Documentação do Oracle Cloud Infrastructure

Pré-requisitos

Este tópico explica os pré-requisitos necessários para começar a provisionar o Oracle AI Database@AWS. Durante o provisionamento, muitas das tarefas que você executa exigem permissão específica. A tabela a seguir fornece detalhes das permissões necessárias para concluir cada tarefa.

Observação

As seguintes observações se referem ao OCI IAM:
  • Se o usuário for um administrador da tenancy do OCI, nenhuma permissão adicional será necessária para as etapas descritas na tabela abaixo.
  • Se o usuário não for um administrador da tenancy do OCI, ele precisará fazer parte de um grupo que tenha as permissões necessárias descritas na tabela abaixo.
    • Durante o processo de integração, alguns grupos são criados automaticamente com as políticas necessárias, e você pode adicionar um usuário a esses grupos para que o usuário possa executar as tarefas.
    • Se quiser permitir que um grupo diferente execute as tarefas, siga estas etapas abaixo.
      • Crie um novo grupo no domínio padrão ou use um grupo existente. Para obter mais informações, consulte Criar um novo grupo.
      • Crie uma política no compartimento raiz da tenancy do OCI com as instruções de política necessárias e adicione-a ao grupo. Para obter mais informações, consulte Criar uma política.
      • Adicionar usuários ao grupo. Para obter mais informações, consulte Adicionar o usuário.
Observação

As seguintes observações se referem ao AWS IAM:
  • Se o usuário for um administrador de tenancy da AWS, nenhuma permissão adicional será necessária para as etapas descritas na tabela abaixo.
  • Se o usuário não for um administrador de tenancy da AWS, ele precisará ter permissões adicionais.
  • As políticas listadas na tabela abaixo fornecem exemplos das ações do serviço IAM da AWS necessárias para executar as etapas.
  • Para criar políticas JSON e adicioná-las a um usuário, consulte Criando políticas usando o editor JSON e Para adicionar permissões anexando políticas diretamente ao usuário do IAM.
  • Se o usuário for um administrador de tenancy da AWS, mas uma Política de Controle de Serviço (SCP) for definida no nível organizacional, o que está fazendo com que o provisionamento do Oracle AI Database@AWS falhe, uma política de permissão deverá ser criada.
    • Você deve substituir [policy_name] pelo nome da política e [actionX] pelas permissões que está concedendo. 
      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "[policy_name]",
            "Effect": "Allow",
            "Action": [
                "[action1]",
                "[action2]",
                ...
            ],
            "Resource": "*"
        }
    ]
}
Observação

As Políticas de Controle de Serviço (SCPs) da AWS e os limites de permissões definidos no nível organizacional podem substituir a permissão do usuário, conforme descrito neste tópico. Isso pode fazer com que as operações de integração e provisionamento do Oracle AI Database@AWS falhem, mesmo que os usuários tenham as permissões necessárias. Para obter mais informações, consulte Políticas de controle de serviço (SCPs), Limites de permissões para entidades do serviço IAM e Avaliando políticas baseadas em identidade com políticas baseadas em recursos.

Tabela 1-1 Permissões de Recursos do Oracle AI Database@AWS por Tarefa

Tarefa Nuvem Persona Permissões
  • Criar uma Rede ODB
  • Modificar uma Rede ODB
  • Excluir uma Rede ODB
  • Criar uma Conexão de Pareamento do ODB
  • Modificar uma Conexão de Pareamento do ODB
  • Excluir uma Conexão de Pareamento do ODB
 AWS Administrador de rede AWS IAM: 
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "OdbNetworkOperations",
            "Effect": "Allow",
            "Action": [
                "odb:GetOciOnboardingStatus",
                "odb:CreateOdbNetwork",
                "odb:GetOdbNetwork",
                "odb:ListOdbNetworks",
                "odb:UpdateOdbNetwork",
                "odb:DeleteOdbNetwork",
                "odb:TagResource",
                "odb:UntagResource",
                "odb:ListTagsForResource",
                "odb:GetResourcePolicy",
                "odb:PutResourcePolicy",
                "odb:DeleteResourcePolicy",
                "odb:CreateOdbPeeringConnection",
                "odb:DeleteOdbPeeringConnection",
                "odb:GetOdbPeeringConnection",
                "odb:ListOdbPeeringConnections",
                "ec2:DescribeVpcs",
                "ec2:DescribeAvailabilityZones",
                "ec2:CreateOdbNetworkPeering",
                "ec2:DeleteOdbNetworkPeering",
                "ec2:ModifyOdbNetworkPeering",
                "ec2:DescribeVpcEndpointAssociations",
                "ec2:CreateVpcEndpoint",
                "ec2:DeleteVpcEndpoints",
                "ec2:DescribeVpcEndpoints",
                "ec2:CreateTags",
                "ec2:CreatePlacementGroup",
                "ec2:DeletePlacementGroup",
                "ec2:AttachResourcesToPlacementGroup",
                "ec2:DetachResourcesFromPlacementGroup",
                "vpc-lattice:CreateServiceNetwork",
                "vpc-lattice:CreateServiceNetworkResourceAssociation",
                "vpc-lattice:GetServiceNetwork",
                "vpc-lattice:DeleteServiceNetwork",
                "vpc-lattice:DeleteServiceNetworkResourceAssociation",
                "vpc-lattice:GetServiceNetworkResourceAssociation",
                "vpc-lattice:CreateResourceGateway",
                "vpc-lattice:DeleteResourceGateway",
                "vpc-lattice:GetResourceGateway",
                "vpc-lattice:CreateServiceNetworkVpcEndpointAssociation",
                "vpc-lattice:GetServiceNetworkResourceAssociation"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowSLRActions",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": [
                        "odb.amazonaws.com",
                        "vpc-lattice.amazonaws.com"
                    ]
                }
            }
        }
    ]
}
  • Criar uma Infraestrutura Exadata
  • Modificar uma Infraestrutura do Exadata
  • Excluir uma Infraestrutura do Exadata
 AWS Administrador de infraestrutura AWS IAM: 
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ExaInfraOperations",
            "Action": [
                "odb:GetOciOnboardingStatus",
                "odb:CreateCloudExadataInfrastructure",
                "odb:ListDbSystemshapes",
                "odb:ListDbServers",
                "odb:GetCloudExadataInfrastructure",
                "odb:ListCloudExadataInfrastructures",
                "odb:DeleteCloudExadataInfrastructure",
                "odb:ListCloudVmClusters",
                "odb:TagResource",
                "odb:UntagResource",
                "odb:ListTagsForResource",
                "ec2:DescribeAvailabilityZones",
                "iam:CreateServiceLinkedRole",
                "odb:UpdateCloudExadataInfrastructure",
                "odb:GetDbServer"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
  • Criar Compartilhamento de Recursos
 AWS Administrador de infraestrutura
Permissões do proprietário/conta confiável (para verificar a organização):
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "OrganizationPermissions",
      "Effect": "Allow",
      "Action": "organizations:DescribeOrganization",
      "Resource": "*"
    }
  ]
}
Permissões da conta do proprietário (para criar compartilhamento de recursos):
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "RamPermissions",
      "Effect": "Allow",
      "Action": [
        "odb:ListCloudExadataInfrastructures",
        "odb:ListOdbNetworks",
        "odb:PutResourcePolicy",
        "odb:GetResourcePolicy",
        "odb:DeleteResourcePolicy",
        "ram:CreateResourceShare",
        "ram:AssociateResourceShare",
        "ram:DisassociateResourceShare",
        "ram:UpdateResourceShare",
        "ram:DeleteResourceShare",
        "ram:TagResource",
        "ram:UntagResource",
        "ram:GetResourceShares",
        "ram:GetResourceShareAssociations",
        "ram:GetResourceShareInvitations",
        "ram:GetResourcePolicies",
        "ram:EnableSharingWithAwsOrganization",
        "ram:ListResources",
        "ram:ListPrincipals",
        "ram:ListResourceTypes",
        "ram:ListPermissionAssociations",
        "ram:AssociateResourceSharePermission",
        "ram:GetPermission",
        "ram:ListPermissions",
        "ram:DisassociateResourceSharePermission",
        "ram:ListResourceSharePermissions",
        "ram:ListPermissionVersions",
        "ram:ListPendingInvitationResources",
        "ram:ListReplacePermissionAssociationsWork"
      ],
      "Resource": "*"
    }
  ]
}
Permissões de conta confiáveis (para exibir os recursos compartilhados do portal do Resource Access Manager (RAM) e ativar a conta do Oracle AI Database@AWS):
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Sid": "RamPermissionsTrustedAccount",
      "Action": [
        "ram:GetResourceShares",
        "ram:GetResourcePolicies",
        "ram:ListResources",
        "ram:ListResourceSharePermissions",
        "ram:ListPrincipals",
        "ram:GetResourceShareInvitations",
        "odb:InitializeService",
        "iam:CreateServiceLinkedRole",
        "odb:GetOciOnboardingStatus"
      ],
      "Resource": "*"
    }
  ]
}
Observações:
  • Para obter a Política Gerenciada para acesso total à RAM da AWS, consulte Políticas gerenciadas pela AWS para RAM da AWS
  • Para gerenciar a Rede ODB, o Exadata Infrastructure, o Cluster de VMs do Exadata e o Cluster de VMs Autônomas na conta confiável, você deve conceder acesso à lista completa de permissões da conta confiável para cada ação listada nesta página.
  • Criar um Cluster da VM do Exadata
  • Modificar um Cluster da VM do Exadata
  • Excluir um Cluster da VM do Exadata
 AWS Administrador de infraestrutura e administrador de Banco de Dados AWS IAM: 
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ExaVMClusterOperations",
            "Action": [
                "odb:GetOciOnboardingStatus",
                "odb:CreateCloudVmCluster",
                "odb:GetCloudVmCluster",
                "odb:ListCloudVmClusters",
                "odb:DeleteCloudVmCluster",
                "odb:ListCloudExadataInfrastructures",
                "odb:ListSystemVersions",
                "odb:ListGiVersions",
                "odb:ListDbServers",
                "odb:ListDbSystemshapes",
                "odb:ListDbNodes",
                "odb:ListOdbNetworks",
                "odb:TagResource",
                "odb:UntagResource",
                "odb:ListTagsForResource",
                "iam:CreateServiceLinkedRole",
                "odb:GetDbNode",
                "odb:StartDbNode",
                "odb:StopDbNode",
                "odb:RebootDbNode",
                "odb:CreateDbNode",
                "odb:DeleteDbNode"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
  • Criar Banco de Dados Exadata (CDB e PDB)
  • Modificar Banco de Dados Exadata (CDB e PDB)
  • Excluir Banco de Dados Exadata (CDB e PDB)
OCI Administrador de banco de dados
OCI IAM: Se o usuário não for um administrador da tenancy do OCI, ele precisará fazer parte de:
  • Os seguintes grupos pré-criados:
    • aws-db-family-administrators
    • aws-exa-cdb-administrators
    • aws-exa-pdb-administrators
  • Qualquer outro grupo que tenha as seguintes instruções de política: 
    • Allow group <group-name> to manage db-homes in compartment id <MulticloudLink_AWS_timestamp_ocid>
    • Allow group <group-name> to manage databases in compartment id <MulticloudLink_AWS_timestamp_ocid>
    • Allow group <group-name> to manage pluggable-databases in compartment id <MulticloudLink_AWS_timestamp_ocid>
    • Allow group <group-name> to manage db-family in compartment id <MulticloudLink_AWS_timestamp_ocid>
  • Criar um Cluster De VMs Autônomas
  • Modificar um Cluster de VMs Autônomas
  • Excluir um Cluster da VM Autônoma
 AWS Administrador de infraestrutura e administrador de Banco de Dados AWS: 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AutonomousVMClusterOperations",
            "Action": [
                "odb:ListAutonomousVirtualMachines",
                "odb:CreateCloudAutonomousVmCluster",
                "odb:DeleteCloudAutonomousVmCluster",
                "odb:GetCloudAutonomousVmCluster",
                "odb:ListCloudAutonomousVmClusters",
                "odb:GetCloudExadataInfrastructureUnallocatedResources",
                "odb:GetOciOnboardingStatus",
                "odb:ListCloudExadataInfrastructures",
                "odb:ListDbServers",
                "odb:TagResource",
                "odb:UntagResource",
                "odb:ListTagsForResource"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
  • Criar um Autonomous AI Database
  • Modificar um Autonomous AI Database
  • Excluir um Autonomous AI Database
 OCI Administrador de banco de dados
OCI IAM: Se o usuário não for um administrador da tenancy do OCI, ele precisará fazer parte de:
  • Os seguintes grupos pré-criados:
    • aws-autonomous-cdb-administrators
  • Qualquer outro grupo que tenha as seguintes instruções de política: 
    • Allow group <group-name> to manage autonomous-databases in compartment id <MulticloudLink_AWS_timestamp_ocid>
    • Allow group <group-name> to manage autonomous-backups in compartment id <MulticloudLink_AWS_timestamp_ocid>
    • Allow group <group-name> to manage autonomous-container-databases in compartment id <MulticloudLink_AWS_timestamp_ocid>
Para obter mais informações sobre como conceder as permissões necessárias, consulte o seguinte: