Políticas do Serviço IAM para o Autonomous Database em uma Infraestrutura Dedicada do Exadata

Este artigo lista as políticas do serviço IAM necessárias para gerenciar os recursos de infraestrutura do Autonomous Database em uma infraestrutura dedicada do Exadata.

O Oracle Autonomous Database on Dedicated Exadata Infrastructure depende do serviço IAM (Identity and Access Management) para autenticar e autorizar os usuários da nuvem a executar operações que usam qualquer uma das interfaces do Oracle Cloud Infrastructure (console, API REST, CLI ou SDK). O serviço do IAM usa grupos, compartimentos, e políticas para controlar quais usuários da nuvem podem acessar quais recursos.

Detalhes da Política do Autonomous Database

Este tópico abrange detalhes de gravação de políticas para controlar o acesso a recursos do Autonomous Database.

Uma política define que tipo de acesso um grupo de usuários tem a um recurso específico em um compartimento individual. Para obter mais informações, consulte Conceitos Básicos de Políticas.

Tipos de Recursos

Um tipo de recurso agregado abrange a lista de tipos de recursos individuais que se seguem diretamente. Por exemplo, a criação de uma política para permitir que um grupo tenha acesso ao autonomous-database-family é equivalente a criar quatro políticas distintas para o grupo que concederia acesso aos tipos de recursos autonomous-databases, autonomous-backups, autonomous-container-databases e cloud-autonomous-vmclusters. Para obter mais informações, consulte Tipos de Recursos.

Tipos de Recursos do Autonomous Database

Resource-Type Agregado:

autonomous-database-family

Resource-Types Individuais:

autonomous-databases

autonomous-backups

autonomous-container-databases

cloud-autonomous-vmclusters (somente implantações do Oracle Public Cloud)

autonomous-vmclusters (somente implantações do Oracle Exadata Cloud@Customer)

autonomous-virtual-machine

Dica:

Os tipos de recursos cloud-exadata-infrastructures e exadata-infrastructures necessários para provisionar o Autonomous Database no Oracle Public Cloud e no Exadata Cloud@Customer, respectivamente, são cobertos pelo tipo de recurso agregado database-family. Para obter mais informações sobre os recursos abrangidos por database-family, consulte Detalhes de Política para Instâncias do Exadata Cloud Service e Detalhes de Política para o Base Database Service.

Variável com Suporte

As variáveis gerais são suportadas. Consulte Variáveis Gerais para Todas as Solicitações para obter mais informações.

Além disso, você pode usar a variável target.workloadType, conforme mostrado na seguinte tabela:

valor target.workloadType Descrição
OLTP Online Transaction Processing, usado para Autonomous Databases com carga de trabalho Autonomous Transaction Processing.
DW Data Warehouse, usado para Autonomous Databases com carga de trabalho Autonomous Data Warehouse.
Exemplo de política usando a variável target.workloadType:
Allow group ADB-Admins 
to manage autonomous-database 
in tenancy where target.workloadType = 'workload_type'

Detalhes das Combinações de Verbo + Tipo de Recurso

O nível de acesso é cumulativo conforme você vai de inspect > read > use > manage. Um sinal de mais (+) em uma célula da tabela indica acesso incremental em comparação com a célula diretamente acima, enquanto "nenhum extra" indica nenhum acesso incremental.

Por exemplo, o verbo read do tipo de recurso autonomous-databases abrange as mesmas permissões e operações de API que o verbo inspect, além da permissão AUTONOMOUS_DATABASE_CONTENT_READ. O verbo read abrange parcialmente a operação CreateAutonomousDatabaseBackup, que também precisa gerenciar permissões para autonomous-backups.

As tabelas a seguir mostram as Permissões e as operações de API abrangidas por cada verbo. Para obter informações sobre permissões, consulte Permissões.

Para Tipos de Recursos autonomous-database-family

Observação:

A família de recursos abrangida por autonomous-database-family pode ser usada para conceder acesso a recursos do banco de dados associados a todos os tipos de carga de trabalho do Autonomous Database.
autonomous-databases
Verbos Permissões APIs Totalmente Incluídas APIs Parcialmente Incluídas

inspect

AUTONOMOUS_DATABASE_INSPECT

GetAutonomousDatabase, ListAutonomousDatabases

nenhum

read

INSPECT +

AUTONOMOUS_DATABASE_CONTENT_READ

nenhuma extra

CreateAutonomousDatabaseBackup (também precisa de manage autonomous-backups)

usar

READ +

AUTONOMOUS_DATABASE_CONTENT_WRITE

AUTONOMOUS_DATABASE_UPDATE

UpdateAutonomousDatabase

RestoreAutonomousDatabase (também precisa de read autonomous-backups)

ChangeAutonomousDatabaseCompartment (também precisa de read autonomous-backups)

manage

USE +

AUTONOMOUS_DATABASE_CREATE

AUTONOMOUS_DATABASE_DELETE

CreateAutonomousDatabase

nenhum

backups autônomos
Verbos Permissões APIs Totalmente Incluídas APIs Parcialmente Incluídas

inspect

AUTONOMOUS_DB_BACKUP_INSPECT

ListAutonomousDatabaseBackups, GetAutonomousDatabaseBackup

nenhum

read

INSPECT +

AUTONOMOUS_DB_BACKUP_CONTENT_READ

nenhuma extra

RestoreAutonomousDatabase (também precisa de use autonomous-databases)

ChangeAutonomousDatabaseCompartment (também precisa de use autonomous-databases)

usar

READ +

nenhuma extra

nenhuma extra

nenhum

manage

USE +

AUTONOMOUS_DB_BACKUP_CREATE

AUTONOMOUS_DB_BACKUP_DELETE

DeleteAutonomousDatabaseBackup

CreateAutonomousDatabaseBackup (também precisa de read autonomous-databases)

autonomous-container-databases
Verbos Permissões APIs Totalmente Incluídas APIs Parcialmente Incluídas

inspect

AUTONOMOUS_CONTAINER_DATABASE_INSPECT

ListAutonomousContainerDatabases, GetAutonomousContainerDatabase

nenhum

read

INSPECT +

nenhuma extra

nenhuma extra

nenhum

usar

READ +

AUTONOMOUS_CONTAINER_DATABASE_UPDATE

UpdateAutonomousContainerDatabase

ChangeAutonomousContainerDatabaseCompartment

CreateAutonomousDatabase (também precisa de manage autonomous-databases)

manage

USE +

AUTONOMOUS_CONTAINER_DATABASE_CREATE

AUTONOMOUS_CONTAINER_DATABASE_DELETE

nenhuma extra

CreateAutonomousContainerDatabase, TerminateAutonomousContainerDatabase (ambos também precisam de use cloud-autonomous-vmclusters, use cloud-exadata-infrastructures)

vmclusters autônomos na nuvem
Verbos Permissões APIs Totalmente Incluídas APIs Parcialmente Incluídas

inspect

CLOUD_AUTONOMOUS_VM_CLUSTER_INSPECT

ListCloudAutonomousVmClusters

GetCloudAutonomousVmCluster

nenhum

read

INSPECT +

nenhuma extra

nenhuma extra

nenhum

usar

READ +

CLOUD_AUTONOMOUS_VM_CLUSTER_UPDATE

UpdateCloudAutonomousVmCluster

ChangeCloudAutonomousVmClusterCompartment

CreateAutonomousDatabase (também precisa de manage autonomous-databases)

CreateAutonomousContainerDatabase (também precisa de manage autonomous-container-databases)

manage

USE +

CLOUD_AUTONOMOUS_VM_CLUSTER_CREATE

CLOUD_AUTONOMOUS_VM_CLUSTER_DELETE

nenhuma extra

CreateCloudAutonomousVmCluster, DeleteCloudAutonomousVmCluster

(ambos também precisam de use vnics, use subnets, use cloud-exadata-infrastructures)

autonomous-vmclusters

Verbos Permissões APIs Totalmente Incluídas APIs Parcialmente Incluídas
inspect

AUTONOMOUS_VM_CLUSTER_INSPECT

ListAutonomousVmClusters

GetAutonomousVmCluster

ChangeAutonomousVmClusterCompartment

read

INSPECT +

nenhuma extra

nenhuma extra

nenhum

usar

READ +

AUTONOMOUS_VM_CLUSTER_UPDATE

ChangeAutonomousVmClusterCompartment

UpdateAutonomousVmCluster

CreateAutonomousContainerDatabase

TerminateAutonomousContainerDatabase

manage

USE +

AUTONOMOUS_VM_CLUSTER_CREATE +

AUTONOMOUS_VM_CLUSTER_DELETE

DeleteAutonomousVmCluster

CreateAutonomousVmCluster

máquina virtual autônoma
Verbos Permissões APIs Totalmente Incluídas APIs Parcialmente Incluídas
inspect AUTONOMOUS_VIRTUAL_MACHINE_INSPECT

GetAutonomousVirtualMachine

ListAutonomousVirtualMachines

nenhum

Permissões Exigidas para cada Operação de API

O Autonomous Container Database (ACD) e o Autonomous Database (ADB) são recursos comuns entre as implantações do Oracle Public Cloud, Multicloud e Exadata Cloud@Customer. Portanto, suas permissões são as mesmas para ambas as implantações na tabela a seguir.

No entanto, determinadas operações ACD exigem permissões no nível de AVMC e, como os recursos AVMC são diferentes para o Oracle Public Cloud e o Exadata Cloud@Customer, você precisa de permissões diferentes em cada tipo de implantação. Por exemplo, para criar um ACD, você precisa:
  • Permissões AUTONOMOUS_VM_CLUSTER_UPDATE e AUTONOMOUS_CONTAINER_DATABASE_CREATE no Exadata Cloud@Customer.

  • Permissões CLOUD_AUTONOMOUS_VM_CLUSTER_UPDATE e AUTONOMOUS_CONTAINER_DATABASE_CREATE no Oracle Public Cloud e Multicloud.

Para obter informações sobre permissões, consulte Permissões.

A tabela a seguir lista as operações de API para recursos do Autonomous Database em ordem lógica, agrupadas por tipo de recurso.

Operações de API doAutonomous Database

Você pode usar a API para exibir e gerenciar os diferentes recursos de infraestrutura de um Autonomous Database. Consulte Referência de API para Autonomous Database na Infraestrutura Dedicada do Exadata para obter uma lista de pontos finais da API REST para gerenciar diferentes recursos do Autonomous Database.

Limitando o Acesso do Usuário a Permissões Específicas

O acesso do usuário é definido nas instruções de política do serviço IAM. Quando você cria uma instrução de política fornecendo a um grupo acesso a um verbo e tipo de recurso específicos, na verdade está dando a esse grupo acesso a uma ou mais permissões predefinidas do serviço IAM. A finalidade dos verbos é simplificar o processo de conceder várias permissões relacionadas.

Se quiser permitir ou negar permissões específicas do serviço IAM, adicione uma condição where à instrução de política. Por exemplo, para permitir que um grupo de Administradores de Frota execute qualquer operação nos recursos Exadata Infrastructure exceto excluí-los, crie esta instrução de política:

Allow group FleetAdmins to manage cloud-exadata-infrastructures in tenancy where request.permission != 'CLOUD_EXADATA_INFRASTRUCTURE_DELETE'

Em seguida, você poderá permitir que um grupo menor de Administradores de Frota execute qualquer operação (incluindo exclusão) nos recursos Exadata Infrastructure omitindo a condição where:

Allow group FleetSuperAdmins to manage cloud-exadata-infrastructures in tenancy

Para obter mais informações sobre o uso da condição where dessa forma, consulte a seção "Definindo o Escopo do Acesso com Permissões ou Operações de API" de Permissões.

Políticas para Gerenciar Recursos Exadata Infrastructure

A tabela a seguir lista as políticas do serviço IAM necessárias para que um usuário da nuvem execute operações de gerenciamento nos recursos Exadata Infrastructure.

Operação Políticas Obrigatórias do IAM no Oracle Public Cloud e Multicloud Políticas do Serviço IAM Necessárias no Exadata Cloud@Customer

Criar um recurso do Exadata Infrastructure

manage cloud-exadata-infrastructures

use vnic

use subnet

manage exadata-infrastructures

Exibir uma lista de recursos Exadata Infrastructure

inspect cloud-exadata-infrastructures

inspect exadata-infrastructures

Exibir detalhes de um recurso Exadata Infrastructure

inspect cloud-exadata-infrastructures

inspect exadata-infrastructures

Alterar a programação de manutenção de um recurso Exadata Infrastructure

use cloud-exadata-infrastructures

use exadata-infrastructures

Mover um recurso Exadata Infrastructure para outro compartimento

use cloud-exadata-infrastructures

use exadata-infrastructures

Gerenciar os certificados de segurança para um recurso Exadata Infrastructure

manage cloud-exadata-infrastructures

manage exadata-infrastructures

Encerrar um recurso do Exadata Infrastructure

manage cloud-exadata-infrastructures

use vnic

use subnet

manage exadata-infrastructures

Políticas para Gerenciar Clusters de VMs do Autonomous Exadata

A tabela a seguir lista as políticas do serviço IAM necessárias para que um usuário da nuvem execute operações de gerenciamento em Clusters de VMs do Autonomous Exadata.

Operação Políticas Obrigatórias do IAM no Oracle Public Cloud e Multicloud Políticas do Serviço IAM Necessárias no Exadata Cloud@Customer

Criar um Cluster de VMs Autônomas do Exadata

manage cloud-autonomous-vmclusters

use cloud-exadata-infrastructures

manage autonomous-vmclusters

use exadata-infrastructures

Exibir uma lista de Clusters de VMs do Autonomous Exadata

inspect cloud-autonomous-vmclusters

inspect autonomous-vmclusters

Exibir detalhes de um Cluster de VMs Autônomas do Exadata

inspect cloud-autonomous-vmclusters

inspect autonomous-vmclusters

Alterar o tipo de licença de um Cluster de VMs Autônomas

Não Aplicável

use autonomous-vmclusters

inspect exadata-infrastructures

Mover um Cluster de VMs Autônomas do Exadata para outro compartimento

use cloud-autonomous-vmclusters

use autonomous-vmclusters

Encerrar um Cluster de VMs Autônomas do Exadata

manage cloud-autonomous-vmclusters

manage autonomous-vmclusters

Políticas para Gerenciar Autonomous Container Databases

A tabela a seguir lista as políticas do serviço IAM necessárias para que um usuário da nuvem execute operações de gerenciamento em Autonomous Container Databases (ACD).

Operação Políticas de IAM Obrigatórias

Criar um Autonomous Container Database

manage autonomous-container-databases

use cloud-exadata-infrastructures se estiver criando o Autonomous Container Database no Oracle Public Cloud e Multicloud.

use cloud-autonomous-vmclusters se estiver criando o Autonomous Container Database no Oracle Public Cloud e no serviço Multicloud.

use autonomous-vmclusters se estiver criando o Autonomous Container Database no Exadata Cloud@Customer.

use backup-destinations se estiver criando o Autonomous Container Database no Exadata Cloud@Customer.

Exibir uma lista de Autonomous Container Databases

inspect autonomous-container-databases

Exibir detalhes de um Autonomous Container Database

inspect autonomous-container-databases

Alterar a política de retenção de backup de um Autonomous Container Database

use autonomous-container-databases

Editar as preferências de manutenção de um Autonomous Container Database

use autonomous-container-databases

Reiniciar um Autonomous Container Database

use autonomous-container-databases

Mover um Autonomous Container Database para outro compartimento

use autonomous-container-databases

Alternar uma chave de criptografia do Autonomous Container Database

use autonomous-container-databases

inspect autonomous-container-databases

Encerrar um Autonomous Container Database

manage autonomous-container-databases

use cloud-exadata-infrastructures se estiver criando o Autonomous Container Database no Oracle Public Cloud e Multicloud.

use cloud-autonomous-vmclusters se estiver criando o Autonomous Container Database no Oracle Public Cloud e no serviço Multicloud.

use autonomous-vmclusters se estiver criando o Autonomous Container Database no Exadata Cloud@Customer.

Políticas para Gerenciar a Configuração do Autonomous Data Guard

A tabela a seguir lista as políticas do serviço IAM necessárias para que um usuário da nuvem execute operações de gerenciamento nas configurações do Autonomous Data Guard.

Operação Políticas de IAM Obrigatórias

Exiba a Associação do Autonomous Data Guard com um ACD.

inspect autonomous-container-databases

Liste os ACDs ativados com o Autonomous Data Guard associados ao ACD ou ao Autonomous Database especificado.

inspect autonomous-container-databases

Restabeleça o Stand-by Desativado para um ACD stand-by ativo.

inspect autonomous-container-databases

update autonomous-container-databases

Alternar Atribuições dos ACDs principal e stand-by.

inspect autonomous-container-databases

update autonomous-container-databases

Fazer Failover para o ACD Stand-by. Este ACD stand-by se tornará o novo ACD principal quando o failover for concluído com sucesso.

inspect autonomous-container-databases

update autonomous-container-databases

Modifique as definições do Autonomous Data Guard, como modo de proteção, failover automático e limite de atraso de failover de início rápido.

inspect autonomous-container-databases

update autonomous-container-databases

Obtenha um banco de dados ativado para o Autonomous Data Guard associado ao Autonomous Database especificado.

inspect autonomous-container-databases

Listar associações do Data Guard do Autonomous Database.

inspect autonomous-container-databases

Ativar o Autonomous Data Guard em um ACD.

inspect cloud-autonomous-vmclusters OU inspect autonomous-vmclusters

inspect autonomous-container-databases

update autonomous-container-databases

Converta o ACD stand-by entre o ACD stand-by físico e o ACD stand-by snapshot.

inspect cloud-autonomous-vmclusters OU inspect autonomous-vmclusters

inspect autonomous-container-databases

update autonomous-container-databases

Políticas para Gerenciar Autonomous Databases

A tabela a seguir lista as políticas do serviço IAM necessárias para que um usuário da nuvem execute operações de gerenciamento no Autonomous Databases.

Operação Políticas de IAM Obrigatórias

Criar um Autonomous Database

manage autonomous-databases

read autonomous-container-databases

Exibir uma lista de Autonomous Databases

inspect autonomous-databases

Exibir detalhes de um Autonomous Database

inspect autonomous-databases

Definir a senha do usuário ADMIN de um Autonomous Database

use autonomous-databases

Dimensionar a contagem de núcleos de CPU ou o armazenamento de um Autonomous Database

use autonomous-databases

Ativar ou desativar o dimensionamento automático para um Autonomous Database

use autonomous-databases

Mover um Autonomous Database para outro compartimento

use autonomous-databases no compartimento atual do Autonomous Database e no compartimento para o qual você está movendo-o

read autonomous-backups

Interromper ou iniciar um Autonomous Database

use autonomous-databases

Reiniciar um Autonomous Database

use autonomous-databases

Fazer backup manualmente um Autonomous Database

read autonomous-databases

manage autonomous-backups

Restaurar um Autonomous Database

use autonomous-databases

read autonomous-backups

Clonar um Autonomous Database

manage autonomous-databases

read autonomous-container-databases

Encerrar um Autonomous Database

manage autonomous-databases