配置租户
在使用 Oracle 全局分布式数据库服务创建和管理分布式数据库之前,您必须执行这些准备任务来组织租户、为各种资源创建策略,然后采购和配置网络、安全性和基础设施资源。
任务 1。订阅阿什本地区
作为租户管理员,订阅阿什本 (Ashburn,IAD) 区域以及运行全球分布式自治 AI 数据库实施所需的所有区域。
- 订阅阿什本 (IAD) 区域。
- 要使用该服务,您必须订阅阿什本区域。
-
您的租户主区域不必是阿什本区域,但您必须订阅阿什本区域才能使用 Oracle 的全球分布式数据库服务。
- 订阅将放置数据库的任何其他区域。
- 订阅您计划为实施放置数据库的任何区域;这包括目录的数据库、分片以及您计划为备用数据库使用 Oracle Data Guard 的数据库。
有关更多信息,请参见 Managing Regions 。
父主题:配置租户
任务 2。创建区段
以租户管理员身份,在租户中为全局分布式自治 AI 数据库所需的所有资源创建区间。
Oracle 建议使用以下结构,并在设置任务中引用这些区间:
- 整个部署的“父”区间。这是示例中的 gdd 。
- 每种资源的“子”区间:
- gdd_certs_vaults_keys ,表示证书颁发机构、证书、证书包、 Vault 和密钥
- 适用于云自治 VM 集群的 gdd_clusters
- gdd_databases ,用于数据库、VCN、子网、专用端点和全局分布式数据库资源。
- gdd_exadata (适用于 Exadata 基础结构)
- gdd_instances ,表示应用服务器的计算实例(充当堡垒以连接到数据库的边缘节点/跳转主机)
生成的区间结构类似于以下内容:
tenant /
gdd /
gdd_certs_vaults_keys
gdd_clusters
gdd_databases
gdd_exadata
gdd_instances
有关更多信息,请参阅使用区间。
父主题:配置租户
任务 3。创建用户访问约束条件
制定访问控制计划,然后通过创建相应的 IAM(身份和访问管理)资源来建立访问控制计划。因此,分布式数据库中的访问控制在各个级别实施,这些级别由此处的组和策略定义。
下表中介绍的用户组、动态组和策略应指导您为分布式数据库实施创建自己的用户访问控制计划。
以租户管理员身份创建以下建议的组、动态组和策略,以向以前定义的角色授予权限。示例和文档链接假定您的租户使用身份域。
了解角色离职
您需要确保您的云用户有权使用和只创建相应类型的云资源来履行其工作职责。Globally Distributed Database 的最佳实践是定义用于角色分离的角色。
下表中介绍的角色和职责应指导您了解如何为全局分布式自治 AI 数据库实施定义用户组、动态组和策略。此处显示的示例角色将用于整个环境设置、资源创建和管理说明。
| 角色 | 责任 |
|---|---|
| 方案使用方管理员 |
订阅地区 创建区间的 创建动态组、用户组和策略 |
| 基础结构管理员 |
创建/更新/删除 virtual-network-family 创建/更新/删除自治 Exadata 基础结构 创建/更新/删除自治 Exadata VM 集群 标记自治 Exadata VM 群集 创建/更新/删除全局分布式自治 AI 数据库专用端点 |
| 证书管理员 |
创建/更新/删除 Vault 创建/更新/删除关键字 创建/更新/删除证书颁发机构 创建/更新/删除证书 创建/更新/删除 CA 包 将证书和证书包上载到自治 Exadata VM 集群 下载 GSM 证书签名请求 (Certificate Signing Request,CSR) 基于 GSM CSR 创建 GSM 证书 上载 GSM 证书 |
| User | 使用 UI 和 API 创建和管理全局分布式数据库 |
父主题:任务 3。创建用户访问约束条件
动态组
创建以下动态组以控制对在 Globally Distributed Database 区间中创建资源的访问。
有关说明,请参见 Creating a Dynamic Group 。
| 动态组名 | 说明 | 规则 |
|---|---|---|
| gdd-cas-dg | 证书颁发机构资源 |
全部 resource.type='certificateauthority' resource.compartment.id = ‘区间租户根目录 / gdd / gdd_certs_vaults_keys 的 OCID ’ |
| gdd 集群 -dg | 自治 VM 集群资源的 |
全部 resource.compartment.id = ‘区间租户根目录 / gdd / gdd_clusters 的 OCID ’ |
| gdd 实例 -dg | 计算实例资源 |
全部 resource.compartment.id = ‘区间租户根目录 / gdd / gdd_instances 的 OCID ’ |
父主题:任务 3。创建用户访问约束条件
用户组
创建以下组以授予用户使用 Globally Distributed Database 区间中资源的权限。
有关说明,请参见 Creating a Group 。
| 用户组名 | 说明 |
|---|---|
| gdd- 证书 - 管理员 | 用于创建和管理密钥和 Vault 的证书管理员。 |
| gdd 基础结构管理员 | 创建和管理云网络和基础设施资源的基础设施管理员 |
| gdd 用户 | 使用 API 和 UI 创建和管理全局分布式数据库资源的用户 |
父主题:任务 3。创建用户访问约束条件
策略
创建 IAM 策略以向组授予对在全局分布式自治 AI 数据库区间中创建的资源的访问权限。
以下示例策略基于之前创建的区间结构和组,应当指导您为全局分布式自治 AI 数据库实施创建自己的 IAM 策略。
身份域(例如,默认域)应当是您在其中创建组的身份域。
有关说明,请参见 Creating a Policy 。
gdd- 证书 - 管理员 - 租户级别
- 说明:组 gdd-certificate-admins 的租户级别权限
- 区间:租户
- 声明:
Allow group 'Default' / 'gdd-certificate-admins' to INSPECT tenancies in tenancy Allow group 'Default' / 'gdd-certificate-admins' to INSPECT work-requests in tenancy
gdd-infrastructure-admins-tenant-level
- 说明:组 gdd-infrastructure-admins 的租户级别权限
- 区间:租户
- 声明:
Allow group 'Default' / 'gdd-infrastructure-admins' to INSPECT tenancies in tenancy Allow group 'Default' / 'gdd-infrastructure-admins' to INSPECT work-requests in tenancy Allow group 'Default' / 'gdd-infrastructure-admins' to READ limits in tenancy Allow group 'Default' / 'gdd-infrastructure-admins' to READ tag-namespaces in tenancy
gdd-users-tenant-level
-
说明:组 gdd 用户的租户级别权限
- 区间:租户
- 声明:
Allow group 'Default' / 'gdd-users' to INSPECT tenancies in tenancy Allow group 'Default' / 'gdd-users' to INSPECT work-requests in tenancy Allow group 'Default' / 'gdd-users' to READ limits in tenancy Allow group 'Default' / 'gdd-users' to READ distributed-autonomous-database in tenancy Allow group 'Default' / 'gdd-users' to READ tag-namespaces in tenancy
gdd- 证书 - 管理员
- 说明:组 gdd-certificate-admins 的区间级别权限
- 区间:租户/gdd
- 声明:
Allow group 'Default' / 'gdd-certificate-admins' to MANAGE certificate-authority-family in compartment gdd Allow group 'Default' / 'gdd-certificate-admins' to MANAGE keys in compartment gdd Allow group 'Default' / 'gdd-certificate-admins' to MANAGE distributed-autonomous-database in compartment gdd Allow group 'Default' / 'gdd-certificate-admins' to MANAGE vaults in compartment gdd Allow group 'Default' / 'gdd-certificate-admins' to READ buckets in compartment gdd Allow group 'Default' / 'gdd-certificate-admins' to READ instances in compartment gdd Allow group 'Default' / 'gdd-certificate-admins' to READ distributed-database-workrequest in compartment gdd Allow group 'Default' / 'gdd-certificate-admins' to USE key-delegate in compartment gdd Allow group 'Default' / 'gdd-certificate-admins' to USE subnets in compartment gdd Allow group 'Default' / 'gdd-certificate-admins' to INSPECT autonomous-databases in compartment gdd Allow group 'Default' / 'gdd-certificate-admins' to INSPECT autonomous-exadata-infrastructures in compartment gdd Allow group 'Default' / 'gdd-certificate-admins' to INSPECT cloud-autonomous-vmclusters in compartment gdd此外,如果使用 Oracle Key Vault,则需要以下策略:
Allow group 'Default' / 'gdd-certificate-admins' to MANAGE secret-family in compartment gdd Allow group 'Default' / 'gdd-certificate-admins' to MANAGE keystores in compartment gdd
gdd 基础结构管理员
- 说明:组 gdd-infrastructure-admins 的区间级别权限
- 区间:租户/gdd
- 声明:
Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE autonomous-exadata-infrastructures in compartment gdd Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE cloud-autonomous-vmclusters in compartment gdd Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE instance-family in compartment gdd Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE distributed-autonomous-database in compartment gdd Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE tags in compartment gdd Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE virtual-network-family in compartment gdd Allow group 'Default' / 'gdd-infrastructure-admins' to READ autonomous-container-databases in compartment gdd Allow group 'Default' / 'gdd-infrastructure-admins' to READ autonomous-virtual-machines in compartment gdd Allow group 'Default' / 'gdd-infrastructure-admins' to READ leaf-certificate-family in compartment gdd Allow group 'Default' / 'gdd-infrastructure-admins" to READ distributed-database-workrequest in compartment gdd
gdd 用户
- 说明:组 gdd 用户的区间级别权限
- 区间:租户/gdd
- 声明:
Allow group 'Default' / 'gdad-users' to INSPECT exadata-infrastructures in compartment gdd Allow group 'Default' / 'gdad-users' to INSPECT distributed-database-privateendpoint in compartment gdd Allow group 'Default' / 'gdad-users' to INSPECT autonomous-virtual-machines in compartment gdd Allow group 'Default' / 'gdad-users' to MANAGE autonomous-backups in compartment gdd Allow group 'Default' / 'gdad-users' to MANAGE autonomous-container-databases in compartment gdd Allow group 'Default' / 'gdad-users' to MANAGE autonomous-databases in compartment gdd Allow group 'Default' / 'gdad-users' to MANAGE distributed-autonomous-database in compartment gdd Allow group 'Default' / 'gdad-users' to MANAGE instance-family in compartment gdd Allow group 'Default' / 'gdad-users' to MANAGE tags in compartment gdd Allow group 'Default' / 'gdad-users' to READ distributed-database-workrequest in compartment gdd Allow group 'Default' / 'gdad-users' to READ keys in compartment gdd Allow group 'Default' / 'gdad-users' to READ vaults in compartment gdd Allow group 'Default' / 'gdad-users' to READ vcns in compartment gdd Allow group 'Default' / 'gdad-users' to USE autonomous-exadata-infrastructures in compartment gdd Allow group 'Default' / 'gdad-users' to USE cloud-autonomous-vmclusters in compartment gdd Allow group 'Default' / 'gdad-users' to USE network-security-groups in compartment gdd Allow group 'Default' / 'gdad-users' to USE private-ips in compartment gdd Allow group 'Default' / 'gdad-users' to USE subnets in compartment gdd Allow group 'Default' / 'gdad-users' to USE vnics in compartment gdd Allow group 'Default' / 'gdad-users' to USE volumes in compartment gdd此外,如果使用 Oracle Key Vault,则需要以下策略:
Allow group 'Default' / 'gdad-users' to READ secret-family in compartment gdd Allow group 'Default' / 'gdad-users' to READ keystores in compartment gdd
gdd-dg-cas
- 说明:动态组 gdd-cas-dg 的区间级别权限
- 区间:租户/gdd
- 声明:
Allow dynamic-group 'Default' / 'gdd-cas-dg' to MANAGE objects in compartment gdd Allow dynamic-group 'Default' / 'gdd-cas-dg' to USE keys in compartment gdd
gdd-dg 集群
- 说明:动态组 gdd-clusters-dg 的区间级别权限
- 区间:租户/gdd
- 声明:
Allow dynamic-group 'Default' / 'gdd-clusters-dg' to MANAGE keys in compartment gdd_certs_vaults_keys Allow dynamic-group 'Default' / 'gdd-clusters-dg' to READ vaults in compartment gdd_certs_vaults_keys此外,如果使用 Oracle Key Vault,则需要以下策略:
Allow dynamic-group 'Default' / 'gdd-clusters-dg' to READ secret-family in compartment gdd_certs_vaults_keys Allow dynamic-group 'Default' / 'gdd-clusters-dg' to READ keystores in compartment gdd_certs_vaults_keys
gdd-kms
- 说明:密钥管理服务的区间级别权限
- 区间:租户/gdd
- 声明:
Allow service keymanagementservice to MANAGE vaults in compartment gdd_certs_vaults_keys
gdd-okv
- 说明:Oracle Key Vault 的区间级别权限
- 区间:租户/gdd
- 声明:
Allow service database to READ secret-family in compartment gdd_certs_vaults_keys
父主题:任务 3。创建用户访问约束条件
任务 4。配置网络资源
作为基础结构管理员,创建网络资源并启用分布式数据库所需的连接。
在以下说明中对示例资源进行了命名,以简化跟踪和关系。例如,名称 "gdd_iad" 指的是在阿什本 (IAD) 区域中创建的 VCN。
父主题:配置租户
公用网络资源
所有全球分布式自治 AI 数据库实施都需要在阿什本 (Ashburn,IAD) 区域中使用 VCN、子网和专用端点。
以基础结构管理员身份创建资源,如下表所述。
| 资源 | 说明 |
|---|---|
| 虚拟云技术网络 (VCN) + 子网 |
在阿什本 (IAD) 中,创建 VCN gdd_iad 和子网 gdd_subnet。 要使 Globally Distributed Autonomous AI Database 服务与 Globally Distributed Autonomous AI Database 拓扑中的数据库之间建立连接,需要此 VCN 和子网。 使用以下值:
|
| 专用端点 |
在阿什本 (Ashburn,IAD) 区域中创建专用端点,以便在全局分布式自治 AI 数据库服务和全局分布式自治 AI 数据库拓扑中的数据库之间建立连接。
|
父主题:任务 4。配置网络资源
基于拓扑的其他网络资源
根据 Globally Distributed Database 拓扑,按如下所述创建其他网络资源。
请注意,拓扑的数据库包括目录、分片和 Oracle Data Guard 备用数据库。
应在 gdd/gdd_databases 区间中创建所有网络资源。
| 用例 | 网络资源 | 对等连接和连接 |
|---|---|---|
|
所有数据库都位于阿什本 (IAD) 区域中
|
在阿什本 (IAD) 区域中为您的云自治 VM 集群创建子网和服务网关。
|
必需的对等连接 无 必需的连接 与子网 gdd_subnet 的无限制连接(为专用端点创建) |
| 所有数据库都放置在非阿什本 (IAD)* 的单个区域中 R1 |
在区域中为云自治 VM 集群创建子网和服务网关。
|
必需的对等连接 gdd_iad ↔ gdd_R1 必需的连接 在 gdd_iad.gdd_subnet(为专用端点创建)与 gdd_R1.osd-database-subnet-R1 之间不受限制 |
| 数据库位于多个区域:R1、R2、...、RN |
在每个区域中为云自治 VM 集群创建子网和服务网关。 子网:
服务网关:
|
必需的对等连接 gdd_iad ↔ gdd_R1 gdd_iad ↔ gdd_R2 gdd_iad ↔ gdd_Rn gdd_R1 ↔ gdd_R2 gdd_R1 ↔ gdd_Rn gdd_R2 ↔ gdd_Rn 必需的连接 gdd_iad.gdd_subnet(为专用端点创建)之间的无限制双向 gdd_R1.osd-database-subnet-R1 gdd_R2.osd-database-subnet-R2 gdd_Rn.osd- 数据库 - 子网 -Rn gdd_R1.osd-database-subnet-R1 和 gdd_R2.osd-database-subnet-R2 gdd_Rn.osd- 数据库 - 子网 -Rn gdd_R2.osd-database-subnet-R2 和 gdd_Rn.osd- 数据库 - 子网 -Rn |
* 全局分布式数据库服务控制层仅存在于阿什本 (IAD) 区域中。在阿什本 (Ashburn,IAD) 区域中上一步创建的专用端点用于与其各自区域中的全局分布式数据库资源通信。
父主题:任务 4。配置网络资源
任务 5。配置安全资源
作为 Globally Distributed Database 证书管理员,创建 Vault、密钥、证书颁发机构、证书和 CA 包资源。
注意:
创建引用密钥的全局分布式数据库后,如果不重新启动引用移动的 Vault 或密钥的自治容器数据库,则无法将 Vault 或密钥移动到新区间。根据 Globally Distributed Database 拓扑,按下表所述创建安全资源。
下表中使用的示例资源名称应指导您为 Globally Distributed Database 实施创建自己的安全资源。
自动数据分配,单个区域
在此用例中,安全资源是在单个区域中创建的。
在下面的示例中,所有资源都是在区域 R1 中创建的。
| 资源 | 说明和示例 |
|---|---|
| Vault |
为证书颁发机构 (Certificate Authority,CA) 和透明数据加密 (Transparent Data Encryption,TDE) 主加密密钥创建 Vault。
说明:创建 Vault |
| 证书颁发机构密钥 |
必需属性值:
|
| TDE 密钥 |
必需属性值:
|
| 证书颁发机构 |
创建 CA 以为云自治 VM 集群和 GSM 计算实例颁发证书。
您可以使用第三方 CA 创建证书,但必须将第三方 CA 颁发的证书导入 OCI 证书服务。 |
| Certificate (证书) |
创建要上载到云自治 VM 集群的证书。
说明:创建证书 |
| CA 包 |
创建 CA 包以上载到云自治 VM 集群。
|
父主题:任务 5。配置安全资源
自动数据分配、主区域和备用区域
主数据库和备用数据库放置在不同的区域中时,将产生此拓扑。在此用例中,将在主数据库和备用数据库区域中创建安全资源。
在下面的示例中,资源在区域 Rp(主)和 Rs(备用)中创建。
| 资源 | 说明和示例 |
|---|---|
| Vault |
为证书颁发机构 (Certificate Authority,CA) 主加密密钥创建 Vault。
说明:创建 Vault |
| 复制的虚拟 Vault |
为透明数据加密 (Transparent Data Encryption,TDE) 主加密密钥创建复制的虚拟 Vault。
说明:复制 Vault 和密钥 |
| 证书颁发机构密钥 |
必需属性值:
|
| TDE 密钥 |
必需属性值:
|
| 证书颁发机构 |
创建 CA 以为云自治 VM 集群和 GSM 计算实例颁发证书。
您可以使用第三方 CA 创建证书,但必须将第三方 CA 颁发的证书导入 OCI 证书服务。 |
| 证书 |
创建要上载到云自治 VM 集群的证书。 注意:您必须对 Rp 和 Rs 区域中的证书使用相同公用名称。
说明:创建证书 |
| CA 包 |
创建 CA 包以上载到云自治 VM 集群。
|
父主题:任务 5。配置安全资源
用户管理的数据分发,单个区域
在此用例中,将在单个区域中创建安全资源
在下面的示例中,所有资源都是在区域 R1 中创建的。
| 资源 | 说明和示例 |
|---|---|
| Vault |
为证书颁发机构 (Certificate Authority,CA) 和透明数据加密 (Transparent Data Encryption,TDE) 主加密密钥创建 Vault。
说明:创建 Vault |
| 证书颁发机构密钥 |
必需属性值:
|
| TDE 密钥 |
必需属性值:
|
| 证书颁发机构 |
创建 CA 以为云自治 VM 集群和 GSM 计算实例颁发证书。
您可以使用第三方 CA 创建证书,但必须将第三方 CA 颁发的证书导入 OCI 证书服务。 |
| Certificate (证书) |
创建要上载到云自治 VM 集群的证书。
说明:创建证书 |
| CA 包 |
创建 CA 包以上载到云自治 VM 集群。
|
父主题:任务 5。配置安全资源
用户管理的数据分布,多个区域
在此用例中,将在将放置数据库的每个区域中创建安全资源。
当满足以下任一条件或两者之一时,可能会产生此拓扑:
-
主目录和分片数据库位于不同的区域中
- 分片空间中的数据库位于不同的区域
安全资源在将放置数据库的每个区域 R1、...、Rn 中创建。
| 资源 | 说明和示例 |
|---|---|
| Vault |
在每个区域中为证书颁发机构 (Certificate Authority,CA) 主加密密钥创建 Vault。
说明:创建 Vault |
| 复制的虚拟 Vault |
为透明数据加密 (Transparent Data Encryption,TDE) 主加密密钥创建复制的虚拟 Vault。 对于主区域 Rp(不同于其备用区域)的每个数据库(目录或分片):
|
| 证书颁发机构密钥 |
必需属性值:
|
| TDE 密钥 | 对于没有备用数据库或具有与其主区域相同的备用区域的每个数据库、目录或分片:
必需属性值:
|
| 证书颁发机构 |
在每个区域中创建一个证书颁发机构 (Certificate Authority,CA),用于为云自治 VM 集群和 GSM 计算实例颁发证书。
您可以使用第三方 CA 创建证书,但必须将第三方 CA 颁发的证书导入 OCI 证书服务。 |
| 证书 |
在每个区域中创建证书以上载到云自治 VM 集群。 注:您必须对所有区域中的证书使用相同公用名称。
说明:创建证书 |
| CA 包 |
创建 CA 包以上载到云自治 VM 集群。
|
父主题:任务 5。配置安全资源
任务 6。创建 Exadata 资源
以基础设施管理员身份,在以下步骤中配置全局分布式自治 AI 数据库拓扑。
Exadata 资源注意事项
请牢记以下几点:
- Globally Distributed Autonomous AI Database 服务仅支持两个节点(四分之一机架 Exadata)。
- Exadata 基础结构特定于区域。这意味着您计划在其中放置目录或分片数据库的每个区域都需要 Exadata 基础结构。
- 您必须为计划在全局分布式自治 AI 数据库中部署的每个目录和分片数据库创建云自治 VM 集群。
- 分片和目录数据库可以在给定的云自治 VM 集群上共存。但是,将公用的云自治 VM 集群用于目录和分片数据库可能会导致处理瓶颈。
导入 Oracle-ApplicationName 标记名称空间
导入租户根区间中的 Oracle-ApplicationName 标记名称空间。
-
从云控制台导航菜单中,依次选择管理和管理和标记名称空间(在“租户管理”类别下)。
-
在 "Tag Namespaces"(标记名称空间)面板中,检查租户的根区间中是否存在 Oracle-ApplicationName 名称空间。
确保在列表范围下选择了租户的根区间。
-
如果列表中没有 Oracle-ApplicationName,请执行以下操作:
-
单击导入标准标记(位于列表上方)。
-
选中 Oracle-ApplicationName 名称空间旁边的复选框,然后单击导入。
-
创建云自治 VM 集群
在 Globally Distributed Database 拓扑中为每个数据库创建一个集群。
有关创建集群的步骤,请参见 Create an Autonomous Exadata VM Cluster 。
创建群集时,请确保执行以下操作:
-
在创建每个群集时,需要定义以下标记:
Oracle-ApplicationName.Other_Oracle_Application: Sharding必须先导入标记的名称空间,然后才能将该标记添加到自治 Exadata VM 集群。
注意:
标记集群以用于全局分布式数据库后,它将继续对全局分布式数据库 SKU 计费,直到删除该集群。 -
在 gdd/gdd_clusters 区间中创建集群。
-
对于发行版 26ai:如果您计划使用发行版 26ai 数据库,请查看 Create an Autonomous Exadata VM Cluster 中的先决条件部分以了解 26ai 数据库软件版本要求。
-
设置群集时,需要将其设置为同一时区。
-
建议每个数据库使用一个 VM 集群(分片或目录)。
任务 7。上载云自治 VM 集群证书
作为证书管理员,您在 gdd/gdd_certs_vaults_keys 区间中创建了证书颁发机构、证书和 CA 包。现在,您将 CA 包上载到每个自治 Exadata VM 集群。
重要提示:
-
对于所有自治 Exadata VM 集群,您上载的 CA 包应相同。
-
所有自治 Exadata VM 集群的证书公用名称都应相同。
有关更多信息,请参见 Manage Security Certificates for an Autonomous Exadata VM Cluster Resource 。
父主题:配置租户
(可选)创建 API 密钥和用户约束条件
如果您打算直接使用 Globally Distributed Database REST API、OCI Software Development Kits 和 Command Line Interface,则创建 OCI API 密钥对。
按照 Required Keys and OCIDs 中的说明进行操作。
如果要对 API 设置用户控制,请参阅 Globally Distributed Autonomous AI Database API 的权限。
父主题:配置租户