Dettagli dei criteri per il servizio di Base Database

Questo articolo fornisce i dettagli per la scrittura dei criteri IAM (Oracle Cloud Infrastructure Identity and Access Management) per controllare l'accesso alle risorse di Oracle Base Database Service.

Tipi risorsa

Un tipo di risorsa aggregato copre l'elenco dei singoli tipi di risorsa che seguono direttamente. Ad esempio, la scrittura di un criterio per consentire a un gruppo di accedere a database-family equivale alla scrittura di criteri separati per il gruppo che concederebbe l'accesso ai tipi di risorsa db-systems, db-nodes, db-homes, databases, database-software-image e db-backups. Per ulteriori informazioni, vedere Tipi di risorse in Funzionamento dei criteri.

Tipo di risorsa aggregato

  • database-family

Singola risorsa - Tipi

  • db-systems
  • db-nodes
  • db-homes
  • databases
  • pluggable databases
  • db-backups

Variabili supportate

Sono supportate solo le variabili generali. Per ulteriori informazioni, vedere Variabili generali per tutte le richieste in Riferimento criteri.

Dettagli per le combinazioni verbo-tipo di risorsa

Le tabelle seguenti mostrano le autorizzazioni e le operazioni API coperte da ciascun verbo. Il livello di accesso è cumulativo quando si passa da inspect > read > use > manage. Un segno più (+) in una cella di tabella indica l'accesso incrementale rispetto alla cella direttamente sopra di essa, mentre "nessun extra" indica nessun accesso incrementale.

Ad esempio, i verbi read e use per il tipo di risorsa db-systems non coprono autorizzazioni o operazioni API aggiuntive rispetto al verbo inspect. Tuttavia, il verbo manage include altre due autorizzazioni e copre in parte altre due operazioni API.

db-system

Verbs Autorizzazioni API completamente coperte API parzialmente coperte
ispezionare DB_SYSTEM_INSPECT

ListDbSystems

GetDbSystem

ListDbSystemPatches

ListDbSystemPatchHistoryEntries

GetDbSystemPatch

GetDbSystemPatchHistoryEntry

nessuno
lettura nessun altro nessun altro nessuno
utilizzare DB_SYSTEM_UPDATE nessun altro ChangeDbSystemCompartment (ha bisogno anche di use db-homes, use databases e inspect db-backups)
gestire

USE +

DB_SYSTEM_CREATE

DB_SYSTEM_DELETE

UpdateDBSystem LaunchDBSystem, TerminateDbSystem (entrambi richiedono anche manage db-homes, manage databases, use vnics e use subnets)

nodi DB

Verbs Autorizzazioni API completamente coperte API parzialmente coperte
ispezionare

DB_NODE_INSPECT

DB_NODE_QUERY

GetDbNode nessuno
lettura nessun altro nessun altro nessuno
utilizzare nessun altro nessun altro nessuno
gestire

USE +

DB_NODE_POWER_ACTIONS

DbNodeAction nessuno

db-homes

Verbs Autorizzazioni API completamente coperte API parzialmente coperte
ispezionare DB_HOME_INSPECT

ListDBHome

GetDBHome

ListDbHomePatches

ListDbHomePatchHistoryEntries

GetDbHomePatch

GetDbHomePatchHistoryEntry

nessuno
lettura nessun altro nessun altro nessuno
utilizzare DB_HOME_UPDATE UpdateDBHome ChangeDbSystemCompartment (ha bisogno anche di use db-systems, use databases e inspect db-backups)
gestire

USE +

DB_HOME_CREATE

DB_HOME_DELETE

nessun altro

LaunchDBSystem, TerminateDbSystem (entrambi richiedono anche manage db-systems, manage databases, use vnics e use subnets).

Se i backup automatici sono abilitati nel database predefinito, è necessario anche manage db-backups.

CreateDbHome, (ha bisogno anche di use db-systems e manage databases).

Se si crea la home del database mediante il ripristino da un backup, è necessario anche read db-backups.

DeleteDbHome, (ha bisogno anche di use db-systems e manage databases).

Se i backup automatici sono abilitati nel database predefinito, è necessario anche manage db-backups.

Se si seleziona l'opzione performFinalBackup, sono necessari anche manage db-backups e read databases.

database

Verbs Autorizzazioni API completamente coperte API parzialmente coperte
ispezionare DATABASE_INSPECT

ListDatabases

GetDatabase

ListDataGuardAssociations

GetDataGuardAssociation

nessuno
lettura

nessun altro

DATABASE_CONTENT_READ

nessun altro nessuno
utilizzare

LETTURA +

DATABASE_CONTENT_WRITE

DATABASE_UPDATE

UpdateDatabase

SwitchoverDataGuardAssociation

FailoverDataGuardAssociation

ReinstateDataGuardAssociation

RotateVaultKey

MigrateVaultKey

CreateDataGuardAssociation

ChangeDbSystemCompartment (ha bisogno anche di use db-systems, use db-homes e inspect db-backups)

gestire

USE +

DATABASE_CREATE

DATABASE_DELETE

nessun altro LaunchDBSystem, TerminateDbSystem (entrambi richiedono anche manage db-systems, manage db-homes, use vnics e use subnets)

pluggable database

Verbs Autorizzazioni API completamente coperte API parzialmente coperte
ispezionare PLUGGABLE_DATABASE_INSPECT

ListPluggableDatabases

GetPluggableDatabase

nessuno
lettura

ISPEZIONE +

PLUGGABLE_DATABASE_CONTENT_READ

nessun altro nessuno
utilizzare

LETTURA +

PLUGGABLE_DATABASE_CONTENT_WRITE

PLUGGABLE_DATABASE_UPDATE

UpdatePluggableDatabases

StartPluggableDatabase

StopPluggableDatabase

nessuno
gestire

USE +

PLUGGABLE_DATABASE_CREATE

PLUGGABLE_DATABASE_DELETE

nessun altro CreatePluggableDatabase, DeletePluggableDatabase, LocalClonePluggableDatabase, RemoteClonePluggableDatabase (è necessario anche use databases)

backup DB

Verbs Autorizzazioni API completamente coperte API parzialmente coperte
ispezionare DB_BACKUP_INSPECT

GetBackup

ListBackups

ChangeDbSystemCompartment (ha bisogno anche di use db-systems, use db-homes e use databases)
lettura

ISPEZIONE +

DB_BACKUP_CONTENT_READ

nessuno RestoreDatabase (ha bisogno anche di use databases)
utilizzare nessun altro nessun altro nessuno
gestire

USE +

DB_BACKUP_CREATE

DB_BACKUP_DELETE

DeleteBackup CreateBackup (ha bisogno anche di read databases)
Per ulteriori informazioni sulle autorizzazioni e sui verbi, vedere Funzioni dei criteri avanzati.

Autorizzazioni necessarie per ogni operazione API

Le tabelle seguenti elencano le operazioni API per i sistemi DB e i pluggable database in un ordine logico, raggruppate per tipo di risorsa.

Operazioni API database

Operazione API Autorizzazioni necessarie per utilizzare l'operazione
ListDbSystems DB_SYSTEM_INSPECT
GetDbSystem DB_SYSTEM_INSPECT
LaunchDbSystem

DB_SYSTEM_CREATE e DB_HOME_CREATE e DATABASE_CREATE e VNIC_CREATE e VNIC_ATTACH e SUBNET_ATTACH

Per abilitare i backup automatici per il database iniziale, è necessario anche DB_BACKUP_CREATE e DATABASE_CONTENT_READ

UpdateDbSystem DB_SYSTEM_INSPECT e DB_SYSTEM_UPDATE
ChangeDbSystemCompartment DB_SYSTEM_UPDATE e DB_HOME_UPDATE e DATABASE_UPDATE e DB_BACKUP_INSPECT
ListDbSystemPatches DB_SYSTEM_INSPECT
ListDbSystemPatchHistoryEntries DB_SYSTEM_INSPECT
GetDbSystemPatch DB_SYSTEM_INSPECT
GetDbSystemPatchHistoryEntry DB_SYSTEM_INSPECT
TerminateDbSystem

DB_SYSTEM_DELETE e DB_HOME_DELETE e DATABASE_DELETE e VNIC_DETACH e VNIC_DELETE e SUBNET_DETACH

Se i backup automatici sono abilitati per qualsiasi database nel sistema DB, è necessario anche DB_BACKUP_DELETE

GetDbNode DB_NODE_INSPECT
DbNodeAction DB_NODE_POWER_ACTIONS
ListDbHomes DB_HOME_INSPECT
GetDbHome DB_HOME_INSPECT
ListDbHomePatches DB_HOME_INSPECT
ListDbHomePatchHistoryEntries DB_HOME_INSPECT
GetDbHomePatch DB_HOME_INSPECT
GetDbHomePatchHistoryEntry DB_HOME_INSPECT
CreateDbHome

DB_SYSTEM_INSPECT e DB_SYSTEM_UPDATE e DB_HOME_CREATE e DATABASE_CREATE

Per abilitare i backup automatici per il database, è necessario anche DB_BACKUP_CREATE e DATABASE_CONTENT_READ

UpdateDbHome DB_HOME_UPDATE
DeleteDbHome

DB_SYSTEM_UPDATE e DB_HOME_DELETE e DATABASE_DELETE

Se i backup automatici sono abilitati, è necessario anche DB_BACKUP_DELETE

Se si esegue un backup finale all'arresto, è necessario anche DB_BACKUP_CREATE e DATABASE_CONTENT_READ

ListDatabases DATABASE_INSPECT
GetDatabase DATABASE_INSPECT
UpdateDatabase

DATABASE_UPDATE

Per abilitare i backup automatici, è necessario anche DB_BACKUP_CREATE e DATABASE_CONTENT_READ

ListDbSystemShapes (nessun permesso richiesto; disponibile a chiunque)
ListDbVersions (nessun permesso richiesto; disponibile a chiunque)
GetDataGuardAssociation DATABASE_INSPECT
ListDataGuardAssociations DATABASE_INSPECT
CreateDataGuardAssociation DB_SYSTEM_UPDATE e DB_HOME_CREATE e DB_HOME_UPDATE e DATABASE_CREATE e DATABASE_UPDATE
SwitchoverDataGuardAssociation DATABASE_UPDATE
FailoverDataGuardAssociation DATABASE_UPDATE
ReinstateDataGuardAssociation DATABASE_UPDATE
MigrateVaultKey DATABASE_UPDATE
RotateVaultKey DATABASE_UPDATE
GetBackup DB_BACKUP_INSPECT
ListBackups DB_BACKUP_INSPECT
CreateBackup DB_BACKUP_CREATE e DATABASE_CONTENT_READ
DeleteBackup DB_BACKUP_DELETE e DB_BACKUP_INSPECT
RestoreDatabase DB_BACKUP_INSPECT e DB_BACKUP_CONTENT_READ e DATABASE_CONTENT_WRITE

Operazioni API pluggable database

Operazione API Autorizzazioni necessarie per utilizzare l'operazione
ListPluggableDatabase PLUGGABLE_DATABASE_INSPECT
GetPluggableDatabase PLUGGABLE_DATABASE_INSPECT
CreatePluggableDatabase

DATABASE_INSPECT*

DATABASE_UPDATE*

PLUGGABLE_DATABASE_CREATE

Autorizzazioni aggiuntive necessarie se i backup automatici sono abilitati nel CDB e includono questo PDB:

PLUGGABLE_DATABASE_CONTENT_READ

UpdatePluggableDatabase

PLUGGABLE_DATABASE_INSPECT e

PLUGGABLE_DATABASE_UPDATE

Autorizzazioni aggiuntive necessarie se i backup automatici sono abilitati nel CDB e includono questo PDB:

PLUGGABLE_DATABASE_CONTENT_READ

StartPluggableDatabase

PLUGGABLE_DATABASE_INSPECT e

PLUGGABLE_DATABASE_UPDATE

StopPluggableDatabase

PLUGGABLE_DATABASE_INSPECT e

PLUGGABLE_DATABASE_UPDATE

DeletePluggableDatabase

DATABASE_INSPECT (esiste)

DATABASE_UPDATE (esiste)

PLUGGABLE_DATABASE_DELETE

LocalClonePluggableDatabase

DATABASE_INSPECT*

DATABASE_UPDATE*

PLUGGABLE_DATABASE_INSPECT

PLUGGABLE_DATABASE_UPDATE

PLUGGABLE_DATABASE_CONTENT_READ

PLUGGABLE_DATABASE_CREATE

PLUGGABLE_DATABASE_CONTENT_WRITE

RemoteClonePluggableDatabase

DATABASE_INSPECT*

DATABASE_UPDATE*

PLUGGABLE_DATABASE_INSPECT

PLUGGABLE_DATABASE_UPDATE

PLUGGABLE_DATABASE_CONTENT_READ

PLUGGABLE_DATABASE_CREATE

PLUGGABLE_DATABASE_CONTENT_WRITE

Per ulteriori informazioni sulle autorizzazioni e sui verbi, vedere Funzioni dei criteri avanzati.