Dettagli dei criteri per il servizio di Base Database
Questo articolo fornisce i dettagli per la scrittura dei criteri IAM (Oracle Cloud Infrastructure Identity and Access Management) per controllare l'accesso alle risorse di Oracle Base Database Service.
Suggerimento
Per un criterio di esempio, vedere Consentire agli amministratori del database di gestire i sistemi di database Oracle Cloud.Tipi risorsa
Un tipo di risorsa aggregato copre l'elenco dei singoli tipi di risorsa che seguono direttamente. Ad esempio, la scrittura di un criterio per consentire a un gruppo di accedere a database-family
equivale alla scrittura di criteri separati per il gruppo che concederebbe l'accesso ai tipi di risorsa db-systems
, db-nodes
, db-homes
, databases
, database-software-image
e db-backups
. Per ulteriori informazioni, vedere Tipi di risorse in Funzionamento dei criteri.
Tipo di risorsa aggregato
database-family
Singola risorsa - Tipi
db-systems
db-nodes
db-homes
databases
pluggable databases
db-backups
Variabili supportate
Sono supportate solo le variabili generali. Per ulteriori informazioni, vedere Variabili generali per tutte le richieste in Riferimento criteri.
Dettagli per le combinazioni verbo-tipo di risorsa
Le tabelle seguenti mostrano le autorizzazioni e le operazioni API coperte da ciascun verbo. Il livello di accesso è cumulativo quando si passa da inspect > read > use > manage
. Un segno più (+) in una cella di tabella indica l'accesso incrementale rispetto alla cella direttamente sopra di essa, mentre "nessun extra" indica nessun accesso incrementale.
Ad esempio, i verbi read
e use
per il tipo di risorsa db-systems
non coprono autorizzazioni o operazioni API aggiuntive rispetto al verbo inspect
. Tuttavia, il verbo manage
include altre due autorizzazioni e copre in parte altre due operazioni API.
db-system
Verbs | Autorizzazioni | API completamente coperte | API parzialmente coperte |
---|---|---|---|
ispezionare | DB_SYSTEM_INSPECT |
|
nessuno |
lettura | nessun altro | nessun altro | nessuno |
utilizzare | DB_SYSTEM_UPDATE | nessun altro | ChangeDbSystemCompartment (ha bisogno anche di use db-homes , use databases e inspect db-backups )
|
gestire |
USE + DB_SYSTEM_CREATE DB_SYSTEM_DELETE |
UpdateDBSystem |
LaunchDBSystem , TerminateDbSystem (entrambi richiedono anche manage db-homes , manage databases , use vnics e use subnets )
|
nodi DB
Verbs | Autorizzazioni | API completamente coperte | API parzialmente coperte |
---|---|---|---|
ispezionare |
DB_NODE_INSPECT DB_NODE_QUERY |
GetDbNode |
nessuno |
lettura | nessun altro | nessun altro | nessuno |
utilizzare | nessun altro | nessun altro | nessuno |
gestire |
USE + DB_NODE_POWER_ACTIONS |
DbNodeAction |
nessuno |
db-homes
Verbs | Autorizzazioni | API completamente coperte | API parzialmente coperte |
---|---|---|---|
ispezionare | DB_HOME_INSPECT |
|
nessuno |
lettura | nessun altro | nessun altro | nessuno |
utilizzare | DB_HOME_UPDATE | UpdateDBHome |
ChangeDbSystemCompartment (ha bisogno anche di use db-systems , use databases e inspect db-backups )
|
gestire |
USE + DB_HOME_CREATE DB_HOME_DELETE |
nessun altro |
Se i backup automatici sono abilitati nel database predefinito, è necessario anche
Se si crea la home del database mediante il ripristino da un backup, è necessario anche
Se i backup automatici sono abilitati nel database predefinito, è necessario anche Se si seleziona l'opzione |
database
Verbs | Autorizzazioni | API completamente coperte | API parzialmente coperte |
---|---|---|---|
ispezionare | DATABASE_INSPECT |
|
nessuno |
lettura |
nessun altro DATABASE_CONTENT_READ |
nessun altro | nessuno |
utilizzare |
LETTURA + DATABASE_CONTENT_WRITE DATABASE_UPDATE |
|
|
gestire |
USE + DATABASE_CREATE DATABASE_DELETE |
nessun altro | LaunchDBSystem , TerminateDbSystem (entrambi richiedono anche manage db-systems , manage db-homes , use vnics e use subnets )
|
pluggable database
Verbs | Autorizzazioni | API completamente coperte | API parzialmente coperte |
---|---|---|---|
ispezionare | PLUGGABLE_DATABASE_INSPECT |
|
nessuno |
lettura |
ISPEZIONE + PLUGGABLE_DATABASE_CONTENT_READ |
nessun altro | nessuno |
utilizzare |
LETTURA + PLUGGABLE_DATABASE_CONTENT_WRITE PLUGGABLE_DATABASE_UPDATE |
|
nessuno |
gestire |
USE + PLUGGABLE_DATABASE_CREATE PLUGGABLE_DATABASE_DELETE |
nessun altro | CreatePluggableDatabase , DeletePluggableDatabase , LocalClonePluggableDatabase , RemoteClonePluggableDatabase (è necessario anche use databases )
|
backup DB
Verbs | Autorizzazioni | API completamente coperte | API parzialmente coperte |
---|---|---|---|
ispezionare | DB_BACKUP_INSPECT |
|
ChangeDbSystemCompartment (ha bisogno anche di use db-systems , use db-homes e use databases )
|
lettura |
ISPEZIONE + DB_BACKUP_CONTENT_READ |
nessuno | RestoreDatabase (ha bisogno anche di use databases )
|
utilizzare | nessun altro | nessun altro | nessuno |
gestire |
USE + DB_BACKUP_CREATE DB_BACKUP_DELETE |
DeleteBackup |
CreateBackup (ha bisogno anche di read databases )
|
Autorizzazioni necessarie per ogni operazione API
Le tabelle seguenti elencano le operazioni API per i sistemi DB e i pluggable database in un ordine logico, raggruppate per tipo di risorsa.
Operazioni API database
Operazione API | Autorizzazioni necessarie per utilizzare l'operazione |
---|---|
ListDbSystems |
DB_SYSTEM_INSPECT |
GetDbSystem |
DB_SYSTEM_INSPECT |
LaunchDbSystem |
DB_SYSTEM_CREATE e DB_HOME_CREATE e DATABASE_CREATE e VNIC_CREATE e VNIC_ATTACH e SUBNET_ATTACH Per abilitare i backup automatici per il database iniziale, è necessario anche DB_BACKUP_CREATE e DATABASE_CONTENT_READ |
UpdateDbSystem |
DB_SYSTEM_INSPECT e DB_SYSTEM_UPDATE |
ChangeDbSystemCompartment |
DB_SYSTEM_UPDATE e DB_HOME_UPDATE e DATABASE_UPDATE e DB_BACKUP_INSPECT |
ListDbSystemPatches |
DB_SYSTEM_INSPECT |
ListDbSystemPatchHistoryEntries |
DB_SYSTEM_INSPECT |
GetDbSystemPatch |
DB_SYSTEM_INSPECT |
GetDbSystemPatchHistoryEntry |
DB_SYSTEM_INSPECT |
TerminateDbSystem |
DB_SYSTEM_DELETE e DB_HOME_DELETE e DATABASE_DELETE e VNIC_DETACH e VNIC_DELETE e SUBNET_DETACH Se i backup automatici sono abilitati per qualsiasi database nel sistema DB, è necessario anche DB_BACKUP_DELETE |
GetDbNode |
DB_NODE_INSPECT |
DbNodeAction |
DB_NODE_POWER_ACTIONS |
ListDbHomes |
DB_HOME_INSPECT |
GetDbHome |
DB_HOME_INSPECT |
ListDbHomePatches |
DB_HOME_INSPECT |
ListDbHomePatchHistoryEntries |
DB_HOME_INSPECT |
GetDbHomePatch |
DB_HOME_INSPECT |
GetDbHomePatchHistoryEntry |
DB_HOME_INSPECT |
CreateDbHome |
DB_SYSTEM_INSPECT e DB_SYSTEM_UPDATE e DB_HOME_CREATE e DATABASE_CREATE Per abilitare i backup automatici per il database, è necessario anche DB_BACKUP_CREATE e DATABASE_CONTENT_READ |
UpdateDbHome |
DB_HOME_UPDATE |
DeleteDbHome |
DB_SYSTEM_UPDATE e DB_HOME_DELETE e DATABASE_DELETE Se i backup automatici sono abilitati, è necessario anche DB_BACKUP_DELETE Se si esegue un backup finale all'arresto, è necessario anche DB_BACKUP_CREATE e DATABASE_CONTENT_READ |
ListDatabases |
DATABASE_INSPECT |
GetDatabase |
DATABASE_INSPECT |
UpdateDatabase |
DATABASE_UPDATE Per abilitare i backup automatici, è necessario anche DB_BACKUP_CREATE e DATABASE_CONTENT_READ |
ListDbSystemShapes |
(nessun permesso richiesto; disponibile a chiunque) |
ListDbVersions |
(nessun permesso richiesto; disponibile a chiunque) |
GetDataGuardAssociation |
DATABASE_INSPECT |
ListDataGuardAssociations |
DATABASE_INSPECT |
CreateDataGuardAssociation |
DB_SYSTEM_UPDATE e DB_HOME_CREATE e DB_HOME_UPDATE e DATABASE_CREATE e DATABASE_UPDATE |
SwitchoverDataGuardAssociation |
DATABASE_UPDATE |
FailoverDataGuardAssociation |
DATABASE_UPDATE |
ReinstateDataGuardAssociation |
DATABASE_UPDATE |
MigrateVaultKey |
DATABASE_UPDATE |
RotateVaultKey |
DATABASE_UPDATE |
GetBackup |
DB_BACKUP_INSPECT |
ListBackups |
DB_BACKUP_INSPECT |
CreateBackup |
DB_BACKUP_CREATE e DATABASE_CONTENT_READ |
DeleteBackup |
DB_BACKUP_DELETE e DB_BACKUP_INSPECT |
RestoreDatabase |
DB_BACKUP_INSPECT e DB_BACKUP_CONTENT_READ e DATABASE_CONTENT_WRITE |
Operazioni API pluggable database
Operazione API | Autorizzazioni necessarie per utilizzare l'operazione |
---|---|
ListPluggableDatabase |
PLUGGABLE_DATABASE_INSPECT |
GetPluggableDatabase |
PLUGGABLE_DATABASE_INSPECT |
CreatePluggableDatabase |
DATABASE_INSPECT* DATABASE_UPDATE* PLUGGABLE_DATABASE_CREATE Autorizzazioni aggiuntive necessarie se i backup automatici sono abilitati nel CDB e includono questo PDB: PLUGGABLE_DATABASE_CONTENT_READ |
UpdatePluggableDatabase |
PLUGGABLE_DATABASE_INSPECT e PLUGGABLE_DATABASE_UPDATE Autorizzazioni aggiuntive necessarie se i backup automatici sono abilitati nel CDB e includono questo PDB: PLUGGABLE_DATABASE_CONTENT_READ |
StartPluggableDatabase |
PLUGGABLE_DATABASE_INSPECT e PLUGGABLE_DATABASE_UPDATE |
StopPluggableDatabase |
PLUGGABLE_DATABASE_INSPECT e PLUGGABLE_DATABASE_UPDATE |
DeletePluggableDatabase |
DATABASE_INSPECT (esiste) DATABASE_UPDATE (esiste) PLUGGABLE_DATABASE_DELETE |
LocalClonePluggableDatabase |
DATABASE_INSPECT* DATABASE_UPDATE* PLUGGABLE_DATABASE_INSPECT PLUGGABLE_DATABASE_UPDATE PLUGGABLE_DATABASE_CONTENT_READ PLUGGABLE_DATABASE_CREATE PLUGGABLE_DATABASE_CONTENT_WRITE |
RemoteClonePluggableDatabase |
DATABASE_INSPECT* DATABASE_UPDATE* PLUGGABLE_DATABASE_INSPECT PLUGGABLE_DATABASE_UPDATE PLUGGABLE_DATABASE_CONTENT_READ PLUGGABLE_DATABASE_CREATE PLUGGABLE_DATABASE_CONTENT_WRITE |