Políticas do Serviço IAM para o Autonomous Database
Fornece informações sobre políticas do IAM necessárias para operações de API no Autonomous Database.
O Oracle Autonomous Database depende do serviço IAM (Identity and Access Management) para autenticar e autorizar os usuários da nuvem a executar operações que usam qualquer uma das interfaces do Oracle Cloud Infrastructure (a console, a API REST, a CLI, ou o SDK).
O serviço do IAM usa grupos, compartimentos, e políticas para controlar quais usuários da nuvem podem acessar quais recursos.
- Detalhes da Política do Autonomous Database
Este tópico aborda detalhes de criação de políticas para controlar o acesso aos recursos do Autonomous Database. - Permissões do IAM e Operações de API para o Autonomous Database
Este tópico abrange as permissões disponíveis do IAM para operações no Autonomous Database. - Fornecer Privilégios Específicos nas Políticas do IAM para Gerenciar o Autonomous Database
Lista as políticas do IAM que você pode usar com um verbo de autorização e uma condição para conceder operações mais granulares a um grupo.
Tópico principal: Segurança
Detalhes de Política do Autonomous Database
Este tópico aborda detalhes de como escrever políticas para controlar o acesso aos recursos do Autonomous Database.
Uma política define que tipo de acesso um grupo de usuários tem a um recurso específico em um compartimento individual. Para obter mais informações, consulte Conceitos Básicos de Políticas.
Tipos de Recursos
Um tipo de recurso agregado abrange a lista de tipos de recursos individuais que se seguem diretamente. Por exemplo, escrever uma política para permitir a um grupo ter acesso a autonomous-database-family
é equivalente a gravar quatro políticas separadas para o grupo que concederia acesso aos tipos de recursos autonomous-databases
e autonomous-backups
. Para obter mais informações, consulte Tipos de Recursos.
Tipo de Recurso Agregado:
autonomous-database-family
Tipos de Recursos Individuais:
autonomous-databases
autonomous-backups
Detalhes das Combinações de Verbo + Tipo de Recurso
O nível de acesso é cumulativo conforme você vai de inspect > read > use > manage
. Um sinal de mais (+) em uma célula da tabela indica acesso incremental em comparação com a célula diretamente acima, enquanto "nenhum extra" indica nenhum acesso incremental.
Por exemplo, o verbo read
para o tipo de recurso autonomous-databases
abrange as mesmas permissões e operações da API que o verbo inspect
, mais a permissão AUTONOMOUS_DATABASE_CONTENT_READ
. O verbo read
abrange parcialmente a operação CreateAutonomousDatabaseBackup
, que também precisa gerenciar as permissões para autonomous-backups
.
As tabelas seguintes mostram as Permissões e operações da API abrangidas por cada verbo. Para obter informações sobre permissões, consulte Permissões.
A família de recursos coberta por autonomous-database-family pode ser usada para conceder acesso aos recursos de banco de dados associados a todos os tipos De Carga de Trabalho do Autonomous Database.
Verbos | Permissões | APIs Totalmente Cobertas | APIs Parcialmente Cobertas |
---|---|---|---|
inspecionar |
|
|
nenhum |
leitura |
|
|
|
usar |
|
|
|
gerenciar |
|
|
nenhum |
Lista de Operações e Políticas Obrigatórias do Serviço IAM para Gerenciar uma Instância do Autonomous Database
Operação | Políticas Obrigatórias do IAM |
---|---|
Adicionar banco de dados de pareamento |
|
Adicionar atributos de segurança |
|
Alterar modelo de computação |
|
Alterar o modo do banco de dados |
|
Alterar rede |
|
Alterar tipo de carga de trabalho |
|
Clonar um Autonomous Database |
Consulte Permissões do Serviço IAM e Operações de API para o Autonomous Database para obter permissões de clonagem adicionais no Autonomous Database. |
Criar um Autonomous Database |
|
Editar Configuração de Ferramentas de Banco de Dados |
|
Editar programação de início/parada |
|
Ativar pool elástico |
|
Ativar ou desativar o dimensionamento automático para um Autonomous Database |
|
Junção de pool elástico |
|
Gerenciar contatos do cliente |
|
Gerenciar chave de criptografia |
|
Mover um Autonomous Database para outro compartimento |
|
Renomear um Autonomous Database |
|
Reiniciar um Autonomous Database |
|
Restaurar um Autonomous Database |
|
Dimensionar a contagem de ECPUs ou o armazenamento de um Autonomous Database |
|
Definir senha de usuário ADMIN |
|
Interromper ou iniciar um Autonomous Database |
|
Fazer Switchover |
|
Encerrar um Autonomous Database |
|
Atualizar recuperação de desastre |
|
Atualizar nome para exibição |
|
Atualizar licença e Edição do Oracle Database |
|
Atualizar acesso de rede para ACLs |
|
Atualizar acesso de rede para um ponto final privado |
|
Exibir uma lista de um Autonomous Databases |
|
Exibir detalhes de um Autonomous Database |
|
backups autônomos
Verbos | Permissões | APIs Totalmente Cobertas | APIs Parcialmente Cobertas |
---|---|---|---|
inspecionar |
|
|
nenhum |
gerenciar |
|
|
|
leitura |
|
sem extra |
|
usar |
READ + sem extra |
sem extra |
nenhum |
Variáveis Suportadas
Todas as variáveis gerais do OCI Identity and Access Management são suportadas. Consulte Variáveis Gerais para Todas as Solicitações para obter mais informações.
Além disso, você pode usar a variável target.id
com o OCID de um banco de dados após a criação de um banco de dados e a variável target.workloadType
com um valor, conforme mostrado na seguinte tabela:
Valor target.workloadType | Descrição |
---|---|
OLTP |
Processamento de Transações On-line, usado para Autonomous Databases com carga de trabalho de Processamento de Transações. |
DW |
Data Warehouse, usado para Autonomous Databases com carga de trabalho do Data Warehouse. |
AJD |
Autonomous JSON Database usado para Autonomous Databases com carga de trabalho JSON. |
APEX |
APEX Service usado para o Autonomous Database APEX Service. |
Exemplo de política usando a variável target.id
:
Allow group ADB-Admins to manage autonomous-databases in tenancy where target.id = 'OCID'
Exemplo de política usando a variável target.workloadType
:
Allow group ADB-Admins to manage autonomous-databases in tenancy where target.workloadType = 'AJD'
Tópico principal: Políticas do IAM para Autonomous Database
Permissões do IAM e Operações de API para o Autonomous Database
Este tópico abrange as permissões disponíveis do serviço IAM para operações no Autonomous Database.
Estas são as permissões do serviço IAM para o Autonomous Database:
-
AUTONOMOUS_DATABASE_CONTENT_READ
-
AUTONOMOUS_DATABASE_CONTENT_WRITE
-
AUTONOMOUS_DATABASE_CREATE
Consulte Permissões de Clonagem para obter limitações adicionais de clonagem.
-
AUTONOMOUS_DATABASE_DELETE
-
AUTONOMOUS_DATABASE_INSPECT
-
AUTONOMOUS_DATABASE_UPDATE
-
AUTONOMOUS_DB_BACKUP_CONTENT_READ
-
AUTONOMOUS_DB_BACKUP_CREATE
-
AUTONOMOUS_DB_BACKUP_INSPECT
-
NETWORK_SECURITY_GROUP_UPDATE_MEMBERS
-
VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP
Exemplo de política para que um grupo tenha permissões para criar o Autonomous Database em um compartimento:
Allow group group-name to manage autonomous-database in compartment id compartment-ocid
where all{request.permission = 'AUTONOMOUS_DATABASE_UPDATE'}
Operações de Permissões Necessárias para Usar | Operação de API |
---|---|
AUTONOMOUS_DATABASE_CONTENT_READ |
|
AUTONOMOUS_DATABASE_CREATE |
|
AUTONOMOUS_DATABASE_DELETE |
|
AUTONOMOUS_DATABASE_INSPECT |
|
AUTONOMOUS_DATABASE_UPDATE |
|
AUTONOMOUS_DB_BACKUP_INSPECT |
|
AUTONOMOUS_DB_BACKUP_UPDATE |
|
AUTONOMOUS_DB_BACKUP_CREATE
|
|
AUTONOMOUS_DB_BACKUP_INSPECT
|
|
|
|
Obrigatório no compartimento de origem e de destino:
Obrigatório no compartimento de origem e no compartimento de destino quando o Ponto Final Privado está ativado:
|
|
Três casos possíveis:
|
|
requer changeAutonomousDatabaseSubscription |
|
requer |
|
requer updateSaasAdminUser |
|
Clonando Permissões
Permissões gerais do IAM são suportadas para o Autonomous Database. Além disso, você pode usar o target.autonomous-database.cloneType
com os valores de permissão suportados para controlar o nível de acesso, conforme mostrado na tabela a seguir.
Valor target.autonomous-database.cloneType | Descrição |
---|---|
CLONE-FULL |
Permitir apenas clonagem completa. |
CLONE-METADATA |
Permitir somente clonagem de metadados. |
CLONE-REFRESHABLE |
Permitir apenas clonagem atualizável. |
/CLONE*/ |
Permitir qualquer tipo de clone. |
Exemplos de políticas com os valores de permissão target.autonomous-database.cloneType
suportados:
Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
where all {request.permission = 'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-FULL'}
Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
where all {request.permission = 'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-METADATA'}
Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
where all {request.permission = 'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-REFRESHABLE'}
Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
where all {request.permission = 'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = /CLONE*/}
Consulte Permissões para obter mais informações.
Tópico principal: Políticas do IAM para Autonomous Database
Fornecer Privilégios Específicos nas Políticas do Serviço IAM para Gerenciar o Autonomous Database
Lista políticas do serviço IAM que você pode usar com um verbo de autorização e uma condição para conceder operações mais granulares a um grupo.
Por exemplo, para permitir que o grupo MyGroup
inicie Autonomous Databases usando a API StartAutonomousDatabase
:
Allow MyGroup to manage autonomous-databases where request.operation = 'StartAutonomousDatabase'
Consulte Verbos e Condições para obter mais informações.
Lista de Verbos de Autorização |
---|
autonomousDatabaseManualRefresh |
changeAutonomousDatabaseCompartment |
changeAutonomousDatabaseSubscription |
changeDisasterRecoveryConfiguration |
configureAutonomousDatabaseVaultKey |
configureSaasAdminUser |
createAutonomousDatabase |
createAutonomousDatabaseBackup |
deleteAutonomousDatabase |
deleteAutonomousDatabaseBackup |
deregisterAutonomousDatabaseDataSafe |
disableAutonomousDatabaseManagement |
disableAutonomousDatabaseOperationsInsights |
enableAutonomousDatabaseManagement |
enableAutonomousDatabaseOperationsInsights |
failOverAutonomousDatabase |
generateAutonomousDatabaseWallet |
getAutonomousDatabase |
getAutonomousDatabaseBackup |
getAutonomousDatabaseRegionalWallet |
getAutonomousDatabaseWallet |
listAutonomousDatabaseBackups |
listAutonomousDatabaseCharacterSets |
listAutonomousDatabaseClones |
listAutonomousDatabaseMaintenanceWindows |
listAutonomousDatabasePeers |
listAutonomousDatabaseRefreshableClones |
listAutonomousDatabases |
registerAutonomousDatabaseDataSafe |
resourcePoolShapes |
restartAutonomousDatabase |
restoreAutonomousDatabase |
rotateAutonomousDatabaseEncryptionKey |
SaasAdminUserStatus |
shrinkAutonomousDatabase |
startAutonomousDatabase |
stopAutonomousDatabase |
switchoverAutonomousDatabase |
updateAutonomousDatabase |
updateAutonomousDatabaseBackup |
updateAutonomousDatabaseRegionalWallet |
updateAutonomousDatabaseWallet |
O Verbo de Autorização updateAutonomousDatabase
agrupa privilégios para usar várias operações de API.
Operação |
---|
DeregisterAutonomousDatabaseDataSafe |
DisableAutonomousDatabaseOperationsInsights |
DisableDatabaseManagement |
EnableAutonomousDatabaseOperationsInsights |
RegisterAutonomousDatabaseDataSafe |
Por exemplo:
Allow MyGroup to manage autonomous-databases where request.operation = 'updateAutonomousDatabase'
Tópico principal: Políticas do IAM para Autonomous Database