Autonomous Database on Dedicated Exadata Infrastructure 的 IAM 策略

本文列出了在专用 Exadata 基础结构上管理 Autonomous Database 的基础结构资源所需的 IAM 策略。

Oracle Autonomous Database on Dedicated Exadata Infrastructure 依靠 IAM(身份和访问管理)服务来验证和授权云技术用户执行使用任何 Oracle Cloud Infrastructure 接口(控制台、REST API、CLI 或 SDK)的操作。IAM 服务使用区间策略来控制哪些云用户可以访问哪些资源。

Autonomous Database 的策略详细信息

本主题详细介绍如何编写策略来控制对 Autonomous Database 资源的访问。

策略定义用户组对单个区间中特定资源的访问类型。有关更多信息,请参见策略入门

提示:

有关策略示例,请参见让数据库和组管理员管理自治数据库

资源类型

聚合资源类型涵盖直接遵循的各个资源类型的列表。例如,编写一个允许组访问 autonomous-database-family 的策略相当于为该组编写四个单独的策略,这些策略将授予对 autonomous-databasesautonomous-backupsautonomous-container-databasescloud-autonomous-vmclusters 资源类型的访问权限。有关更多信息,请参见 Resource-Types

Autonomous Database 的资源类型

聚合资源类型:

autonomous-database-family

单个资源类型:

autonomous-databases

autonomous-backups

autonomous-container-databases

cloud-autonomous-vmclusters (仅限 Oracle Public Cloud 部署)

autonomous-vmclusters (仅限 Oracle Exadata Cloud@Customer 部署)

autonomous-virtual-machine

提示:

聚合资源类型 database-family 分别涵盖了在 Oracle Public CloudExadata Cloud@Customer 上预配 Autonomous Database 所需的 cloud-exadata-infrastructuresexadata-infrastructures 资源类型。有关 database-family 所涵盖资源的更多信息,请参见 Policy Details for Exadata Cloud Service InstancesPolicy Details for Base Database Service

支持的变量

支持常规变量。有关更多信息,请参见 General Variables for All Requests

此外,还可以使用 target.workloadType 变量,如下表所示:

target.workloadType 值 说明
OLTP 在线事务处理,用于具有自治事务处理工作负载的 Autonomous Database
DW 数据仓库,用于具有 Autonomous Data Warehouse 工作负载的 Autonomous Database
使用 target.workloadType 变量的策略示例:
Allow group ADB-Admins 
to manage autonomous-database 
in tenancy where target.workloadType = 'workload_type'

有关动词 + 资源类型组合的详细信息

inspect > read > use > manage 进行访问时,访问级别是累加的。表单元格中的加号 (+) 表示与它正上方的单元格相比的增量访问,而“无额外”表示没有增量访问。

例如,autonomous-databases 资源类型的 read 动词包含与 inspect 动词相同的权限和 API 操作,以及 AUTONOMOUS_DATABASE_CONTENT_READ 权限。read 动词部分涵盖了 CreateAutonomousDatabaseBackup 操作,该操作还需要管理 autonomous-backups 的权限。

下表显示了每个动词涵盖的权限和 API 操作。有关权限的信息,请参阅权限

用于自治数据库系列资源类型

注意:

autonomous-database-family 涵盖的资源系列可用于授予对与所有 Autonomous Database 工作负载类型关联的数据库资源的访问权限。
自治数据库
命令动词 权限 API 全面覆盖 API 已部分覆盖

检查

AUTONOMOUS_DATABASE_INSPECT

GetAutonomousDatabase, ListAutonomousDatabases

none

读取

INSPECT +

AUTONOMOUS_DATABASE_CONTENT_READ

不额外

CreateAutonomousDatabaseBackup(也需要 manage autonomous-backups

use - 使用

READ +

AUTONOMOUS_DATABASE_CONTENT_WRITE

AUTONOMOUS_DATABASE_UPDATE

UpdateAutonomousDatabase

RestoreAutonomousDatabase(也需要 read autonomous-backups

ChangeAutonomousDatabaseCompartment(也需要 read autonomous-backups

管理

USE +

AUTONOMOUS_DATABASE_CREATE

AUTONOMOUS_DATABASE_DELETE

CreateAutonomousDatabase

none

自治备份
命令动词 权限 API 全面覆盖 API 已部分覆盖

检查

AUTONOMOUS_DB_BACKUP_INSPECT

ListAutonomousDatabaseBackups, GetAutonomousDatabaseBackup

none

读取

INSPECT +

AUTONOMOUS_DB_BACKUP_CONTENT_READ

不额外

RestoreAutonomousDatabase(也需要 use autonomous-databases

ChangeAutonomousDatabaseCompartment(也需要 use autonomous-databases

use - 使用

读取 +

不额外

不额外

none

管理

USE +

AUTONOMOUS_DB_BACKUP_CREATE

AUTONOMOUS_DB_BACKUP_DELETE

DeleteAutonomousDatabaseBackup

CreateAutonomousDatabaseBackup(也需要 read autonomous-databases

自治容器数据库
命令动词 权限 API 全面覆盖 API 已部分覆盖

检查

AUTONOMOUS_CONTAINER_DATABASE_INSPECT

ListAutonomousContainerDatabases, GetAutonomousContainerDatabase

none

读取

检查 +

不额外

不额外

none

use - 使用

读取 +

AUTONOMOUS_CONTAINER_DATABASE_UPDATE

UpdateAutonomousContainerDatabase

ChangeAutonomousContainerDatabaseCompartment

CreateAutonomousDatabase(也需要 manage autonomous-databases

管理

USE +

AUTONOMOUS_CONTAINER_DATABASE_CREATE

AUTONOMOUS_CONTAINER_DATABASE_DELETE

不额外

CreateAutonomousContainerDatabase, TerminateAutonomousContainerDatabase(两者都需要 use cloud-autonomous-vmclusters, use cloud-exadata-infrastructures

云自治云集群
命令动词 权限 API 全面覆盖 API 已部分覆盖

检查

CLOUD_AUTONOMOUS_VM_CLUSTER_INSPECT

ListCloudAutonomousVmClusters

GetCloudAutonomousVmCluster

none

读取

INSPECT +

不额外

不额外

none

use - 使用

读取 +

CLOUD_AUTONOMOUS_VM_CLUSTER_UPDATE

UpdateCloudAutonomousVmCluster

ChangeCloudAutonomousVmClusterCompartment

CreateAutonomousDatabase(也需要 manage autonomous-databases

CreateAutonomousContainerDatabase(也需要 manage autonomous-container-databases

管理

USE +

CLOUD_AUTONOMOUS_VM_CLUSTER_CREATE

CLOUD_AUTONOMOUS_VM_CLUSTER_DELETE

不额外

CreateCloudAutonomousVmCluster, DeleteCloudAutonomousVmCluster

(两者都需要 use vnics, use subnets, use cloud-exadata-infrastructures

自治 vmclusters

命令动词 权限 API 全面覆盖 API 已部分覆盖
检查

AUTONOMOUS_VM_CLUSTER_INSPECT

ListAutonomousVmClusters

GetAutonomousVmCluster

ChangeAutonomousVmClusterCompartment

读取

检查 +

不额外

不额外

none

use - 使用

READ +

AUTONOMOUS_VM_CLUSTER_UPDATE

ChangeAutonomousVmClusterCompartment

UpdateAutonomousVmCluster

CreateAutonomousContainerDatabase

TerminateAutonomousContainerDatabase

管理

USE +

AUTONOMOUS_VM_CLUSTER_CREATE +

AUTONOMOUS_VM_CLUSTER_DELETE

DeleteAutonomousVmCluster

CreateAutonomousVmCluster

自动虚拟机
命令动词 权限 API 全面覆盖 API 已部分覆盖
检查 AUTONOMOUS_VIRTUAL_MACHINE_INSPECT

GetAutonomousVirtualMachine

ListAutonomousVirtualMachines

none

每个 API 操作所需的权限

自治容器数据库 (Autonomous Container Database,ACD) 和 Autonomous Database (ADB) 是 Oracle Public CloudMulticloudExadata Cloud@Customer 部署之间的常见资源。因此,下表中的两个部署的权限相同。

但是,某些 ACD 操作需要 AVMC 级别的权限,由于 Oracle Public CloudExadata Cloud@Customer 的 AVMC 资源不同,因此您需要对每种部署类型具有不同的权限。例如,要创建 ACD,您需要:
  • Exadata Cloud@Customer 的 AUTONOMOUS_VM_CLUSTER_UPDATE 和 AUTONOMOUS_CONTAINER_DATABASE_CREATE 权限。

  • Oracle Public CloudMulticloud 具有 CLOUD_AUTONOMOUS_VM_CLUSTER_UPDATE 和 AUTONOMOUS_CONTAINER_DATABASE_CREATE 权限。

有关权限的信息,请参阅权限

下表按逻辑顺序列出了 Autonomous Database 资源的 API 操作,并按资源类型分组。

Autonomous Database API 操作

您可以使用 API 查看和管理 an Autonomous Database 的各种基础设施资源。有关管理不同 Autonomous Database 资源的 REST API 端点列表,请参阅 API Reference for Autonomous Database on Dedicated Exadata Infrastructure

限制用户对特定权限的访问

用户访问权限在 IAM 策略语句中定义。创建策略语句以向组授予对特定动词和资源类型的访问权限时,实际上是向该组授予对一个或多个预定义 IAM 权限的访问权限。动词的目的是简化授予多个相关权限的过程。

如果要允许或拒绝特定的 IAM 权限,请向策略语句中添加 where 条件。例如,要允许一组组组管理员对 Exadata 基础结构资源执行任何操作(除了删除这些资源之外),您可以创建以下策略语句:

Allow group FleetAdmins to manage cloud-exadata-infrastructures in tenancy where request.permission != 'CLOUD_EXADATA_INFRASTRUCTURE_DELETE'

然后,您可以省略 where 条件,允许较小的组组组管理员对 Exadata 基础结构资源执行任何操作(包括删除):

Allow group FleetSuperAdmins to manage cloud-exadata-infrastructures in tenancy

有关以这种方式使用 where 条件的更多信息,请参见 Permissions 的 "Scoping Access with Permissions or API Operations" 部分。

管理 Exadata 基础结构资源的策略

下表列出了云用户对 Exadata 基础结构资源执行管理操作所需的 IAM 策略。

操作 Oracle Public Cloud 和多云上的必需 IAM 策略 Exadata Cloud@Customer 上的必需 IAM 策略

创建 Exadata 基础结构资源

manage cloud-exadata-infrastructures

use vnic

use subnet

manage exadata-infrastructures

查看 Exadata 基础结构资源列表

inspect cloud-exadata-infrastructures

inspect exadata-infrastructures

查看 Exadata 基础结构资源的详细信息

inspect cloud-exadata-infrastructures

inspect exadata-infrastructures

更改 Exadata 基础结构资源的维护计划

use cloud-exadata-infrastructures

use exadata-infrastructures

将 Exadata 基础结构资源移至其他区间

use cloud-exadata-infrastructures

use exadata-infrastructures

管理 Exadata 基础结构资源的安全证书

manage cloud-exadata-infrastructures

manage exadata-infrastructures

终止 Exadata 基础结构资源

manage cloud-exadata-infrastructures

use vnic

use subnet

manage exadata-infrastructures

管理自治 Exadata VM 集群的策略

下表列出了云用户在自治 Exadata VM 集群上执行管理操作所需的 IAM 策略。

操作 Oracle Public Cloud 和多云上的必需 IAM 策略 Exadata Cloud@Customer 上的必需 IAM 策略

创建自治 Exadata VM 集群

manage cloud-autonomous-vmclusters

use cloud-exadata-infrastructures

manage autonomous-vmclusters

use exadata-infrastructures

查看自治 Exadata VM 集群列表

inspect cloud-autonomous-vmclusters

inspect autonomous-vmclusters

查看自治 Exadata VM 集群的详细信息

inspect cloud-autonomous-vmclusters

inspect autonomous-vmclusters

更改自治 VM 集群的许可证类型

不适用

use autonomous-vmclusters

inspect exadata-infrastructures

将自治 Exadata VM 集群移至其他区间

use cloud-autonomous-vmclusters

use autonomous-vmclusters

终止自治 Exadata VM 集群

manage cloud-autonomous-vmclusters

manage autonomous-vmclusters

用于管理自治容器数据库的策略

下表列出了云用户对自治容器数据库 (Autonomous Container Databases,ACD) 执行管理操作所需的 IAM 策略。

操作 必需的 IAM 策略

创建自治容器数据库

manage autonomous-container-databases

use cloud-exadata-infrastructures(如果在 Oracle Public CloudMulticloud 上创建自治容器数据库)。

use cloud-autonomous-vmclusters(如果在 Oracle Public CloudMulticloud 上创建自治容器数据库)。

use autonomous-vmclusters(如果在 Exadata Cloud@Customer 上创建自治容器数据库)。

use backup-destinations(如果在 Exadata Cloud@Customer 上创建自治容器数据库)。

查看自治容器数据库列表

inspect autonomous-container-databases

查看自治容器数据库的详细信息

inspect autonomous-container-databases

更改自治容器数据库的备份保留策略

use autonomous-container-databases

编辑自治容器数据库的维护首选项

use autonomous-container-databases

重新启动自治容器数据库

use autonomous-container-databases

将自治容器数据库移至其他区间

use autonomous-container-databases

轮换自治容器数据库加密密钥

use autonomous-container-databases

inspect autonomous-container-databases

终止自治容器数据库

manage autonomous-container-databases

use cloud-exadata-infrastructures(如果在 Oracle Public CloudMulticloud 上创建自治容器数据库)。

use cloud-autonomous-vmclusters(如果在 Oracle Public CloudMulticloud 上创建自治容器数据库)。

use autonomous-vmclusters(如果在 Exadata Cloud@Customer 上创建自治容器数据库)。

管理 Autonomous Data Guard 配置的策略

下表列出了云用户对 Autonomous Data Guard 配置执行管理操作所需的 IAM 策略。

操作 必需的 IAM 策略

查看与 ACD 的 Autonomous Data Guard 关联。

inspect autonomous-container-databases

列出使用与指定 ACD 或 Autonomous Database 关联的 Autonomous Data Guard 启用的 ACD。

inspect autonomous-container-databases

将禁用的备用数据库恢复到活动的备用 ACD。

inspect autonomous-container-databases

update autonomous-container-databases

主 ACD 和备用 ACD 的切换角色。

inspect autonomous-container-databases

update autonomous-container-databases

故障转移到备用 ACD。当故障转移成功完成时,此备用 ACD 将成为新的主 ACD。

inspect autonomous-container-databases

update autonomous-container-databases

修改 Autonomous Data Guard 设置,例如保护模式、自动故障转移和快速启动故障转移滞后限制。

inspect autonomous-container-databases

update autonomous-container-databases

获取与指定的 Autonomous Database 关联的启用 Autonomous Data Guard 的数据库。

inspect autonomous-container-databases

列出 Autonomous Database Data Guard 关联。

inspect autonomous-container-databases

在 ACD 上启用 Autonomous Data Guard。

inspect cloud-autonomous-vmclustersinspect autonomous-vmclusters

inspect autonomous-container-databases

update autonomous-container-databases

在物理备用 ACD 和快照备用 ACD 之间转换备用 ACD。

inspect cloud-autonomous-vmclustersinspect autonomous-vmclusters

inspect autonomous-container-databases

update autonomous-container-databases

管理 Autonomous Database 的策略

下表列出了云用户在 Autonomous Database 上执行管理操作所需的 IAM 策略。

操作 必需的 IAM 策略

创建Autonomous Database

manage autonomous-databases

read autonomous-container-databases

查看 Autonomous Database 的列表

inspect autonomous-databases

查看 an Autonomous Database 的详细信息

inspect autonomous-databases

设置 Autonomous Database ADMIN 用户的密码

use autonomous-databases

扩展 an Autonomous Database 的 CPU 核心数或存储

use autonomous-databases

an Autonomous Database 启用或禁用自动缩放

use autonomous-databases

an Autonomous Database 移至其他区间

use autonomous-databases 位于 Autonomous Database 的当前区间以及要将其移至的区间中

read autonomous-backups

停止或启动 Autonomous Database

use autonomous-databases

重新启动 Autonomous Database

use autonomous-databases

手动备份 Autonomous Database

read autonomous-databases

manage autonomous-backups

恢复 Autonomous Database

use autonomous-databases

read autonomous-backups

克隆 Autonomous Database

manage autonomous-databases

read autonomous-container-databases

终止一个 Autonomous Database

manage autonomous-databases