Políticas do IAM para Autonomous AI Database

Fornece informações sobre políticas do IAM necessárias para operações de API no Autonomous AI Database.

O Oracle Autonomous AI Database depende do serviço IAM (Identity and Access Management) para autenticar e autorizar usuários de nuvem a executar operações que usam qualquer uma das interfaces do Oracle Cloud Infrastructure (console, API REST, CLI ou SDK).

Você pode designar atribuições aos usuários com base nas atividades específicas do banco de dados que eles têm permissão para executar, como backup e recuperação, gerenciamento de chaves e operações de ciclo de vida (como interrupção, inicialização e dimensionamento).

O serviço IAM usa grupos, compartimentos e políticas para controlar quais usuários da nuvem podem acessar quais recursos.

Detalhes da Política do Autonomous AI Database

Este tópico aborda detalhes de como escrever políticas para controlar o acesso aos recursos do Autonomous AI Database.

Uma política define que tipo de acesso um grupo de usuários tem a um recurso específico em um compartimento individual. Para obter mais informações, consulte Conceitos Básicos de Políticas.

Tipos de Recursos

Um tipo de recurso agregado abrange a lista de tipos de recursos individuais que se seguem diretamente. Por exemplo, escrever uma política para permitir a um grupo ter acesso a autonomous-database-family é equivalente a escrever quatro políticas separadas para o grupo que concederia acesso aos tipos de recursos autonomous-databases e autonomous-backups. Para obter mais informações, consulte Tipos de Recursos.

Tipos de Recursos para o Autonomous AI Database

Tipo de Recurso Agregado:

autonomous-database-family

Tipos de Recursos Individuais:

autonomous-databases

autonomous-backups

Detalhes das Combinações de Verbo + Tipo de Recurso

O nível de acesso é cumulativo conforme você vai de inspect > read > use > manage. Um sinal de mais (+) em uma célula de tabela indica acesso incremental comparado à célula diretamente acima dela, enquanto que "sem extra" indica nenhum acesso incremental.

Por exemplo, o verbo read para o tipo de recurso autonomous-databases abrange as mesmas permissões e operações da API que o verbo inspect, mais a permissão AUTONOMOUS_DATABASE_CONTENT_READ. O verbo read abrange parcialmente a operação CreateAutonomousDatabaseBackup, que também precisa gerenciar as permissões para autonomous-backups.

As tabelas seguintes mostram as Permissões e operações da API cobertas por cada verbo. Para obter informações sobre permissões, consulte Permissões.

Observação

Observação: A família de recursos coberta por autonomous-database-family pode ser usada para conceder acesso aos recursos de banco de dados associados a todos os tipos De Carga de Trabalho do Autonomous AI Database.

Tipos de Recursos autonomous-databases

Verbos Permissões APIs Totalmente Cobertas APIs Parcialmente Cobertas
inspecionar AUTONOMOUS_DATABASE_INSPECT GetAutonomousDatabase, GetAutonomousDatabaseBackupConfig, GetAutonomousDatabaseCapability, ListAutonomousDatabases, ListAutonomousDatabaseClones, ListAutonomousDatabasePeers, ListAutonomousDatabaseRefreshableClones, ResourcePoolShapes nenhum
leitura

INSPECT +

AUTONOMOUS_DATABASE_CONTENT_READ

GenerateAutonomousDatabasePerformanceData, GenerateAutonomousDatabaseWallet, GetAutonomousDatabaseRegionalWallet, GetAutonomousDatabaseWallet, RetrieveDatabasePerformanceBulkData CreateAutonomousDatabaseBackup (também precisa de manage autonomous-backups)
usar

READ +

AUTONOMOUS_DATABASE_CONTENT_WRITE

AUTONOMOUS_DATABASE_UPDATE

AutonomousDatabaseManualRefresh, CancelAutonomousDatabaseSession, ChangeDisasterRecoveryConfiguration, ConfigureAutonomousDatabaseVaultKey, DeregisterAutonomousDatabaseDataSafe, DisableAutonomousDatabaseOperationsInsights, DisableDatabaseManagement, EnableAutonomousDatabaseOperationsInsights, EnableDatabaseManagement, FailOverAutonomousDatabase, GetAutonomousDatabaseConsoleToken, RegisterAutonomousDatabaseDataSafe, RestartAutonomousDatabase, RotateAutonomousDatabaseEncryptionKey, ShrinkAutonomousDatabase, StartAutonomousDatabase, StopAutonomousDatabase, SwitchOverAutonomousDatabase, UpdateAutonomousDatabaseRegionalWallet, UpdateAutonomousDatabase

RestoreAutonomousDatabase (também precisa de read autonomous-backups)

ChangeAutonomousDatabaseCompartment (também precisa de read autonomous-backups)

gerenciar

USE +

AUTONOMOUS_DATABASE_CREATE

AUTONOMOUS_DATABASE_DELETE

NETWORK_SECURITY_GROUP_UPDATE_MEMBERS

CreateAutonomousDatabase, DeleteAutonomousDatabase nenhum

backups autônomos

Verbos Permissões APIs Totalmente Cobertas APIs Parcialmente Cobertas
inspecionar AUTONOMOUS_DB_BACKUP_INSPECT ListAutonomousDatabaseBackups, GetAutonomousDatabaseBackup nenhum
gerenciar

USE +

AUTONOMOUS_DB_BACKUP_CREATE

AUTONOMOUS_DB_BACKUP_DELETE

DeleteAutonomousDatabaseBackup CreateAutonomousDatabaseBackup (também precisa de read autonomous-databases)
leitura

INSPECT +

AUTONOMOUS_DB_BACKUP_CONTENT_READ

sem extra

RestoreAutonomousDatabase (também precisa de use autonomous-databases)

ChangeAutonomousDatabaseCompartment (também precisa de use autonomous-databases)

usar

READ +

sem extra

sem extra nenhum

Variáveis Suportadas

Todas as variáveis gerais do OCI Identity and Access Management são suportadas. Consulte Variáveis Gerais para Todas as Solicitações para obter mais informações.

Além disso, você pode usar a variável target.id com o OCID de um banco de dados após a criação de um banco de dados e a variável target.workloadType com um valor, conforme mostrado na seguinte tabela:

Valor target.workloadType Descrição
OLTP Processamento de Transações On-line, usado para Autonomous AI Databases com carga de trabalho de Processamento de Transações.
LH Lakehouse, usado para Autonomous AI Database com cargas de trabalho analíticas e de plataforma de dados.
DW Data Warehouse, usado para Autonomous AI Databases com carga de trabalho do Data Warehouse.
AJD Autonomous JSON Database usado para Autonomous AI Databases com carga de trabalho JSON.
APEX APEX Service usado para o Autonomous AI Database APEX Service.

Exemplo de política usando a variável target.id:

Allow group ADB-Admins to manage autonomous-databases in tenancy where target.id = 'OCID'

Exemplo de política usando a variável target.workloadType:

Allow group ADB-Admins to manage autonomous-databases in tenancy where target.workloadType = 'AJD'

Você pode usar a variável request.operation.actiontype que identifica a suboperação específica ou a alteração de configuração que está sendo solicitada em uma operação como updateAutonomousDatabase ou createAutonomousDatabase. Você pode controlar esses tipos de ação em políticas usando o parâmetro request.operation.actiontype. Isso permite controlar as ações em detalhes, garantindo que você tenha o acesso necessário à sua função.

Exemplo de políticas usando a variável request.operation.actiontype:

Quando uma política concede acesso a um tipo de ação específico usando request.operation.actiontype, você se limita a essa suboperação e não pode executar outras ações de atualização, a menos que elas sejam explicitamente incluídas na política. Por exemplo,

allow group MyGroup to manage autonomous-database-family where request.operation.actiontype =
      'adminPassword'

A política acima concede ao grupo permissão para alterar a senha ADMIN, mas não para modificar outros atributos como configuração de computação, armazenamento ou rede.

Da mesma forma, é possível excluir uma operação confidencial permitindo, por exemplo, outras informações:

allow group MyGroup to manage autonomous-database-family where request.operation.actiontype
      != 'adminPassword'

A tabela a seguir lista a variável ActionType, cada uma representando uma suboperação específica pode ser usada com CreateAutonomousDatabase ou UpdateAutonomousDatabase:

ActionType Operação
adminPassword Defina a senha de administrador ou defina secretID para o vault.
scheduledOperations Defina a programação para backups de longo prazo.
customerContacts Gerencie as informações de contato do cliente para avisos operacionais, anúncios e manutenção não planejada.
dbToolsConfigure Ative ou desative as ferramentas de banco de dados.
licenseModel Atualize as opções BYOL (Bring Your Own License) e a contagem de ECPUs para BYOL.
updateElasticPool Atualize as opções do pool elástico.
upgradeToPaid Permitir uma atualização do desenvolvedor ou versão gratuita para a versão paga.
displayName Atualizar o nome para exibição.
joinElasticPool Participe de um pool elástico como membro.
disasterRecoveryType Atualizar para o Autonomous Data Guard para recuperação de desastres.
manageEncryptionKeys Gerencie chaves de criptografia (gerenciadas pela Oracle ou gerenciadas pelo cliente).
openMode Altere os modos de operação do banco de dados entre leitura ou gravação e somente leitura.
whitelistedIps Modifique os IPs permitidos nas listas de controle de acesso do Autonomous AI Database para controlar o acesso à rede.
networkConfig Atualize a configuração de rede, incluindo opções públicas ou privadas.
dbName Renomear o banco de dados.
computeCount Dimensione os limites de computação.
autoScalingConfig Ativar ou desativar o dimensionamento automático de computação.
dataStorageSize Dimensione os limites de armazenamento.
autoScalingForStorageConfig Ativar ou Desativar a opção de dimensionamento automático.
dbWorkload Altere o tipo de carga de trabalho.
scheduleDbVersionUpgrade Defina datas específicas ou as programações mais antigas disponíveis para atualizações planejadas da versão do banco de dados.
vanityUrl Defina o URL personalizado ou modifique os detalhes do URL personalizado.
maintenanceScheduleType Alterne a programação de aplicação de patch entre as janelas de manutenção early e regular.

Políticas Obrigatórias do Serviço IAM para Gerenciar uma Instância do Autonomous AI Database

Operação Políticas Obrigatórias do IAM
Adicionar banco de dados de pareamento use autonomous-databases
Adicionar atributos de segurança use autonomous-databases
Alterar modelo de computação use autonomous-databases
Alterar o modo do banco de dados use autonomous-databases
Alterar rede use autonomous-databases
Alterar tipo de carga de trabalho use autonomous-databases
Clonar um Autonomous AI Database

manage autonomous-databases

Consulte Permissões do IAM e Operações de API para o Autonomous AI Database para obter permissões adicionais de clonagem no Autonomous AI Database.

Criar um Autonomous AI Database

manage autonomous-databases

read autonomous-databases

Editar Configuração de Ferramentas de Banco de Dados use autonomous-databases
Editar programação de início/parada use autonomous-databases
Ativar pool elástico use autonomous-databases
Ativar ou desativar o dimensionamento automático para um Autonomous AI Database use autonomous-databases
Junção de pool elástico use autonomous-databases
Gerenciar contatos do cliente use autonomous-databases
Gerenciar chave de criptografia use autonomous-databases
Mover um Autonomous AI Database para outro compartimento

use autonomous-databases no compartimento atual do banco de dados e no compartimento para o qual está sendo movido

read autonomous-backups

Renomear um Autonomous AI Database use autonomous-databases
Reiniciar um Autonomous AI Database use autonomous-databases
Restaurar um Autonomous AI Database

use autonomous-databases

read autonomous-backups

Dimensione a contagem de ECPUs ou o armazenamento de um Autonomous AI Database use autonomous-databases
Definir senha de usuário ADMIN use autonomous-databases
Interromper ou iniciar um Autonomous AI Database use autonomous-databases
Fazer Switchover use autonomous-databases
Encerrar um Autonomous AI Database manage autonomous-databases
Atualizar recuperação de desastre use autonomous-databases
Atualizar nome para exibição use autonomous-databases
Atualizar licença e Oracle AI Database Edition use autonomous-databases
Atualizar acesso de rede para ACLs use autonomous-databases
Atualizar acesso de rede para um ponto final privado use autonomous-databases
Exibir uma lista de um Autonomous AI Databases inspect autonomous-databases
Exibir detalhes de um Autonomous AI Database inspect autonomous-databases

Permissões do IAM e Operações de API para Autonomous AI Database

Este tópico abrange as permissões disponíveis do serviço IAM para operações no Autonomous AI Database.

Essas operações são agrupadas em permissões para permitir que funções típicas executem essas operações. Se forem necessárias permissões mais granulares, elas poderão ser combinadas com suboperações e tipos de ação. O UpdateAutonomousDatabase incluiu várias operações, mas elas podem ser limitadas com base nos tipos de ação descritos na seção anterior.

Estas são as permissões do serviço IAM para o Autonomous AI Database:

  • AUTONOMOUS_DATABASE_CONTENT_READ

  • AUTONOMOUS_DATABASE_CONTENT_WRITE

  • AUTONOMOUS_DATABASE_CREATE

    Consulte Permissões de Clonagem para obter limitações adicionais de clonagem.

  • AUTONOMOUS_DATABASE_DELETE

  • AUTONOMOUS_DATABASE_INSPECT

  • AUTONOMOUS_DATABASE_UPDATE

  • AUTONOMOUS_DB_BACKUP_CONTENT_READ

  • AUTONOMOUS_DB_BACKUP_CREATE

  • AUTONOMOUS_DB_BACKUP_INSPECT

  • NETWORK_SECURITY_GROUP_UPDATE_MEMBERS

  • VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP

Exemplo de política para que um grupo tenha permissões para criar o Oracle Autonomous AI Database em um compartimento:

Allow group group-name to manage autonomous-database in compartment id compartment-ocid
    where all{request.permission = 'AUTONOMOUS_DATABASE_UPDATE'}
Operação de API Permissões Obrigatórias para Usar Operação
GenerateAutonomousDatabaseWallet
GetAutonomousDatabaseRegionalWallet
GetAutonomousDatabaseWallet
RetrieveDatabasePerformanceBulkData
AUTONOMOUS_DATABASE_CONTENT_READ
CreateAutonomousDatabase AUTONOMOUS_DATABASE_CREATE
DeleteAutonomousDatabase AUTONOMOUS_DATABASE_DELETE
GetAutonomousDatabase
ListAutonomousDatabaseClones
ListAutonomousDatabasePeers
ListAutonomousDatabaseRefreshableClones
ResourcePoolShapes
AUTONOMOUS_DATABASE_INSPECT
AutonomousDatabaseManualRefresh
ConfigureAutonomousDatabaseVaultKey
DeregisterAutonomousDatabaseDataSafe
DisableAutonomousDatabaseOperationsInsights
DisableDatabaseManagement
EnableAutonomousDatabaseOperationsInsights
EnableDatabaseManagement
FailOverAutonomousDatabase
RegisterAutonomousDatabaseDataSafe
RestartAutonomousDatabase
RotateAutonomousDatabaseEncryptionKey
ShrinkAutonomousDatabase
StartAutonomousDatabase
StopAutonomousDatabase
SwitchOverAutonomousDatabase
UpdateAutonomousDatabaseWallet
UpdateAutonomousDatabaseRegionalWallet
AUTONOMOUS_DATABASE_UPDATE
GetAutonomousDatabaseBackup
ListAutonomousDatabaseBackups
AUTONOMOUS_DB_BACKUP_INSPECT
UpdateAutonomousDatabaseBackup AUTONOMOUS_DB_BACKUP_UPDATE
CreateAutonomousDatabaseBackup AUTONOMOUS_DB_BACKUP_CREATE
AUTONOMOUS_DATABASE_CONTENT_READ
DeleteAutonomousDatabaseBackup AUTONOMOUS_DB_BACKUP_INSPECT
AUTONOMOUS_DB_BACKUP_DELETE
RestoreAutonomousDatabase AUTONOMOUS_DB_BACKUP_INSPECT
AUTONOMOUS_DB_BACKUP_CONTENT_READ
AUTONOMOUS_DATABASE_CONTENT_WRITE
ChangeAutonomousDatabaseCompartment

Obrigatório no compartimento de origem e de destino:

AUTONOMOUS_DATABASE_UPDATE

AUTONOMOUS_DB_BACKUP_INSPECT

AUTONOMOUS_DB_BACKU_CREATE

AUTONOMOUS_DATABASE_CONTENT_WRITE

Obrigatório no compartimento de origem e no compartimento de destino quando o Ponto Final Privado está ativado:

WNIC_ASSOCIATE_NETOWRK_SECURITY_GROUP

NETWORK_SECURITY_GROUP_UPDATE_MEMBERS

UpdateAutonomousDatabase: Use essa API para alterações ou atualizações em qualquer uma das seguintes operações:

Observação: Para permissões mais granulares, use essas suboperações como um actiontype ao definir uma política para o usuário.

  • definir senha de administrador (adminPassword)
  • iniciar/interromper automaticamente a programação (scheduledOperations)
  • gerenciar contatos de clientes (customerContacts)
  • configuração da ferramenta de edição (dbToolsDetails)
  • atualizar opções de licença BYOL (licenseModel e byolComputeCountLimit)
  • atualizar nome de exibição (displayName)
  • juntar-se a um pool elástico
  • atualizar opções de pool elástico
  • gerenciar chaves de criptografia
  • atualizar para o autonomous data guard para recuperação de desastres (isLocalDataGuardEnabled e disasterRecoveryType)
  • alterar os modos de operação do banco de dados entre leitura ou gravação e somente leitura (openMode)
  • modificar IPs na lista branca nas listas de controle de acesso do Autonomous AI Database para controlar o acesso à rede (whitelistedIps)
  • atualizar acesso à rede com ponto final privado (privateEndpointLabel)
  • renomear banco de dados (dbName)
  • dimensionar limites de computação (computeCount)
  • opção de gerenciamento de dimensionamento automático de computação (isAutoScalingEnabled)
  • dimensionar limites de armazenamento ( dataStorageSizeInTBs)
  • gerenciar opções de dimensionamento automático de armazenamento (isAutoScalingForStorageEnabled)
  • alterar tipo da carga de trabalho (dbWorkload)

Três casos possíveis:

  • Se a Carga de Trabalho for NULL: AUTONOMOUS_DATABASE_UPDATE
  • Se a Carga de Trabalho não for NULL:

    AUTONOMOUS_DATABASE_CREATE

    AUTONOMOUS_DATABASE_UPDATE

  • Se o serviço Tagging estiver ativado:

    AUTONOMOUS_DATABASE_UPDATE

    AUTONOMOUS_DATABASE_INSPECT

ChangeAutonomousDatabaseSubscription requer changeAutonomousDatabaseSubscription
SaasAdminUserStatus requer getSaasAdminUser

ConfigureSaasAdminUser

ListAutonomousDatabaseCharacterSets

ListAutonomousDatabaseMaintenanceWindows

requer updateSaasAdminUser

Clonando Permissões

Permissões gerais do IAM são suportadas para o Autonomous AI Database. Além disso, você pode usar o target.autonomous-database.cloneType com os valores de permissão suportados para controlar o nível de acesso, conforme mostrado na tabela a seguir.

Valor target.autonomous-database.cloneType Descrição
CLONE-FULL Permitir apenas clonagem completa.
CLONE-METADATA Permitir somente clonagem de metadados.
CLONE-REFRESHABLE Permitir apenas clonagem atualizável.
/CLONE*/ Permitir qualquer tipo de clone.

Exemplos de políticas com os valores de permissão target.autonomous-database.cloneType suportados:

Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-FULL'}
Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-METADATA'}
Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-REFRESHABLE'}
Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = /CLONE*/}

Consulte Permissões para obter mais informações.

Fornecer Privilégios Específicos nas Políticas do IAM para Gerenciar o Autonomous AI Database

Lista políticas do serviço IAM que você pode usar com um verbo de autorização e uma condição para conceder operações mais granulares a um grupo.

Por exemplo, para permitir que o grupo MyGroup inicie Autonomous AI Databases usando a API StartAutonomousDatabase:

Allow MyGroup to manage autonomous-databases where request.operation = 'StartAutonomousDatabase'

Consulte Verbos e Condições para obter mais informações.

  • autonomousDatabaseManualRefresh
  • changeAutonomousDatabaseCompartment
  • changeAutonomousDatabaseSubscription
  • changeDisasterRecoveryConfiguration
  • configureAutonomousDatabaseVaultKey
  • configureSaasAdminUser
  • createAutonomousDatabase
  • createAutonomousDatabaseBackup
  • deleteAutonomousDatabase
  • deleteAutonomousDatabaseBackup
  • deregisterAutonomousDatabaseDataSafe
  • disableAutonomousDatabaseManagement
  • disableAutonomousDatabaseOperationsInsights
  • enableAutonomousDatabaseManagement
  • enableAutonomousDatabaseOperationsInsights
  • failOverAutonomousDatabase
  • generateAutonomousDatabaseWallet
  • getAutonomousDatabase
  • getAutonomousDatabaseBackup
  • getAutonomousDatabaseRegionalWallet
  • getAutonomousDatabaseWallet
  • listAutonomousDatabaseBackups
  • listAutonomousDatabaseCharacterSets
  • listAutonomousDatabaseClones
  • listAutonomousDatabaseMaintenanceWindows
  • listAutonomousDatabasePeers
  • listAutonomousDatabaseRefreshableClones
  • listAutonomousDatabases
  • registerAutonomousDatabaseDataSafe
  • resourcePoolShapes
  • restartAutonomousDatabase
  • restoreAutonomousDatabase
  • rotateAutonomousDatabaseEncryptionKey
  • SaasAdminUserStatus
  • shrinkAutonomousDatabase
  • startAutonomousDatabase
  • stopAutonomousDatabase
  • switchoverAutonomousDatabase
  • updateAutonomousDatabase
  • updateAutonomousDatabaseBackup
  • updateAutonomousDatabaseRegionalWallet
  • updateAutonomousDatabaseWallet

O Verbo de Autorização updateAutonomousDatabase agrupa privilégios para usar várias operações de API.

  • DeregisterAutonomousDatabaseDataSafe
  • DisableAutonomousDatabaseOperationsInsights
  • DisableDatabaseManagement
  • EnableAutonomousDatabaseOperationsInsights
  • RegisterAutonomousDatabaseDataSafe

Por exemplo:

Allow MyGroup to manage autonomous-databases where request.operation =  'updateAutonomousDatabase'