專用 Exadata 基礎架構上的自治式 AI 資料庫 IAM 原則
本文列出在專用 Exadata 基礎架構上管理自治式 AI 資料庫基礎架構資源所需的 IAM 原則。
專用 Exadata 基礎架構上的 Oracle Autonomous AI Database 仰賴 IAM (身分識別與存取管理) 服務來認證並授權雲端使用者執行使用任何 Oracle Cloud Infrastructure 介面 (主控台、REST API、CLI 或 SDK) 的作業。IAM 服務使用群組、區間和原則來控制哪些雲端使用者可以存取哪些資源。
自治式 AI 資料庫的原則詳細資訊
本主題涵蓋撰寫原則以控制自治式 AI 資料庫資源存取的詳細資訊。
原則定義使用者群組對個別區間中特定資源的存取類型。如需詳細資訊,請參閱使用原則入門。
秘訣:如需原則範例,請參閱讓資料庫和機組管理員管理自治式 AI 資料庫。
資源型態
聚總資源類型涵蓋直接關注的個別資源類型清單。例如,撰寫一個原則以允許群組存取 autonomous-database-family,就等同於為群組撰寫四個不同的原則,以授與對 autonomous-databases、autonomous-backups、autonomous-container-databases 以及 cloud-autonomous-vmclusters 資源類型的存取權。如需詳細資訊,請參閱資源類型。
自治式 AI 資料庫的資源類型
聚總資源類型:
autonomous-database-family
個別資源類型:
autonomous-databases
autonomous-backups
autonomous-container-databases
cloud-autonomous-vmclusters (僅限 Oracle Public Cloud 部署)
autonomous-vmclusters (僅限 Oracle Exadata Cloud@Customer 部署)
autonomous-virtual-machine
提示:聚總資源類型 database-family 分別涵蓋在 Oracle Public Cloud 和 Exadata Cloud@Customer 上佈建自治式 AI 資料庫所需的 cloud-exadata-infrastructures 和 exadata-infrastructures 資源類型。如需有關 database-family 所涵蓋資源的詳細資訊,請參閱Exadata Cloud Service 執行處理的原則詳細資訊和基準資料庫服務的原則詳細資訊。
支援的變數
支援一般變數。請參閱所有要求的一般變數瞭解詳細資訊。
此外,您可以使用 target.workloadType 變數,如下表所示:
| target.workloadType 值 | 描述 |
|---|---|
OLTP |
線上交易處理,用於具有 Autonomous Transaction Processing 工作負載的自治式 AI 資料庫。 |
DW |
資料倉儲,用於具有 Autonomous Data Warehouse 工作負載的自治式 AI 資料庫。 |
使用 target.workloadType 變數的原則範例:
Allow group ADB-Admins
to manage autonomous-database
in tenancy where target.workloadType = 'workload_type'動詞 + 資源類型組合的詳細資訊
當您從 inspect > read > use > manage 進行存取時,會累積存取層次。表格儲存格中的加號 (+) 表示與儲存格正上方儲存格相比的增量存取,而「無額外」則表示無增量存取。
例如,autonomous-databases 資源類型的 read 動詞涵蓋與 inspect 動詞相同的權限和 API 作業,加上 AUTONOMOUS_DATABASE_CONTENT_READ 權限。read 動詞部分涵蓋 CreateAutonomousDatabaseBackup 作業,這也需要管理 autonomous-backups 的權限。
下表顯示每個動詞所涵蓋的權限和 API 作業。如需有關權限的資訊,請參閱許可權。
適用於自治式資料庫系列資源類型
注意:autonomous-database-family 所涵蓋的資源系列可用來授予與所有自治式 AI 資料庫工作負載類型關聯之資料庫資源的存取權。
自治資料庫
| Verbs | 權限 | 完全涵蓋的 API | 部分涵蓋的 API |
|---|---|---|---|
| 檢驗 | AUTONOMOUS_DATABASE_INSPECT |
GetAutonomousDatabase, ListAutonomousDatabases |
無 |
| 讀取 |
|
不需額外付費 | CreateAutonomousDatabaseBackup (也需要 manage autonomous-backups) |
| 使用 |
|
UpdateAutonomousDatabase |
|
| 管理 |
|
CreateAutonomousDatabase |
無 |
自主備份
| Verbs | 權限 | 完全涵蓋的 API | 部分涵蓋的 API |
|---|---|---|---|
| 檢驗 | AUTONOMOUS_DB_BACKUP_INSPECT |
ListAutonomousDatabaseBackups, GetAutonomousDatabaseBackup |
無 |
| 讀取 |
|
不需額外 |
|
| 使用 | 讀取 + 不需額外 |
不需額外 | 無 |
| 管理 |
|
DeleteAutonomousDatabaseBackup |
CreateAutonomousDatabaseBackup (也需要 read autonomous-databases) |
自治式容器資料庫
| Verbs | 權限 | 完全涵蓋的 API | 部分涵蓋的 API |
|---|---|---|---|
| 檢驗 | AUTONOMOUS_CONTAINER_DATABASE_INSPECT |
ListAutonomousContainerDatabases, GetAutonomousContainerDatabase |
無 |
| 讀取 | 檢驗 + 不需額外 |
不需額外 | 無 |
| 使用 | 讀取 +
|
|
CreateAutonomousDatabase (也需要 manage autonomous-databases) |
| 管理 |
|
不需額外 | CreateAutonomousContainerDatabase, TerminateAutonomousContainerDatabase (兩者都需要 use cloud-autonomous-vmclusters, use cloud-exadata-infrastructures) |
雲端自主 - 虛擬叢集
| Verbs | 權限 | 完全涵蓋的 API | 部分涵蓋的 API |
|---|---|---|---|
| 檢驗 | CLOUD_AUTONOMOUS_VM_CLUSTER_INSPECT |
|
無 |
| 讀取 |
不需額外 |
不需額外付費 | 無 |
| 使用 | 讀取 +
|
|
|
| 管理 |
|
不需額外 |
(兩者都需要 |
自治式 VM 叢集中
| Verbs | 權限 | 完全涵蓋的 API | 部分涵蓋的 API |
|---|---|---|---|
| 檢驗 | AUTONOMOUS_VM_CLUSTER_INSPECT |
|
ChangeAutonomousVmClusterCompartment |
| 讀取 | 檢驗 + 不需額外額外 |
不需額外付費 | 無 |
| 使用 |
|
ChangeAutonomousVmClusterCompartment |
|
| 管理 |
|
DeleteAutonomousVmCluster |
CreateAutonomousVmCluster |
自治虛擬機器
| Verbs | 權限 | 完全涵蓋的 API | 部分涵蓋的 API |
|---|---|---|---|
| 檢驗 | AUTONOMOUS_VIRTUAL_MACHINE_INSPECT |
|
無 |
每個 API 作業所需的權限
自治式容器資料庫 (ACD) 和自治式 AI 資料庫 (ADB) 是 Oracle Public Cloud、多雲端及 Exadata Cloud@Customer 部署之間的通用資源。因此,下表中兩個部署的權限相同。
不過,某些 ACD 作業需要 AVMC 層級的權限,而且 Oracle Public Cloud 和 Exadata Cloud@Customer 的 AVMC 資源不同,因此您需要對每個部署類型不同的權限。例如,若要建立 ACD,您需要:
-
Exadata Cloud@Customer 的 AUTONOMOUS_VM_CLUSTER_UPDATE 和 AUTONOMOUS_CONTAINER_DATABASE_CREATE 權限。
-
Oracle Public Cloud 和 Multicloud 上的 CLOUD_AUTONOMOUS_VM_CLUSTER_UPDATE 和 AUTONOMOUS_CONTAINER_DATABASE_CREATE 權限。
如需有關權限的資訊,請參閱許可權。
下表依資源類型分組,依邏輯順序列出自治式 AI 資料庫資源的 API 作業。
自治式 AI 資料庫 API 作業
您可以使用 API 檢視及管理自治式 AI 資料庫的不同基礎架構資源。如需管理不同自治式 AI 資料庫資源的 REST API 端點清單,請參閱 API Reference for Autonomous AI Database on Dedicated Exadata Infrastructure 。
限制使用者對特定權限的存取
使用者存取定義於 IAM 原則敘述句中。當您建立原則敘述句,讓群組可以存取特定的動詞和資源類型時,實際上就是授與該群組存取一或多個預先定義的 IAM 權限。動詞的目的是簡化授予多個相關權限的程序。
如果您要允許或拒絕特定的 IAM 權限,請將 where 條件新增至原則敘述句。例如,若要允許一組運輸隊伍管理員在 Exadata 基礎架構資源上執行任何作業,除了刪除這些資源之外,您需建立此原則敘述句:
Allow group FleetAdmins to manage cloud-exadata-infrastructures in tenancy where request.permission != 'CLOUD_EXADATA_INFRASTRUCTURE_DELETE'接著,您可以省略 where 條件,讓較小的機組管理員在 Exadata 基礎架構資源上執行任何作業 (包括刪除):
Allow group FleetSuperAdmins to manage cloud-exadata-infrastructures in tenancy如需有關以這種方式使用 where 條件的詳細資訊,請參閱權限的「使用權限或 API 作業設定存取範圍」一節。
管理 Exadata 基礎架構資源的原則
下表列出雲端使用者在 Exadata 基礎架構資源上執行管理作業所需的 IAM 原則。
| 操作 | Oracle Public Cloud 和多雲端的必要 IAM 政策 | Exadata Cloud@Customer 的必要 IAM 原則 |
|---|---|---|
| 建立 Exadata 基礎架構資源 |
|
manage exadata-infrastructures |
| 檢視 Exadata 基礎架構資源清單 | inspect cloud-exadata-infrastructures |
inspect exadata-infrastructures |
| 檢視 Exadata 基礎架構資源詳細資訊 | inspect cloud-exadata-infrastructures |
inspect exadata-infrastructures |
| 變更 Exadata 基礎架構資源的維護排程 | use cloud-exadata-infrastructures |
use exadata-infrastructures |
| 將 Exadata 基礎架構資源搬移至其他區間 | use cloud-exadata-infrastructures |
use exadata-infrastructures |
| 管理 Exadata 基礎架構資源的安全憑證 | manage cloud-exadata-infrastructures |
manage exadata-infrastructures |
| 終止 Exadata 基礎架構資源 |
|
manage exadata-infrastructures |
管理自治式 Exadata VM 叢集的原則
下表列出雲端使用者在自治式 Exadata VM 叢集執行管理作業所需的 IAM 原則。
| 操作 | Oracle Public Cloud 和多雲端的必要 IAM 政策 | Exadata Cloud@Customer 的必要 IAM 原則 |
|---|---|---|
| 建立自治式 Exadata VM 叢集中 |
|
|
| 檢視自治式 Exadata VM 叢集清單 | inspect cloud-autonomous-vmclusters |
inspect autonomous-vmclusters |
| 檢視自治式 Exadata VM 叢集的詳細資訊 | inspect cloud-autonomous-vmclusters |
inspect autonomous-vmclusters |
| 變更自治式 VM 叢集的授權類型 | 不適用 |
|
| 將自治式 Exadata VM 叢集搬移至其他區間 | use cloud-autonomous-vmclusters |
use autonomous-vmclusters |
| 終止自治式 Exadata VM 叢集中 | manage cloud-autonomous-vmclusters |
manage autonomous-vmclusters |
管理自治式容器資料庫的原則
下表列出雲端使用者在自治式容器資料庫 (ACD) 上執行管理作業所需的 IAM 原則。
| 操作 | 必要 IAM 原則 |
|---|---|
| 建立自治式容器資料庫 |
在 Exadata Cloud@Customer 上建立自治式容器資料庫時,請 在 Exadata Cloud@Customer 上建立自治式容器資料庫時,請 |
| 檢視自治式容器資料庫清單 | inspect autonomous-container-databases |
| 檢視自治式容器資料庫的詳細資訊 | inspect autonomous-container-databases |
| 變更自治式容器資料庫的備份保留原則 | use autonomous-container-databases |
| 編輯自治式容器資料庫的維護偏好設定 | use autonomous-container-databases |
| 重新啟動自主容器資料庫 | use autonomous-container-databases |
| 將自治式容器資料庫搬移至其他區間 | use autonomous-container-databases |
| 輪換自治式容器資料庫加密金鑰 |
|
| 終止自治式容器資料 |
在 Exadata Cloud@Customer 上建立自治式容器資料庫時,請 |
管理自治式資料保全組態的原則
下表列出雲端使用者在自治式資料保全組態執行管理作業所需的 IAM 原則。
| 操作 | 必要 IAM 原則 |
|---|---|
| 檢視具有 ACD 的自治式資料保全群組。 | inspect autonomous-container-databases |
| 列出已啟用與指定 ACD 或自治式 AI 資料庫關聯之自治式資料保全的 ACD。 | inspect autonomous-container-databases |
| 將「停用的待命」恢復成作用中的待命 ACD。 |
|
| 主要和待命 ACD 的「切換角色」。 |
|
| 容錯移轉至待命 ACD。容錯移轉順利完成時,此待命 ACD 將會成為新的主要 ACD。 |
|
| 修改自治式資料保全設定值,例如保護模式、自動容錯移轉以及快速啟動容錯移轉延遲限制。 |
|
| 取得與指定自治式 AI 資料庫關聯的啟用自治式資料保全資料庫。 | inspect autonomous-container-databases |
| 列出自治式 AI 資料庫資料保全群組。 | inspect autonomous-container-databases |
| 對 ACD 啟用自治式資料保全。 |
|
| 在實體待命和快照待命 ACD 之間轉換待命 ACD。 |
|
管理自治式 AI 資料庫的原則
下表列出雲端使用者在自治式 AI 資料庫執行管理作業所需的 IAM 原則。
| 操作 | 必要 IAM 原則 |
|---|---|
| 建立自治式 AI 資料庫 |
|
| 檢視自治式 AI 資料庫清單 | inspect autonomous-databases |
| 檢視自治式 AI 資料庫的詳細資訊 | inspect autonomous-databases |
| 設定自治式 AI 資料庫 ADMIN 使用者的密碼 | use autonomous-databases |
| 調整自治式 AI 資料庫的 CPU 核心數目或儲存 | use autonomous-databases |
| 啟用或停用自治式 AI 資料庫的自動調整功能 | use autonomous-databases |
| 將自治式 AI 資料庫搬移至其他區間 | 自治式 AI 資料庫目前區間和目前區間中的
|
| 停止或啟動自治式 AI 資料庫 | use autonomous-databases |
| 重新啟動自治式 AI 資料庫 | use autonomous-databases |
| 手動備份自治式 AI 資料庫 |
|
| 回復自治式 AI 資料庫 |
|
| 複製自治式 AI 資料庫 |
|
| 終止自治式 AI 資料庫 | manage autonomous-databases |