Autonomous Database on Dedicated Exadata Infrastructure 的 IAM 策略
本文列出了在专用 Exadata 基础结构上管理 Autonomous Database 的基础结构资源所需的 IAM 策略。
Oracle Autonomous Database on Dedicated Exadata Infrastructure 依靠 IAM(身份和访问管理)服务来验证和授权云技术用户执行使用任何 Oracle Cloud Infrastructure 接口(控制台、REST API、CLI 或 SDK)的操作。IAM 服务使用组、区间和策略来控制哪些云用户可以访问哪些资源。
Autonomous Database 的策略详细信息
本主题详细介绍如何编写策略来控制对 Autonomous Database 资源的访问。
提示:
有关策略示例,请参见让数据库和组管理员管理自治数据库。资源类型
聚合资源类型涵盖直接遵循的各个资源类型的列表。例如,编写一个允许组访问 autonomous-database-family
的策略相当于为该组编写四个单独的策略,这些策略将授予对 autonomous-databases
、autonomous-backups
、autonomous-container-databases
和 cloud-autonomous-vmclusters
资源类型的访问权限。有关更多信息,请参见 Resource-Types 。
聚合资源类型:
autonomous-database-family
单个资源类型:
autonomous-databases
autonomous-backups
autonomous-container-databases
cloud-autonomous-vmclusters
(仅限 Oracle Public Cloud 部署)
autonomous-vmclusters
(仅限 Oracle Exadata Cloud@Customer 部署)
autonomous-virtual-machine
提示:
聚合资源类型database-family
分别涵盖了在 Oracle Public Cloud 和 Exadata Cloud@Customer 上预配 Autonomous Database 所需的 cloud-exadata-infrastructures
和 exadata-infrastructures
资源类型。有关 database-family
所涵盖资源的更多信息,请参见 Policy Details for Exadata Cloud Service Instances 和 Policy Details for Base Database Service 。
支持的变量
支持常规变量。有关更多信息,请参见 General Variables for All Requests 。
此外,还可以使用 target.workloadType
变量,如下表所示:
target.workloadType 值 | 说明 |
---|---|
OLTP |
在线事务处理,用于具有自治事务处理工作负载的 Autonomous Database 。 |
DW |
数据仓库,用于具有 Autonomous Data Warehouse 工作负载的 Autonomous Database 。 |
Allow group ADB-Admins
to manage autonomous-database
in tenancy where target.workloadType = 'workload_type'
有关动词 + 资源类型组合的详细信息
从 inspect > read > use > manage
进行访问时,访问级别是累加的。表单元格中的加号 (+) 表示与它正上方的单元格相比的增量访问,而“无额外”表示没有增量访问。
例如,autonomous-databases
资源类型的 read
动词包含与 inspect
动词相同的权限和 API 操作,以及 AUTONOMOUS_DATABASE_CONTENT_READ 权限。read
动词部分涵盖了 CreateAutonomousDatabaseBackup
操作,该操作还需要管理 autonomous-backups
的权限。
下表显示了每个动词涵盖的权限和 API 操作。有关权限的信息,请参阅权限。
注意:
autonomous-database-family 涵盖的资源系列可用于授予对与所有 Autonomous Database 工作负载类型关联的数据库资源的访问权限。命令动词 | 权限 | API 全面覆盖 | API 已部分覆盖 |
---|---|---|---|
检查 |
|
|
none |
读取 |
|
不额外 |
|
use - 使用 |
|
|
|
管理 |
|
|
none |
命令动词 | 权限 | API 全面覆盖 | API 已部分覆盖 |
---|---|---|---|
检查 |
|
|
none |
读取 |
|
不额外 |
|
use - 使用 |
读取 + 不额外 |
不额外 |
none |
管理 |
|
|
|
命令动词 | 权限 | API 全面覆盖 | API 已部分覆盖 |
---|---|---|---|
检查 |
|
|
none |
读取 |
检查 + 不额外 |
不额外 |
none |
use - 使用 |
读取 +
|
|
|
管理 |
|
不额外 |
|
命令动词 | 权限 | API 全面覆盖 | API 已部分覆盖 |
---|---|---|---|
检查 |
|
|
none |
读取 |
不额外 |
不额外 |
none |
use - 使用 |
读取 +
|
|
|
管理 |
|
不额外 |
(两者都需要 |
自治 vmclusters
命令动词 | 权限 | API 全面覆盖 | API 已部分覆盖 |
---|---|---|---|
检查 |
|
|
|
读取 |
检查 + 不额外 |
不额外 |
none |
use - 使用 |
|
|
|
管理 |
|
|
|
命令动词 | 权限 | API 全面覆盖 | API 已部分覆盖 |
---|---|---|---|
检查 | AUTONOMOUS_VIRTUAL_MACHINE_INSPECT |
|
none |
每个 API 操作所需的权限
自治容器数据库 (Autonomous Container Database,ACD) 和 Autonomous Database (ADB) 是 Oracle Public Cloud 、 Multicloud 和 Exadata Cloud@Customer 部署之间的常见资源。因此,下表中的两个部署的权限相同。
-
Exadata Cloud@Customer 的 AUTONOMOUS_VM_CLUSTER_UPDATE 和 AUTONOMOUS_CONTAINER_DATABASE_CREATE 权限。
-
对 Oracle Public Cloud 和 Multicloud 具有 CLOUD_AUTONOMOUS_VM_CLUSTER_UPDATE 和 AUTONOMOUS_CONTAINER_DATABASE_CREATE 权限。
有关权限的信息,请参阅权限。
下表按逻辑顺序列出了 Autonomous Database 资源的 API 操作,并按资源类型分组。
您可以使用 API 查看和管理 an Autonomous Database 的各种基础设施资源。有关管理不同 Autonomous Database 资源的 REST API 端点列表,请参阅 API Reference for Autonomous Database on Dedicated Exadata Infrastructure 。
用户访问权限在 IAM 策略语句中定义。创建策略语句以向组授予对特定动词和资源类型的访问权限时,实际上是向该组授予对一个或多个预定义 IAM 权限的访问权限。动词的目的是简化授予多个相关权限的过程。
如果要允许或拒绝特定的 IAM 权限,请向策略语句中添加 where
条件。例如,要允许一组组组管理员对 Exadata 基础结构资源执行任何操作(除了删除这些资源之外),您可以创建以下策略语句:
Allow group FleetAdmins to manage cloud-exadata-infrastructures in tenancy where request.permission != 'CLOUD_EXADATA_INFRASTRUCTURE_DELETE'
然后,您可以省略 where
条件,允许较小的组组组管理员对 Exadata 基础结构资源执行任何操作(包括删除):
Allow group FleetSuperAdmins to manage cloud-exadata-infrastructures in tenancy
有关以这种方式使用 where
条件的更多信息,请参见 Permissions 的 "Scoping Access with Permissions or API Operations" 部分。
管理 Exadata 基础结构资源的策略
下表列出了云用户对 Exadata 基础结构资源执行管理操作所需的 IAM 策略。
操作 | Oracle Public Cloud 和多云上的必需 IAM 策略 | Exadata Cloud@Customer 上的必需 IAM 策略 |
---|---|---|
创建 Exadata 基础结构资源 |
|
|
查看 Exadata 基础结构资源列表 |
|
|
查看 Exadata 基础结构资源的详细信息 |
|
|
更改 Exadata 基础结构资源的维护计划 |
|
|
将 Exadata 基础结构资源移至其他区间 |
|
|
管理 Exadata 基础结构资源的安全证书 |
|
|
终止 Exadata 基础结构资源 |
|
|
管理自治 Exadata VM 集群的策略
下表列出了云用户在自治 Exadata VM 集群上执行管理操作所需的 IAM 策略。
操作 | Oracle Public Cloud 和多云上的必需 IAM 策略 | Exadata Cloud@Customer 上的必需 IAM 策略 |
---|---|---|
创建自治 Exadata VM 集群 |
|
|
查看自治 Exadata VM 集群列表 |
|
|
查看自治 Exadata VM 集群的详细信息 |
|
|
更改自治 VM 集群的许可证类型 |
不适用 |
|
将自治 Exadata VM 集群移至其他区间 |
|
|
终止自治 Exadata VM 集群 |
|
|
用于管理自治容器数据库的策略
下表列出了云用户对自治容器数据库 (Autonomous Container Databases,ACD) 执行管理操作所需的 IAM 策略。
操作 | 必需的 IAM 策略 |
---|---|
创建自治容器数据库 |
|
查看自治容器数据库列表 |
|
查看自治容器数据库的详细信息 |
|
更改自治容器数据库的备份保留策略 |
|
编辑自治容器数据库的维护首选项 |
|
重新启动自治容器数据库 |
|
将自治容器数据库移至其他区间 |
|
轮换自治容器数据库加密密钥 |
|
终止自治容器数据库 |
|
管理 Autonomous Data Guard 配置的策略
下表列出了云用户对 Autonomous Data Guard 配置执行管理操作所需的 IAM 策略。
操作 | 必需的 IAM 策略 |
---|---|
查看与 ACD 的 Autonomous Data Guard 关联。 |
|
列出使用与指定 ACD 或 Autonomous Database 关联的 Autonomous Data Guard 启用的 ACD。 |
|
将禁用的备用数据库恢复到活动的备用 ACD。 |
|
主 ACD 和备用 ACD 的切换角色。 |
|
故障转移到备用 ACD。当故障转移成功完成时,此备用 ACD 将成为新的主 ACD。 |
|
修改 Autonomous Data Guard 设置,例如保护模式、自动故障转移和快速启动故障转移滞后限制。 |
|
获取与指定的 Autonomous Database 关联的启用 Autonomous Data Guard 的数据库。 |
|
列出 Autonomous Database Data Guard 关联。 |
|
在 ACD 上启用 Autonomous Data Guard。 |
|
在物理备用 ACD 和快照备用 ACD 之间转换备用 ACD。 |
|
管理 Autonomous Database 的策略
下表列出了云用户在 Autonomous Database 上执行管理操作所需的 IAM 策略。
操作 | 必需的 IAM 策略 |
---|---|
创建Autonomous Database |
|
查看 Autonomous Database 的列表 |
|
查看 an Autonomous Database 的详细信息 |
|
设置 Autonomous Database ADMIN 用户的密码 |
|
扩展 an Autonomous Database 的 CPU 核心数或存储 |
|
为 an Autonomous Database 启用或禁用自动缩放 |
|
将 an Autonomous Database 移至其他区间 |
|
停止或启动 Autonomous Database |
|
重新启动 Autonomous Database |
|
手动备份 Autonomous Database |
|
恢复 Autonomous Database |
|
克隆 Autonomous Database |
|
终止一个 Autonomous Database |
|