专用 Exadata 基础结构上自治 AI 数据库的 IAM 策略
本文列出了在专用 Exadata 基础结构上管理自治 AI 数据库的基础结构资源所需的 IAM 策略。
Oracle Autonomous AI Database on Dedicated Exadata Infrastructure 依赖于 IAM(身份和访问管理)服务来验证和授权云用户执行使用任何 Oracle Cloud Infrastructure 接口(控制台、REST API、CLI 或 SDK)的操作。IAM 服务使用组、区间和策略来控制哪些云用户可以访问哪些资源。
自治 AI 数据库的策略详细信息
本主题介绍有关编写策略以控制对自治 AI 数据库资源的访问的详细信息。
策略定义一组用户对单个区间中的特定资源的访问类型。有关详细信息,请参阅策略入门。
提示:有关示例策略,请参阅让数据库和组管理员管理自治 AI 数据库。
资源类型
聚合资源类型涵盖直接跟随的各个资源类型的列表。例如,编写一个策略以允许组访问 autonomous-database-family,相当于为该组编写四个单独的策略,以授予对 autonomous-databases、autonomous-backups、autonomous-container-databases 和 cloud-autonomous-vmclusters 资源类型的访问权限。有关更多信息,请参见 Resource-Types 。
自治 AI 数据库的资源类型
聚合资源类型:
autonomous-database-family
个人资源类型:
autonomous-databases
autonomous-backups
autonomous-container-databases
cloud-autonomous-vmclusters (仅限 Oracle Public Cloud 部署)
autonomous-vmclusters (仅限 Oracle Exadata Cloud@Customer 部署)
autonomous-virtual-machine
提示:在 Oracle Public Cloud 和 Exadata Cloud@Customer 上分别预配 Autonomous AI Database 所需的 cloud-exadata-infrastructures 和 exadata-infrastructures 资源类型由汇总资源类型 database-family 覆盖。有关 database-family 所涵盖资源的更多信息,请参见 Policy Details for Exadata Cloud Service Instances 和 Policy Details for Base Database Service 。
支持的变量
支持常规变量。有关更多信息,请参见 General Variables for All Requests 。
此外,还可以使用 target.workloadType 变量,如下表所示:
| target.workloadType 值 | 说明 |
|---|---|
OLTP |
在线事务处理,用于具有自治事务处理工作负载的自治 AI 数据库。 |
DW |
Data Warehouse,用于具有 Autonomous Data Warehouse 工作负载的自治 AI 数据库。 |
使用 target.workloadType 变量的策略示例:
Allow group ADB-Admins
to manage autonomous-database
in tenancy where target.workloadType = 'workload_type'有关动词和资源类型组合的详细信息
从 inspect > read > use > manage 开始,访问级别是累积的。表单元格中的加号 (+) 表示与正上方的单元格相比的增量访问,而“无额外”表示没有增量访问。
例如,autonomous-databases 资源类型的 read 动词包含与 inspect 动词相同的权限和 API 操作,以及 AUTONOMOUS_DATABASE_CONTENT_READ 权限。read 动词部分涵盖了 CreateAutonomousDatabaseBackup 操作,该操作还需要管理 autonomous-backups 的权限。
下表显示了每个动词所涵盖的权限和 API 操作。有关权限的信息,请参阅权限。
适用于自治数据库系列资源类型
注:autonomous-database-family 涵盖的资源系列可用于授予对与所有 Autonomous AI Database 工作负载类型关联的数据库资源的访问权限。
自治数据库
| 动词 | 权限 | 完全覆盖的 API | 部分涵盖的 API |
|---|---|---|---|
| 检验 | AUTONOMOUS_DATABASE_INSPECT |
GetAutonomousDatabase, ListAutonomousDatabases |
无 |
| 读取 |
|
额外 | CreateAutonomousDatabaseBackup(也需要 manage autonomous-backups) |
| use - 使用 |
|
UpdateAutonomousDatabase |
|
| 管理 |
|
CreateAutonomousDatabase |
无 |
自治备份
| 动词 | 权限 | 完全覆盖的 API | 部分涵盖的 API |
|---|---|---|---|
| 检验 | AUTONOMOUS_DB_BACKUP_INSPECT |
ListAutonomousDatabaseBackups, GetAutonomousDatabaseBackup |
无 |
| 读取 |
|
额外 |
|
| use - 使用 | 读取 + 无额外费用 |
无额外费用 | 无 |
| 管理 |
|
DeleteAutonomousDatabaseBackup |
CreateAutonomousDatabaseBackup(也需要 read autonomous-databases) |
自治容器数据库
| 动词 | 权限 | 完全覆盖的 API | 部分涵盖的 API |
|---|---|---|---|
| 检验 | AUTONOMOUS_CONTAINER_DATABASE_INSPECT |
ListAutonomousContainerDatabases, GetAutonomousContainerDatabase |
无 |
| 读取 | 检验 + 额外 |
额外 | 无 |
| use - 使用 | 读取 +
|
|
CreateAutonomousDatabase(也需要 manage autonomous-databases) |
| 管理 |
|
无额外费用 | CreateAutonomousContainerDatabase, TerminateAutonomousContainerDatabase(两者也需要 use cloud-autonomous-vmclusters, use cloud-exadata-infrastructures) |
云自治 vmclusters
| 动词 | 权限 | 完全覆盖的 API | 部分涵盖的 API |
|---|---|---|---|
| 检验 | CLOUD_AUTONOMOUS_VM_CLUSTER_INSPECT |
|
无 |
| 读取 |
额外 |
额外 | 无 |
| use - 使用 | 读取 +
|
|
|
| 管理 |
|
无额外费用 |
(两者都需要 |
自治虚拟机集群
| 动词 | 权限 | 完全覆盖的 API | 部分涵盖的 API |
|---|---|---|---|
| 检验 | AUTONOMOUS_VM_CLUSTER_INSPECT |
|
ChangeAutonomousVmClusterCompartment |
| 读取 | 检验 + 额外 |
额外 | 无 |
| use - 使用 |
|
ChangeAutonomousVmClusterCompartment |
|
| 管理 |
|
DeleteAutonomousVmCluster |
CreateAutonomousVmCluster |
自治虚拟机
| 动词 | 权限 | 完全覆盖的 API | 部分涵盖的 API |
|---|---|---|---|
| 检验 | AUTONOMOUS_VIRTUAL_MACHINE_INSPECT |
|
无 |
每个 API 操作所需的权限
自治容器数据库 (ACD) 和自治 AI 数据库 (ADB) 是 Oracle Public Cloud、Multicloud 和 Exadata Cloud@Customer 部署之间的常用资源。因此,下表中的两个部署的权限相同。
但是,某些 ACD 操作需要 AVMC 级别的权限,由于 Oracle Public Cloud 和 Exadata Cloud@Customer 的 AVMC 资源不同,因此您需要对每种部署类型具有不同的权限。例如,要创建 ACD,您需要:
-
对 Exadata Cloud@Customer 的 AUTONOMOUS_VM_CLUSTER_UPDATE 和 AUTONOMOUS_CONTAINER_DATABASE_CREATE 权限。
-
Oracle Public Cloud 和多云上的 CLOUD_AUTONOMOUS_VM_CLUSTER_UPDATE 和 AUTONOMOUS_CONTAINER_DATABASE_CREATE 权限。
有关权限的信息,请参阅权限。
下表按逻辑顺序列出了自治 AI 数据库资源的 API 操作,这些操作按资源类型分组。
自治 AI 数据库 API 操作
您可以使用 API 查看和管理自治 AI 数据库的不同基础结构资源。有关用于管理不同自治 AI 数据库资源的 REST API 端点的列表,请参见 API Reference for Autonomous AI Database on Dedicated Exadata Infrastructure 。
限制用户对特定权限的访问
用户访问权限在 IAM 策略语句中定义。创建允许组访问特定动词和资源类型的策略语句时,实际上是授予该组访问一个或多个预定义 IAM 权限的权限。动词的目的是简化授予多个相关权限的过程。
如果要允许或拒绝特定的 IAM 权限,请将 where 条件添加到策略语句。例如,要允许一组组管理员对 Exadata 基础结构资源执行任何操作(除外),以删除它们,应创建以下策略语句:
Allow group FleetAdmins to manage cloud-exadata-infrastructures in tenancy where request.permission != 'CLOUD_EXADATA_INFRASTRUCTURE_DELETE'然后,您可以允许较小的组组管理员通过省略 where 条件来对 Exadata 基础结构资源执行任何操作(包括删除):
Allow group FleetSuperAdmins to manage cloud-exadata-infrastructures in tenancy有关以这种方式使用 where 条件的更多信息,请参见 Permissions 的 "Scoping Access with Permissions or API Operations" 部分。
用于管理 Exadata 基础结构资源的策略
下表列出了云用户对 Exadata 基础结构资源执行管理操作所需的 IAM 策略。
| 操作 | Oracle Public Cloud 和多云上的必需 IAM 策略 | Exadata Cloud@Customer 上必需的 IAM 策略 |
|---|---|---|
| 创建 Exadata 基础结构资源 |
|
manage exadata-infrastructures |
| 查看 Exadata 基础结构资源列表 | inspect cloud-exadata-infrastructures |
inspect exadata-infrastructures |
| 查看 Exadata 基础结构资源的详细信息 | inspect cloud-exadata-infrastructures |
inspect exadata-infrastructures |
| 更改 Exadata 基础结构资源的维护计划 | use cloud-exadata-infrastructures |
use exadata-infrastructures |
| 将 Exadata 基础结构资源移至其他区间 | use cloud-exadata-infrastructures |
use exadata-infrastructures |
| 管理 Exadata 基础结构资源的安全证书 | manage cloud-exadata-infrastructures |
manage exadata-infrastructures |
| 终止 Exadata 基础结构资源 |
|
manage exadata-infrastructures |
用于管理自治 Exadata VM 集群的策略
下表列出了云用户在自治 Exadata VM 集群上执行管理操作所需的 IAM 策略。
| 操作 | Oracle Public Cloud 和多云上的必需 IAM 策略 | Exadata Cloud@Customer 上必需的 IAM 策略 |
|---|---|---|
| 创建自治 Exadata VM 集群 |
|
|
| 查看自治 Exadata VM 集群列表 | inspect cloud-autonomous-vmclusters |
inspect autonomous-vmclusters |
| 查看自治 Exadata VM 集群的详细信息 | inspect cloud-autonomous-vmclusters |
inspect autonomous-vmclusters |
| 更改自治 VM 集群的许可证类型 | 不适用 |
|
| 将自治 Exadata VM 集群移至其他区间 | use cloud-autonomous-vmclusters |
use autonomous-vmclusters |
| 终止自治 Exadata VM 集群 | manage cloud-autonomous-vmclusters |
manage autonomous-vmclusters |
用于管理自治容器数据库的策略
下表列出了云用户对自治容器数据库 (Autonomous Container Databases,ACD) 执行管理操作所需的 IAM 策略。
| 操作 | 必需的 IAM 策略 |
|---|---|
| 创建自治容器数据库 |
|
| 查看自治容器数据库列表 | inspect autonomous-container-databases |
| 查看自治容器数据库的详细信息 | inspect autonomous-container-databases |
| 更改自治容器数据库的备份保留策略 | use autonomous-container-databases |
| 编辑自治容器数据库的维护首选项 | use autonomous-container-databases |
| 重新启动自治容器数据 | use autonomous-container-databases |
| 将自治容器数据库移至其他区间 | use autonomous-container-databases |
| 轮换自治容器数据库加密密钥 |
|
| 终止自治容器数据库 |
|
用于管理 Autonomous Data Guard 配置的策略
下表列出了云用户对 Autonomous Data Guard 配置执行管理操作所需的 IAM 策略。
| 操作 | 必需的 IAM 策略 |
|---|---|
| 使用 ACD 查看 Autonomous Data Guard 组。 | inspect autonomous-container-databases |
| 列出启用了与指定 ACD 或 Autonomous AI Database 关联的 Autonomous Data Guard 的 ACD。 | inspect autonomous-container-databases |
| 将 "Disabled Standby"(禁用的备用)恢复为活动的备用 ACD。 |
|
| 切换主 ACD 和备用 ACD 的角色。 |
|
| 故障转移到备用 ACD。当故障转移成功完成时,此备用 ACD 将成为新的主 ACD。 |
|
| 修改 Autonomous Data Guard 设置,例如保护模式、自动故障转移和快速启动故障转移滞后限制。 |
|
| 获取与指定自治 AI 数据库关联的启用了 Autonomous Data Guard 的数据库。 | inspect autonomous-container-databases |
| 列出 Autonomous AI Database Data Guard 组。 | inspect autonomous-container-databases |
| 在 ACD 上启用 Autonomous Data Guard。 |
|
| 在物理备用 ACD 和快照备用 ACD 之间转换备用 ACD。 |
|
用于管理自治 AI 数据库的策略
下表列出了云用户对自治 AI 数据库执行管理操作所需的 IAM 策略。
| 操作 | 必需的 IAM 策略 |
|---|---|
| 创建自治 AI 数据库 |
|
| 查看自治 AI 数据库列表 | inspect autonomous-databases |
| 查看自治 AI 数据库的详细信息 | inspect autonomous-databases |
| 设置自治 AI 数据库 ADMIN 用户的密码 | use autonomous-databases |
| 扩展自治 AI 数据库的 CPU 核心计数或存储 | use autonomous-databases |
| 为自治 AI 数据库启用或禁用自动缩放 | use autonomous-databases |
| 将自治 AI 数据库移至其他区间 |
|
| 停止或启动自治 AI 数据库 | use autonomous-databases |
| 重新启动自治 AI 数据库 | use autonomous-databases |
| 手动备份自治 AI 数据库 |
|
| 还原自治 AI 数据库 |
|
| 克隆自治 AI 数据库 |
|
| 终止自治 AI 数据库 | manage autonomous-databases |