Políticas do Serviço IAM para o Autonomous Database em uma Infraestrutura Dedicada do Exadata
Este artigo lista as políticas do serviço IAM necessárias para gerenciar os recursos de infraestrutura do Autonomous Database em uma infraestrutura dedicada do Exadata.
O Oracle Autonomous Database on Dedicated Exadata Infrastructure depende do serviço IAM (Identity and Access Management) para autenticar e autorizar os usuários da nuvem a executar operações que usam qualquer uma das interfaces do Oracle Cloud Infrastructure (console, API REST, CLI ou SDK). O serviço do IAM usa grupos, compartimentos, e políticas para controlar quais usuários da nuvem podem acessar quais recursos.
Tópicos Relacionados
Detalhes da Política do Autonomous Database
Este tópico abrange detalhes de gravação de políticas para controlar o acesso a recursos do Autonomous Database.
Dica:
Para obter uma amostra de política, consulte Permitir que administradores de banco de dados e frotas gerenciem Autonomous Database.Tipos de Recursos
Um tipo de recurso agregado abrange a lista de tipos de recursos individuais que se seguem diretamente. Por exemplo, a criação de uma política para permitir que um grupo tenha acesso ao autonomous-database-family
é equivalente a criar quatro políticas distintas para o grupo que concederia acesso aos tipos de recursos autonomous-databases
, autonomous-backups
, autonomous-container-databases
e cloud-autonomous-vmclusters
. Para obter mais informações, consulte Tipos de Recursos.
Resource-Type Agregado:
autonomous-database-family
Resource-Types Individuais:
autonomous-databases
autonomous-backups
autonomous-container-databases
cloud-autonomous-vmclusters
(somente implantações do Oracle Public Cloud)
autonomous-vmclusters
(somente implantações do Oracle Exadata Cloud@Customer)
autonomous-virtual-machine
Dica:
Os tipos de recursoscloud-exadata-infrastructures
e exadata-infrastructures
necessários para provisionar o Autonomous Database no Oracle Public Cloud e no Exadata Cloud@Customer, respectivamente, são cobertos pelo tipo de recurso agregado database-family
. Para obter mais informações sobre os recursos abrangidos por database-family
, consulte Detalhes de Política para Instâncias do Exadata Cloud Service e Detalhes de Política para o Base Database Service.
Variável com Suporte
As variáveis gerais são suportadas. Consulte Variáveis Gerais para Todas as Solicitações para obter mais informações.
Além disso, você pode usar a variável target.workloadType
, conforme mostrado na seguinte tabela:
valor target.workloadType | Descrição |
---|---|
OLTP |
Online Transaction Processing, usado para Autonomous Databases com carga de trabalho Autonomous Transaction Processing. |
DW |
Data Warehouse, usado para Autonomous Databases com carga de trabalho Autonomous Data Warehouse. |
Allow group ADB-Admins
to manage autonomous-database
in tenancy where target.workloadType = 'workload_type'
Detalhes das Combinações de Verbo + Tipo de Recurso
O nível de acesso é cumulativo conforme você vai de inspect > read > use > manage
. Um sinal de mais (+) em uma célula da tabela indica acesso incremental em comparação com a célula diretamente acima, enquanto "nenhum extra" indica nenhum acesso incremental.
Por exemplo, o verbo read
do tipo de recurso autonomous-databases
abrange as mesmas permissões e operações de API que o verbo inspect
, além da permissão AUTONOMOUS_DATABASE_CONTENT_READ. O verbo read
abrange parcialmente a operação CreateAutonomousDatabaseBackup
, que também precisa gerenciar permissões para autonomous-backups
.
As tabelas a seguir mostram as Permissões e as operações de API abrangidas por cada verbo. Para obter informações sobre permissões, consulte Permissões.
Observação:
A família de recursos abrangida por autonomous-database-family pode ser usada para conceder acesso a recursos do banco de dados associados a todos os tipos de carga de trabalho do Autonomous Database.Verbos | Permissões | APIs Totalmente Incluídas | APIs Parcialmente Incluídas |
---|---|---|---|
inspect |
|
|
nenhum |
read |
|
nenhuma extra |
|
usar |
|
|
|
manage |
|
|
nenhum |
Verbos | Permissões | APIs Totalmente Incluídas | APIs Parcialmente Incluídas |
---|---|---|---|
inspect |
|
|
nenhum |
read |
|
nenhuma extra |
|
usar |
READ + nenhuma extra |
nenhuma extra |
nenhum |
manage |
|
|
|
Verbos | Permissões | APIs Totalmente Incluídas | APIs Parcialmente Incluídas |
---|---|---|---|
inspect |
|
|
nenhum |
read |
INSPECT + nenhuma extra |
nenhuma extra |
nenhum |
usar |
READ +
|
|
|
manage |
|
nenhuma extra |
|
Verbos | Permissões | APIs Totalmente Incluídas | APIs Parcialmente Incluídas |
---|---|---|---|
inspect |
|
|
nenhum |
read |
nenhuma extra |
nenhuma extra |
nenhum |
usar |
READ +
|
|
|
manage |
|
nenhuma extra |
(ambos também precisam de |
autonomous-vmclusters
Verbos | Permissões | APIs Totalmente Incluídas | APIs Parcialmente Incluídas |
---|---|---|---|
inspect |
|
|
|
read |
INSPECT + nenhuma extra |
nenhuma extra |
nenhum |
usar |
|
|
|
manage |
|
|
|
Verbos | Permissões | APIs Totalmente Incluídas | APIs Parcialmente Incluídas |
---|---|---|---|
inspect | AUTONOMOUS_VIRTUAL_MACHINE_INSPECT |
|
nenhum |
Permissões Exigidas para cada Operação de API
O Autonomous Container Database (ACD) e o Autonomous Database (ADB) são recursos comuns entre as implantações do Oracle Public Cloud, Multicloud e Exadata Cloud@Customer. Portanto, suas permissões são as mesmas para ambas as implantações na tabela a seguir.
-
Permissões AUTONOMOUS_VM_CLUSTER_UPDATE e AUTONOMOUS_CONTAINER_DATABASE_CREATE no Exadata Cloud@Customer.
-
Permissões CLOUD_AUTONOMOUS_VM_CLUSTER_UPDATE e AUTONOMOUS_CONTAINER_DATABASE_CREATE no Oracle Public Cloud e Multicloud.
Para obter informações sobre permissões, consulte Permissões.
A tabela a seguir lista as operações de API para recursos do Autonomous Database em ordem lógica, agrupadas por tipo de recurso.
Você pode usar a API para exibir e gerenciar os diferentes recursos de infraestrutura de um Autonomous Database. Consulte Referência de API para Autonomous Database na Infraestrutura Dedicada do Exadata para obter uma lista de pontos finais da API REST para gerenciar diferentes recursos do Autonomous Database.
O acesso do usuário é definido nas instruções de política do serviço IAM. Quando você cria uma instrução de política fornecendo a um grupo acesso a um verbo e tipo de recurso específicos, na verdade está dando a esse grupo acesso a uma ou mais permissões predefinidas do serviço IAM. A finalidade dos verbos é simplificar o processo de conceder várias permissões relacionadas.
Se quiser permitir ou negar permissões específicas do serviço IAM, adicione uma condição where
à instrução de política. Por exemplo, para permitir que um grupo de Administradores de Frota execute qualquer operação nos recursos Exadata Infrastructure exceto excluí-los, crie esta instrução de política:
Allow group FleetAdmins to manage cloud-exadata-infrastructures in tenancy where request.permission != 'CLOUD_EXADATA_INFRASTRUCTURE_DELETE'
Em seguida, você poderá permitir que um grupo menor de Administradores de Frota execute qualquer operação (incluindo exclusão) nos recursos Exadata Infrastructure omitindo a condição where
:
Allow group FleetSuperAdmins to manage cloud-exadata-infrastructures in tenancy
Para obter mais informações sobre o uso da condição where
dessa forma, consulte a seção "Definindo o Escopo do Acesso com Permissões ou Operações de API" de Permissões.
Políticas para Gerenciar Recursos Exadata Infrastructure
A tabela a seguir lista as políticas do serviço IAM necessárias para que um usuário da nuvem execute operações de gerenciamento nos recursos Exadata Infrastructure.
Operação | Políticas Obrigatórias do IAM no Oracle Public Cloud e Multicloud | Políticas do Serviço IAM Necessárias no Exadata Cloud@Customer |
---|---|---|
Criar um recurso do Exadata Infrastructure |
|
|
Exibir uma lista de recursos Exadata Infrastructure |
|
|
Exibir detalhes de um recurso Exadata Infrastructure |
|
|
Alterar a programação de manutenção de um recurso Exadata Infrastructure |
|
|
Mover um recurso Exadata Infrastructure para outro compartimento |
|
|
Gerenciar os certificados de segurança para um recurso Exadata Infrastructure |
|
|
Encerrar um recurso do Exadata Infrastructure |
|
|
Políticas para Gerenciar Clusters de VMs do Autonomous Exadata
A tabela a seguir lista as políticas do serviço IAM necessárias para que um usuário da nuvem execute operações de gerenciamento em Clusters de VMs do Autonomous Exadata.
Operação | Políticas Obrigatórias do IAM no Oracle Public Cloud e Multicloud | Políticas do Serviço IAM Necessárias no Exadata Cloud@Customer |
---|---|---|
Criar um Cluster de VMs Autônomas do Exadata |
|
|
Exibir uma lista de Clusters de VMs do Autonomous Exadata |
|
|
Exibir detalhes de um Cluster de VMs Autônomas do Exadata |
|
|
Alterar o tipo de licença de um Cluster de VMs Autônomas |
Não Aplicável |
|
Mover um Cluster de VMs Autônomas do Exadata para outro compartimento |
|
|
Encerrar um Cluster de VMs Autônomas do Exadata |
|
|
Políticas para Gerenciar Autonomous Container Databases
A tabela a seguir lista as políticas do serviço IAM necessárias para que um usuário da nuvem execute operações de gerenciamento em Autonomous Container Databases (ACD).
Operação | Políticas de IAM Obrigatórias |
---|---|
Criar um Autonomous Container Database |
|
Exibir uma lista de Autonomous Container Databases |
|
Exibir detalhes de um Autonomous Container Database |
|
Alterar a política de retenção de backup de um Autonomous Container Database |
|
Editar as preferências de manutenção de um Autonomous Container Database |
|
Reiniciar um Autonomous Container Database |
|
Mover um Autonomous Container Database para outro compartimento |
|
Alternar uma chave de criptografia do Autonomous Container Database |
|
Encerrar um Autonomous Container Database |
|
Políticas para Gerenciar a Configuração do Autonomous Data Guard
A tabela a seguir lista as políticas do serviço IAM necessárias para que um usuário da nuvem execute operações de gerenciamento nas configurações do Autonomous Data Guard.
Operação | Políticas de IAM Obrigatórias |
---|---|
Exiba a Associação do Autonomous Data Guard com um ACD. |
|
Liste os ACDs ativados com o Autonomous Data Guard associados ao ACD ou ao Autonomous Database especificado. |
|
Restabeleça o Stand-by Desativado para um ACD stand-by ativo. |
|
Alternar Atribuições dos ACDs principal e stand-by. |
|
Fazer Failover para o ACD Stand-by. Este ACD stand-by se tornará o novo ACD principal quando o failover for concluído com sucesso. |
|
Modifique as definições do Autonomous Data Guard, como modo de proteção, failover automático e limite de atraso de failover de início rápido. |
|
Obtenha um banco de dados ativado para o Autonomous Data Guard associado ao Autonomous Database especificado. |
|
Listar associações do Data Guard do Autonomous Database. |
|
Ativar o Autonomous Data Guard em um ACD. |
|
Converta o ACD stand-by entre o ACD stand-by físico e o ACD stand-by snapshot. |
|
Políticas para Gerenciar Autonomous Databases
A tabela a seguir lista as políticas do serviço IAM necessárias para que um usuário da nuvem execute operações de gerenciamento no Autonomous Databases.
Operação | Políticas de IAM Obrigatórias |
---|---|
Criar um Autonomous Database |
|
Exibir uma lista de Autonomous Databases |
|
Exibir detalhes de um Autonomous Database |
|
Definir a senha do usuário ADMIN de um Autonomous Database |
|
Dimensionar a contagem de núcleos de CPU ou o armazenamento de um Autonomous Database |
|
Ativar ou desativar o dimensionamento automático para um Autonomous Database |
|
Mover um Autonomous Database para outro compartimento |
|
Interromper ou iniciar um Autonomous Database |
|
Reiniciar um Autonomous Database |
|
Fazer backup manualmente um Autonomous Database |
|
Restaurar um Autonomous Database |
|
Clonar um Autonomous Database |
|
Encerrar um Autonomous Database |
|