Dettagli dei criteri per il servizio di Base Database

Questo articolo fornisce i dettagli per la scrittura dei criteri IAM (Oracle Cloud Infrastructure Identity and Access Management) per controllare l'accesso alle risorse di Oracle Base Database Service.

Suggerimento

Per un criterio di esempio, vedere Consentire agli amministratori del database di gestire i sistemi di database Oracle Cloud.

Tipi risorsa

Un tipo di risorsa aggregato copre l'elenco dei singoli tipi di risorsa che seguono direttamente. Ad esempio, la scrittura di un criterio per consentire a un gruppo di accedere a database-family equivale alla scrittura di criteri separati per il gruppo che concederebbe l'accesso ai tipi di risorsa db-systems, db-nodes, db-homes, databases, database-software-image e db-backups. Per ulteriori informazioni, vedere Tipi di risorse in Funzionamento dei criteri.

Tipo di risorsa aggregato

• database-family

Singola risorsa - Tipi

• db-systems
• db-nodes
• db-homes
• databases
• pluggable databases
• db-backups

Variabili supportate

Sono supportate solo le variabili generali. Per ulteriori informazioni, vedere Variabili generali per tutte le richieste in Riferimento criteri.

Dettagli per le combinazioni verbo-tipo di risorsa

Le tabelle seguenti mostrano le autorizzazioni e le operazioni API coperte da ciascun verbo. Il livello di accesso è cumulativo quando si passa da inspect > read > use > manage. Un segno più (+) in una cella di tabella indica l'accesso incrementale rispetto alla cella direttamente sopra di essa, mentre "nessun extra" indica nessun accesso incrementale.

Ad esempio, i verbi read e use per il tipo di risorsa db-systems non coprono autorizzazioni o operazioni API aggiuntive rispetto al verbo inspect. Tuttavia, il verbo manage include altre due autorizzazioni e copre in parte altre due operazioni API.

db-system

Verbs	Autorizzazioni	API completamente coperte	API parzialmente coperte
ispezionare	DB_SYSTEM_INSPECT	ListDbSystems GetDbSystem ListDbSystemPatches ListDbSystemPatchHistoryEntries GetDbSystemPatch GetDbSystemPatchHistoryEntry	nessuno
lettura	nessun altro	nessun altro	nessuno
utilizzare	DB_SYSTEM_UPDATE	nessun altro	ChangeDbSystemCompartment (ha bisogno anche di use db-homes, use databases e inspect db-backups)
gestire	USE + DB_SYSTEM_CREATE DB_SYSTEM_DELETE	UpdateDBSystem	LaunchDBSystem, TerminateDbSystem (entrambi richiedono anche manage db-homes, manage databases, use vnics e use subnets)

nodi DB

Verbs	Autorizzazioni	API completamente coperte	API parzialmente coperte
ispezionare	DB_NODE_INSPECT DB_NODE_QUERY	GetDbNode	nessuno
lettura	nessun altro	nessun altro	nessuno
utilizzare	nessun altro	nessun altro	nessuno
gestire	USE + DB_NODE_POWER_ACTIONS	DbNodeAction	nessuno

db-homes

Verbs	Autorizzazioni	API completamente coperte	API parzialmente coperte
ispezionare	DB_HOME_INSPECT	ListDBHome GetDBHome ListDbHomePatches ListDbHomePatchHistoryEntries GetDbHomePatch GetDbHomePatchHistoryEntry	nessuno
lettura	nessun altro	nessun altro	nessuno
utilizzare	DB_HOME_UPDATE	UpdateDBHome	ChangeDbSystemCompartment (ha bisogno anche di use db-systems, use databases e inspect db-backups)
gestire	USE + DB_HOME_CREATE DB_HOME_DELETE	nessun altro	LaunchDBSystem, TerminateDbSystem (entrambi richiedono anche manage db-systems, manage databases, use vnics e use subnets). Se i backup automatici sono abilitati nel database predefinito, è necessario anche manage db-backups. CreateDbHome, (ha bisogno anche di use db-systems e manage databases). Se si crea la home del database mediante il ripristino da un backup, è necessario anche read db-backups. DeleteDbHome, (ha bisogno anche di use db-systems e manage databases). Se i backup automatici sono abilitati nel database predefinito, è necessario anche manage db-backups. Se si seleziona l'opzione performFinalBackup, sono necessari anche manage db-backups e read databases.

database

Verbs	Autorizzazioni	API completamente coperte	API parzialmente coperte
ispezionare	DATABASE_INSPECT	ListDatabases GetDatabase ListDataGuardAssociations GetDataGuardAssociation	nessuno
lettura	nessun altro DATABASE_CONTENT_READ	nessun altro	nessuno
utilizzare	LETTURA + DATABASE_CONTENT_WRITE DATABASE_UPDATE	UpdateDatabase SwitchoverDataGuardAssociation FailoverDataGuardAssociation ReinstateDataGuardAssociation RotateVaultKey MigrateVaultKey	CreateDataGuardAssociation ChangeDbSystemCompartment (ha bisogno anche di use db-systems, use db-homes e inspect db-backups)
gestire	USE + DATABASE_CREATE DATABASE_DELETE	nessun altro	LaunchDBSystem, TerminateDbSystem (entrambi richiedono anche manage db-systems, manage db-homes, use vnics e use subnets)

pluggable database

Verbs	Autorizzazioni	API completamente coperte	API parzialmente coperte
ispezionare	PLUGGABLE_DATABASE_INSPECT	ListPluggableDatabases GetPluggableDatabase	nessuno
lettura	ISPEZIONE + PLUGGABLE_DATABASE_CONTENT_READ	nessun altro	nessuno
utilizzare	LETTURA + PLUGGABLE_DATABASE_CONTENT_WRITE PLUGGABLE_DATABASE_UPDATE	UpdatePluggableDatabases StartPluggableDatabase StopPluggableDatabase	nessuno
gestire	USE + PLUGGABLE_DATABASE_CREATE PLUGGABLE_DATABASE_DELETE	nessun altro	CreatePluggableDatabase, DeletePluggableDatabase, LocalClonePluggableDatabase, RemoteClonePluggableDatabase (è necessario anche use databases)

backup DB

Verbs	Autorizzazioni	API completamente coperte	API parzialmente coperte
ispezionare	DB_BACKUP_INSPECT	GetBackup ListBackups	ChangeDbSystemCompartment (ha bisogno anche di use db-systems, use db-homes e use databases)
lettura	ISPEZIONE + DB_BACKUP_CONTENT_READ	nessuno	RestoreDatabase (ha bisogno anche di use databases)
utilizzare	nessun altro	nessun altro	nessuno
gestire	USE + DB_BACKUP_CREATE DB_BACKUP_DELETE	DeleteBackup	CreateBackup (ha bisogno anche di read databases)

Per ulteriori informazioni sulle autorizzazioni e sui verbi, vedere Funzioni dei criteri avanzati.

Autorizzazioni necessarie per ogni operazione API

Le tabelle seguenti elencano le operazioni API per i sistemi DB e i pluggable database in un ordine logico, raggruppate per tipo di risorsa.

Operazioni API database

Operazione API	Autorizzazioni necessarie per utilizzare l'operazione
ListDbSystems	DB_SYSTEM_INSPECT
GetDbSystem	DB_SYSTEM_INSPECT
LaunchDbSystem	DB_SYSTEM_CREATE e DB_HOME_CREATE e DATABASE_CREATE e VNIC_CREATE e VNIC_ATTACH e SUBNET_ATTACH Per abilitare i backup automatici per il database iniziale, è necessario anche DB_BACKUP_CREATE e DATABASE_CONTENT_READ
UpdateDbSystem	DB_SYSTEM_INSPECT e DB_SYSTEM_UPDATE
ChangeDbSystemCompartment	DB_SYSTEM_UPDATE e DB_HOME_UPDATE e DATABASE_UPDATE e DB_BACKUP_INSPECT
ListDbSystemPatches	DB_SYSTEM_INSPECT
ListDbSystemPatchHistoryEntries	DB_SYSTEM_INSPECT
GetDbSystemPatch	DB_SYSTEM_INSPECT
GetDbSystemPatchHistoryEntry	DB_SYSTEM_INSPECT
TerminateDbSystem	DB_SYSTEM_DELETE e DB_HOME_DELETE e DATABASE_DELETE e VNIC_DETACH e VNIC_DELETE e SUBNET_DETACH Se i backup automatici sono abilitati per qualsiasi database nel sistema DB, è necessario anche DB_BACKUP_DELETE
GetDbNode	DB_NODE_INSPECT
DbNodeAction	DB_NODE_POWER_ACTIONS
ListDbHomes	DB_HOME_INSPECT
GetDbHome	DB_HOME_INSPECT
ListDbHomePatches	DB_HOME_INSPECT
ListDbHomePatchHistoryEntries	DB_HOME_INSPECT
GetDbHomePatch	DB_HOME_INSPECT
GetDbHomePatchHistoryEntry	DB_HOME_INSPECT
CreateDbHome	DB_SYSTEM_INSPECT e DB_SYSTEM_UPDATE e DB_HOME_CREATE e DATABASE_CREATE Per abilitare i backup automatici per il database, è necessario anche DB_BACKUP_CREATE e DATABASE_CONTENT_READ
UpdateDbHome	DB_HOME_UPDATE
DeleteDbHome	DB_SYSTEM_UPDATE e DB_HOME_DELETE e DATABASE_DELETE Se i backup automatici sono abilitati, è necessario anche DB_BACKUP_DELETE Se si esegue un backup finale all'arresto, è necessario anche DB_BACKUP_CREATE e DATABASE_CONTENT_READ
ListDatabases	DATABASE_INSPECT
GetDatabase	DATABASE_INSPECT
UpdateDatabase	DATABASE_UPDATE Per abilitare i backup automatici, è necessario anche DB_BACKUP_CREATE e DATABASE_CONTENT_READ
ListDbSystemShapes	(nessun permesso richiesto; disponibile a chiunque)
ListDbVersions	(nessun permesso richiesto; disponibile a chiunque)
GetDataGuardAssociation	DATABASE_INSPECT
ListDataGuardAssociations	DATABASE_INSPECT
CreateDataGuardAssociation	DB_SYSTEM_UPDATE e DB_HOME_CREATE e DB_HOME_UPDATE e DATABASE_CREATE e DATABASE_UPDATE
SwitchoverDataGuardAssociation	DATABASE_UPDATE
FailoverDataGuardAssociation	DATABASE_UPDATE
ReinstateDataGuardAssociation	DATABASE_UPDATE
MigrateVaultKey	DATABASE_UPDATE
RotateVaultKey	DATABASE_UPDATE
GetBackup	DB_BACKUP_INSPECT
ListBackups	DB_BACKUP_INSPECT
CreateBackup	DB_BACKUP_CREATE e DATABASE_CONTENT_READ
DeleteBackup	DB_BACKUP_DELETE e DB_BACKUP_INSPECT
RestoreDatabase	DB_BACKUP_INSPECT e DB_BACKUP_CONTENT_READ e DATABASE_CONTENT_WRITE

Operazioni API pluggable database

Operazione API	Autorizzazioni necessarie per utilizzare l'operazione
ListPluggableDatabase	PLUGGABLE_DATABASE_INSPECT
GetPluggableDatabase	PLUGGABLE_DATABASE_INSPECT
CreatePluggableDatabase	DATABASE_INSPECT* DATABASE_UPDATE* PLUGGABLE_DATABASE_CREATE Autorizzazioni aggiuntive necessarie se i backup automatici sono abilitati nel CDB e includono questo PDB: PLUGGABLE_DATABASE_CONTENT_READ
UpdatePluggableDatabase	PLUGGABLE_DATABASE_INSPECT e PLUGGABLE_DATABASE_UPDATE Autorizzazioni aggiuntive necessarie se i backup automatici sono abilitati nel CDB e includono questo PDB: PLUGGABLE_DATABASE_CONTENT_READ
StartPluggableDatabase	PLUGGABLE_DATABASE_INSPECT e PLUGGABLE_DATABASE_UPDATE
StopPluggableDatabase	PLUGGABLE_DATABASE_INSPECT e PLUGGABLE_DATABASE_UPDATE
DeletePluggableDatabase	DATABASE_INSPECT (esiste) DATABASE_UPDATE (esiste) PLUGGABLE_DATABASE_DELETE
LocalClonePluggableDatabase	DATABASE_INSPECT* DATABASE_UPDATE* PLUGGABLE_DATABASE_INSPECT PLUGGABLE_DATABASE_UPDATE PLUGGABLE_DATABASE_CONTENT_READ PLUGGABLE_DATABASE_CREATE PLUGGABLE_DATABASE_CONTENT_WRITE
RemoteClonePluggableDatabase	DATABASE_INSPECT* DATABASE_UPDATE* PLUGGABLE_DATABASE_INSPECT PLUGGABLE_DATABASE_UPDATE PLUGGABLE_DATABASE_CONTENT_READ PLUGGABLE_DATABASE_CREATE PLUGGABLE_DATABASE_CONTENT_WRITE

Per ulteriori informazioni sulle autorizzazioni e sui verbi, vedere Funzioni dei criteri avanzati.

---

Titolo e informazioni sul copyright

Copyright ©2022,2024,

Oracle e/o relative consociate.