注意：

• 本教程需要访问 Oracle Cloud。要注册免费账户，请参阅开始使用 Oracle Cloud Infrastructure 免费套餐。
• 它对 Oracle Cloud Infrastructure 身份证明、租户和区间使用示例值。完成实验室后，请使用特定于云环境的那些值替换这些值。

为 Oracle Exadata Database Service 的 VM 集群更新操作分配粒度 OCI IAM 权限

简介

现在，您可以为 Oracle Exadata Database Service on Cloud@Customer 和 Oracle Exadata Database Service on Dedicated Infrastructure 分配虚拟机 (VM) 集群操作的粒度权限。例如，您可以启用数据库管理员 (Database Administrator，DBA) 组以仅缩放内存或 CPU，允许存储管理员组管理本地和 Exadata 存储，或者允许安全管理员组向 VM 集群添加 SSH 密钥。通过此增强功能，可以对 VM 集群更新操作进行细粒度控制。

目标

• 创建特定的 Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) 策略，为 VM 集群更新操作分配细粒度权限。

任务 1：创建 OCI IAM 策略以为 VM 集群更新操作分配粒度权限

1. 登录到 OCI 控制台，导航到身份与安全，然后单击策略。

   

2. 单击创建策略。

   

3. 在创建策略页中，输入以下信息，然后单击创建。

   • 名称：输入策略名称。

   • 描述：输入描述。

   • 区间： 选择区间。

   • 策略构建器：选择显示手动编辑器，然后输入特定的 OCI IAM 策略以为 CLOUD_VM_CLUSTER_UPDATE 操作分配粒度权限。

     allow group StorageAdmin to use cloud-vmclusters in compartment compartment_name where any {request.permission='CLOUD_VM_CLUSTER_UPDATE_EXADATA_STORAGE', request.permission='CLOUD_VM_CLUSTER_UPDATE_LOCAL_STORAGE'}
     allow group StorageAdmin to use cloud-exadata-infrastructures in compartment compartment_name where request.permission = 'CLOUD_EXADATA_INFRASTRUCTURE_INSPECT'
     allow group StorageAdmin to use cloud-vmclusters in compartment compartment_name where request.permission = 'CLOUD_VM_CLUSTER_INSPECT'
     

   

   注：下图显示了向组 (StorageAdmin) 用户授予缩放所选区间中 VM 集群的本地和 Exadata 存储的权限的策略。

   

任务 2：验证为 VM 集群更新操作分配的 OCI IAM 权限

1. 转到 OCI 控制台，导航到 Oracle Database ，然后单击 Oracle Exadata Database Service on Dedicated Infrastructure 。

   

2. 选择要验证为 VM 集群更新分配的 OCI IAM 权限的 VM 集群。在 Exadata VM 集群详细信息页中，单击添加 SSH 密钥。

   如果属于 StorageAdmin 组的用户尝试执行未分配给该组的操作。例如，向 VM 集群添加 SSH 密钥，它们将收到错误，如下图所示。

   

3. 但是，同一用户将能够扩展 VM 集群的本地存储。

   注：在示例中，用户将 VM 集群上每个 VM 的 /u02 大小从 60 GB 提高到 70 GB。

   

4. 单击保存更改。Exadata VM 集群将进入 UPDATING 状态。

   

   完成本地存储缩放操作后，两个节点上的 /u02 大小将变为 140 GB。

   

   组成员只能按照分配给组的 OCI IAM 策略的允许执行 VM 集群操作。

   注:

   • 用户需要使用 Exadata VM 集群更新操作所需的策略创建 OCI IAM 组，然后将用户分配给这些组。需要具有 INSPECT 权限才能允许用户查看控制台上的资源。例如，检查云 vmclusters、检查数据库等。
   • 要从 CLOUD_VM_CLUSTER_UPDATE OCI IAM 权限迁移到细粒度权限，现有用户需要为 Exadata VM 集群更新操作创建具有特定 OCI IAM 策略的新 OCI IAM 组，并将用户分配给这些组。将用户移至新组后，需要从现有组撤消 CLOUD_VM_CLUSTER_UPDATE OCI IAM 权限。
   • 对于不需要对 Exadata VM 集群更新操作进行细粒度控制的客户，现有 OCI IAM 权限 CLOUD_VM_CLUSTER_UPDATE 将继续可用。
   • 有关 Oracle Exadata Database Service on Dedicated Infrastructure 和 Oracle Exadata Database Service on Cloud@Customer 的 VM 集群的权限和 API 操作详细信息的完整列表，请参阅相关链接部分。

相关链接

• Oracle Exadata Database Service on Dedicated Infrastructure 云 VM 集群的权限和 API 操作详细信息

• Cloud@CustomerOracle Exadata Database Service on Cloud@Customer 上 Oracle Exadata Database Service 的 VM 集群的权限和 API 操作详细信息

• Oracle Exadata Database Service on Dedicated Infrastructure 的新特性

• Exadata Database Service on Dedicated Infrastructure 视频播放列表

• Oracle LiveLabs 研讨会：Oracle Exadata Database Service on Dedicated Infrastructure 入门

• Oracle Exadata Database Service on Cloud@Customer 的新增功能

• Cloud@Customer 上的 Exadata Database Service 如何播放视频播放列表

• Oracle LiveLabs 研讨会：Oracle Exadata Database Service on Cloud@Customer 入门

确认

• Authors -Sanjay Narvekar、Tammy Bednar、Leo Alvarado（产品管理）

更多学习资源

浏览 docs.oracle.com/learn 上的其他实验室，或者访问 Oracle Learning YouTube 渠道上的更多免费学习内容。此外，请访问 education.oracle.com/learning-explorer 成为 Oracle Learning Explorer。

有关产品文档，请访问 Oracle 帮助中心。

---

标题和版权信息

Assign Granular OCI IAM Permissions for VM Cluster Update Operations for Oracle Exadata Database Service

G25945-01

February 2025

Copyright ©2025, Oracle and/or its affiliates.