Políticas do Serviço IAM para o Autonomous Database

Fornece informações sobre as políticas do serviço IAM necessárias para operações de API no Autonomous Database.

O Oracle Autonomous Database depende do serviço IAM (Identity and Access Management) para autenticar e autorizar os usuários da nuvem a executar operações que usam qualquer uma das interfaces do Oracle Cloud Infrastructure (a console, a API REST, a CLI, ou o SDK).

O serviço do IAM usa grupos, compartimentos, e políticas para controlar quais usuários da nuvem podem acessar quais recursos.

Detalhes da Política do Autonomous Database
Este tópico abrange detalhes de gravação de políticas para controlar o acesso a recursos do Autonomous Database.
Permissões do IAM e Operações de API para o Autonomous Database
Este tópico abrange as permissões disponíveis do IAM para operações no Autonomous Database.
Fornecer Privilégios Específicos nas Políticas do IAM para Gerenciar o Autonomous Database
Lista as políticas do IAM que você pode usar com um verbo de autorização e uma condição para conceder operações mais granulares a um grupo.

Tópico principal: Segurança

Detalhes de Políticas do Autonomous Database

Este tópico abrange detalhes de gravação de políticas para controlar o acesso a recursos do Autonomous Database.

Uma política define o tipo de acesso que um grupo de usuários tem a um recurso específico em um compartimento individual. Para obter mais informações, consulte Conceitos Básicos de Políticas.

Tipos de Recursos

Um tipo de recurso agregado abrange a lista de tipos de recursos individuais que se seguem diretamente. Por exemplo, gravar uma política para permitir que um grupo tenha acesso a autonomous-database-family é equivalente a gravar quatro políticas separadas para o grupo que concederia acesso aos tipos de recursos autonomous-databases, autonomous-backups. Para obter mais informações, consulte Tipos de Recursos.

Tipos de Recursos do Autonomous Database

Resource-Type Agregado:

autonomous-database-family

Resource-Types Individuais:

autonomous-databases

autonomous-backups

Detalhes das Combinações de Verbo + Tipo de Recurso

O nível de acesso é cumulativo conforme você vai de inspect > read > use > manage. Um sinal de mais (+) em uma célula da tabela indica acesso incremental em comparação com a célula diretamente acima, enquanto "nenhum extra" indica nenhum acesso incremental.

Por exemplo, o verbo read do tipo de recurso autonomous-databases abrange as mesmas permissões e operações de API que o verbo inspect, além da permissão AUTONOMOUS_DATABASE_CONTENT_READ. O verbo read abrange parcialmente a operação CreateAutonomousDatabaseBackup, que também precisa gerenciar permissões para autonomous-backups.

As tabelas a seguir mostram as operações de Permissões e API abrangidas por cada verbo. Para obter informações sobre permissões, consulte Permissões.

Observação

A família de recursos coberta por autonomous-database-family pode ser usada para conceder acesso a recursos do banco de dados associados a todos os tipos de carga de trabalho do Autonomous Database.

Tipos de Recursos autonomous-databases

Verbos	Permissões	APIs Totalmente Incluídas	APIs Parcialmente Abrangidas
inspecionar	`AUTONOMOUS_DATABASE_INSPECT`	`GetAutonomousDatabase, GetAutonomousDatabaseBackupConfig, GetAutonomousDatabaseCapability, ListAutonomousDatabases, ListAutonomousDatabaseClones, ListAutonomousDatabasePeers, ListAutonomousDatabaseRefreshableClones, ResourcePoolShapes`	nenhum
leitura	`INSPECT +` `AUTONOMOUS_DATABASE_CONTENT_READ`	`GenerateAutonomousDatabasePerformanceData, GenerateAutonomousDatabaseWallet, GetAutonomousDatabaseRegionalWallet, GetAutonomousDatabaseWallet, RetrieveDatabasePerformanceBulkData`	`CreateAutonomousDatabaseBackup` (também precisa de `manage autonomous-backups`)
use	`READ +` `AUTONOMOUS_DATABASE_CONTENT_WRITE` `AUTONOMOUS_DATABASE_UPDATE`	AutonomousDatabaseManualRefresh, CancelAutonomousDatabaseSession, ChangeDisasterRecoveryConfiguration, ConfigureAutonomousDatabaseVaultKey, DeregisterAutonomousDatabaseDataSafe, DisableAutonomousDatabaseOperationsInsights, DisableDatabaseManagement, EnableAutonomousDatabaseOperationsInsights, EnableDatabaseManagement, FailOverAutonomousDatabase, GetAutonomousDatabaseConsoleToken, RegisterAutonomousDatabaseDataSafe, RestartAutonomousDatabase, RotateAutonomousDatabaseEncryptionKey, ShrinkAutonomousDatabase, StartAutonomousDatabase, StopAutonomousDatabase, SwitchOverAutonomousDatabase, UpdateAutonomousDatabaseRegionalWallet, UpdateAutonomousDatabase	`RestoreAutonomousDatabase` (também precisa de `read autonomous-backups`) `ChangeAutonomousDatabaseCompartment` (também precisa de `read autonomous-backups`)
gerenciar	`USE +` `AUTONOMOUS_DATABASE_CREATE` `AUTONOMOUS_DATABASE_DELETE`	`CreateAutonomousDatabase, DeleteAutonomousDatabase`	nenhuma

Lista de Operações e Políticas Obrigatórias do Serviço IAM para Gerenciar uma Instância do Autonomous Database

Operação	Políticas Obrigatórias do Serviço IAM
Adicionar banco de dados de pareamento	`use autonomous-databases`
Adicionar atributos de segurança	`use autonomous-databases`
Alterar modelo de computação	`use autonomous-databases`
Alterar o modo do banco de dados	`use autonomous-databases`
Alterar rede	`use autonomous-databases`
Alterar tipo de carga de trabalho	`use autonomous-databases`
Clonar um Autonomous Database	`manage autonomous-databases` Consulte Permissões do IAM e Operações de API para o Autonomous Database para obter permissões de clonagem adicionais no Autonomous Database.
Criar um Autonomous Database	`manage autonomous-databases` `read autonomous-databases`
Editar Configuração do Database Tools	`use autonomous-databases`
Editar programação de início/interrupção	`use autonomous-databases`
Ativar pool elástico	`use autonomous-databases`
Ativar ou desativar o dimensionamento automático para um Autonomous Database	`use autonomous-databases`
Juntar-se ao Elastic Pool	`use autonomous-databases`
Gerenciar contatos do cliente	`use autonomous-databases`
Gerenciar chave de criptografia	`use autonomous-databases`
Mover um Autonomous Database para outro compartimento	`use autonomous-databases` no compartimento atual do banco de dados e no compartimento para o qual você está movendo-o `read autonomous-backups`
Renomear um Autonomous Database	`use autonomous-databases`
Reiniciar um Autonomous Database	`use autonomous-databases`
Restaurar um Autonomous Database	`use autonomous-databases` `read autonomous-backups`
Dimensionar a contagem de ECPUs ou o armazenamento de um Autonomous Database	`use autonomous-databases`
Definir senha do usuário ADMIN	`use autonomous-databases`
Interromper ou iniciar um Autonomous Database	`use autonomous-databases`
Alternância	`use autonomous-databases`
Encerrar um Autonomous Database	`manage autonomous-databases`
Atualizar recuperação de desastre	`use autonomous-databases`
Atualizar nome para exibição	`use autonomous-databases`
Atualizar licença e Edição do Oracle Database	`use autonomous-databases`
Atualizar acesso à rede para ACLs	`use autonomous-databases`
Atualizar o acesso à rede para um ponto final privado	`use autonomous-databases`
Exibir uma lista de Autonomous Databases	`inspect autonomous-databases`
Exibir detalhes de um Autonomous Database	`inspect autonomous-databases`

backups autônomos

Verbos	Permissões	APIs Totalmente Incluídas	APIs Parcialmente Incluídas
inspecionar	`AUTONOMOUS_DB_BACKUP_INSPECT`	`ListAutonomousDatabaseBackups, GetAutonomousDatabaseBackup`	nenhuma
gerenciar	`USE +` `AUTONOMOUS_DB_BACKUP_CREATE` `AUTONOMOUS_DB_BACKUP_DELETE`	`DeleteAutonomousDatabaseBackup`	`CreateAutonomousDatabaseBackup` (também precisa de `read autonomous-databases`)
lido	`INSPECT +` `AUTONOMOUS_DB_BACKUP_CONTENT_READ`	nenhum extra	`RestoreAutonomousDatabase` (também precisa de `use autonomous-databases`) `ChangeAutonomousDatabaseCompartment` (também precisa de `use autonomous-databases`)
use	LEIA + nenhum extra	nenhum extra	nenhum

variáveis suportadas

Todas as variáveis gerais do OCI Identity and Access Management são suportadas. Consulte Variáveis Gerais para Todas as Solicitações para obter mais informações.

Além disso, você pode usar a variável target.id com o OCID de um banco de dados após a criação de um banco de dados e a variável target.workloadType com um valor, conforme mostrado na tabela a seguir:

Valor target.workloadType	Descrição
`OLTP`	Online Transaction Processing, usado para Autonomous Databases com carga de trabalho de Processamento de Transações.
`DW`	Data Warehouse, usado para Autonomous Databases com carga de trabalho Data Warehouse.
`AJD`	Autonomous JSON Database usado para Autonomous Databases com carga de trabalho JSON.
`APEX`	APEX Service usado para o Autonomous Database APEX Service.

Exemplo de política usando a variável target.id:

Allow group ADB-Admins to manage autonomous-databases in tenancy where target.id = 'OCID'

Exemplo de política usando a variável target.workloadType:

Allow group ADB-Admins to manage autonomous-databases in tenancy where target.workloadType = 'AJD'

Tópico pai: Políticas do Serviço IAM para o Autonomous Database

Permissões do IAM e Operações de API para o Autonomous Database

Este tópico abrange as permissões disponíveis do IAM para operações no Autonomous Database.

Veja a seguir as permissões do IAM para o Autonomous Database:

AUTONOMOUS_DATABASE_CONTENT_READ
AUTONOMOUS_DATABASE_CONTENT_WRITE
AUTONOMOUS_DATABASE_CREATE

Consulte Permissões de Clonagem para obter limitações adicionais de clonagem.
AUTONOMOUS_DATABASE_DELETE
AUTONOMOUS_DATABASE_INSPECT
AUTONOMOUS_DATABASE_UPDATE
AUTONOMOUS_DB_BACKUP_CONTENT_READ
AUTONOMOUS_DB_BACKUP_CREATE
AUTONOMOUS_DB_BACKUP_INSPECT
NETWORK_SECURITY_GROUP_UPDATE_MEMBERS
VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP

Exemplo de política para que um grupo tenha permissões para criar o Autonomous Database em um compartimento:

Allow group group-name to manage autonomous-database in compartment id compartment-ocid 
    where all{request-permission = 'AUTONOMOUS_DATABASE_UPDATE'}

Permissões Obrigatórias para Usar a Operação	Operação de API
`AUTONOMOUS_DATABASE_CONTENT_READ`	`GenerateAutonomousDatabaseWallet` `GetAutonomousDatabaseRegionalWallet` `GetAutonomousDatabaseWallet` `RetrieveDatabasePerformanceBulkData`
`AUTONOMOUS_DATABASE_CREATE`	`CreateAutonomousDatabase`
`AUTONOMOUS_DATABASE_DELETE`	`DeleteAutonomousDatabase`
`AUTONOMOUS_DATABASE_INSPECT`	`GetAutonomousDatabase` `ListAutonomousDatabaseClones` `ListAutonomousDatabasePeers` `ListAutonomousDatabaseRefreshableClones` `ListAutonomousDatabases` `ResourcePoolShapes`
`AUTONOMOUS_DATABASE_UPDATE`	`AutonomousDatabaseManualRefresh` `ConfigureAutonomousDatabaseVaultKey` `DeregisterAutonomousDatabaseDataSafe` `DisableAutonomousDatabaseOperationsInsights` `DisableDatabaseManagement` `EnableAutonomousDatabaseOperationsInsights` `EnableDatabaseManagement` `FailOverAutonomousDatabase` `RegisterAutonomousDatabaseDataSafe` `RestartAutonomousDatabase` `RotateAutonomousDatabaseEncryptionKey` `ShrinkAutonomousDatabase` `StartAutonomousDatabase` `StopAutonomousDatabase` `SwitchOverAutonomousDatabase` `UpdateAutonomousDatabaseWallet` `UpdateAutonomousDatabaseRegionalWallet`
`AUTONOMOUS_DB_BACKUP_INSPECT`	`GetAutonomousDatabaseBackup` `ListAutonomousDatabaseBackups`
`AUTONOMOUS_DB_BACKUP_UPDATE`	`UpdateAutonomousDatabaseBackup`
`AUTONOMOUS_DB_BACKUP_CREATE` `AUTONOMOUS_DATABASE_CONTENT_READ`	`CreateAutonomousDatabaseBackup`
`AUTONOMOUS_DB_BACKUP_INSPECT` `AUTONOMOUS_DB_BACKUP_DELETE`	`DeleteAutonomousDatabaseBackup`
`AUTONOMOUS_DB_BACKUP_INSPECT` `AUTONOMOUS_DB_BACKUP_CONTENT_READ` `AUTONOMOUS_DATABASE_CONTENT_WRITE`	`RestoreAutonomousDatabase`
Obrigatório no compartimento de origem e de destino: `AUTONOMOUS_DATABASE_UPDATE` `AUTONOMOUS_DB_BACKUP_INSPECT` `AUTONOMOUS_DB_BACKU_CREATE` `AUTONOMOUS_DATABASE_CONTENT_WRITE` Obrigatório nos compartimentos de origem e de destino quando o Ponto Final Privado está ativado: `WNIC_ASSOCIATE_NETOWRK_SECURITY_GROUP` `NETWORK_SECURITY_GROUP_UPDATE_MEMBERS`	`ChangeAutonomousDatabaseCompartment`
Três casos possíveis: Se a Carga de Trabalho for `NULL`: `AUTONOMOUS_DATABASE_UPDATE` Se a Carga de Trabalho não for `NULL`: `AUTONOMOUS_DATABASE_CREATE` `AUTONOMOUS_DATABASE_UPDATE` Se a Marcação estiver ativada: `AUTONOMOUS_DATABASE_UPDATE` `AUTONOMOUS_DATABASE_INSPECT`	`UpdateAutonomousDatabase`: Use esta API para alterações ou atualizações de qualquer uma das seguintes operações: definir senha de administrador (`adminPassword`) programação de inicialização/interrupção automáticas (`scheduledOperations`) gerenciar contatos do cliente (`customerContacts`) editar configuração da ferramenta (`dbToolsDetails`) atualizar opções de licença BYOL (`licenseModel` e `byolComputeCountLimit`) atualizar nome para exibição (`displayName`) unir um pool elástico atualizar opções do elastic pool gerenciar chaves de criptografia atualização para o Autonomous Data Guard para recuperação de desastres (`isLocalDataGuardEnabled` e `disasterRecoveryType`) alterar o modo de operação do banco de dados para leitura/gravação somente para leitura (`openMode`) atualizar o acesso à rede com ACLs (`whitelistedIps`) atualizar o acesso à rede com ponto final privado (`privateEndpointLabel`) renomear banco de dados (`dbName`) limites de computação de escala (`computeCount`) gerenciar opção de dimensionamento automático de computação (`isAutoScalingEnabled`) limites de armazenamento de escala ( `dataStorageSizeInTBs`) gerenciar opções de dimensionamento automático de armazenamento (`isAutoScalingForStorageEnabled`) alterar tipo de carga de trabalho (`dbWorkload`)
requer `changeAutonomousDatabaseSubscription`	`ChangeAutonomousDatabaseSubscription`
requer `getSaasAdminUser`	`SaasAdminUserStatus`
requer `updateSaasAdminUser`	`ConfigureSaasAdminUser` `ListAutonomousDatabaseCharacterSets` `ListAutonomousDatabaseMaintenanceWindows`

Clonando Permissões

São suportadas permissões gerais do IAM para o Autonomous Database. Além disso, você pode usar target.autonomous-database.cloneType com os valores de permissão suportados para controlar o nível de acesso, conforme mostrado na tabela a seguir.

target.autonomous-database.cloneType Valor	Descrição
`CLONE-FULL`	Permitir somente clonagem completa.
`CLONE-METADATA`	Permitir clonagem de metadados somente.
`CLONE-REFRESHABLE`	Permitir somente clone atualizável.
`/CLONE*/`	Permitir qualquer tipo de clone.

Exemplos de políticas com os valores de permissão target.autonomous-database.cloneType suportados:

Allow group group-name to manage autonomous-databases in compartment id compartment-ocid 
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-FULL'}

Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-METADATA'}

Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-REFRESHABLE'}

Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = /CLONE*/}

Consulte Permissões para obter mais informações.

Tópico pai: Políticas do Serviço IAM para o Autonomous Database

Fornecer Privilégios Específicos nas Políticas do IAM para Gerenciar o Autonomous Database

Lista as políticas do serviço IAM que você pode usar com um verbo de autorização e uma condição para conceder operações mais granulares a um grupo.

Por exemplo, para permitir que o grupo MyGroup inicie Autonomous Databases usando a API StartAutonomousDatabase:

Allow MyGroup to manage autonomous-databases where request.operation = 'StartAutonomousDatabase'

Consulte Verbos e Condições para obter mais informações.

Lista de Verbos de Autorização
`autonomousDatabaseManualRefresh`
`changeAutonomousDatabaseCompartment`
`changeAutonomousDatabaseSubscription`
`changeDisasterRecoveryConfiguration`
`configureAutonomousDatabaseVaultKey`
`configureSaasAdminUser`
`createAutonomousDatabase`
`createAutonomousDatabaseBackup`
`deleteAutonomousDatabase`
`deleteAutonomousDatabaseBackup`
`deregisterAutonomousDatabaseDataSafe`
`disableAutonomousDatabaseManagement`
`disableAutonomousDatabaseOperationsInsights`
`enableAutonomousDatabaseManagement`
`enableAutonomousDatabaseOperationsInsights`
`failOverAutonomousDatabase`
`generateAutonomousDatabaseWallet`
`getAutonomousDatabase`
`getAutonomousDatabaseBackup`
`getAutonomousDatabaseRegionalWallet`
`getAutonomousDatabaseWallet`
`listAutonomousDatabaseBackups`
`listAutonomousDatabaseCharacterSets`
`listAutonomousDatabaseClones`
`listAutonomousDatabaseMaintenanceWindows`
`listAutonomousDatabasePeers`
`listAutonomousDatabaseRefreshableClones`
`listAutonomousDatabases`
`registerAutonomousDatabaseDataSafe`
`resourcePoolShapes`
`restartAutonomousDatabase`
`restoreAutonomousDatabase`
`rotateAutonomousDatabaseEncryptionKey`
`SaasAdminUserStatus`
`shrinkAutonomousDatabase`
`startAutonomousDatabase`
`stopAutonomousDatabase`
`switchoverAutonomousDatabase`
`updateAutonomousDatabase`
`updateAutonomousDatabaseBackup`
`updateAutonomousDatabaseRegionalWallet`
`updateAutonomousDatabaseWallet`

O Verbo de Autorização updateAutonomousDatabase agrupa privilégios para usar várias operações de API.

Operação
`DeregisterAutonomousDatabaseDataSafe`
`DisableAutonomousDatabaseOperationsInsights`
`DisableDatabaseManagement`
`EnableAutonomousDatabaseOperationsInsights`
`RegisterAutonomousDatabaseDataSafe`

Por exemplo:

Allow MyGroup to manage autonomous-databases where request.operation =  'updateAutonomousDatabase'

Tópico pai: Políticas do Serviço IAM para o Autonomous Database

Documentação do Oracle Cloud Infrastructure