Documentação do Oracle Cloud Infrastructure

Políticas do IAM para Autonomous AI Database

Fornece informações sobre políticas do IAM necessárias para operações de API no Autonomous AI Database.

O Oracle Autonomous AI Database depende do serviço IAM (Identity and Access Management) para autenticar e autorizar usuários de nuvem a executar operações que usam qualquer uma das interfaces do Oracle Cloud Infrastructure (console, API REST, CLI ou SDK).

Você pode designar atribuições aos usuários com base nas atividades específicas do banco de dados que eles têm permissão para executar, como backup e recuperação, gerenciamento de chaves e operações de ciclo de vida (como interrupção, inicialização e dimensionamento).

O serviço do IAM usa grupos, compartimentos, e políticas para controlar quais usuários da nuvem podem acessar quais recursos.

Tópico principal: Segurança

Detalhes da Política do Autonomous AI Database

Este tópico aborda detalhes de como escrever políticas para controlar o acesso aos recursos do Autonomous AI Database.

Uma política define que tipo de acesso um grupo de usuários tem a um recurso específico em um compartimento individual. Para obter mais informações, consulte Conceitos Básicos de Políticas.

Tipos de Recursos

Um tipo de recurso agregado abrange a lista de tipos de recursos individuais que se seguem diretamente. Por exemplo, escrever uma política para permitir a um grupo ter acesso a autonomous-database-family é equivalente a gravar quatro políticas separadas para o grupo que concederia acesso aos tipos de recursos autonomous-databases e autonomous-backups. Para obter mais informações, consulte Tipos de Recursos.

Tipos de Recursos para Autonomous AI Database

Tipo de Recurso Agregado:

autonomous-database-family

Tipos de Recursos Individuais:

autonomous-databases

autonomous-backups

Detalhes das Combinações de Verbo + Tipo de Recurso

O nível de acesso é cumulativo conforme você vai de inspect > read > use > manage. Um sinal de mais (+) em uma célula da tabela indica acesso incremental em comparação com a célula diretamente acima, enquanto "nenhum extra" indica nenhum acesso incremental.

Por exemplo, o verbo read para o tipo de recurso autonomous-databases abrange as mesmas permissões e operações da API que o verbo inspect, mais a permissão AUTONOMOUS_DATABASE_CONTENT_READ. O verbo read abrange parcialmente a operação CreateAutonomousDatabaseBackup, que também precisa gerenciar as permissões para autonomous-backups.

As tabelas seguintes mostram as Permissões e operações da API abrangidas por cada verbo. Para obter informações sobre permissões, consulte Permissões.

Observação

A família de recursos coberta por autonomous-database-family pode ser usada para conceder acesso aos recursos de banco de dados associados a todos os tipos De Carga de Trabalho do Autonomous AI Database.
Tipos de Recursos autonomous-databases
Verbos Permissões APIs Totalmente Cobertas APIs Parcialmente Cobertas

inspecionar

AUTONOMOUS_DATABASE_INSPECT

GetAutonomousDatabase, GetAutonomousDatabaseBackupConfig, GetAutonomousDatabaseCapability, ListAutonomousDatabases, ListAutonomousDatabaseClones, ListAutonomousDatabasePeers, ListAutonomousDatabaseRefreshableClones, ResourcePoolShapes

nenhum

leitura

INSPECT +

AUTONOMOUS_DATABASE_CONTENT_READ

GenerateAutonomousDatabasePerformanceData, GenerateAutonomousDatabaseWallet, GetAutonomousDatabaseRegionalWallet, GetAutonomousDatabaseWallet, RetrieveDatabasePerformanceBulkData

CreateAutonomousDatabaseBackup (também precisa de manage autonomous-backups)

usar

READ +

AUTONOMOUS_DATABASE_CONTENT_WRITE

AUTONOMOUS_DATABASE_UPDATE

AutonomousDatabaseManualRefresh, CancelAutonomousDatabaseSession, ChangeDisasterRecoveryConfiguration, ConfigureAutonomousDatabaseVaultKey, DeregisterAutonomousDatabaseDataSafe, DisableAutonomousDatabaseOperationsInsights, DisableDatabaseManagement, EnableAutonomousDatabaseOperationsInsights, EnableDatabaseManagement, FailOverAutonomousDatabase, GetAutonomousDatabaseConsoleToken, RegisterAutonomousDatabaseDataSafe, RestartAutonomousDatabase, RotateAutonomousDatabaseEncryptionKey, ShrinkAutonomousDatabase, StartAutonomousDatabase, StopAutonomousDatabase, SwitchOverAutonomousDatabase, UpdateAutonomousDatabaseRegionalWallet, UpdateAutonomousDatabase

RestoreAutonomousDatabase (também precisa de read autonomous-backups)

ChangeAutonomousDatabaseCompartment (também precisa de read autonomous-backups)

gerenciar

USE +

AUTONOMOUS_DATABASE_CREATE

AUTONOMOUS_DATABASE_DELETE

NETWORK_SECURITY_GROUP_UPDATE_MEMBERS

CreateAutonomousDatabase, DeleteAutonomousDatabase

nenhum

Lista de Operações e Políticas Obrigatórias do Serviço IAM para Gerenciar uma Instância do Autonomous AI Database

Operação Políticas Obrigatórias do IAM

Adicionar banco de dados de pareamento

use autonomous-databases

Adicionar atributos de segurança

use autonomous-databases

Alterar modelo de computação

use autonomous-databases

Alterar o modo do banco de dados

use autonomous-databases

Alterar rede

use autonomous-databases

Alterar tipo de carga de trabalho

use autonomous-databases

Clonar um Autonomous AI Database

manage autonomous-databases

Consulte Permissões do IAM e Operações de API para o Autonomous AI Database para obter permissões adicionais de clonagem no Autonomous AI Database.

Criar um Autonomous AI Database

manage autonomous-databases

read autonomous-databases

Editar Configuração de Ferramentas de Banco de Dados

use autonomous-databases

Editar programação de início/parada

use autonomous-databases
Ativar pool elástico

use autonomous-databases

Ativar ou desativar o dimensionamento automático para um Autonomous AI Database

use autonomous-databases
Junção de pool elástico

use autonomous-databases

Gerenciar contatos do cliente

use autonomous-databases

Gerenciar chave de criptografia

use autonomous-databases

Mover um Autonomous AI Database para outro compartimento

use autonomous-databases no compartimento atual do banco de dados e no compartimento para o qual está sendo movido

read autonomous-backups

Renomear um Autonomous AI Database

use autonomous-databases

Reiniciar um Autonomous AI Database

use autonomous-databases

Restaurar um Autonomous AI Database

use autonomous-databases

read autonomous-backups

Dimensione a contagem de ECPUs ou o armazenamento de um Autonomous AI Database

use autonomous-databases

Definir senha de usuário ADMIN

use autonomous-databases

Interromper ou iniciar um Autonomous AI Database

use autonomous-databases

Fazer Switchover

use autonomous-databases

Encerrar um Autonomous AI Database

manage autonomous-databases

Atualizar recuperação de desastre

use autonomous-databases

Atualizar nome para exibição

use autonomous-databases

Atualizar licença e Edição do Oracle Database

use autonomous-databases

Atualizar acesso de rede para ACLs

use autonomous-databases

Atualizar acesso de rede para um ponto final privado

use autonomous-databases

Exibir uma lista de um Autonomous AI Databases

inspect autonomous-databases

Exibir detalhes de um Autonomous AI Database

inspect autonomous-databases

backups autônomos

Verbos Permissões APIs Totalmente Cobertas APIs Parcialmente Cobertas

inspecionar

AUTONOMOUS_DB_BACKUP_INSPECT

ListAutonomousDatabaseBackups, GetAutonomousDatabaseBackup

nenhum

gerenciar

USE +

AUTONOMOUS_DB_BACKUP_CREATE

AUTONOMOUS_DB_BACKUP_DELETE

DeleteAutonomousDatabaseBackup

CreateAutonomousDatabaseBackup (também precisa de read autonomous-databases)

leitura

INSPECT +

AUTONOMOUS_DB_BACKUP_CONTENT_READ

sem extra

RestoreAutonomousDatabase (também precisa de use autonomous-databases)

ChangeAutonomousDatabaseCompartment (também precisa de use autonomous-databases)

usar

READ +

sem extra

sem extra

nenhum

Variáveis Suportadas

Todas as variáveis gerais do OCI Identity and Access Management são suportadas. Consulte Variáveis Gerais para Todas as Solicitações para obter mais informações.

Além disso, você pode usar a variável target.id com o OCID de um banco de dados após a criação de um banco de dados e a variável target.workloadType com um valor, conforme mostrado na seguinte tabela:

Valor target.workloadType Descrição
OLTP Processamento de Transações On-line, usado para Autonomous AI Databases com carga de trabalho de Processamento de Transações.
LH Lakehouse, usado para Autonomous AI Database com cargas de trabalho analíticas e de plataforma de dados.
DW Data Warehouse, usado para Autonomous AI Databases com carga de trabalho do Data Warehouse.
AJD

Autonomous JSON Database usado para Autonomous AI Databases com carga de trabalho JSON.

APEX

APEX Service usado para o Autonomous AI Database APEX Service.

Exemplo de política usando a variável target.id: 

Allow group ADB-Admins to manage autonomous-databases in tenancy where target.id = 'OCID'

Exemplo de política usando a variável target.workloadType: 

Allow group ADB-Admins to manage autonomous-databases in tenancy where target.workloadType = 'AJD'

Você pode usar a variável request.operation.actiontype que identifica a suboperação específica ou a alteração de configuração que está sendo solicitada em uma operação, como updateAutonomousDatabase ou createAutonomousDatabase. Você pode controlar esses tipos de ação em políticas usando o parâmetro request.operation.actiontype. Isso permite controlar as ações em detalhes, garantindo que você tenha o acesso necessário à sua função.

Exemplo de políticas usando a variável request.operation.actiontype:

Quando uma política concede acesso a um tipo de ação específico usando request.operation.actiontype, você se limita a essa sub-operação e não pode executar outras ações de atualização, a menos que elas sejam explicitamente incluídas na política. Por exemplo, 
allow group MyGroup to manage autonomous-database-family where request.operation.actiontype =
      'adminPassword'

A política acima concede ao grupo permissão para alterar a senha ADMIN, mas não para modificar outros atributos como configuração de computação, armazenamento ou rede.

Da mesma forma, é possível excluir uma operação confidencial permitindo, por exemplo, outras informações:
allow group MyGroup to manage autonomous-database-family where request.operation.actiontype
      != 'adminPassword'

A tabela a seguir lista a variável ActionType, cada uma representando uma suboperação específica pode ser usada com CreateAutonomousDatabase ou UpdateAutonomousDatabase:

ActionType Operação
adminPassword Defina a senha de administrador ou defina secretID para o vault.
scheduledOperations Defina a programação para backups de longo prazo.
customerContacts Gerencie as informações de contato do cliente para avisos operacionais, anúncios e manutenção não planejada.
dbToolsConfigure Ative ou desative as ferramentas de banco de dados.
licenseModel Atualize as opções BYOL (Bring Your Own License) e a contagem de ECPUs para BYOL.
updateElasticPool Atualize as opções do pool elástico.
upgradeToPaid Permitir uma atualização do desenvolvedor ou versão gratuita para a versão paga.
displayName Atualizar o nome para exibição.
joinElasticPool Participe de um pool elástico como membro.
disasterRecoveryType Atualizar para o Autonomous Data Guard para recuperação de desastres.
manageEncryptionKeys Gerencie chaves de criptografia (gerenciadas pela Oracle ou gerenciadas pelo cliente).
openMode Altere os modos de operação do banco de dados entre leitura ou gravação e somente leitura.
whitelistedIps Modifique os IPs permitidos nas listas de controle de acesso do Autonomous AI Database para controlar o acesso à rede.
networkConfig Atualize a configuração de rede, incluindo opções públicas ou privadas.
dbName Renomear o banco de dados.
computeCount Dimensione os limites de computação.
autoScalingConfig Ativar ou desativar o dimensionamento automático de computação.
dataStorageSize Dimensione os limites de armazenamento.
autoScalingForStorageConfig Ativar ou Desativar a opção de dimensionamento automático.
dbWorkload Altere o tipo de carga de trabalho.
scheduleDbVersionUpgrade Defina datas específicas ou as programações mais antigas disponíveis para atualizações planejadas da versão do banco de dados.
vanityUrl Defina o URL personalizado ou modifique os detalhes do URL personalizado.
maintenanceScheduleType Alterne a programação de aplicação de patch entre as janelas de manutenção early e regular.

Permissões do IAM e Operações de API para Autonomous AI Database

Este tópico abrange as permissões disponíveis do serviço IAM para operações no Autonomous AI Database.

Essas operações são agrupadas em permissões para permitir que funções típicas executem essas operações. Se forem necessárias permissões mais granulares, elas poderão ser combinadas com suboperações e tipos de ação. O UpdateAutonomousDatabase incluiu várias operações, mas elas podem ser limitadas com base nos tipos de ação descritos na seção anterior.

Estas são as permissões do serviço IAM para o Autonomous AI Database:

  • AUTONOMOUS_DATABASE_CONTENT_READ

  • AUTONOMOUS_DATABASE_CONTENT_WRITE

  • AUTONOMOUS_DATABASE_CREATE

    Consulte Permissões de Clonagem para obter limitações adicionais de clonagem.

  • AUTONOMOUS_DATABASE_DELETE

  • AUTONOMOUS_DATABASE_INSPECT

  • AUTONOMOUS_DATABASE_UPDATE

  • AUTONOMOUS_DB_BACKUP_CONTENT_READ

  • AUTONOMOUS_DB_BACKUP_CREATE

  • AUTONOMOUS_DB_BACKUP_INSPECT

  • NETWORK_SECURITY_GROUP_UPDATE_MEMBERS

  • VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP

Exemplo de política para que um grupo tenha permissões para criar o Oracle Autonomous AI Database em um compartimento: 

Allow group group-name to manage autonomous-database in compartment id compartment-ocid 
    where all{request.permission = 'AUTONOMOUS_DATABASE_UPDATE'}
Operação de API Permissões Obrigatórias para Usar Operação

GenerateAutonomousDatabaseWallet

GetAutonomousDatabaseRegionalWallet

GetAutonomousDatabaseWallet

RetrieveDatabasePerformanceBulkData

 AUTONOMOUS_DATABASE_CONTENT_READ

CreateAutonomousDatabase

 AUTONOMOUS_DATABASE_CREATE

DeleteAutonomousDatabase

 AUTONOMOUS_DATABASE_DELETE

GetAutonomousDatabase

ListAutonomousDatabaseClones

ListAutonomousDatabasePeers

ListAutonomousDatabaseRefreshableClones

ListAutonomousDatabases

ResourcePoolShapes

 AUTONOMOUS_DATABASE_INSPECT

AutonomousDatabaseManualRefresh

ConfigureAutonomousDatabaseVaultKey

DeregisterAutonomousDatabaseDataSafe

DisableAutonomousDatabaseOperationsInsights

DisableDatabaseManagement

EnableAutonomousDatabaseOperationsInsights

EnableDatabaseManagement

FailOverAutonomousDatabase

RegisterAutonomousDatabaseDataSafe

RestartAutonomousDatabase

RotateAutonomousDatabaseEncryptionKey

ShrinkAutonomousDatabase

StartAutonomousDatabase

StopAutonomousDatabase

SwitchOverAutonomousDatabase

UpdateAutonomousDatabaseWallet

UpdateAutonomousDatabaseRegionalWallet

 AUTONOMOUS_DATABASE_UPDATE

GetAutonomousDatabaseBackup

ListAutonomousDatabaseBackups

 AUTONOMOUS_DB_BACKUP_INSPECT

UpdateAutonomousDatabaseBackup

 AUTONOMOUS_DB_BACKUP_UPDATE

CreateAutonomousDatabaseBackup

 AUTONOMOUS_DB_BACKUP_CREATE

AUTONOMOUS_DATABASE_CONTENT_READ

DeleteAutonomousDatabaseBackup

 AUTONOMOUS_DB_BACKUP_INSPECT

AUTONOMOUS_DB_BACKUP_DELETE

RestoreAutonomousDatabase

AUTONOMOUS_DB_BACKUP_INSPECT

AUTONOMOUS_DB_BACKUP_CONTENT_READ

AUTONOMOUS_DATABASE_CONTENT_WRITE

ChangeAutonomousDatabaseCompartment

Obrigatório no compartimento de origem e de destino:

AUTONOMOUS_DATABASE_UPDATE

AUTONOMOUS_DB_BACKUP_INSPECT

AUTONOMOUS_DB_BACKU_CREATE

AUTONOMOUS_DATABASE_CONTENT_WRITE

Obrigatório no compartimento de origem e no compartimento de destino quando o Ponto Final Privado está ativado:

WNIC_ASSOCIATE_NETOWRK_SECURITY_GROUP

NETWORK_SECURITY_GROUP_UPDATE_MEMBERS

UpdateAutonomousDatabase: Use essa API para alterações ou atualizações em qualquer uma das seguintes operações:

Observação

Para permissões mais granulares, use essas suboperações como um actiontype ao definir uma política para o usuário.
  • definir senha de administrador (adminPassword)
  • iniciar/interromper automaticamente a programação (scheduledOperations)
  • gerenciar contatos de clientes (customerContacts)
  • configuração da ferramenta de edição (dbToolsDetails)
  • atualizar opções de licença BYOL (licenseModel e byolComputeCountLimit)
  • atualizar nome de exibição (displayName)
  • juntar-se a um pool elástico
  • atualizar opções de pool elástico
  • gerenciar chaves de criptografia
  • atualizar para o autonomous data guard para recuperação de desastres (isLocalDataGuardEnabled e disasterRecoveryType)
  • alterar os modos de operação do banco de dados entre leitura ou gravação e somente leitura (openMode)
  • modificar IPs na lista branca nas listas de controle de acesso do Autonomous AI Database para controlar o acesso à rede (whitelistedIps)
  • atualizar acesso à rede com ponto final privado (privateEndpointLabel)
  • renomear banco de dados (dbName)
  • dimensionar limites de computação (computeCount)
  • opção de gerenciamento de dimensionamento automático de computação (isAutoScalingEnabled)
  • dimensionar limites de armazenamento ( dataStorageSizeInTBs)
  • gerenciar opções de dimensionamento automático de armazenamento (isAutoScalingForStorageEnabled)
  • alterar tipo da carga de trabalho (dbWorkload)

Três casos possíveis:

  • Se a Carga de Trabalho for NULL: AUTONOMOUS_DATABASE_UPDATE
  • Se a Carga de Trabalho não for NULL:

    AUTONOMOUS_DATABASE_CREATE

    AUTONOMOUS_DATABASE_UPDATE

  • Se o serviço Tagging estiver ativado:

    AUTONOMOUS_DATABASE_UPDATE

    AUTONOMOUS_DATABASE_INSPECT

ChangeAutonomousDatabaseSubscription

 requer changeAutonomousDatabaseSubscription

SaasAdminUserStatus

requer getSaasAdminUser

ConfigureSaasAdminUser

ListAutonomousDatabaseCharacterSets

ListAutonomousDatabaseMaintenanceWindows

 requer updateSaasAdminUser

Clonando Permissões

Permissões gerais do IAM são suportadas para o Autonomous AI Database. Além disso, você pode usar o target.autonomous-database.cloneType com os valores de permissão suportados para controlar o nível de acesso, conforme mostrado na tabela a seguir.

Valor target.autonomous-database.cloneType Descrição
CLONE-FULL

Permitir apenas clonagem completa.
CLONE-METADATA

Permitir somente clonagem de metadados.
CLONE-REFRESHABLE

Permitir apenas clonagem atualizável.
/CLONE*/

Permitir qualquer tipo de clone.

Exemplos de políticas com os valores de permissão target.autonomous-database.cloneType suportados: 

Allow group group-name to manage autonomous-databases in compartment id compartment-ocid 
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-FULL'}
Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-METADATA'}
Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-REFRESHABLE'}
Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = /CLONE*/}

Consulte Permissões para obter mais informações.

Fornecer Privilégios Específicos nas Políticas do IAM para Gerenciar o Autonomous AI Database

Lista políticas do serviço IAM que você pode usar com um verbo de autorização e uma condição para conceder operações mais granulares a um grupo.

Por exemplo, para permitir que o grupo MyGroup inicie Autonomous AI Databases usando a API StartAutonomousDatabase: 

Allow MyGroup to manage autonomous-databases where request.operation = 'StartAutonomousDatabase'

Consulte Verbos e Condições para obter mais informações.

Lista de Verbos de Autorização
autonomousDatabaseManualRefresh
changeAutonomousDatabaseCompartment
changeAutonomousDatabaseSubscription
changeDisasterRecoveryConfiguration
configureAutonomousDatabaseVaultKey
configureSaasAdminUser
createAutonomousDatabase
createAutonomousDatabaseBackup
deleteAutonomousDatabase
deleteAutonomousDatabaseBackup
deregisterAutonomousDatabaseDataSafe
disableAutonomousDatabaseManagement
disableAutonomousDatabaseOperationsInsights
enableAutonomousDatabaseManagement
enableAutonomousDatabaseOperationsInsights
failOverAutonomousDatabase
generateAutonomousDatabaseWallet
getAutonomousDatabase
getAutonomousDatabaseBackup
getAutonomousDatabaseRegionalWallet
getAutonomousDatabaseWallet
listAutonomousDatabaseBackups
listAutonomousDatabaseCharacterSets
listAutonomousDatabaseClones
listAutonomousDatabaseMaintenanceWindows
listAutonomousDatabasePeers
listAutonomousDatabaseRefreshableClones
listAutonomousDatabases
registerAutonomousDatabaseDataSafe
resourcePoolShapes
restartAutonomousDatabase
restoreAutonomousDatabase
rotateAutonomousDatabaseEncryptionKey
SaasAdminUserStatus
shrinkAutonomousDatabase
startAutonomousDatabase
stopAutonomousDatabase
switchoverAutonomousDatabase
updateAutonomousDatabase
updateAutonomousDatabaseBackup
updateAutonomousDatabaseRegionalWallet
updateAutonomousDatabaseWallet

O Verbo de Autorização updateAutonomousDatabase agrupa privilégios para usar várias operações de API.

Operação
DeregisterAutonomousDatabaseDataSafe
DisableAutonomousDatabaseOperationsInsights
DisableDatabaseManagement
EnableAutonomousDatabaseOperationsInsights
RegisterAutonomousDatabaseDataSafe

Por exemplo:

Allow MyGroup to manage autonomous-databases where request.operation =  'updateAutonomousDatabase'