Políticas de IAM para o Autonomous AI Database na Infraestrutura Dedicada de Exadata
Este artigo lista as políticas do IAM necessárias para gerenciar os recursos de infraestrutura do Autonomous AI Database em uma infraestrutura dedicada do Exadata.
O Oracle Autonomous AI Database on Dedicated Exadata Infrastructure conta com o serviço IAM (Identity and Access Management) para autenticar e autorizar os usuários da nuvem a executar operações que usam qualquer uma das interfaces da Oracle Cloud Infrastructure (console, API REST, CLI ou SDK). O serviço IAM usa grupos, compartimentos e políticas para controlar quais usuários da nuvem podem acessar quais recursos.
Detalhes da Política do Autonomous AI Database
Este tópico abrange detalhes de gravação de políticas para controlar acesso a recursos do Autonomous AI Database.
Uma política define que tipo de acesso um grupo de usuários tem a um recurso específico em um compartimento individual. Para obter mais informações, consulte Conceitos Básicos de Políticas.
Dica: Para obter uma política de amostra, consulte Permitir que administradores de banco de dados e frota gerenciem Autonomous AI Databases.
Tipos de Recursos
Um tipo de recurso agregado abrange a lista de tipos de recursos individuais que se seguem diretamente. Por exemplo, a criação de uma política para permitir que um grupo tenha acesso ao autonomous-database-family é equivalente a criar quatro políticas distintas para o grupo que concederia acesso aos tipos de recursos autonomous-databases, autonomous-backups, autonomous-container-databases e cloud-autonomous-vmclusters. Para obter mais informações, consulte Tipos de Recursos.
Tipos de Recursos para o Autonomous AI Database
Resource-Type Agregado:
autonomous-database-family
Resource-Types Individuais:
autonomous-databases
autonomous-backups
autonomous-container-databases
cloud-autonomous-vmclusters (somente implantações do Oracle Public Cloud)
autonomous-vmclusters (somente implantações do Oracle Exadata Cloud@Customer)
autonomous-virtual-machine
Dica: Os tipos de recursos cloud-exadata-infrastructures e exadata-infrastructures necessários para provisionar o Autonomous AI Database no Oracle Public Cloud e no Exadata Cloud@Customer, respectivamente, são cobertos pelo tipo de recurso agregado database-family. Para obter mais informações sobre os recursos cobertos por database-family, consulte Detalhes da Política para Instâncias do Serviço Exadata Cloud Service e Detalhes da Política do Serviço Base Database.
Variável com Suporte
As variáveis gerais são suportadas. Consulte Variáveis Gerais para Todas as Solicitações para obter mais informações.
Além disso, você pode usar a variável target.workloadType, conforme mostrado na seguinte tabela:
| valor target.workloadType | Descrição |
|---|---|
OLTP |
Processamento de Transações On-line, usado para Autonomous AI Databases com carga de trabalho Autonomous Transaction Processing. |
DW |
Data Warehouse, usado para Autonomous AI Databases com carga de trabalho do Autonomous Data Warehouse. |
Exemplo de política usando a variável target.workloadType:
Allow group ADB-Admins
to manage autonomous-database
in tenancy where target.workloadType = 'workload_type'Detalhes das Combinações de Verbo + Tipo de Recurso
O nível de acesso é cumulativo conforme você vai de inspect > read > use > manage. Um sinal de mais (+) em uma célula de tabela indica acesso incremental comparado à célula diretamente acima dela, enquanto que "sem extra" indica nenhum acesso incremental.
Por exemplo, o verbo read para o tipo de recurso autonomous-databases abrange as mesmas permissões e operações API que o verbo inspect, mais a permissão AUTONOMOUS_DATABASE_CONTENT_READ. O verbo read abrange parcialmente a operação CreateAutonomousDatabaseBackup, que também precisa gerenciar permissões para autonomous-backups.
As tabelas seguintes mostram as Permissões e operações da API abrangidas por cada verbo. Para obter informações sobre permissões, consulte Permissões.
Para Tipos de Recursos autonomous-database-family
Observação: A família de recursos coberta por autonomous-database-family pode ser usada para conceder acesso aos recursos de banco de dados associados a todos os tipos da carga de serviço do Autonomous AI Database.
autonomous-databases
| Verbos | Permissões | APIs Totalmente Incluídas | APIs Parcialmente Incluídas |
|---|---|---|---|
| inspect | AUTONOMOUS_DATABASE_INSPECT |
GetAutonomousDatabase, ListAutonomousDatabases |
nenhuma |
| read |
|
nenhuma extra | CreateAutonomousDatabaseBackup (também precisa de manage autonomous-backups) |
| usar |
|
UpdateAutonomousDatabase |
|
| manage |
|
CreateAutonomousDatabase |
nenhuma |
backups autônomos
| Verbos | Permissões | APIs Totalmente Incluídas | APIs Parcialmente Incluídas |
|---|---|---|---|
| inspect | AUTONOMOUS_DB_BACKUP_INSPECT |
ListAutonomousDatabaseBackups, GetAutonomousDatabaseBackup |
nenhuma |
| read |
|
nenhuma extra |
|
| usar | READ + nenhuma extra |
nenhuma extra | nenhuma |
| manage |
|
DeleteAutonomousDatabaseBackup |
CreateAutonomousDatabaseBackup (também precisa de read autonomous-databases) |
autonomous-container-databases
| Verbos | Permissões | APIs Totalmente Incluídas | APIs Parcialmente Incluídas |
|---|---|---|---|
| inspect | AUTONOMOUS_CONTAINER_DATABASE_INSPECT |
ListAutonomousContainerDatabases, GetAutonomousContainerDatabase |
nenhuma |
| read | INSPECT + nenhuma extra |
nenhuma extra | nenhuma |
| usar | READ +
|
|
CreateAutonomousDatabase (também precisa de manage autonomous-databases) |
| manage |
|
nenhuma extra | CreateAutonomousContainerDatabase, TerminateAutonomousContainerDatabase (ambos também precisam de use cloud-autonomous-vmclusters, use cloud-exadata-infrastructures) |
nuvem-autônomo-vmclusters
| Verbos | Permissões | APIs Totalmente Incluídas | APIs Parcialmente Incluídas |
|---|---|---|---|
| inspect | CLOUD_AUTONOMOUS_VM_CLUSTER_INSPECT |
|
nenhuma |
| read |
nenhuma extra |
nenhuma extra | nenhuma |
| usar | READ +
|
|
|
| manage |
|
nenhuma extra |
(ambos também precisam de |
autonomous-vmclusters
| Verbos | Permissões | APIs Totalmente Incluídas | APIs Parcialmente Incluídas |
|---|---|---|---|
| inspect | AUTONOMOUS_VM_CLUSTER_INSPECT |
|
ChangeAutonomousVmClusterCompartment |
| read | INSPECT + nenhuma extra |
nenhuma extra | nenhuma |
| usar |
|
ChangeAutonomousVmClusterCompartment |
|
| manage |
|
DeleteAutonomousVmCluster |
CreateAutonomousVmCluster |
autônomo-virtual-machine
| Verbos | Permissões | APIs Totalmente Incluídas | APIs Parcialmente Incluídas |
|---|---|---|---|
| inspect | AUTONOMOUS_VIRTUAL_MACHINE_INSPECT |
|
nenhuma |
Permissões Exigidas para cada Operação de API
O Autonomous Container Database (ACD) e o Autonomous AI Database (ADB) são recursos comuns entre as implantações do Oracle Public Cloud, Multicloud e Exadata Cloud@Customer. Portanto, suas permissões são as mesmas para ambas as implantações na tabela a seguir.
No entanto, determinadas operações ACD exigem permissões no nível AVMC e, como os recursos AVMC são diferentes para o Oracle Public Cloud e o Exadata Cloud@Customer, você precisa de permissões diferentes em cada tipo de implantação. Por exemplo, para criar um ACD, é necessário:
-
Autorizações AUTONOMOUS_VM_CLUSTER_UPDATE e AUTONOMOUS_CONTAINER_DATABASE_CREATE no Exadata Cloud@Customer.
-
Permissões CLOUD_AUTONOMOUS_VM_CLUSTER_UPDATE e AUTONOMOUS_CONTAINER_DATABASE_CREATE no Oracle Public Cloud e Multicloud.
Para obter informações sobre permissões, consulte Permissões.
A tabela abaixo lista as operações da API para recursos do Autonomous AI Database em uma ordem lógica, agrupadas por tipo de recurso.
Operações de API do Autonomous AI Database
Você pode usar a API para exibir e gerenciar os diferentes recursos de infraestrutura de um Autonomous AI Database. Consulte Referência de API para Autonomous AI Database na Infraestrutura Dedicada do Exadata para obter uma lista de pontos finais de API REST para gerenciar diferentes recursos do Autonomous AI Database.
Limitando o Acesso do Usuário a Permissões Específicas
O acesso do usuário é definido nas instruções de política do serviço IAM. Quando você cria uma instrução de política fornecendo a um grupo acesso a um verbo e tipo de recurso específicos, na verdade está dando a esse grupo acesso a uma ou mais permissões predefinidas do serviço IAM. A finalidade dos verbos é simplificar o processo de conceder várias permissões relacionadas.
Se quiser permitir ou negar permissões específicas do IAM, adicione uma condição em que a declaração de política. Por exemplo, para permitir que um grupo de Administradores de Frota execute qualquer operação nos recursos do Exadata Infrastructure exceto para excluí-los, você criaria esta instrução de política:
Allow group FleetAdmins to manage cloud-exadata-infrastructures in tenancy where request.permission != 'CLOUD_EXADATA_INFRASTRUCTURE_DELETE'Em seguida, você poderá permitir que um grupo menor de Administradores de Frota execute qualquer operação (incluindo exclusão) nos recursos Exadata Infrastructure omitindo a condição where:
Allow group FleetSuperAdmins to manage cloud-exadata-infrastructures in tenancyPara obter mais informações sobre como usar a condição where dessa forma, consulte a seção "Escopando o Acesso com Permissões ou Operações da API" de Permissões.
Políticas para Gerenciar Recursos Exadata Infrastructure
A tabela a seguir lista as políticas do serviço IAM necessárias para que um usuário da nuvem execute operações de gerenciamento nos recursos Exadata Infrastructure.
| Operação | Políticas Obrigatórias do IAM no Oracle Public Cloud e Multicloud | Políticas Obrigatórias do Serviço IAM no Exadata Cloud@Customer |
|---|---|---|
| Criar um recurso do Exadata Infrastructure |
|
manage exadata-infrastructures |
| Exibir uma lista de recursos Exadata Infrastructure | inspect cloud-exadata-infrastructures |
inspect exadata-infrastructures |
| Exibir detalhes de um recurso Exadata Infrastructure | inspect cloud-exadata-infrastructures |
inspect exadata-infrastructures |
| Alterar a programação de manutenção de um recurso Exadata Infrastructure | use cloud-exadata-infrastructures |
use exadata-infrastructures |
| Mover um recurso Exadata Infrastructure para outro compartimento | use cloud-exadata-infrastructures |
use exadata-infrastructures |
| Gerenciar os certificados de segurança para um recurso Exadata Infrastructure | manage cloud-exadata-infrastructures |
manage exadata-infrastructures |
| Encerrar um recurso do Exadata Infrastructure |
|
manage exadata-infrastructures |
Políticas para Gerenciar Clusters da VM Autônoma do Exadata
A tabela a seguir lista as políticas do serviço IAM necessárias para que um usuário da nuvem execute operações de gerenciamento em Clusters de VMs do Autonomous Exadata.
| Operação | Políticas Obrigatórias do IAM no Oracle Public Cloud e Multicloud | Políticas Obrigatórias do Serviço IAM no Exadata Cloud@Customer |
|---|---|---|
| Criar um Cluster de VMs Autônomas do Exadata |
|
|
| Exibir uma lista de Clusters de VMs do Autonomous Exadata | inspect cloud-autonomous-vmclusters |
inspect autonomous-vmclusters |
| Exibir detalhes de um Cluster de VMs Autônomas do Exadata | inspect cloud-autonomous-vmclusters |
inspect autonomous-vmclusters |
| Alterar o tipo de licença de um Cluster de VMs Autônomas | Não Aplicável |
|
| Mover um Cluster de VMs Autônomas do Exadata para outro compartimento | use cloud-autonomous-vmclusters |
use autonomous-vmclusters |
| Encerrar um Cluster de VMs Autônomas do Exadata | manage cloud-autonomous-vmclusters |
manage autonomous-vmclusters |
Políticas para Gerenciar Autonomous Container Databases
A tabela abaixo lista as políticas do IAM necessárias para que um usuário do Cloud execute operações de gerenciamento no ACD (Autonomous Container Databases).
| Operação | Políticas de IAM Obrigatórias |
|---|---|
| Criar um Autonomous Container Database |
|
| Exibir uma lista de Autonomous Container Databases | inspect autonomous-container-databases |
| Exibir detalhes de um Autonomous Container Database | inspect autonomous-container-databases |
| Alterar a política de retenção de backup de um Autonomous Container Database | use autonomous-container-databases |
| Editar as preferências de manutenção de um Autonomous Container Database | use autonomous-container-databases |
| Reiniciar um Autonomous Container Database | use autonomous-container-databases |
| Mover um Autonomous Container Database para outro compartimento | use autonomous-container-databases |
| Alternar uma chave de criptografia do Autonomous Container Database |
|
| Encerrar um Autonomous Container Database |
|
Políticas para Gerenciar a Configuração do Autonomous Data Guard
A tabela abaixo lista a política do serviço IAM necessária para um usuário do Cloud executar operações de gerenciamento nas configurações do Autonomous Data Guard.
| Operação | Políticas de IAM Obrigatórias |
|---|---|
| Exiba os Grupos do Autonomous Data Guard com um ACD. | inspect autonomous-container-databases |
| Liste os ACDs ativados com o Autonomous Data Guard associado ao ACD ou Autonomous AI Database especificado. | inspect autonomous-container-databases |
| Restabeleça o Stand-by Desativado para um ACD stand-by ativo. |
|
| Alternar Atribuições dos ACDs principal e stand-by. |
|
| Fazer Failover para o ACD Stand-by. Esse ACD stand-by se tornará o novo ACD principal quando o failover for concluído com sucesso. |
|
| Modifique definições do Autonomous Data Guard, como modo de proteção, failover automático e limite de lag de failover de início rápido. |
|
| Obtenha um banco de dado ativado pelo Autonomous Data Guard associado ao Autonomous AI Database especificado. | inspect autonomous-container-databases |
| Listar grupos de data guard do Autonomous AI Database. | inspect autonomous-container-databases |
| Ativar o Autonomous Data Guard em um ACD. |
|
| Converta o ACD stand-by entre o ACD stand-by físico e o stand-by snapshot. |
|
Políticas para Gerenciar Autonomous AI Databases
A tabela abaixo lista a política do serviço IAM necessária para um usuário do Cloud para executar operações de gerenciamento nos Autonomous AI Databases.
| Operação | Políticas de IAM Obrigatórias |
|---|---|
| Criar um Autonomous AI Database |
|
| Exibir uma lista de Autonomous AI Databases | inspect autonomous-databases |
| Exibir detalhes de um Autonomous AI Database | inspect autonomous-databases |
| Definir a senha do usuário ADMIN de um Autonomous AI Database | use autonomous-databases |
| Dimensionar a contagem ou o armazenamento de núcleos da CPU de um Autonomous AI Database | use autonomous-databases |
| Ativar ou desativar o dimensionamento automático para um Autonomous AI Database | use autonomous-databases |
| Mover um Autonomous AI Database para outro compartimento |
|
| Interromper ou iniciar um Autonomous AI Database | use autonomous-databases |
| Reiniciar um Autonomous AI Database | use autonomous-databases |
| Fazer backup de um Autonomous AI Database manualmente |
|
| Restaurar um Autonomous AI Database |
|
| Clonar um Autonomous AI Database |
|
| Encerrar um Autonomous AI Database | manage autonomous-databases |
Conteúdo Relacionado
Controle de Acesso no Autonomous AI Database na Infraestrutura Dedicada do Exadata