전용 Exadata 인프라의 자율운영 AI 데이터베이스에 대한 IAM 정책
이 문서에서는 전용 Exadata 인프라에서 자율운영 AI 데이터베이스의 인프라 리소스를 관리하는 데 필요한 IAM 정책을 나열합니다.
전용 Exadata 인프라의 Oracle Autonomous AI Database는 IAM(Identity and Access Management) 서비스를 사용하여 클라우드 사용자가 Oracle Cloud Infrastructure 인터페이스(콘솔, REST API, CLI 또는 SDK)를 사용하는 작업을 수행할 수 있도록 인증하고 권한을 부여합니다. IAM 서비스는 그룹, 구획 및 정책을 사용하여 어떤 클라우드 사용자가 어떤 리소스에 액세스할 수 있는지 제어합니다.
자율운영 AI 데이터베이스에 대한 정책 세부정보
이 항목에서는 자율운영 AI 데이터베이스 리소스에 대한 액세스를 제어하는 정책 작성에 대한 세부정보를 다룹니다.
정책은 개별 구획의 특정 리소스에 대한 사용자 그룹의 액세스 종류를 정의합니다. 자세한 내용은 정책 시작하기를 참조하세요.
참고: 샘플 정책은 데이터베이스 및 플리트 관리자가 자율운영 AI 데이터베이스를 관리하도록 허용을 참조하십시오.
자원 유형
집계 리소스 유형은 바로 뒤에 나오는 개별 리소스 유형 목록을 다룹니다. 예를 들어, 그룹이 autonomous-database-family에 액세스할 수 있도록 하나의 정책을 작성하는 것은 autonomous-databases, autonomous-backups, autonomous-container-databases 및 cloud-autonomous-vmclusters 리소스 유형에 대한 액세스 권한을 부여하는 그룹에 대해 네 개의 별도 정책을 작성하는 것과 같습니다. 자세한 내용은 리소스 유형을 참조하십시오.
자율운영 AI 데이터베이스에 대한 리소스 유형
집계 리소스 유형:
autonomous-database-family
개별 리소스 유형:
autonomous-databases
autonomous-backups
autonomous-container-databases
cloud-autonomous-vmclusters(Oracle Public Cloud 배포만 해당)
autonomous-vmclusters(Oracle Exadata Cloud@Customer 배포만 해당)
autonomous-virtual-machine
참고: Oracle Public Cloud 및 Exadata Cloud@Customer에서 각각 자율운영 AI 데이터베이스를 프로비저닝하는 데 필요한 cloud-exadata-infrastructures 및 exadata-infrastructures 리소스 유형은 집계 리소스 유형 database-family에서 다룹니다. database-family에서 다루는 리소스에 대한 자세한 내용은 Exadata Cloud Service 인스턴스에 대한 정책 세부정보 및 Base Database 서비스에 대한 정책 세부정보를 참조하십시오.
지원되는 변수
일반 변수가 지원됩니다. 자세한 내용은 모든 요청에 대한 일반 변수를 참조하십시오.
또한 다음 표와 같이 target.workloadType 변수를 사용할 수 있습니다.
| target.workloadType 값 | 설명 |
|---|---|
OLTP |
온라인 트랜잭션 처리 - Autonomous Transaction Processing 작업 로드가 있는 자율운영 AI 데이터베이스에 사용됩니다. |
DW |
Autonomous Data Warehouse 워크로드가 있는 자율운영 AI 데이터베이스에 사용되는 데이터 웨어하우스입니다. |
target.workloadType 변수를 사용하는 예제 정책:
Allow group ADB-Admins
to manage autonomous-database
in tenancy where target.workloadType = 'workload_type'동사 + 리소스 유형 조합에 대한 세부정보
액세스 레벨은 inspect > read > use > manage에서 누적됩니다. 테이블 셀의 더하기 기호(+)는 바로 위에 있는 셀에 비해 증분 액세스를 나타내고, "추가 없음"은 증분 액세스가 없음을 나타냅니다.
예를 들어, autonomous-databases 리소스 유형에 대한 read 동사는 inspect 동사와 동일한 권한 및 API 작업과 AUTONOMOUS_DATABASE_CONTENT_READ 권한을 포함합니다. read 동사는 autonomous-backups에 대한 관리 권한도 필요한 CreateAutonomousDatabaseBackup 작업을 부분적으로 다룹니다.
다음 표에서는 각 동사에서 다루는 권한 및 API 작업을 보여줍니다. 권한에 대한 자세한 내용은 권한을 참조하십시오.
autonomous-database-family 리소스 유형의 경우
참고: autonomous-database-family가 적용되는 리소스 계열은 모든 자율운영 AI 데이터베이스 작업 로드 유형과 연관된 데이터베이스 리소스에 대한 액세스 권한을 부여하는 데 사용할 수 있습니다.
자율운영 데이터베이스
| 동사 | 권한 | 완전히 적용되는 API | 부분적으로 적용되는 API |
|---|---|---|---|
| 검사 | AUTONOMOUS_DATABASE_INSPECT |
GetAutonomousDatabase, ListAutonomousDatabases |
없음 |
| 읽음 |
|
추가 없음 | CreateAutonomousDatabaseBackup(manage autonomous-backups도 필요함) |
| 사용 |
|
UpdateAutonomousDatabase |
|
| 관리 |
|
CreateAutonomousDatabase |
없음 |
자율 백업
| 동사 | 권한 | 완전히 적용되는 API | 부분적으로 적용되는 API |
|---|---|---|---|
| 검사 | AUTONOMOUS_DB_BACKUP_INSPECT |
ListAutonomousDatabaseBackups, GetAutonomousDatabaseBackup |
없음 |
| 읽음 |
|
추가 없음 |
|
| 사용 | 읽기 + 추가 없음 |
추가 없음 | 없음 |
| 관리 |
|
DeleteAutonomousDatabaseBackup |
CreateAutonomousDatabaseBackup(read autonomous-databases도 필요함) |
자율 컨테이너 데이터베이스
| 동사 | 권한 | 완전히 적용되는 API | 부분적으로 적용되는 API |
|---|---|---|---|
| 검사 | AUTONOMOUS_CONTAINER_DATABASE_INSPECT |
ListAutonomousContainerDatabases, GetAutonomousContainerDatabase |
없음 |
| 읽음 | 검사 + 추가 없음 |
추가 없음 | 없음 |
| 사용 | 읽기 +
|
|
CreateAutonomousDatabase(manage autonomous-databases도 필요함) |
| 관리 |
|
추가 없음 | CreateAutonomousContainerDatabase, TerminateAutonomousContainerDatabase(둘 다 use cloud-autonomous-vmclusters, use cloud-exadata-infrastructures 필요) |
클라우드 자율 VM 클러스터
| 동사 | 권한 | 완전히 적용되는 API | 부분적으로 적용되는 API |
|---|---|---|---|
| 검사 | CLOUD_AUTONOMOUS_VM_CLUSTER_INSPECT |
|
없음 |
| 읽음 |
추가 없음 |
추가 없음 | 없음 |
| 사용 | 읽기 +
|
|
|
| 관리 |
|
추가 없음 |
(둘 다 |
자율운영 VM 클러스터
| 동사 | 권한 | 완전히 적용되는 API | 부분적으로 적용되는 API |
|---|---|---|---|
| 검사 | AUTONOMOUS_VM_CLUSTER_INSPECT |
|
ChangeAutonomousVmClusterCompartment |
| 읽음 | 검사 + 추가 없음 |
추가 없음 | 없음 |
| 사용 |
|
ChangeAutonomousVmClusterCompartment |
|
| 관리 |
|
DeleteAutonomousVmCluster |
CreateAutonomousVmCluster |
자율운영 가상 머신
| 동사 | 권한 | 완전히 적용되는 API | 부분적으로 적용되는 API |
|---|---|---|---|
| 검사 | AUTONOMOUS_VIRTUAL_MACHINE_INSPECT |
|
없음 |
각 API 작업에 필요한 권한
자율운영 컨테이너 데이터베이스(ACD)와 자율운영 AI 데이터베이스(ADB)는 Oracle Public Cloud, 멀티클라우드 및 Exadata Cloud@Customer 배포 간의 공통 리소스입니다. 따라서 다음 표의 두 배포에 대한 사용 권한은 동일합니다.
그러나 특정 ACD 작업에는 AVMC 수준의 권한이 필요하며 AVMC 리소스가 Oracle Public Cloud 및 Exadata Cloud@Customer와 다르기 때문에 각 배포 유형에 대해 서로 다른 권한이 필요합니다. 예를 들어, ACD를 만들려면 다음이 필요합니다.
-
Exadata Cloud@Customer에 대한 AUTONOMOUS_VM_CLUSTER_UPDATE 및 AUTONOMOUS_CONTAINER_DATABASE_CREATE 권한.
-
Oracle Public Cloud 및 멀티클라우드에 대한 CLOUD_AUTONOMOUS_VM_CLUSTER_UPDATE 및 AUTONOMOUS_CONTAINER_DATABASE_CREATE 권한.
권한에 대한 자세한 내용은 권한을 참조하십시오.
다음 표에서는 리소스 유형별로 그룹화된 논리적 순서로 자율운영 AI 데이터베이스 리소스에 대한 API 작업을 나열합니다.
자율운영 AI 데이터베이스 API 작업
API를 사용하여 자율운영 AI 데이터베이스의 다양한 인프라 리소스를 보고 관리할 수 있습니다. 다양한 자율운영 AI 데이터베이스 리소스를 관리하는 REST API 끝점 목록은 전용 Exadata 인프라의 자율운영 AI 데이터베이스에 대한 API 참조를 참조하십시오.
특정 권한에 대한 사용자 액세스 제한
사용자 액세스는 IAM 정책 문에 정의되어 있습니다. 그룹에 특정 동사 및 리소스 유형의 액세스 권한을 부여하는 정책 문을 작성하는 경우 실제로 해당 그룹에 하나 이상의 미리 정의된 IAM 권한에 대한 액세스 권한을 부여합니다. 동사의 목적은 여러 관련 권한을 부여하는 프로세스를 단순화하는 것입니다.
특정 IAM 권한을 허용하거나 거부하려는 경우 정책 문에 where 조건을 추가합니다. 예를 들어 플리트 관리자 그룹이 Exadata 인프라 리소스에서 삭제 제외된 작업을 수행하도록 허용하려면 이 정책 문을 생성합니다.
Allow group FleetAdmins to manage cloud-exadata-infrastructures in tenancy where request.permission != 'CLOUD_EXADATA_INFRASTRUCTURE_DELETE'그런 다음 where 조건을 생략하여 더 작은 플리트 관리자 그룹이 Exadata 인프라 리소스에 대해 모든 작업(삭제 포함)을 수행하도록 허용할 수 있습니다.
Allow group FleetSuperAdmins to manage cloud-exadata-infrastructures in tenancy이러한 방식으로 where 조건을 사용하는 방법에 대한 자세한 내용은 권한의 "권한 또는 API 작업으로 액세스 범위 지정" 절을 참조하십시오.
Exadata 인프라 리소스 관리 정책
다음 표는 클라우드 사용자가 Exadata 인프라 리소스에 대한 관리 작업을 수행하는 데 필요한 IAM 정책을 나열합니다.
| 연산 | Oracle Public Cloud 및 멀티클라우드에 대한 필수 IAM 정책 | Exadata Cloud@Customer에 필요한 IAM 정책 |
|---|---|---|
| Exadata 인프라 리소스 생성 |
|
manage exadata-infrastructures |
| Exadata 인프라 리소스 목록 보기 | inspect cloud-exadata-infrastructures |
inspect exadata-infrastructures |
| Exadata 인프라 리소스의 세부정보 보기 | inspect cloud-exadata-infrastructures |
inspect exadata-infrastructures |
| Exadata 인프라 리소스의 유지보수 일정 변경 | use cloud-exadata-infrastructures |
use exadata-infrastructures |
| Exadata 인프라 리소스를 다른 컴파트먼트로 이동 | use cloud-exadata-infrastructures |
use exadata-infrastructures |
| Exadata 인프라 리소스에 대한 보안 인증서 관리 | manage cloud-exadata-infrastructures |
manage exadata-infrastructures |
| Exadata 인프라 리소스 종료 |
|
manage exadata-infrastructures |
자율운영 Exadata VM 클러스터를 관리하는 정책
다음 표에는 클라우드 사용자가 자율운영 Exadata VM 클러스터에서 관리 작업을 수행하는 데 필요한 IAM 정책이 나와 있습니다.
| 연산 | Oracle Public Cloud 및 멀티클라우드에 대한 필수 IAM 정책 | Exadata Cloud@Customer에 필요한 IAM 정책 |
|---|---|---|
| 자율운영 Exadata VM 클러스터 생성 |
|
|
| 자율운영 Exadata VM 클러스터 목록 보기 | inspect cloud-autonomous-vmclusters |
inspect autonomous-vmclusters |
| 자율운영 Exadata VM 클러스터의 세부정보 보기 | inspect cloud-autonomous-vmclusters |
inspect autonomous-vmclusters |
| 자율운영 VM 클러스터의 라이센스 유형 변경 | 해당 사항 없음 |
|
| 자율운영 Exadata VM 클러스터를 다른 컴파트먼트로 이동 | use cloud-autonomous-vmclusters |
use autonomous-vmclusters |
| 자율운영 Exadata VM 클러스터 종료 | manage cloud-autonomous-vmclusters |
manage autonomous-vmclusters |
자율운영 컨테이너 데이터베이스 관리 정책
다음 표는 클라우드 사용자가 자율운영 컨테이너 데이터베이스(ACD)에서 관리 작업을 수행하는 데 필요한 IAM 정책을 나열합니다.
| 연산 | 필요한 IAM 정책 |
|---|---|
| 자율운영 컨테이너 데이터베이스 생성 |
|
| 자율운영 컨테이너 데이터베이스 목록 보기 | inspect autonomous-container-databases |
| 자율운영 컨테이너 데이터베이스의 세부정보 보기 | inspect autonomous-container-databases |
| 자율운영 컨테이너 데이터베이스의 백업 보존 정책 변경 | use autonomous-container-databases |
| 자율운영 컨테이너 데이터베이스의 유지보수 환경설정 편집 | use autonomous-container-databases |
| 자율운영 컨테이너 데이터베이스 재시작 | use autonomous-container-databases |
| 자율운영 컨테이너 데이터베이스를 다른 컴파트먼트로 이동 | use autonomous-container-databases |
| 자율운영 컨테이너 데이터베이스 암호화 키 교체 |
|
| 자율운영 컨테이너 데이터베이스 종료 |
|
자율운영 Data Guard 구성 관리 정책
다음 표에는 클라우드 사용자가 자율운영 Data Guard 구성에서 관리 작업을 수행하는 데 필요한 IAM 정책이 나와 있습니다.
| 연산 | 필요한 IAM 정책 |
|---|---|
| ACD를 사용하여 자율운영 Data Guard 그룹을 봅니다. | inspect autonomous-container-databases |
| 지정된 ACD 또는 자율운영 AI 데이터베이스와 연관된 자율운영 Data Guard로 사용으로 설정된 ACD를 나열합니다. | inspect autonomous-container-databases |
| 비활성화된 대기 데이터베이스를 활성 대기 ACD로 복원합니다. |
|
| 기본 및 대기 ACD의 전환 롤입니다. |
|
| 대기 ACD로 페일오버합니다. 페일오버가 성공적으로 완료되면 이 대기 ACD가 새 기본 ACD가 됩니다. |
|
| 보호 모드, 자동 복구 및 빠른 시작 복구 지연 제한과 같은 자율운영 Data Guard 설정을 수정합니다. |
|
| 지정된 자율운영 AI 데이터베이스와 연관된 자율운영 Data Guard 사용 데이터베이스를 가져옵니다. | inspect autonomous-container-databases |
| 자율운영 AI Database Data Guard 그룹을 나열합니다. | inspect autonomous-container-databases |
| ACD에서 자율운영 Data Guard를 사용으로 설정합니다. |
|
| 대기 ACD를 물리적 대기 ACD와 스냅샷 대기 ACD 간에 변환합니다. |
|
자율운영 AI 데이터베이스 관리 정책
다음 표에는 클라우드 사용자가 자율운영 AI 데이터베이스에서 관리 작업을 수행하는 데 필요한 IAM 정책이 나와 있습니다.
| 연산 | 필요한 IAM 정책 |
|---|---|
| 자율운영 AI 데이터베이스 생성 |
|
| 자율운영 AI 데이터베이스 목록 보기 | inspect autonomous-databases |
| 자율운영 AI 데이터베이스의 세부정보 보기 | inspect autonomous-databases |
| 자율운영 AI 데이터베이스의 ADMIN 사용자의 비밀번호 설정 | use autonomous-databases |
| 자율운영 AI 데이터베이스의 CPU 코어 수 또는 스토리지 확장 | use autonomous-databases |
| 자율운영 AI 데이터베이스에 대한 자동 스케일링 사용 또는 사용 안함 | use autonomous-databases |
| 자율운영 AI 데이터베이스를 다른 컴파트먼트로 이동 |
|
| 자율운영 AI 데이터베이스 정지 또는 시작 | use autonomous-databases |
| 자율운영 AI 데이터베이스 재시작 | use autonomous-databases |
| 자율운영 AI 데이터베이스를 수동으로 백업 |
|
| 자율운영 AI 데이터베이스 복원 |
|
| 자율운영 AI 데이터베이스 복제 |
|
| 자율운영 AI 데이터베이스 종료 | manage autonomous-databases |