Autonomous Database on Dedicated Exadata Infrastructure에 대한 IAM 정책
이 문서에서는 전용 Exadata 인프라에서 Autonomous Database의 인프라 리소스를 관리하는 데 필요한 IAM 정책을 나열합니다.
Oracle Autonomous Database on Dedicated Exadata Infrastructure는 IAM(Identity and Access Management) 서비스를 사용하여 클라우드 사용자가 Oracle Cloud Infrastructure 인터페이스(콘솔, REST API, CLI 또는 SDK)를 사용하는 작업을 수행할 수 있도록 인증하고 권한을 부여합니다. IAM 서비스는 그룹, 구획 및 정책을 사용하여 어떤 클라우드 사용자가 어떤 리소스에 액세스할 수 있는지 제어합니다.
Autonomous Database에 대한 정책 세부정보
이 항목에서는 Autonomous Database 리소스에 대한 액세스를 제어하는 정책을 작성하는 데 대한 세부정보를 다룹니다.
참고:
샘플 정책은 데이터베이스 및 플리트 관리자가 자율운영 데이터베이스를 관리할 수 있도록 설정을 참조하십시오.리소스 유형
집계 리소스 유형은 바로 뒤에 오는 개별 리소스 유형 목록을 포함합니다. 예를 들어, 그룹이 autonomous-database-family
에 액세스할 수 있도록 하나의 정책을 작성하는 것은 autonomous-databases
, autonomous-backups
, autonomous-container-databases
및 cloud-autonomous-vmclusters
리소스 유형에 대한 액세스 권한을 부여하는 그룹에 대해 네 개의 개별 정책을 작성하는 것과 같습니다. 자세한 내용은 Resource-Types를 참조하십시오.
집계 Resource-Type:
autonomous-database-family
개별 리소스 유형:
autonomous-databases
autonomous-backups
autonomous-container-databases
cloud-autonomous-vmclusters
(Oracle Public Cloud 배포 전용)
autonomous-vmclusters
(Oracle Exadata Cloud@Customer 배포만 해당)
autonomous-virtual-machine
참고:
Autonomous Database를 Oracle Public Cloud 및 Exadata Cloud@Customer에서 각각 프로비저닝하는 데 필요한cloud-exadata-infrastructures
및 exadata-infrastructures
리소스 유형은 집계 리소스 유형 database-family
에 포함됩니다. database-family
에서 다루는 리소스에 대한 자세한 내용은 Exadata Cloud Service 인스턴스에 대한 정책 세부정보 및 기본 데이터베이스 서비스에 대한 정책 세부정보를 참조하십시오.
지원되는 변수
일반 변수가 지원됩니다. 자세한 내용은 모든 요청에 대한 일반 변수를 참조하십시오.
또한 다음 표에 표시된 대로 target.workloadType
변수를 사용할 수 있습니다.
target.workloadType 값 | 설명 |
---|---|
OLTP |
온라인 트랜잭션 처리 - Autonomous Transaction Processing 작업 로드와 함께 Autonomous Database에 사용됩니다. |
DW |
데이터 웨어하우스 - Autonomous Data Warehouse 워크로드와 함께 Autonomous Database에 사용됩니다. |
Allow group ADB-Admins
to manage autonomous-database
in tenancy where target.workloadType = 'workload_type'
Verb + 리소스 유형 조합에 대한 세부정보
액세스 레벨은 inspect > read > use > manage
에서 이동할 때 누적됩니다. 테이블 셀의 더하기 기호(+)는 바로 위의 셀과 비교하여 증분 액세스를 나타내고, "추가 없음"은 증분 액세스가 없음을 나타냅니다.
예를 들어, autonomous-databases
resource-type에 대한 read
동사는 inspect
동사와 동일한 권한 및 API 작업과 AUTONOMOUS_DATABASE_CONTENT_READ 권한을 다룹니다. read
동사는 autonomous-backups
에 대한 관리 권한도 필요한 CreateAutonomousDatabaseBackup
작업을 부분적으로 다룹니다.
다음 표에서는 각 동사에서 다루는 권한 및 API 작업을 보여줍니다. 권한에 대한 자세한 내용은 권한을 참조하십시오.
주:
autonomous-database-family에서 다루는 리소스 계열은 모든 Autonomous Database 작업 로드 유형과 연관된 데이터베이스 리소스에 대한 액세스 권한을 부여하는 데 사용할 수 있습니다.동사 | 권한 | API 완전 적용 | 부분적으로 적용되는 API |
---|---|---|---|
검사 |
|
|
없음 |
읽기 |
|
추가 없음 |
|
사용 |
|
|
|
관리 |
|
|
없음 |
동사 | 권한 | API 완전 적용 | 부분적으로 적용되는 API |
---|---|---|---|
검사 |
|
|
없음 |
읽기 |
|
추가 없음 |
|
사용 |
읽기 + 추가 없음 |
추가 없음 |
없음 |
관리 |
|
|
|
동사 | 권한 | API 완전 적용 | 부분적으로 적용되는 API |
---|---|---|---|
검사 |
|
|
없음 |
읽기 |
검사 + 추가 없음 |
추가 없음 |
없음 |
사용 |
읽기 +
|
|
|
관리 |
|
추가 없음 |
|
동사 | 권한 | API 완전 적용 | 부분적으로 적용되는 API |
---|---|---|---|
검사 |
|
|
없음 |
읽기 |
추가 없음 |
추가 없음 |
없음 |
사용 |
읽기 +
|
|
|
관리 |
|
추가 없음 |
(둘 다 |
자율 VM 클러스터
동사 | 권한 | API 완전 적용 | 부분적으로 적용되는 API |
---|---|---|---|
검사 |
|
|
|
읽기 |
검사 + 추가 없음 |
추가 없음 |
없음 |
사용 |
|
|
|
관리 |
|
|
|
동사 | 권한 | API 완전 적용 | 부분적으로 적용되는 API |
---|---|---|---|
검사 | AUTONOMOUS_VIRTUAL_MACHINE_INSPECT |
|
없음 |
각 API 작업에 필요한 권한
Autonomous Container Database (ACD) and Autonomous Database (ADB) are common resources between Oracle Public Cloud, Multicloud, and Exadata Cloud@Customer deployments. 따라서 다음 표의 두 배포에 대한 사용 권한은 동일합니다.
-
Exadata Cloud@Customer에 대한 AUTONOMOUS_VM_CLUSTER_UPDATE 및 AUTONOMOUS_CONTAINER_DATABASE_CREATE 권한.
-
Oracle Public Cloud 및 멀티클라우드에 대한 CLOUD_AUTONOMOUS_VM_CLUSTER_UPDATE 및 AUTONOMOUS_CONTAINER_DATABASE_CREATE 권한
권한에 대한 자세한 내용은 권한을 참조하십시오.
다음 표에서는 리소스 유형별로 그룹화된 논리적 순서로 Autonomous Database 리소스에 대한 API 작업을 나열합니다.
API를 사용하여 Autonomous Database의 다양한 인프라 리소스를 보고 관리할 수 있습니다. 다양한 Autonomous Database 리소스를 관리하는 REST API 엔드포인트 목록은 API Reference for Autonomous Database on Dedicated Exadata Infrastructure를 참조하십시오.
사용자 액세스는 IAM 정책 문에 정의되어 있습니다. 그룹에 특정 동사 및 리소스 유형에 대한 액세스 권한을 부여하는 정책 문을 만들 때 실제로 해당 그룹에 미리 정의된 하나 이상의 IAM 권한에 대한 액세스 권한을 부여합니다. 동사의 목적은 여러 관련 권한을 부여하는 프로세스를 단순화하는 것입니다.
특정 IAM 권한을 허용하거나 거부하려면 정책 문에 where
조건을 추가합니다. 예를 들어, 플리트 관리자 그룹이 Exadata 인프라 리소스에서 삭제 제외 작업을 수행할 수 있도록 허용하려면 다음 정책 문을 생성합니다.
Allow group FleetAdmins to manage cloud-exadata-infrastructures in tenancy where request.permission != 'CLOUD_EXADATA_INFRASTRUCTURE_DELETE'
그런 다음 where
조건을 생략하여 더 작은 그룹의 플리트 관리자가 Exadata 인프라 리소스에서 작업(삭제 포함)을 수행하도록 허용할 수 있습니다.
Allow group FleetSuperAdmins to manage cloud-exadata-infrastructures in tenancy
이러한 방식으로 where
조건 사용에 대한 자세한 내용은 권한의 "권한 또는 API 작업을 사용하여 액세스 범위 지정" 섹션을 참조하십시오.
Exadata 인프라 리소스 관리 정책
다음 표에는 클라우드 사용자가 Exadata 인프라 리소스에서 관리 작업을 수행하는 데 필요한 IAM 정책이 나열되어 있습니다.
연산 | Oracle Public Cloud 및 멀티클라우드에 대한 필수 IAM 정책 | Exadata Cloud@Customer에 필요한 IAM 정책 |
---|---|---|
Exadata 인프라 리소스 생성 |
|
|
Exadata 인프라 리소스 목록 보기 |
|
|
Exadata Infrastructure 리소스의 세부정보 보기 |
|
|
Exadata 인프라 리소스의 유지보수 일정 변경 |
|
|
Exadata 인프라 리소스를 다른 컴파트먼트로 이동 |
|
|
Exadata 인프라 리소스에 대한 보안 인증서 관리 |
|
|
Exadata 인프라 리소스 종료 |
|
|
자율운영 Exadata VM 클러스터를 관리하는 정책
다음 표에는 클라우드 사용자가 자율운영 Exadata VM 클러스터에서 관리 작업을 수행하는 데 필요한 IAM 정책이 나열되어 있습니다.
연산 | Oracle Public Cloud 및 멀티클라우드에 대한 필수 IAM 정책 | Exadata Cloud@Customer에 필요한 IAM 정책 |
---|---|---|
자율운영 Exadata VM 클러스터 생성 |
|
|
자율운영 Exadata VM 클러스터 목록 보기 |
|
|
자율운영 Exadata VM 클러스터의 세부정보 보기 |
|
|
자율운영 VM 클러스터의 라이센스 유형 변경 |
해당 사항 없음 |
|
자율운영 Exadata VM 클러스터를 다른 컴파트먼트로 이동 |
|
|
자율운영 Exadata VM 클러스터 종료 |
|
|
자율운영 컨테이너 데이터베이스를 관리하는 정책
다음 표에는 클라우드 사용자가 ACD(자율운영 컨테이너 데이터베이스)에서 관리 작업을 수행하는 데 필요한 IAM 정책이 나열되어 있습니다.
연산 | 필요한 IAM 정책 |
---|---|
자율운영 컨테이너 데이터베이스 생성 |
|
자율운영 컨테이너 데이터베이스 목록 보기 |
|
자율운영 컨테이너 데이터베이스의 세부정보 보기 |
|
자율운영 컨테이너 데이터베이스의 백업 보존 정책 변경 |
|
자율운영 컨테이너 데이터베이스의 유지보수 환경설정 편집 |
|
자율운영 컨테이너 데이터베이스 재시작 |
|
자율운영 컨테이너 데이터베이스를 다른 컴파트먼트로 이동 |
|
자율운영 컨테이너 데이터베이스 암호화 키 교체 |
|
자율운영 컨테이너 데이터베이스 종료 |
|
자율운영 Data Guard 구성 관리 정책
다음 표에는 클라우드 사용자가 자율운영 Data Guard 구성에 대한 관리 작업을 수행하는 데 필요한 IAM 정책이 나열되어 있습니다.
연산 | 필요한 IAM 정책 |
---|---|
ACD와 자율운영 Data Guard 연관을 확인합니다. |
|
지정된 ACD 또는 Autonomous Database와 연관된 자율운영 Data Guard로 사용으로 설정된 ACD를 나열합니다. |
|
Disabled Standby를 활성 standby ACD로 복원합니다. |
|
기본 및 대기 ACD의 역할을 전환합니다. |
|
대기 ACD로 복구 페일오버가 성공적으로 완료되면 이 대기 ACD가 새 기본 ACD가 됩니다. |
|
보호 모드, 자동 복구, 빠른 시작 복구 지연 제한과 같은 자율운영 Data Guard 설정을 수정합니다. |
|
Get an Autonomous Data Guard-enabled database associated with the specified Autonomous Database. |
|
Autonomous Database Data Guard 연관을 나열합니다. |
|
ACD에서 자율운영 Data Guard를 사용으로 설정합니다. |
|
물리적 대기 ACD와 스냅샷 대기 ACD 간에 대기 ACD를 변환하십시오. |
|
Autonomous Database 관리 정책
다음 표에서는 클라우드 사용자가 Autonomous Database에서 관리 작업을 수행하는 데 필요한 IAM 정책을 나열합니다.
연산 | 필요한 IAM 정책 |
---|---|
Autonomous Database 생성 |
|
Autonomous Database 목록 보기 |
|
Autonomous Database의 세부정보 보기 |
|
Autonomous Database의 ADMIN 사용자의 비밀번호를 설정합니다. |
|
Autonomous Database의 CPU 코어 수 또는 스토리지 확장 |
|
Autonomous Database에 대한 자동 크기 조정을 사용 또는 사용 안함으로 설정합니다. |
|
Autonomous Database를 다른 구획으로 이동 |
Autonomous Database의 현재 컴파트먼트 및 컴파트먼트에서
|
Autonomous Database 중지 또는 시작 |
|
Autonomous Database 다시 시작 |
|
Autonomous Database를 수동으로 백업 |
|
Autonomous Database 복원 |
|
Autonomous Database 복제 |
|
Autonomous Database 종료 |
|