Políticas do Serviço IAM para o Autonomous Database

Fornece informações sobre políticas do IAM necessárias para operações de API no Autonomous Database.

O Oracle Autonomous Database depende do serviço IAM (Identity and Access Management) para autenticar e autorizar os usuários da nuvem a executar operações que usam qualquer uma das interfaces do Oracle Cloud Infrastructure (a console, a API REST, a CLI, ou o SDK).

O serviço do IAM usa grupos, compartimentos, e políticas para controlar quais usuários da nuvem podem acessar quais recursos.

Detalhes da Política do Autonomous Database
Este tópico aborda detalhes de criação de políticas para controlar o acesso aos recursos do Autonomous Database.
Permissões do IAM e Operações de API para o Autonomous Database
Este tópico abrange as permissões disponíveis do IAM para operações no Autonomous Database.
Fornecer Privilégios Específicos nas Políticas do IAM para Gerenciar o Autonomous Database
Lista as políticas do IAM que você pode usar com um verbo de autorização e uma condição para conceder operações mais granulares a um grupo.

Tópico principal: Segurança

Detalhes de Política do Autonomous Database

Este tópico aborda detalhes de como escrever políticas para controlar o acesso aos recursos do Autonomous Database.

Uma política define que tipo de acesso um grupo de usuários tem a um recurso específico em um compartimento individual. Para obter mais informações, consulte Conceitos Básicos de Políticas.

Tipos de Recursos

Um tipo de recurso agregado abrange a lista de tipos de recursos individuais que se seguem diretamente. Por exemplo, escrever uma política para permitir a um grupo ter acesso a autonomous-database-family é equivalente a gravar quatro políticas separadas para o grupo que concederia acesso aos tipos de recursos autonomous-databases e autonomous-backups. Para obter mais informações, consulte Tipos de Recursos.

Tipos de Recursos do Autonomous Database

Tipo de Recurso Agregado:

autonomous-database-family

Tipos de Recursos Individuais:

autonomous-databases

autonomous-backups

Detalhes das Combinações de Verbo + Tipo de Recurso

O nível de acesso é cumulativo conforme você vai de inspect > read > use > manage. Um sinal de mais (+) em uma célula da tabela indica acesso incremental em comparação com a célula diretamente acima, enquanto "nenhum extra" indica nenhum acesso incremental.

Por exemplo, o verbo read para o tipo de recurso autonomous-databases abrange as mesmas permissões e operações da API que o verbo inspect, mais a permissão AUTONOMOUS_DATABASE_CONTENT_READ. O verbo read abrange parcialmente a operação CreateAutonomousDatabaseBackup, que também precisa gerenciar as permissões para autonomous-backups.

As tabelas seguintes mostram as Permissões e operações da API abrangidas por cada verbo. Para obter informações sobre permissões, consulte Permissões.

Observação

A família de recursos coberta por autonomous-database-family pode ser usada para conceder acesso aos recursos de banco de dados associados a todos os tipos De Carga de Trabalho do Autonomous Database.

Tipos de Recursos autonomous-databases

Verbos	Permissões	APIs Totalmente Cobertas	APIs Parcialmente Cobertas
inspecionar	`AUTONOMOUS_DATABASE_INSPECT`	`GetAutonomousDatabase, GetAutonomousDatabaseBackupConfig, GetAutonomousDatabaseCapability, ListAutonomousDatabases, ListAutonomousDatabaseClones, ListAutonomousDatabasePeers, ListAutonomousDatabaseRefreshableClones, ResourcePoolShapes`	nenhum
leitura	`INSPECT +` `AUTONOMOUS_DATABASE_CONTENT_READ`	`GenerateAutonomousDatabasePerformanceData, GenerateAutonomousDatabaseWallet, GetAutonomousDatabaseRegionalWallet, GetAutonomousDatabaseWallet, RetrieveDatabasePerformanceBulkData`	`CreateAutonomousDatabaseBackup` (também precisa de `manage autonomous-backups`)
usar	`READ +` `AUTONOMOUS_DATABASE_CONTENT_WRITE` `AUTONOMOUS_DATABASE_UPDATE`	AutonomousDatabaseManualRefresh, CancelAutonomousDatabaseSession, ChangeDisasterRecoveryConfiguration, ConfigureAutonomousDatabaseVaultKey, DeregisterAutonomousDatabaseDataSafe, DisableAutonomousDatabaseOperationsInsights, DisableDatabaseManagement, EnableAutonomousDatabaseOperationsInsights, EnableDatabaseManagement, FailOverAutonomousDatabase, GetAutonomousDatabaseConsoleToken, RegisterAutonomousDatabaseDataSafe, RestartAutonomousDatabase, RotateAutonomousDatabaseEncryptionKey, ShrinkAutonomousDatabase, StartAutonomousDatabase, StopAutonomousDatabase, SwitchOverAutonomousDatabase, UpdateAutonomousDatabaseRegionalWallet, UpdateAutonomousDatabase	`RestoreAutonomousDatabase` (também precisa de `read autonomous-backups`) `ChangeAutonomousDatabaseCompartment` (também precisa de `read autonomous-backups`)
gerenciar	`USE +` `AUTONOMOUS_DATABASE_CREATE` `AUTONOMOUS_DATABASE_DELETE`	`CreateAutonomousDatabase, DeleteAutonomousDatabase`	nenhum

Lista de Operações e Políticas Obrigatórias do Serviço IAM para Gerenciar uma Instância do Autonomous Database

Operação	Políticas Obrigatórias do IAM
Adicionar banco de dados de pareamento	`use autonomous-databases`
Adicionar atributos de segurança	`use autonomous-databases`
Alterar modelo de computação	`use autonomous-databases`
Alterar o modo do banco de dados	`use autonomous-databases`
Alterar rede	`use autonomous-databases`
Alterar tipo de carga de trabalho	`use autonomous-databases`
Clonar um Autonomous Database	`manage autonomous-databases` Consulte Permissões do Serviço IAM e Operações de API para o Autonomous Database para obter permissões de clonagem adicionais no Autonomous Database.
Criar um Autonomous Database	`manage autonomous-databases` `read autonomous-databases`
Editar Configuração de Ferramentas de Banco de Dados	`use autonomous-databases`
Editar programação de início/parada	`use autonomous-databases`
Ativar pool elástico	`use autonomous-databases`
Ativar ou desativar o dimensionamento automático para um Autonomous Database	`use autonomous-databases`
Junção de pool elástico	`use autonomous-databases`
Gerenciar contatos do cliente	`use autonomous-databases`
Gerenciar chave de criptografia	`use autonomous-databases`
Mover um Autonomous Database para outro compartimento	`use autonomous-databases` no compartimento atual do banco de dados e no compartimento para o qual está sendo movido `read autonomous-backups`
Renomear um Autonomous Database	`use autonomous-databases`
Reiniciar um Autonomous Database	`use autonomous-databases`
Restaurar um Autonomous Database	`use autonomous-databases` `read autonomous-backups`
Dimensionar a contagem de ECPUs ou o armazenamento de um Autonomous Database	`use autonomous-databases`
Definir senha de usuário ADMIN	`use autonomous-databases`
Interromper ou iniciar um Autonomous Database	`use autonomous-databases`
Fazer Switchover	`use autonomous-databases`
Encerrar um Autonomous Database	`manage autonomous-databases`
Atualizar recuperação de desastre	`use autonomous-databases`
Atualizar nome para exibição	`use autonomous-databases`
Atualizar licença e Edição do Oracle Database	`use autonomous-databases`
Atualizar acesso de rede para ACLs	`use autonomous-databases`
Atualizar acesso de rede para um ponto final privado	`use autonomous-databases`
Exibir uma lista de um Autonomous Databases	`inspect autonomous-databases`
Exibir detalhes de um Autonomous Database	`inspect autonomous-databases`

backups autônomos

Verbos	Permissões	APIs Totalmente Cobertas	APIs Parcialmente Cobertas
inspecionar	`AUTONOMOUS_DB_BACKUP_INSPECT`	`ListAutonomousDatabaseBackups, GetAutonomousDatabaseBackup`	nenhum
gerenciar	`USE +` `AUTONOMOUS_DB_BACKUP_CREATE` `AUTONOMOUS_DB_BACKUP_DELETE`	`DeleteAutonomousDatabaseBackup`	`CreateAutonomousDatabaseBackup` (também precisa de `read autonomous-databases`)
leitura	`INSPECT +` `AUTONOMOUS_DB_BACKUP_CONTENT_READ`	sem extra	`RestoreAutonomousDatabase` (também precisa de `use autonomous-databases`) `ChangeAutonomousDatabaseCompartment` (também precisa de `use autonomous-databases`)
usar	READ + sem extra	sem extra	nenhum

Variáveis Suportadas

Todas as variáveis gerais do OCI Identity and Access Management são suportadas. Consulte Variáveis Gerais para Todas as Solicitações para obter mais informações.

Além disso, você pode usar a variável target.id com o OCID de um banco de dados após a criação de um banco de dados e a variável target.workloadType com um valor, conforme mostrado na seguinte tabela:

Valor target.workloadType	Descrição
`OLTP`	Processamento de Transações On-line, usado para Autonomous Databases com carga de trabalho de Processamento de Transações.
`DW`	Data Warehouse, usado para Autonomous Databases com carga de trabalho do Data Warehouse.
`AJD`	Autonomous JSON Database usado para Autonomous Databases com carga de trabalho JSON.
`APEX`	APEX Service usado para o Autonomous Database APEX Service.

Exemplo de política usando a variável target.id:

Allow group ADB-Admins to manage autonomous-databases in tenancy where target.id = 'OCID'

Exemplo de política usando a variável target.workloadType:

Allow group ADB-Admins to manage autonomous-databases in tenancy where target.workloadType = 'AJD'

Tópico principal: Políticas do IAM para Autonomous Database

Permissões do IAM e Operações de API para o Autonomous Database

Este tópico abrange as permissões disponíveis do serviço IAM para operações no Autonomous Database.

Estas são as permissões do serviço IAM para o Autonomous Database:

AUTONOMOUS_DATABASE_CONTENT_READ
AUTONOMOUS_DATABASE_CONTENT_WRITE
AUTONOMOUS_DATABASE_CREATE

Consulte Permissões de Clonagem para obter limitações adicionais de clonagem.
AUTONOMOUS_DATABASE_DELETE
AUTONOMOUS_DATABASE_INSPECT
AUTONOMOUS_DATABASE_UPDATE
AUTONOMOUS_DB_BACKUP_CONTENT_READ
AUTONOMOUS_DB_BACKUP_CREATE
AUTONOMOUS_DB_BACKUP_INSPECT
NETWORK_SECURITY_GROUP_UPDATE_MEMBERS
VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP

Exemplo de política para que um grupo tenha permissões para criar o Autonomous Database em um compartimento:

Allow group group-name to manage autonomous-database in compartment id compartment-ocid 
    where all{request.permission = 'AUTONOMOUS_DATABASE_UPDATE'}

Operações de Permissões Necessárias para Usar	Operação de API
`AUTONOMOUS_DATABASE_CONTENT_READ`	`GenerateAutonomousDatabaseWallet` `GetAutonomousDatabaseRegionalWallet` `GetAutonomousDatabaseWallet` `RetrieveDatabasePerformanceBulkData`
`AUTONOMOUS_DATABASE_CREATE`	`CreateAutonomousDatabase`
`AUTONOMOUS_DATABASE_DELETE`	`DeleteAutonomousDatabase`
`AUTONOMOUS_DATABASE_INSPECT`	`GetAutonomousDatabase` `ListAutonomousDatabaseClones` `ListAutonomousDatabasePeers` `ListAutonomousDatabaseRefreshableClones` `ListAutonomousDatabases` `ResourcePoolShapes`
`AUTONOMOUS_DATABASE_UPDATE`	`AutonomousDatabaseManualRefresh` `ConfigureAutonomousDatabaseVaultKey` `DeregisterAutonomousDatabaseDataSafe` `DisableAutonomousDatabaseOperationsInsights` `DisableDatabaseManagement` `EnableAutonomousDatabaseOperationsInsights` `EnableDatabaseManagement` `FailOverAutonomousDatabase` `RegisterAutonomousDatabaseDataSafe` `RestartAutonomousDatabase` `RotateAutonomousDatabaseEncryptionKey` `ShrinkAutonomousDatabase` `StartAutonomousDatabase` `StopAutonomousDatabase` `SwitchOverAutonomousDatabase` `UpdateAutonomousDatabaseWallet` `UpdateAutonomousDatabaseRegionalWallet`
`AUTONOMOUS_DB_BACKUP_INSPECT`	`GetAutonomousDatabaseBackup` `ListAutonomousDatabaseBackups`
`AUTONOMOUS_DB_BACKUP_UPDATE`	`UpdateAutonomousDatabaseBackup`
`AUTONOMOUS_DB_BACKUP_CREATE` `AUTONOMOUS_DATABASE_CONTENT_READ`	`CreateAutonomousDatabaseBackup`
`AUTONOMOUS_DB_BACKUP_INSPECT` `AUTONOMOUS_DB_BACKUP_DELETE`	`DeleteAutonomousDatabaseBackup`
`AUTONOMOUS_DB_BACKUP_INSPECT` `AUTONOMOUS_DB_BACKUP_CONTENT_READ` `AUTONOMOUS_DATABASE_CONTENT_WRITE`	`RestoreAutonomousDatabase`
Obrigatório no compartimento de origem e de destino: `AUTONOMOUS_DATABASE_UPDATE` `AUTONOMOUS_DB_BACKUP_INSPECT` `AUTONOMOUS_DB_BACKU_CREATE` `AUTONOMOUS_DATABASE_CONTENT_WRITE` Obrigatório no compartimento de origem e no compartimento de destino quando o Ponto Final Privado está ativado: `WNIC_ASSOCIATE_NETOWRK_SECURITY_GROUP` `NETWORK_SECURITY_GROUP_UPDATE_MEMBERS`	`ChangeAutonomousDatabaseCompartment`
Três casos possíveis: Se a Carga de Trabalho for `NULL`: `AUTONOMOUS_DATABASE_UPDATE` Se a Carga de Trabalho não for `NULL`: `AUTONOMOUS_DATABASE_CREATE` `AUTONOMOUS_DATABASE_UPDATE` Se o serviço Tagging estiver ativado: `AUTONOMOUS_DATABASE_UPDATE` `AUTONOMOUS_DATABASE_INSPECT`	`UpdateAutonomousDatabase`: Use essa API para alterações ou atualizações em qualquer uma das seguintes operações: definir senha de administrador (`adminPassword`) iniciar/interromper automaticamente a programação (`scheduledOperations`) gerenciar contatos de clientes (`customerContacts`) configuração da ferramenta de edição (`dbToolsDetails`) atualizar opções de licença BYOL (`licenseModel` e `byolComputeCountLimit`) atualizar nome de exibição (`displayName`) juntar-se a um pool elástico atualizar opções de pool elástico gerenciar chaves de criptografia atualizar para o autonomous data guard para recuperação de desastres (`isLocalDataGuardEnabled` e `disasterRecoveryType`) alterar modo de operação do banco de dados somente leitura/gravação (`openMode`) atualizar o acesso à rede com ACLs (`whitelistedIps`) atualizar acesso à rede com ponto final privado (`privateEndpointLabel`) renomear banco de dados (`dbName`) dimensionar limites de computação (`computeCount`) opção de gerenciamento de dimensionamento automático de computação (`isAutoScalingEnabled`) dimensionar limites de armazenamento ( `dataStorageSizeInTBs`) gerenciar opções de dimensionamento automático de armazenamento (`isAutoScalingForStorageEnabled`) alterar tipo da carga de trabalho (`dbWorkload`)
requer `changeAutonomousDatabaseSubscription`	`ChangeAutonomousDatabaseSubscription`
requer `getSaasAdminUser`	`SaasAdminUserStatus`
requer `updateSaasAdminUser`	`ConfigureSaasAdminUser` `ListAutonomousDatabaseCharacterSets` `ListAutonomousDatabaseMaintenanceWindows`

Clonando Permissões

Permissões gerais do IAM são suportadas para o Autonomous Database. Além disso, você pode usar o target.autonomous-database.cloneType com os valores de permissão suportados para controlar o nível de acesso, conforme mostrado na tabela a seguir.

Valor target.autonomous-database.cloneType	Descrição
`CLONE-FULL`	Permitir apenas clonagem completa.
`CLONE-METADATA`	Permitir somente clonagem de metadados.
`CLONE-REFRESHABLE`	Permitir apenas clonagem atualizável.
`/CLONE*/`	Permitir qualquer tipo de clone.

Exemplos de políticas com os valores de permissão target.autonomous-database.cloneType suportados:

Allow group group-name to manage autonomous-databases in compartment id compartment-ocid 
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-FULL'}

Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-METADATA'}

Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-REFRESHABLE'}

Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = /CLONE*/}

Consulte Permissões para obter mais informações.

Tópico principal: Políticas do IAM para Autonomous Database

Fornecer Privilégios Específicos nas Políticas do Serviço IAM para Gerenciar o Autonomous Database

Lista políticas do serviço IAM que você pode usar com um verbo de autorização e uma condição para conceder operações mais granulares a um grupo.

Por exemplo, para permitir que o grupo MyGroup inicie Autonomous Databases usando a API StartAutonomousDatabase:

Allow MyGroup to manage autonomous-databases where request.operation = 'StartAutonomousDatabase'

Consulte Verbos e Condições para obter mais informações.

Lista de Verbos de Autorização
`autonomousDatabaseManualRefresh`
`changeAutonomousDatabaseCompartment`
`changeAutonomousDatabaseSubscription`
`changeDisasterRecoveryConfiguration`
`configureAutonomousDatabaseVaultKey`
`configureSaasAdminUser`
`createAutonomousDatabase`
`createAutonomousDatabaseBackup`
`deleteAutonomousDatabase`
`deleteAutonomousDatabaseBackup`
`deregisterAutonomousDatabaseDataSafe`
`disableAutonomousDatabaseManagement`
`disableAutonomousDatabaseOperationsInsights`
`enableAutonomousDatabaseManagement`
`enableAutonomousDatabaseOperationsInsights`
`failOverAutonomousDatabase`
`generateAutonomousDatabaseWallet`
`getAutonomousDatabase`
`getAutonomousDatabaseBackup`
`getAutonomousDatabaseRegionalWallet`
`getAutonomousDatabaseWallet`
`listAutonomousDatabaseBackups`
`listAutonomousDatabaseCharacterSets`
`listAutonomousDatabaseClones`
`listAutonomousDatabaseMaintenanceWindows`
`listAutonomousDatabasePeers`
`listAutonomousDatabaseRefreshableClones`
`listAutonomousDatabases`
`registerAutonomousDatabaseDataSafe`
`resourcePoolShapes`
`restartAutonomousDatabase`
`restoreAutonomousDatabase`
`rotateAutonomousDatabaseEncryptionKey`
`SaasAdminUserStatus`
`shrinkAutonomousDatabase`
`startAutonomousDatabase`
`stopAutonomousDatabase`
`switchoverAutonomousDatabase`
`updateAutonomousDatabase`
`updateAutonomousDatabaseBackup`
`updateAutonomousDatabaseRegionalWallet`
`updateAutonomousDatabaseWallet`

O Verbo de Autorização updateAutonomousDatabase agrupa privilégios para usar várias operações de API.

Operação
`DeregisterAutonomousDatabaseDataSafe`
`DisableAutonomousDatabaseOperationsInsights`
`DisableDatabaseManagement`
`EnableAutonomousDatabaseOperationsInsights`
`RegisterAutonomousDatabaseDataSafe`

Por exemplo:

Allow MyGroup to manage autonomous-databases where request.operation =  'updateAutonomousDatabase'

Tópico principal: Políticas do IAM para Autonomous Database

Documentação do Oracle Cloud Infrastructure

Políticas do Serviço IAM para o Autonomous Database

Detalhes de Política do Autonomous Database

Permissões do IAM e Operações de API para o Autonomous Database

Fornecer Privilégios Específicos nas Políticas do Serviço IAM para Gerenciar o Autonomous Database