Autonomous Database on Dedicated Exadata Infrastructure 的 IAM 策略

本文列出了在专用 Exadata 基础结构上管理 Autonomous Database 的基础结构资源所需的 IAM 策略。

Oracle Autonomous Database on Dedicated Exadata Infrastructure 依靠 IAM（身份和访问管理）服务来验证和授权云技术用户执行使用任何 Oracle Cloud Infrastructure 接口（控制台、REST API、CLI 或 SDK）的操作。IAM 服务使用组、区间和策略来控制哪些云用户可以访问哪些资源。

相关主题

专用 Exadata 基础结构中的 Autonomous Database 中的访问控制

Autonomous Database 的策略详细信息

本主题详细介绍如何编写策略来控制对 Autonomous Database 资源的访问。

策略定义用户组对单个区间中特定资源的访问类型。有关更多信息，请参见策略入门。

提示：

有关策略示例，请参见让数据库和组管理员管理自治数据库。

资源类型

聚合资源类型涵盖直接遵循的各个资源类型的列表。例如，编写一个允许组访问 autonomous-database-family 的策略相当于为该组编写四个单独的策略，这些策略将授予对 autonomous-databases、autonomous-backups、autonomous-container-databases 和 cloud-autonomous-vmclusters 资源类型的访问权限。有关更多信息，请参见 Resource-Types 。

Autonomous Database 的资源类型

聚合资源类型：

autonomous-database-family

单个资源类型：

autonomous-databases

autonomous-backups

autonomous-container-databases

cloud-autonomous-vmclusters （仅限 Oracle Public Cloud 部署）

autonomous-vmclusters （仅限 Oracle Exadata Cloud@Customer 部署）

autonomous-virtual-machine

提示：

聚合资源类型 database-family 分别涵盖了在 Oracle Public Cloud 和 Exadata Cloud@Customer 上预配 Autonomous Database 所需的 cloud-exadata-infrastructures 和 exadata-infrastructures 资源类型。有关 database-family 所涵盖资源的更多信息，请参见 Policy Details for Exadata Cloud Service Instances 和 Policy Details for Base Database Service 。

支持的变量

支持常规变量。有关更多信息，请参见 General Variables for All Requests 。

此外，还可以使用 target.workloadType 变量，如下表所示：

target.workloadType 值	说明
`OLTP`	在线事务处理，用于具有自治事务处理工作负载的 Autonomous Database 。
`DW`	数据仓库，用于具有 Autonomous Data Warehouse 工作负载的 Autonomous Database 。

使用 target.workloadType 变量的策略示例：

Allow group ADB-Admins 
to manage autonomous-database 
in tenancy where target.workloadType = 'workload_type'

有关动词 + 资源类型组合的详细信息

从 inspect > read > use > manage 进行访问时，访问级别是累加的。表单元格中的加号 (+) 表示与它正上方的单元格相比的增量访问，而“无额外”表示没有增量访问。

例如，autonomous-databases 资源类型的 read 动词包含与 inspect 动词相同的权限和 API 操作，以及 AUTONOMOUS_DATABASE_CONTENT_READ 权限。read 动词部分涵盖了 CreateAutonomousDatabaseBackup 操作，该操作还需要管理 autonomous-backups 的权限。

下表显示了每个动词涵盖的权限和 API 操作。有关权限的信息，请参阅权限。

用于自治数据库系列资源类型

注意：

autonomous-database-family 涵盖的资源系列可用于授予对与所有 Autonomous Database 工作负载类型关联的数据库资源的访问权限。

自治数据库

命令动词	权限	API 全面覆盖	API 已部分覆盖
检查	`AUTONOMOUS_DATABASE_INSPECT`	`GetAutonomousDatabase, ListAutonomousDatabases`	none
读取	`INSPECT +` `AUTONOMOUS_DATABASE_CONTENT_READ`	不额外	`CreateAutonomousDatabaseBackup`（也需要 `manage autonomous-backups`）
use - 使用	`READ +` `AUTONOMOUS_DATABASE_CONTENT_WRITE` `AUTONOMOUS_DATABASE_UPDATE`	`UpdateAutonomousDatabase`	`RestoreAutonomousDatabase`（也需要 `read autonomous-backups`） `ChangeAutonomousDatabaseCompartment`（也需要 `read autonomous-backups`）
管理	`USE +` `AUTONOMOUS_DATABASE_CREATE` `AUTONOMOUS_DATABASE_DELETE`	`CreateAutonomousDatabase`	none

自治备份

命令动词	权限	API 全面覆盖	API 已部分覆盖
检查	`AUTONOMOUS_DB_BACKUP_INSPECT`	`ListAutonomousDatabaseBackups, GetAutonomousDatabaseBackup`	none
读取	`INSPECT +` `AUTONOMOUS_DB_BACKUP_CONTENT_READ`	不额外	`RestoreAutonomousDatabase`（也需要 `use autonomous-databases`） `ChangeAutonomousDatabaseCompartment`（也需要 `use autonomous-databases`）
use - 使用	读取 + 不额外	不额外	none
管理	`USE +` `AUTONOMOUS_DB_BACKUP_CREATE` `AUTONOMOUS_DB_BACKUP_DELETE`	`DeleteAutonomousDatabaseBackup`	`CreateAutonomousDatabaseBackup`（也需要 `read autonomous-databases`）

自治容器数据库

命令动词	权限	API 全面覆盖	API 已部分覆盖
检查	`AUTONOMOUS_CONTAINER_DATABASE_INSPECT`	`ListAutonomousContainerDatabases, GetAutonomousContainerDatabase`	none
读取	检查 + 不额外	不额外	none
use - 使用	读取 + `AUTONOMOUS_CONTAINER_DATABASE_UPDATE`	`UpdateAutonomousContainerDatabase` `ChangeAutonomousContainerDatabaseCompartment`	`CreateAutonomousDatabase`（也需要 `manage autonomous-databases`）
管理	`USE +` `AUTONOMOUS_CONTAINER_DATABASE_CREATE` `AUTONOMOUS_CONTAINER_DATABASE_DELETE`	不额外	`CreateAutonomousContainerDatabase, TerminateAutonomousContainerDatabase`（两者都需要 `use cloud-autonomous-vmclusters, use cloud-exadata-infrastructures`）

云自治云集群

命令动词	权限	API 全面覆盖	API 已部分覆盖
检查	`CLOUD_AUTONOMOUS_VM_CLUSTER_INSPECT`	`ListCloudAutonomousVmClusters` `GetCloudAutonomousVmCluster`	none
读取	`INSPECT +` 不额外	不额外	none
use - 使用	读取 + `CLOUD_AUTONOMOUS_VM_CLUSTER_UPDATE`	`UpdateCloudAutonomousVmCluster` `ChangeCloudAutonomousVmClusterCompartment`	`CreateAutonomousDatabase`（也需要 `manage autonomous-databases`） `CreateAutonomousContainerDatabase`（也需要 `manage autonomous-container-databases`）
管理	`USE +` `CLOUD_AUTONOMOUS_VM_CLUSTER_CREATE` `CLOUD_AUTONOMOUS_VM_CLUSTER_DELETE`	不额外	`CreateCloudAutonomousVmCluster, DeleteCloudAutonomousVmCluster` （两者都需要 `use vnics, use subnets, use cloud-exadata-infrastructures`）

自治 vmclusters

命令动词	权限	API 全面覆盖	API 已部分覆盖
检查	`AUTONOMOUS_VM_CLUSTER_INSPECT`	`ListAutonomousVmClusters` `GetAutonomousVmCluster`	`ChangeAutonomousVmClusterCompartment`
读取	检查 + 不额外	不额外	none
use - 使用	`READ` + `AUTONOMOUS_VM_CLUSTER_UPDATE`	`ChangeAutonomousVmClusterCompartment`	`UpdateAutonomousVmCluster` `CreateAutonomousContainerDatabase` `TerminateAutonomousContainerDatabase`
管理	`USE` + `AUTONOMOUS_VM_CLUSTER_CREATE` + `AUTONOMOUS_VM_CLUSTER_DELETE`	`DeleteAutonomousVmCluster`	`CreateAutonomousVmCluster`

自动虚拟机

命令动词权限 API 全面覆盖 API 已部分覆盖

检查

命令动词	权限	API 全面覆盖	API 已部分覆盖
检查	`AUTONOMOUS_VIRTUAL_MACHINE_INSPECT`	`GetAutonomousVirtualMachine` `ListAutonomousVirtualMachines`	none

AUTONOMOUS_VIRTUAL_MACHINE_INSPECT

GetAutonomousVirtualMachine

ListAutonomousVirtualMachines

none

每个 API 操作所需的权限

自治容器数据库 (Autonomous Container Database，ACD) 和 Autonomous Database (ADB) 是 Oracle Public Cloud 、 Multicloud 和 Exadata Cloud@Customer 部署之间的常见资源。因此，下表中的两个部署的权限相同。

但是，某些 ACD 操作需要 AVMC 级别的权限，由于 Oracle Public Cloud 和 Exadata Cloud@Customer 的 AVMC 资源不同，因此您需要对每种部署类型具有不同的权限。例如，要创建 ACD，您需要：

Exadata Cloud@Customer 的 AUTONOMOUS_VM_CLUSTER_UPDATE 和 AUTONOMOUS_CONTAINER_DATABASE_CREATE 权限。
对 Oracle Public Cloud 和 Multicloud 具有 CLOUD_AUTONOMOUS_VM_CLUSTER_UPDATE 和 AUTONOMOUS_CONTAINER_DATABASE_CREATE 权限。

有关权限的信息，请参阅权限。

下表按逻辑顺序列出了 Autonomous Database 资源的 API 操作，并按资源类型分组。

Autonomous Database API 操作

您可以使用 API 查看和管理 an Autonomous Database 的各种基础设施资源。有关管理不同 Autonomous Database 资源的 REST API 端点列表，请参阅 API Reference for Autonomous Database on Dedicated Exadata Infrastructure 。

限制用户对特定权限的访问

用户访问权限在 IAM 策略语句中定义。创建策略语句以向组授予对特定动词和资源类型的访问权限时，实际上是向该组授予对一个或多个预定义 IAM 权限的访问权限。动词的目的是简化授予多个相关权限的过程。

如果要允许或拒绝特定的 IAM 权限，请向策略语句中添加 where 条件。例如，要允许一组组组管理员对 Exadata 基础结构资源执行任何操作（除了删除这些资源之外），您可以创建以下策略语句：

Allow group FleetAdmins to manage cloud-exadata-infrastructures in tenancy where request.permission != 'CLOUD_EXADATA_INFRASTRUCTURE_DELETE'

然后，您可以省略 where 条件，允许较小的组组组管理员对 Exadata 基础结构资源执行任何操作（包括删除）：

Allow group FleetSuperAdmins to manage cloud-exadata-infrastructures in tenancy

有关以这种方式使用 where 条件的更多信息，请参见 Permissions 的 "Scoping Access with Permissions or API Operations" 部分。

管理 Exadata 基础结构资源的策略

下表列出了云用户对 Exadata 基础结构资源执行管理操作所需的 IAM 策略。

操作	Oracle Public Cloud 和多云上的必需 IAM 策略	Exadata Cloud@Customer 上的必需 IAM 策略
创建 Exadata 基础结构资源	`manage cloud-exadata-infrastructures` `use vnic` `use subnet`	`manage exadata-infrastructures`
查看 Exadata 基础结构资源列表	`inspect cloud-exadata-infrastructures`	`inspect exadata-infrastructures`
查看 Exadata 基础结构资源的详细信息	`inspect cloud-exadata-infrastructures`	`inspect exadata-infrastructures`
更改 Exadata 基础结构资源的维护计划	`use cloud-exadata-infrastructures`	`use exadata-infrastructures`
将 Exadata 基础结构资源移至其他区间	`use cloud-exadata-infrastructures`	`use exadata-infrastructures`
管理 Exadata 基础结构资源的安全证书	`manage cloud-exadata-infrastructures`	`manage exadata-infrastructures`
终止 Exadata 基础结构资源	`manage cloud-exadata-infrastructures` `use vnic` `use subnet`	`manage exadata-infrastructures`

管理自治 Exadata VM 集群的策略

下表列出了云用户在自治 Exadata VM 集群上执行管理操作所需的 IAM 策略。

操作	Oracle Public Cloud 和多云上的必需 IAM 策略	Exadata Cloud@Customer 上的必需 IAM 策略
创建自治 Exadata VM 集群	`manage cloud-autonomous-vmclusters` `use cloud-exadata-infrastructures`	`manage autonomous-vmclusters` `use exadata-infrastructures`
查看自治 Exadata VM 集群列表	`inspect cloud-autonomous-vmclusters`	`inspect autonomous-vmclusters`
查看自治 Exadata VM 集群的详细信息	`inspect cloud-autonomous-vmclusters`	`inspect autonomous-vmclusters`
更改自治 VM 集群的许可证类型	不适用	`use autonomous-vmclusters` `inspect exadata-infrastructures`
将自治 Exadata VM 集群移至其他区间	`use cloud-autonomous-vmclusters`	`use autonomous-vmclusters`
终止自治 Exadata VM 集群	`manage cloud-autonomous-vmclusters`	`manage autonomous-vmclusters`

用于管理自治容器数据库的策略

下表列出了云用户对自治容器数据库 (Autonomous Container Databases，ACD) 执行管理操作所需的 IAM 策略。

操作	必需的 IAM 策略
创建自治容器数据库	`manage autonomous-container-databases` `use cloud-exadata-infrastructures`（如果在 Oracle Public Cloud 和 Multicloud 上创建自治容器数据库）。 `use cloud-autonomous-vmclusters`（如果在 Oracle Public Cloud 和 Multicloud 上创建自治容器数据库）。 `use autonomous-vmclusters`（如果在 Exadata Cloud@Customer 上创建自治容器数据库）。 `use backup-destinations`（如果在 Exadata Cloud@Customer 上创建自治容器数据库）。
查看自治容器数据库列表	`inspect autonomous-container-databases`
查看自治容器数据库的详细信息	`inspect autonomous-container-databases`
更改自治容器数据库的备份保留策略	`use autonomous-container-databases`
编辑自治容器数据库的维护首选项	`use autonomous-container-databases`
重新启动自治容器数据库	`use autonomous-container-databases`
将自治容器数据库移至其他区间	`use autonomous-container-databases`
轮换自治容器数据库加密密钥	`use autonomous-container-databases` `inspect autonomous-container-databases`
终止自治容器数据库	`manage autonomous-container-databases` `use cloud-exadata-infrastructures`（如果在 Oracle Public Cloud 和 Multicloud 上创建自治容器数据库）。 `use cloud-autonomous-vmclusters`（如果在 Oracle Public Cloud 和 Multicloud 上创建自治容器数据库）。 `use autonomous-vmclusters`（如果在 Exadata Cloud@Customer 上创建自治容器数据库）。

管理 Autonomous Data Guard 配置的策略

下表列出了云用户对 Autonomous Data Guard 配置执行管理操作所需的 IAM 策略。

操作	必需的 IAM 策略
查看与 ACD 的 Autonomous Data Guard 关联。	`inspect autonomous-container-databases`
列出使用与指定 ACD 或 Autonomous Database 关联的 Autonomous Data Guard 启用的 ACD。	`inspect autonomous-container-databases`
将禁用的备用数据库恢复到活动的备用 ACD。	`inspect autonomous-container-databases` `update autonomous-container-databases`
主 ACD 和备用 ACD 的切换角色。	`inspect autonomous-container-databases` `update autonomous-container-databases`
故障转移到备用 ACD。当故障转移成功完成时，此备用 ACD 将成为新的主 ACD。	`inspect autonomous-container-databases` `update autonomous-container-databases`
修改 Autonomous Data Guard 设置，例如保护模式、自动故障转移和快速启动故障转移滞后限制。	`inspect autonomous-container-databases` `update autonomous-container-databases`
获取与指定的 Autonomous Database 关联的启用 Autonomous Data Guard 的数据库。	`inspect autonomous-container-databases`
列出 Autonomous Database Data Guard 关联。	`inspect autonomous-container-databases`
在 ACD 上启用 Autonomous Data Guard。	`inspect cloud-autonomous-vmclusters` 或 `inspect autonomous-vmclusters` `inspect autonomous-container-databases` `update autonomous-container-databases`
在物理备用 ACD 和快照备用 ACD 之间转换备用 ACD。	`inspect cloud-autonomous-vmclusters` 或 `inspect autonomous-vmclusters` `inspect autonomous-container-databases` `update autonomous-container-databases`

管理 Autonomous Database 的策略

下表列出了云用户在 Autonomous Database 上执行管理操作所需的 IAM 策略。

操作	必需的 IAM 策略
创建Autonomous Database	`manage autonomous-databases` `read autonomous-container-databases`
查看 Autonomous Database 的列表	`inspect autonomous-databases`
查看 an Autonomous Database 的详细信息	`inspect autonomous-databases`
设置 Autonomous Database ADMIN 用户的密码	`use autonomous-databases`
扩展 an Autonomous Database 的 CPU 核心数或存储	`use autonomous-databases`
为 an Autonomous Database 启用或禁用自动缩放	`use autonomous-databases`
将 an Autonomous Database 移至其他区间	`use autonomous-databases` 位于 Autonomous Database 的当前区间以及要将其移至的区间中 `read autonomous-backups`
停止或启动 Autonomous Database	`use autonomous-databases`
重新启动 Autonomous Database	`use autonomous-databases`
手动备份 Autonomous Database	`read autonomous-databases` `manage autonomous-backups`
恢复 Autonomous Database	`use autonomous-databases` `read autonomous-backups`
克隆 Autonomous Database	`manage autonomous-databases` `read autonomous-container-databases`
终止一个 Autonomous Database	`manage autonomous-databases`

标题和版权信息

Oracle 和/或其关联公司。