Políticas do Serviço IAM para o Autonomous Database

Fornece informações sobre políticas do IAM necessárias para operações de API no Autonomous Database.

O Oracle Autonomous Database depende do serviço IAM (Identity and Access Management) para autenticar e autorizar os usuários da nuvem a executar operações que usam qualquer uma das interfaces do Oracle Cloud Infrastructure (a console, a API REST, a CLI, ou o SDK).

O serviço do IAM usa grupos, compartimentos, e políticas para controlar quais usuários da nuvem podem acessar quais recursos.

Detalhes de Política do Autonomous Database

Este tópico aborda detalhes de como escrever políticas para controlar o acesso aos recursos do Autonomous Database.

Uma política define que tipo de acesso um grupo de usuários tem a um recurso específico em um compartimento individual. Para obter mais informações, consulte Conceitos Básicos de Políticas.

Tipos de Recursos

Um tipo de recurso agregado abrange a lista de tipos de recursos individuais que se seguem diretamente. Por exemplo, escrever uma política para permitir a um grupo ter acesso a autonomous-database-family é equivalente a gravar quatro políticas separadas para o grupo que concederia acesso aos tipos de recursos autonomous-databases e autonomous-backups. Para obter mais informações, consulte Tipos de Recursos.

Tipos de Recursos do Autonomous Database

Tipo de Recurso Agregado:

autonomous-database-family

Tipos de Recursos Individuais:

autonomous-databases

autonomous-backups

Detalhes das Combinações de Verbo + Tipo de Recurso

O nível de acesso é cumulativo conforme você vai de inspect > read > use > manage. Um sinal de mais (+) em uma célula da tabela indica acesso incremental em comparação com a célula diretamente acima, enquanto "nenhum extra" indica nenhum acesso incremental.

Por exemplo, o verbo read para o tipo de recurso autonomous-databases abrange as mesmas permissões e operações da API que o verbo inspect, mais a permissão AUTONOMOUS_DATABASE_CONTENT_READ. O verbo read abrange parcialmente a operação CreateAutonomousDatabaseBackup, que também precisa gerenciar as permissões para autonomous-backups.

As tabelas seguintes mostram as Permissões e operações da API abrangidas por cada verbo. Para obter informações sobre permissões, consulte Permissões.

Observação

A família de recursos coberta por autonomous-database-family pode ser usada para conceder acesso aos recursos de banco de dados associados a todos os tipos De Carga de Trabalho do Autonomous Database.
Tipos de Recursos autonomous-databases
Verbos Permissões APIs Totalmente Cobertas APIs Parcialmente Cobertas

inspecionar

AUTONOMOUS_DATABASE_INSPECT

GetAutonomousDatabase, GetAutonomousDatabaseBackupConfig, GetAutonomousDatabaseCapability, ListAutonomousDatabases, ListAutonomousDatabaseClones, ListAutonomousDatabasePeers, ListAutonomousDatabaseRefreshableClones, ResourcePoolShapes

nenhum

leitura

INSPECT +

AUTONOMOUS_DATABASE_CONTENT_READ

GenerateAutonomousDatabasePerformanceData, GenerateAutonomousDatabaseWallet, GetAutonomousDatabaseRegionalWallet, GetAutonomousDatabaseWallet, RetrieveDatabasePerformanceBulkData

CreateAutonomousDatabaseBackup (também precisa de manage autonomous-backups)

usar

READ +

AUTONOMOUS_DATABASE_CONTENT_WRITE

AUTONOMOUS_DATABASE_UPDATE

AutonomousDatabaseManualRefresh, CancelAutonomousDatabaseSession, ChangeDisasterRecoveryConfiguration, ConfigureAutonomousDatabaseVaultKey, DeregisterAutonomousDatabaseDataSafe, DisableAutonomousDatabaseOperationsInsights, DisableDatabaseManagement, EnableAutonomousDatabaseOperationsInsights, EnableDatabaseManagement, FailOverAutonomousDatabase, GetAutonomousDatabaseConsoleToken, RegisterAutonomousDatabaseDataSafe, RestartAutonomousDatabase, RotateAutonomousDatabaseEncryptionKey, ShrinkAutonomousDatabase, StartAutonomousDatabase, StopAutonomousDatabase, SwitchOverAutonomousDatabase, UpdateAutonomousDatabaseRegionalWallet, UpdateAutonomousDatabase

RestoreAutonomousDatabase (também precisa de read autonomous-backups)

ChangeAutonomousDatabaseCompartment (também precisa de read autonomous-backups)

gerenciar

USE +

AUTONOMOUS_DATABASE_CREATE

AUTONOMOUS_DATABASE_DELETE

CreateAutonomousDatabase, DeleteAutonomousDatabase

nenhum

Lista de Operações e Políticas Obrigatórias do Serviço IAM para Gerenciar uma Instância do Autonomous Database

Operação Políticas Obrigatórias do IAM

Adicionar banco de dados de pareamento

use autonomous-databases

Adicionar atributos de segurança

use autonomous-databases

Alterar modelo de computação

use autonomous-databases

Alterar o modo do banco de dados

use autonomous-databases

Alterar rede

use autonomous-databases

Alterar tipo de carga de trabalho

use autonomous-databases

Clonar um Autonomous Database

manage autonomous-databases

Consulte Permissões do Serviço IAM e Operações de API para o Autonomous Database para obter permissões de clonagem adicionais no Autonomous Database.

Criar um Autonomous Database

manage autonomous-databases

read autonomous-databases

Editar Configuração de Ferramentas de Banco de Dados

use autonomous-databases

Editar programação de início/parada

use autonomous-databases

Ativar pool elástico

use autonomous-databases

Ativar ou desativar o dimensionamento automático para um Autonomous Database

use autonomous-databases

Junção de pool elástico

use autonomous-databases

Gerenciar contatos do cliente

use autonomous-databases

Gerenciar chave de criptografia

use autonomous-databases

Mover um Autonomous Database para outro compartimento

use autonomous-databases no compartimento atual do banco de dados e no compartimento para o qual está sendo movido

read autonomous-backups

Renomear um Autonomous Database

use autonomous-databases

Reiniciar um Autonomous Database

use autonomous-databases

Restaurar um Autonomous Database

use autonomous-databases

read autonomous-backups

Dimensionar a contagem de ECPUs ou o armazenamento de um Autonomous Database

use autonomous-databases

Definir senha de usuário ADMIN

use autonomous-databases

Interromper ou iniciar um Autonomous Database

use autonomous-databases

Fazer Switchover

use autonomous-databases

Encerrar um Autonomous Database

manage autonomous-databases

Atualizar recuperação de desastre

use autonomous-databases

Atualizar nome para exibição

use autonomous-databases

Atualizar licença e Edição do Oracle Database

use autonomous-databases

Atualizar acesso de rede para ACLs

use autonomous-databases

Atualizar acesso de rede para um ponto final privado

use autonomous-databases

Exibir uma lista de um Autonomous Databases

inspect autonomous-databases

Exibir detalhes de um Autonomous Database

inspect autonomous-databases

backups autônomos

Verbos Permissões APIs Totalmente Cobertas APIs Parcialmente Cobertas

inspecionar

AUTONOMOUS_DB_BACKUP_INSPECT

ListAutonomousDatabaseBackups, GetAutonomousDatabaseBackup

nenhum

gerenciar

USE +

AUTONOMOUS_DB_BACKUP_CREATE

AUTONOMOUS_DB_BACKUP_DELETE

DeleteAutonomousDatabaseBackup

CreateAutonomousDatabaseBackup (também precisa de read autonomous-databases)

leitura

INSPECT +

AUTONOMOUS_DB_BACKUP_CONTENT_READ

sem extra

RestoreAutonomousDatabase (também precisa de use autonomous-databases)

ChangeAutonomousDatabaseCompartment (também precisa de use autonomous-databases)

usar

READ +

sem extra

sem extra

nenhum

Variáveis Suportadas

Todas as variáveis gerais do OCI Identity and Access Management são suportadas. Consulte Variáveis Gerais para Todas as Solicitações para obter mais informações.

Além disso, você pode usar a variável target.id com o OCID de um banco de dados após a criação de um banco de dados e a variável target.workloadType com um valor, conforme mostrado na seguinte tabela:

Valor target.workloadType Descrição
OLTP Processamento de Transações On-line, usado para Autonomous Databases com carga de trabalho de Processamento de Transações.
DW Data Warehouse, usado para Autonomous Databases com carga de trabalho do Data Warehouse.
AJD

Autonomous JSON Database usado para Autonomous Databases com carga de trabalho JSON.

APEX

APEX Service usado para o Autonomous Database APEX Service.

Exemplo de política usando a variável target.id:

Allow group ADB-Admins to manage autonomous-databases in tenancy where target.id = 'OCID'

Exemplo de política usando a variável target.workloadType:

Allow group ADB-Admins to manage autonomous-databases in tenancy where target.workloadType = 'AJD'

Permissões do IAM e Operações de API para o Autonomous Database

Este tópico abrange as permissões disponíveis do serviço IAM para operações no Autonomous Database.

Estas são as permissões do serviço IAM para o Autonomous Database:

  • AUTONOMOUS_DATABASE_CONTENT_READ

  • AUTONOMOUS_DATABASE_CONTENT_WRITE

  • AUTONOMOUS_DATABASE_CREATE

    Consulte Permissões de Clonagem para obter limitações adicionais de clonagem.

  • AUTONOMOUS_DATABASE_DELETE

  • AUTONOMOUS_DATABASE_INSPECT

  • AUTONOMOUS_DATABASE_UPDATE

  • AUTONOMOUS_DB_BACKUP_CONTENT_READ

  • AUTONOMOUS_DB_BACKUP_CREATE

  • AUTONOMOUS_DB_BACKUP_INSPECT

  • NETWORK_SECURITY_GROUP_UPDATE_MEMBERS

  • VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP

Exemplo de política para que um grupo tenha permissões para criar o Autonomous Database em um compartimento:

Allow group group-name to manage autonomous-database in compartment id compartment-ocid 
    where all{request.permission = 'AUTONOMOUS_DATABASE_UPDATE'}
Operações de Permissões Necessárias para Usar Operação de API
AUTONOMOUS_DATABASE_CONTENT_READ

GenerateAutonomousDatabaseWallet

GetAutonomousDatabaseRegionalWallet

GetAutonomousDatabaseWallet

RetrieveDatabasePerformanceBulkData

AUTONOMOUS_DATABASE_CREATE

CreateAutonomousDatabase

AUTONOMOUS_DATABASE_DELETE

DeleteAutonomousDatabase

AUTONOMOUS_DATABASE_INSPECT

GetAutonomousDatabase

ListAutonomousDatabaseClones

ListAutonomousDatabasePeers

ListAutonomousDatabaseRefreshableClones

ListAutonomousDatabases

ResourcePoolShapes

AUTONOMOUS_DATABASE_UPDATE

AutonomousDatabaseManualRefresh

ConfigureAutonomousDatabaseVaultKey

DeregisterAutonomousDatabaseDataSafe

DisableAutonomousDatabaseOperationsInsights

DisableDatabaseManagement

EnableAutonomousDatabaseOperationsInsights

EnableDatabaseManagement

FailOverAutonomousDatabase

RegisterAutonomousDatabaseDataSafe

RestartAutonomousDatabase

RotateAutonomousDatabaseEncryptionKey

ShrinkAutonomousDatabase

StartAutonomousDatabase

StopAutonomousDatabase

SwitchOverAutonomousDatabase

UpdateAutonomousDatabaseWallet

UpdateAutonomousDatabaseRegionalWallet

AUTONOMOUS_DB_BACKUP_INSPECT

GetAutonomousDatabaseBackup

ListAutonomousDatabaseBackups

AUTONOMOUS_DB_BACKUP_UPDATE

UpdateAutonomousDatabaseBackup

AUTONOMOUS_DB_BACKUP_CREATE

AUTONOMOUS_DATABASE_CONTENT_READ

CreateAutonomousDatabaseBackup

AUTONOMOUS_DB_BACKUP_INSPECT

AUTONOMOUS_DB_BACKUP_DELETE

DeleteAutonomousDatabaseBackup

AUTONOMOUS_DB_BACKUP_INSPECT

AUTONOMOUS_DB_BACKUP_CONTENT_READ

AUTONOMOUS_DATABASE_CONTENT_WRITE

RestoreAutonomousDatabase

Obrigatório no compartimento de origem e de destino:

AUTONOMOUS_DATABASE_UPDATE

AUTONOMOUS_DB_BACKUP_INSPECT

AUTONOMOUS_DB_BACKU_CREATE

AUTONOMOUS_DATABASE_CONTENT_WRITE

Obrigatório no compartimento de origem e no compartimento de destino quando o Ponto Final Privado está ativado:

WNIC_ASSOCIATE_NETOWRK_SECURITY_GROUP

NETWORK_SECURITY_GROUP_UPDATE_MEMBERS

ChangeAutonomousDatabaseCompartment

Três casos possíveis:

  • Se a Carga de Trabalho for NULL: AUTONOMOUS_DATABASE_UPDATE
  • Se a Carga de Trabalho não for NULL:

    AUTONOMOUS_DATABASE_CREATE

    AUTONOMOUS_DATABASE_UPDATE

  • Se o serviço Tagging estiver ativado:

    AUTONOMOUS_DATABASE_UPDATE

    AUTONOMOUS_DATABASE_INSPECT

UpdateAutonomousDatabase: Use essa API para alterações ou atualizações em qualquer uma das seguintes operações:

  • definir senha de administrador (adminPassword)
  • iniciar/interromper automaticamente a programação (scheduledOperations)
  • gerenciar contatos de clientes (customerContacts)
  • configuração da ferramenta de edição (dbToolsDetails)
  • atualizar opções de licença BYOL (licenseModel e byolComputeCountLimit)
  • atualizar nome de exibição (displayName)
  • juntar-se a um pool elástico
  • atualizar opções de pool elástico
  • gerenciar chaves de criptografia
  • atualizar para o autonomous data guard para recuperação de desastres (isLocalDataGuardEnabled e disasterRecoveryType)
  • alterar modo de operação do banco de dados somente leitura/gravação (openMode)
  • atualizar o acesso à rede com ACLs (whitelistedIps)
  • atualizar acesso à rede com ponto final privado (privateEndpointLabel)
  • renomear banco de dados (dbName)
  • dimensionar limites de computação (computeCount)
  • opção de gerenciamento de dimensionamento automático de computação (isAutoScalingEnabled)
  • dimensionar limites de armazenamento ( dataStorageSizeInTBs)
  • gerenciar opções de dimensionamento automático de armazenamento (isAutoScalingForStorageEnabled)
  • alterar tipo da carga de trabalho (dbWorkload)
requer changeAutonomousDatabaseSubscription

ChangeAutonomousDatabaseSubscription

requer getSaasAdminUser

SaasAdminUserStatus

requer updateSaasAdminUser

ConfigureSaasAdminUser

ListAutonomousDatabaseCharacterSets

ListAutonomousDatabaseMaintenanceWindows

Clonando Permissões

Permissões gerais do IAM são suportadas para o Autonomous Database. Além disso, você pode usar o target.autonomous-database.cloneType com os valores de permissão suportados para controlar o nível de acesso, conforme mostrado na tabela a seguir.

Valor target.autonomous-database.cloneType Descrição
CLONE-FULL

Permitir apenas clonagem completa.

CLONE-METADATA

Permitir somente clonagem de metadados.

CLONE-REFRESHABLE

Permitir apenas clonagem atualizável.

/CLONE*/

Permitir qualquer tipo de clone.

Exemplos de políticas com os valores de permissão target.autonomous-database.cloneType suportados:

Allow group group-name to manage autonomous-databases in compartment id compartment-ocid 
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-FULL'}
Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-METADATA'}
Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-REFRESHABLE'}
Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = /CLONE*/}

Consulte Permissões para obter mais informações.

Fornecer Privilégios Específicos nas Políticas do Serviço IAM para Gerenciar o Autonomous Database

Lista políticas do serviço IAM que você pode usar com um verbo de autorização e uma condição para conceder operações mais granulares a um grupo.

Por exemplo, para permitir que o grupo MyGroup inicie Autonomous Databases usando a API StartAutonomousDatabase:

Allow MyGroup to manage autonomous-databases where request.operation = 'StartAutonomousDatabase'

Consulte Verbos e Condições para obter mais informações.

Lista de Verbos de Autorização
autonomousDatabaseManualRefresh
changeAutonomousDatabaseCompartment
changeAutonomousDatabaseSubscription
changeDisasterRecoveryConfiguration
configureAutonomousDatabaseVaultKey
configureSaasAdminUser
createAutonomousDatabase
createAutonomousDatabaseBackup
deleteAutonomousDatabase
deleteAutonomousDatabaseBackup
deregisterAutonomousDatabaseDataSafe
disableAutonomousDatabaseManagement
disableAutonomousDatabaseOperationsInsights
enableAutonomousDatabaseManagement
enableAutonomousDatabaseOperationsInsights
failOverAutonomousDatabase
generateAutonomousDatabaseWallet
getAutonomousDatabase
getAutonomousDatabaseBackup
getAutonomousDatabaseRegionalWallet
getAutonomousDatabaseWallet
listAutonomousDatabaseBackups
listAutonomousDatabaseCharacterSets
listAutonomousDatabaseClones
listAutonomousDatabaseMaintenanceWindows
listAutonomousDatabasePeers
listAutonomousDatabaseRefreshableClones
listAutonomousDatabases
registerAutonomousDatabaseDataSafe
resourcePoolShapes
restartAutonomousDatabase
restoreAutonomousDatabase
rotateAutonomousDatabaseEncryptionKey
SaasAdminUserStatus
shrinkAutonomousDatabase
startAutonomousDatabase
stopAutonomousDatabase
switchoverAutonomousDatabase
updateAutonomousDatabase
updateAutonomousDatabaseBackup
updateAutonomousDatabaseRegionalWallet
updateAutonomousDatabaseWallet

O Verbo de Autorização updateAutonomousDatabase agrupa privilégios para usar várias operações de API.

Operação
DeregisterAutonomousDatabaseDataSafe
DisableAutonomousDatabaseOperationsInsights
DisableDatabaseManagement
EnableAutonomousDatabaseOperationsInsights
RegisterAutonomousDatabaseDataSafe

Por exemplo:

Allow MyGroup to manage autonomous-databases where request.operation =  'updateAutonomousDatabase'