专用 Exadata 基础结构上自治 AI 数据库的 IAM 策略
本文列出了在专用 Exadata 基础结构上管理 Autonomous AI Database 的基础结构资源所需的 IAM 策略。
基于专用 Exadata 基础设施的 Oracle Autonomous AI Database 依赖 IAM(身份和访问管理)服务来验证和授权云用户执行使用任何 Oracle Cloud Infrastructure 接口(控制台、REST API、CLI 或 SDK)的操作。IAM 服务使用组、区间和策略来控制哪些云用户可以访问哪些资源。
自治 AI 数据库的策略详细信息
本主题详细介绍了如何编写策略来控制对 Autonomous AI Database 资源的访问。
提示:
有关示例策略,请参阅让数据库和组管理员管理 Autonomous AI Database。资源类型
聚合资源类型涵盖直接遵循的各个资源类型的列表。例如,编写一个允许组访问 autonomous-database-family 的策略相当于为该组编写四个单独的策略,这些策略将授予对 autonomous-databases、autonomous-backups、autonomous-container-databases 和 cloud-autonomous-vmclusters 资源类型的访问权限。有关更多信息,请参见 Resource-Types 。
聚合资源类型:
autonomous-database-family
单个资源类型:
autonomous-databases
autonomous-backups
autonomous-container-databases
cloud-autonomous-vmclusters (仅限 Oracle Public Cloud 部署)
autonomous-vmclusters (仅限 Oracle Exadata Cloud@Customer 部署)
autonomous-virtual-machine
提示:
分别在 Oracle Public Cloud 和 Exadata Cloud@Customer 上预配 Autonomous AI Database 所需的cloud-exadata-infrastructures 和 exadata-infrastructures 资源类型包含在聚合资源类型 database-family 中。有关 database-family 所涵盖资源的更多信息,请参见 Policy Details for Exadata Cloud Service Instances 和 Policy Details for Base Database Service 。
支持的变量
支持常规变量。有关更多信息,请参见 General Variables for All Requests 。
此外,还可以使用 target.workloadType 变量,如下表所示:
| target.workloadType 值 | 说明 |
|---|---|
OLTP |
Online Transaction Processing(联机事务处理),用于具有 Autonomous Transaction Processing 工作负载的 Autonomous AI Database 。 |
DW |
Data Warehouse,用于具有 Autonomous Data Warehouse 工作负载的 Autonomous AI Database 。 |
Allow group ADB-Admins
to manage autonomous-database
in tenancy where target.workloadType = 'workload_type'有关动词 + 资源类型组合的详细信息
从 inspect > read > use > manage 进行访问时,访问级别是累加的。表单元格中的加号 (+) 表示与它正上方的单元格相比的增量访问,而“无额外”表示没有增量访问。
例如,autonomous-databases 资源类型的 read 动词包含与 inspect 动词相同的权限和 API 操作,以及 AUTONOMOUS_DATABASE_CONTENT_READ 权限。read 动词部分涵盖了 CreateAutonomousDatabaseBackup 操作,该操作还需要管理 autonomous-backups 的权限。
下表显示了每个动词涵盖的权限和 API 操作。有关权限的信息,请参阅权限。
注意:
autonomous-database-family 涵盖的资源系列可用于授予对与所有 Autonomous AI Database 工作负载类型关联的数据库资源的访问权限。| 命令动词 | 权限 | API 全面覆盖 | API 已部分覆盖 |
|---|---|---|---|
|
检查 |
|
|
none |
|
读取 |
|
不额外 |
|
|
use - 使用 |
|
|
|
|
管理 |
|
|
none |
| 命令动词 | 权限 | API 全面覆盖 | API 已部分覆盖 |
|---|---|---|---|
|
检查 |
|
|
none |
|
读取 |
|
不额外 |
|
|
use - 使用 |
读取 + 不额外 |
不额外 |
none |
|
管理 |
|
|
|
| 命令动词 | 权限 | API 全面覆盖 | API 已部分覆盖 |
|---|---|---|---|
|
检查 |
|
|
none |
|
读取 |
检查 + 不额外 |
不额外 |
none |
|
use - 使用 |
读取 +
|
|
|
|
管理 |
|
不额外 |
|
| 命令动词 | 权限 | API 全面覆盖 | API 已部分覆盖 |
|---|---|---|---|
|
检查 |
|
|
none |
|
读取 |
不额外 |
不额外 |
none |
|
use - 使用 |
读取 +
|
|
|
|
管理 |
|
不额外 |
(两者都需要 |
自治 vmclusters
| 命令动词 | 权限 | API 全面覆盖 | API 已部分覆盖 |
|---|---|---|---|
| 检查 |
|
|
|
| 读取 |
检查 + 不额外 |
不额外 |
none |
| use - 使用 |
|
|
|
| 管理 |
|
|
|
| 命令动词 | 权限 | API 全面覆盖 | API 已部分覆盖 |
|---|---|---|---|
| 检查 | AUTONOMOUS_VIRTUAL_MACHINE_INSPECT |
|
none |
每个 API 操作所需的权限
自治容器数据库 (ACD) 和 Autonomous AI Database (ADB) 是 Oracle Public Cloud 、 Multicloud 和 Exadata Cloud@Customer 部署之间的常用资源。因此,下表中的两个部署的权限相同。
-
Exadata Cloud@Customer 的 AUTONOMOUS_VM_CLUSTER_UPDATE 和 AUTONOMOUS_CONTAINER_DATABASE_CREATE 权限。
-
对 Oracle Public Cloud 和 Multicloud 具有 CLOUD_AUTONOMOUS_VM_CLUSTER_UPDATE 和 AUTONOMOUS_CONTAINER_DATABASE_CREATE 权限。
有关权限的信息,请参阅权限。
下表按逻辑顺序列出了 Autonomous AI Database 资源的 API 操作,这些操作按资源类型分组。
您可以使用 API 查看和管理自治 AI 数据库的不同基础设施资源。有关用于管理不同 Autonomous AI Database 资源的 REST API 端点列表,请参见 API Reference for Autonomous AI Database on Dedicated Exadata Infrastructure 。
用户访问权限在 IAM 策略语句中定义。创建策略语句以向组授予对特定动词和资源类型的访问权限时,实际上是向该组授予对一个或多个预定义 IAM 权限的访问权限。动词的目的是简化授予多个相关权限的过程。
如果要允许或拒绝特定的 IAM 权限,请向策略语句中添加 where 条件。例如,要允许一组组组管理员对 Exadata 基础结构资源执行任何操作(除了删除这些资源之外),您可以创建以下策略语句:
Allow group FleetAdmins to manage cloud-exadata-infrastructures in tenancy where request.permission != 'CLOUD_EXADATA_INFRASTRUCTURE_DELETE'
然后,您可以省略 where 条件,允许较小的组组组管理员对 Exadata 基础结构资源执行任何操作(包括删除):
Allow group FleetSuperAdmins to manage cloud-exadata-infrastructures in tenancy
有关以这种方式使用 where 条件的更多信息,请参见 Permissions 的 "Scoping Access with Permissions or API Operations" 部分。
管理 Exadata 基础结构资源的策略
下表列出了云用户对 Exadata 基础结构资源执行管理操作所需的 IAM 策略。
| 操作 | Oracle Public Cloud 和多云上的必需 IAM 策略 | Exadata Cloud@Customer 上的必需 IAM 策略 |
|---|---|---|
|
创建 Exadata 基础结构资源 |
|
|
|
查看 Exadata 基础结构资源列表 |
|
|
|
查看 Exadata 基础结构资源的详细信息 |
|
|
|
更改 Exadata 基础结构资源的维护计划 |
|
|
|
将 Exadata 基础结构资源移至其他区间 |
|
|
|
管理 Exadata 基础结构资源的安全证书 |
|
|
|
终止 Exadata 基础结构资源 |
|
|
管理自治 Exadata VM 集群的策略
下表列出了云用户在自治 Exadata VM 集群上执行管理操作所需的 IAM 策略。
| 操作 | Oracle Public Cloud 和多云上的必需 IAM 策略 | Exadata Cloud@Customer 上的必需 IAM 策略 |
|---|---|---|
|
创建自治 Exadata VM 集群 |
|
|
|
查看自治 Exadata VM 集群列表 |
|
|
|
查看自治 Exadata VM 集群的详细信息 |
|
|
|
更改自治 VM 集群的许可证类型 |
不适用 |
|
|
将自治 Exadata VM 集群移至其他区间 |
|
|
|
终止自治 Exadata VM 集群 |
|
|
用于管理自治容器数据库的策略
下表列出了云用户对自治容器数据库 (Autonomous Container Databases,ACD) 执行管理操作所需的 IAM 策略。
| 操作 | 必需的 IAM 策略 |
|---|---|
|
创建自治容器数据库 |
|
|
查看自治容器数据库列表 |
|
|
查看自治容器数据库的详细信息 |
|
|
更改自治容器数据库的备份保留策略 |
|
|
编辑自治容器数据库的维护首选项 |
|
|
重新启动自治容器数据库 |
|
|
将自治容器数据库移至其他区间 |
|
|
轮换自治容器数据库加密密钥 |
|
|
终止自治容器数据库 |
|
管理 Autonomous Data Guard 配置的策略
下表列出了云用户对 Autonomous Data Guard 配置执行管理操作所需的 IAM 策略。
| 操作 | 必需的 IAM 策略 |
|---|---|
|
查看与 ACD 的 Autonomous Data Guard 关联。 |
|
|
列出启用了与指定 ACD 或 Autonomous AI Database 关联的 Autonomous Data Guard 的 ACD。 |
|
|
将禁用的备用数据库恢复到活动的备用 ACD。 |
|
|
主 ACD 和备用 ACD 的切换角色。 |
|
|
故障转移到备用 ACD。当故障转移成功完成时,此备用 ACD 将成为新的主 ACD。 |
|
|
修改 Autonomous Data Guard 设置,例如保护模式、自动故障转移和快速启动故障转移滞后限制。 |
|
|
获取与指定的 Autonomous AI Database 关联的启用了 Autonomous Data Guard 的数据库。 |
|
|
列出 Autonomous AI Database Data Guard 关联。 |
|
|
在 ACD 上启用 Autonomous Data Guard。 |
|
|
在物理备用 ACD 和快照备用 ACD 之间转换备用 ACD。 |
|
管理自治 AI 数据库的策略
下表列出了云用户对 Autonomous AI Database 执行管理操作所需的 IAM 策略。
| 操作 | 必需的 IAM 策略 |
|---|---|
|
创建自治 AI 数据库 |
|
|
查看 Autonomous AI Database 列表 |
|
|
查看自治 AI 数据库的详细信息 |
|
|
设置自治 AI 数据库的 ADMIN 用户的密码 |
|
|
扩展 自治 AI 数据库的 CPU 核心计数或存储 |
|
|
为自治 AI 数据库启用或禁用自动缩放 |
|
|
将自治 AI 数据库移至其他区间 |
|
|
停止或启动自治 AI 数据库 |
|
|
重新启动自治 AI 数据库 |
|
|
手动备份自治 AI 数据库 |
|
|
恢复自治 AI 数据库 |
|
|
克隆自治 AI 数据库 |
|
|
终止自治 AI 数据库 |
|