzare	LETTURA + `CLOUD_AUTONOMOUS_VM_CLUSTER_UPDATE`	`UpdateCloudAutonomousVmCluster` `ChangeCloudAutonomousVmClusterCompartment`	`CreateAutonomousDatabase` (ha bisogno anche di `manage autonomous-databases`) `CreateAutonomousContainerDatabase` (ha bisogno anche di `manage autonomous-container-databases`)
gestire	`USE +` `CLOUD_AUTONOMOUS_VM_CLUSTER_CREATE` `CLOUD_AUTONOMOUS_VM_CLUSTER_DELETE`	nessun altro	`CreateCloudAutonomousVmCluster, DeleteCloudAutonomousVmCluster` (entrambi richiedono `use vnics, use subnets, use cloud-exadata-infrastructures`)

cluster VM autonomi

Verbs	Autorizzazioni	API completamente coperte	API parzialmente coperte
ispezionare	`AUTONOMOUS_VM_CLUSTER_INSPECT`	`ListAutonomousVmClusters` `GetAutonomousVmCluster`	`ChangeAutonomousVmClusterCompartment`
letto	ISPEZIONA + nessun altro	nessun altro	nessuno
utilizzare	`READ` + `AUTONOMOUS_VM_CLUSTER_UPDATE`	`ChangeAutonomousVmClusterCompartment`	`UpdateAutonomousVmCluster` `CreateAutonomousContainerDatabase` `TerminateAutonomousContainerDatabase`
gestire	`USE` + `AUTONOMOUS_VM_CLUSTER_CREATE` + `AUTONOMOUS_VM_CLUSTER_DELETE`	`DeleteAutonomousVmCluster`	`CreateAutonomousVmCluster`

macchina-virtuale-autonoma

Verbs Autorizzazioni API completamente coperte API parzialmente coperte

ispezionare

Verbs	Autorizzazioni	API completamente coperte	API parzialmente coperte
ispezionare	`AUTONOMOUS_VIRTUAL_MACHINE_INSPECT`	`GetAutonomousVirtualMachine` `ListAutonomousVirtualMachines`	nessuno

AUTONOMOUS_VIRTUAL_MACHINE_INSPECT

GetAutonomousVirtualMachine

ListAutonomousVirtualMachines

nessuno

Autorizzazioni necessarie per ogni operazione API

Autonomous Container Database (ACD) e Autonomous Database (ADB) sono risorse comuni tra le distribuzioni di Oracle Public Cloud, Multicloud e Exadata Cloud@Customer. Pertanto, le relative autorizzazioni sono uguali per entrambe le distribuzioni nella tabella seguente.

Tuttavia, alcune operazioni ACD richiedono autorizzazioni a livello di AVMC e, poiché le risorse AVMC sono diverse per Oracle Public Cloud ed Exadata Cloud@Customer, è necessario disporre di autorizzazioni diverse per ogni tipo di distribuzione. Ad esempio, per creare un ACD, è necessario:

Autorizzazioni AUTONOMOUS_VM_CLUSTER_UPDATE e AUTONOMOUS_CONTAINER_DATABASE_CREATE su Exadata Cloud@Customer.
Autorizzazioni CLOUD_AUTONOMOUS_VM_CLUSTER_UPDATE e AUTONOMOUS_CONTAINER_DATABASE_CREATE su Oracle Public Cloud e Multicloud.

Per informazioni sulle autorizzazioni, vedere Autorizzazioni.

La tabella riportata di seguito elenca le operazioni API per le risorse di Autonomous Database in ordine logico, raggruppate per tipo di risorsa.

Operazioni API Autonomous Database

Puoi utilizzare l'API per visualizzare e gestire le diverse risorse dell'infrastruttura di un Autonomous Database. Consulta il riferimento API per Autonomous Database sull'infrastruttura Exadata dedicata per una lista di endpoint API REST per gestire diverse risorse di Autonomous Database.

Limitazione dell'accesso utente a autorizzazioni specifiche

L'accesso utente è definito nelle istruzioni dei criteri IAM. Quando si crea un'istruzione criterio che consente a un gruppo di accedere a un verbo e a un tipo di risorsa specifici, in realtà si concede a tale gruppo l'accesso a una o più autorizzazioni IAM predefinite. Lo scopo dei verbi è quello di semplificare il processo di concessione di più autorizzazioni correlate.

Se si desidera consentire o negare autorizzazioni IAM specifiche, aggiungere una condizione where all'istruzione del criterio. Ad esempio, per consentire a un gruppo di amministratori della flotta di eseguire qualsiasi operazione sulle risorse dell'infrastruttura Exadata tranne per eliminarle, creare questa istruzione dei criteri:

Allow group FleetAdmins to manage cloud-exadata-infrastructures in tenancy where request.permission != 'CLOUD_EXADATA_INFRASTRUCTURE_DELETE'

Successivamente, potresti consentire a un gruppo più piccolo di amministratori della flotta di eseguire qualsiasi operazione (inclusa l'eliminazione) sulle risorse dell'infrastruttura Exadata omettendo la condizione where:

Allow group FleetSuperAdmins to manage cloud-exadata-infrastructures in tenancy

Per ulteriori informazioni sull'uso della condizione where in questo modo, vedere la sezione "Scoping Access with Permissions or API Operations" in Autorizzazioni.

Criteri per gestire le risorse dell'infrastruttura Exadata

La tabella riportata di seguito elenca i criteri IAM necessari per consentire a un utente cloud di eseguire operazioni di gestione sulle risorse dell'infrastruttura Exadata.

Operazione	Criteri IAM richiesti su Oracle Public Cloud e multicloud	Criteri IAM obbligatori in Exadata Cloud@Customer
Crea una risorsa dell'infrastruttura Exadata	`manage cloud-exadata-infrastructures` `use vnic` `use subnet`	`manage exadata-infrastructures`
Visualizzare una lista di risorse dell'infrastruttura Exadata	`inspect cloud-exadata-infrastructures`	`inspect exadata-infrastructures`
Visualizza i dettagli di una risorsa dell'infrastruttura Exadata	`inspect cloud-exadata-infrastructures`	`inspect exadata-infrastructures`
Modificare la pianificazione di manutenzione di una risorsa dell'infrastruttura Exadata	`use cloud-exadata-infrastructures`	`use exadata-infrastructures`
Spostare una risorsa dell'infrastruttura Exadata in un altro compartimento	`use cloud-exadata-infrastructures`	`use exadata-infrastructures`
Gestire i certificati di sicurezza per una risorsa dell'infrastruttura Exadata	`manage cloud-exadata-infrastructures`	`manage exadata-infrastructures`
Termina una risorsa dell'infrastruttura Exadata	`manage cloud-exadata-infrastructures` `use vnic` `use subnet`	`manage exadata-infrastructures`

Criteri per la gestione dei cluster VM Autonomous Exadata

La tabella riportata di seguito elenca i criteri IAM necessari per consentire a un utente cloud di eseguire operazioni di gestione sui cluster VM Autonomous Exadata.

Operazione	Criteri IAM richiesti su Oracle Public Cloud e multicloud	Criteri IAM obbligatori in Exadata Cloud@Customer
Creare un cluster VM Autonomous Exadata	`manage cloud-autonomous-vmclusters` `use cloud-exadata-infrastructures`	`manage autonomous-vmclusters` `use exadata-infrastructures`
Visualizzare una lista di cluster VM Autonomous Exadata	`inspect cloud-autonomous-vmclusters`	`inspect autonomous-vmclusters`
Visualizzare i dettagli di un cluster VM Autonomous Exadata	`inspect cloud-autonomous-vmclusters`	`inspect autonomous-vmclusters`
Modificare il tipo di licenza di un cluster VM Autonomous	Non applicabile	`use autonomous-vmclusters` `inspect exadata-infrastructures`
Spostare un cluster VM Autonomous Exadata in un altro compartimento	`use cloud-autonomous-vmclusters`	`use autonomous-vmclusters`
Termina un cluster VM Autonomous Exadata	`manage cloud-autonomous-vmclusters`	`manage autonomous-vmclusters`

Criteri per gestire le Autonomous Container Database

La tabella riportata di seguito elenca i criteri IAM necessari per consentire a un utente cloud di eseguire operazioni di gestione su Autonomous Container Database (ACD).

Operazione	Criteri IAM necessari
Creare un Autonomous Container Database	`manage autonomous-container-databases` `use cloud-exadata-infrastructures` se si crea Autonomous Container Database su Oracle Public Cloud e Multicloud. `use cloud-autonomous-vmclusters` se si crea Autonomous Container Database su Oracle Public Cloud e Multicloud. `use autonomous-vmclusters` se si crea Autonomous Container Database su Exadata Cloud@Customer. `use backup-destinations` se si crea Autonomous Container Database su Exadata Cloud@Customer.
Visualizzare una lista di Autonomous Container Database	`inspect autonomous-container-databases`
Visualizzare i dettagli di un Autonomous Container Database	`inspect autonomous-container-databases`
Modificare il criterio di conservazione backup di un Autonomous Container Database	`use autonomous-container-databases`
Modificare le preferenze di manutenzione di un Autonomous Container Database	`use autonomous-container-databases`
Riavviare un Autonomous Container Database	`use autonomous-container-databases`
Spostare un Autonomous Container Database in un altro compartimento	`use autonomous-container-databases`
Ruotare una chiave di cifratura di Autonomous Container Database	`use autonomous-container-databases` `inspect autonomous-container-databases`
Arrestare un Autonomous Container Database	`manage autonomous-container-databases` `use cloud-exadata-infrastructures` se si crea Autonomous Container Database su Oracle Public Cloud e Multicloud. `use cloud-autonomous-vmclusters` se si crea Autonomous Container Database su Oracle Public Cloud e Multicloud. `use autonomous-vmclusters` se si crea Autonomous Container Database su Exadata Cloud@Customer.

Criteri per gestire la configurazione di Autonomous Data Guard

La tabella riportata di seguito elenca i criteri IAM necessari per consentire a un utente cloud di eseguire operazioni di gestione sulle configurazioni Autonomous Data Guard.

Operazione	Criteri IAM necessari
Visualizzare l'associazione di Autonomous Data Guard con un ACD.	`inspect autonomous-container-databases`
Elenca gli ACD abilitati con Autonomous Data Guard associato all'ACD o all'Autonomous Database specificato.	`inspect autonomous-container-databases`
Reinstallare il database di standby disabilitato in un ACD in standby attivo.	`inspect autonomous-container-databases` `update autonomous-container-databases`
Cambiare i ruoli degli ACD primari e di standby.	`inspect autonomous-container-databases` `update autonomous-container-databases`
Esecuzione del failover dell'ACD in standby. Questo ACD in standby diventerà il nuovo ACD primario quando il failover viene completato correttamente.	`inspect autonomous-container-databases` `update autonomous-container-databases`
Modificare le impostazioni di Autonomous Data Guard quali la modalità di protezione, il failover automatico e il limite di ritardo del failover rapido.	`inspect autonomous-container-databases` `update autonomous-container-databases`
Ottieni un database abilitato per Autonomous Data Guard associato all'Autonomous Database specificato.	`inspect autonomous-container-databases`
Elenca le associazioni Data Guard di Autonomous Database.	`inspect autonomous-container-databases`
Abilita Autonomous Data Guard su un ACD.	`inspect cloud-autonomous-vmclusters` OPPURE `inspect autonomous-vmclusters` `inspect autonomous-container-databases` `update autonomous-container-databases`
Convertire l'ACD in standby tra l'ACD in standby fisico e quello in standby snapshot.	`inspect cloud-autonomous-vmclusters` OPPURE `inspect autonomous-vmclusters` `inspect autonomous-container-databases` `update autonomous-container-databases`

Criteri per gestire gli Autonomous Database

La tabella riportata di seguito elenca i criteri IAM necessari per consentire a un utente cloud di eseguire operazioni di gestione su Autonomous Database.

Operazione	Criteri IAM necessari
Crea un Autonomous Database	`manage autonomous-databases` `read autonomous-container-databases`
Visualizza una lista di Autonomous Database	`inspect autonomous-databases`
Visualizza i dettagli di un Autonomous Database	`inspect autonomous-databases`
Impostare la password dell'utente ADMIN di un Autonomous Database	`use autonomous-databases`
Ridimensionare il numero di memorie centrali CPU o lo storage di un Autonomous Database	`use autonomous-databases`
Abilita o disabilita la scala automatica per un Autonomous Database	`use autonomous-databases`
Spostare un Autonomous Database in un altro compartimento	`use autonomous-databases` nel compartimento corrente di Autonomous Database e nel compartimento in cui viene spostato `read autonomous-backups`
arrestare o avviare un Autonomous Database;	`use autonomous-databases`
Riavvia un Autonomous Database	`use autonomous-databases`
Eseguire manualmente il backup di un Autonomous Database	`read autonomous-databases` `manage autonomous-backups`
Ripristina un Autonomous Database	`use autonomous-databases` `read autonomous-backups`
Duplica un Autonomous Database	`manage autonomous-databases` `read autonomous-container-databases`
Termina un Autonomous Database	`manage autonomous-databases`

Titolo e informazioni sul copyright

Oracle e/o relative consociate.