Autonomous Database on Dedicated Exadata Infrastructure 的 IAM 政策

本文列出在專用 Exadata 基礎架構上管理 Autonomous Database 基礎架構資源所需的 IAM 原則。

Oracle Autonomous Database on Dedicated Exadata Infrastructure 仰賴 IAM (Identity and Access Management) 服務來驗證和授權雲端使用者執行使用任何 Oracle Cloud Infrastructure 介面 (主控台、REST API、CLI 或 SDK) 的作業。IAM 服務使用群組區間原則來控制哪些雲端使用者可以存取哪些資源。

Autonomous Database 的原則詳細資訊

本主題涵蓋撰寫原則以控制 Autonomous Database 資源存取的詳細資訊。

原則定義使用者群組對個別區間中特定資源的存取權種類。如需詳細資訊,請參閱開始使用原則

秘訣:

如需範例原則,請參閱讓資料庫和機隊管理員管理自治式資料庫

資源類型

聚總資源類型涵蓋直接遵循的個別資源類型清單。例如,撰寫一個原則以允許群組存取 autonomous-database-family,就等同於針對可授予 autonomous-databasesautonomous-backupsautonomous-container-databasescloud-autonomous-vmclusters 資源類型存取權的群組撰寫四個個別原則。如需詳細資訊,請參閱資源類型

Autonomous Database 的資源類型

聚總資源類型:

autonomous-database-family

個別資源類型:

autonomous-databases

autonomous-backups

autonomous-container-databases

cloud-autonomous-vmclusters (僅限 Oracle Public Cloud 部署項目)

autonomous-vmclusters (僅限 Oracle Exadata Cloud@Customer 部署)

autonomous-virtual-machine

秘訣:

聚總資源類型 database-family 分別涵蓋在 Oracle Public CloudExadata Cloud@Customer 上佈建 Autonomous Database 所需的 cloud-exadata-infrastructuresexadata-infrastructures 資源類型。如需有關 database-family 所涵蓋資源的詳細資訊,請參閱Exadata Cloud Service 執行處理的原則詳細資訊基準資料庫服務的原則詳細資訊

支援的變數

支援一般變數。請參閱所有要求的一般變數瞭解詳細資訊。

此外,您可以使用 target.workloadType 變數,如下表所示:

target.workloadType 值 描述
OLTP 線上交易處理,用於具有 Autonomous Transaction Processing 工作負載的 Autonomous Database
DW 資料倉儲,用於具有 Autonomous Data Warehouse 工作負載的 Autonomous Database
使用 target.workloadType 變數的原則範例:
Allow group ADB-Admins 
to manage autonomous-database 
in tenancy where target.workloadType = 'workload_type'

動詞 + 資源類型組合的詳細資訊

您可以按照 inspect > read > use > manage 的順序,累積存取層次。表格儲存格中的加號 (+) 表示與儲存格直接相較的增量存取,而「無額外」則表示無增量存取。

例如,autonomous-databases 資源類型的 read 動詞涵蓋與 inspect 動詞相同的權限和 API 作業,以及 AUTONOMOUS_DATABASE_CONTENT_READ 權限。read 動詞部分涵蓋 CreateAutonomousDatabaseBackup 作業,這也需要 autonomous-backups 的管理權限。

下表顯示每個動詞所涵蓋的權限和 API 作業。如需權限的相關資訊,請參閱 Permissions

適用於 autonomous-database-family 資源類型

附註:

autonomous-database-family 所涵蓋的資源系列,可用來授予與所有 Autonomous Database 工作負載類型關聯的資料庫資源存取權。
自治式資料庫
Verbs 權限 完全涵蓋的 API 部分涵蓋的 API

檢查

AUTONOMOUS_DATABASE_INSPECT

GetAutonomousDatabase, ListAutonomousDatabases

已讀取

INSPECT +

AUTONOMOUS_DATABASE_CONTENT_READ

無額外

CreateAutonomousDatabaseBackup (也需要 manage autonomous-backups)

使用

READ +

AUTONOMOUS_DATABASE_CONTENT_WRITE

AUTONOMOUS_DATABASE_UPDATE

UpdateAutonomousDatabase

RestoreAutonomousDatabase (也需要 read autonomous-backups)

ChangeAutonomousDatabaseCompartment (也需要 read autonomous-backups)

管理

USE +

AUTONOMOUS_DATABASE_CREATE

AUTONOMOUS_DATABASE_DELETE

CreateAutonomousDatabase

自治式備份
Verbs 權限 完全涵蓋的 API 部分涵蓋的 API

檢查

AUTONOMOUS_DB_BACKUP_INSPECT

ListAutonomousDatabaseBackups, GetAutonomousDatabaseBackup

已讀取

INSPECT +

AUTONOMOUS_DB_BACKUP_CONTENT_READ

無額外

RestoreAutonomousDatabase (也需要 use autonomous-databases)

ChangeAutonomousDatabaseCompartment (也需要 use autonomous-databases)

使用

讀取 +

無額外

無額外

管理

USE +

AUTONOMOUS_DB_BACKUP_CREATE

AUTONOMOUS_DB_BACKUP_DELETE

DeleteAutonomousDatabaseBackup

CreateAutonomousDatabaseBackup (也需要 read autonomous-databases)

autonomous-container-databases
Verbs 權限 完全涵蓋的 API 部分涵蓋的 API

檢查

AUTONOMOUS_CONTAINER_DATABASE_INSPECT

ListAutonomousContainerDatabases, GetAutonomousContainerDatabase

已讀取

檢查 +

無額外

無額外

使用

讀取 +

AUTONOMOUS_CONTAINER_DATABASE_UPDATE

UpdateAutonomousContainerDatabase

ChangeAutonomousContainerDatabaseCompartment

CreateAutonomousDatabase (也需要 manage autonomous-databases)

管理

USE +

AUTONOMOUS_CONTAINER_DATABASE_CREATE

AUTONOMOUS_CONTAINER_DATABASE_DELETE

無額外

CreateAutonomousContainerDatabase, TerminateAutonomousContainerDatabase (同時需要 use cloud-autonomous-vmclusters, use cloud-exadata-infrastructures)

雲端自治式叢集
Verbs 權限 完全涵蓋的 API 部分涵蓋的 API

檢查

CLOUD_AUTONOMOUS_VM_CLUSTER_INSPECT

ListCloudAutonomousVmClusters

GetCloudAutonomousVmCluster

已讀取

INSPECT +

無額外

無額外

使用

讀取 +

CLOUD_AUTONOMOUS_VM_CLUSTER_UPDATE

UpdateCloudAutonomousVmCluster

ChangeCloudAutonomousVmClusterCompartment

CreateAutonomousDatabase (也需要 manage autonomous-databases)

CreateAutonomousContainerDatabase (也需要 manage autonomous-container-databases)

管理

USE +

CLOUD_AUTONOMOUS_VM_CLUSTER_CREATE

CLOUD_AUTONOMOUS_VM_CLUSTER_DELETE

無額外

CreateCloudAutonomousVmCluster, DeleteCloudAutonomousVmCluster

(兩者也需要 use vnics, use subnets, use cloud-exadata-infrastructures)

自治式 VM 叢集

Verbs 權限 完全涵蓋的 API 部分涵蓋的 API
檢查

AUTONOMOUS_VM_CLUSTER_INSPECT

ListAutonomousVmClusters

GetAutonomousVmCluster

ChangeAutonomousVmClusterCompartment

已讀取

檢查 +

無額外

無額外

使用

READ +

AUTONOMOUS_VM_CLUSTER_UPDATE

ChangeAutonomousVmClusterCompartment

UpdateAutonomousVmCluster

CreateAutonomousContainerDatabase

TerminateAutonomousContainerDatabase

管理

USE +

AUTONOMOUS_VM_CLUSTER_CREATE +

AUTONOMOUS_VM_CLUSTER_DELETE

DeleteAutonomousVmCluster

CreateAutonomousVmCluster

自主虛擬機
Verbs 權限 完全涵蓋的 API 部分涵蓋的 API
檢查 AUTONOMOUS_VIRTUAL_MACHINE_INSPECT

GetAutonomousVirtualMachine

ListAutonomousVirtualMachines

每個 API 作業所需的權限

Autonomous Container Database (ACD) 和 Autonomous Database (ADB) 是 Oracle Public Cloud多雲端Exadata Cloud@Customer 部署之間的常用資源。因此,下表中兩個部署的權限相同。

不過,某些 ACD 作業需要 AVMC 層級權限,而且 Oracle Public CloudExadata Cloud@Customer 的 AVMC 資源不同,因此您需要每個部署類型的不同權限。例如,若要建立 ACD,您需要:
  • AUTONOMOUS_VM_CLUSTER_UPDATE 和 AUTONOMOUS_CONTAINER_DATABASE_CREATE 對 Exadata Cloud@Customer 的權限。

  • Oracle Public Cloud多雲端的 CLOUD_AUTONOMOUS_VM_CLUSTER_UPDATE 和 AUTONOMOUS_CONTAINER_DATABASE_CREATE 權限。

如需權限的相關資訊,請參閱 Permissions

下表以邏輯順序列出 Autonomous Database 資源的 API 作業,並依資源類型分組。

Autonomous Database API 作業

您可以使用 API 檢視及管理 Autonomous Database 的不同基礎架構資源。如需管理不同 Autonomous Database 資源的 REST API 端點清單,請參閱 API Reference for Autonomous Database on Dedicated Exadata Infrastructure

限制使用者對特定權限的存取

使用者存取權定義在 IAM 原則敘述句中。當您建立原則敘述句,讓群組可以存取特定動詞和資源類型時,實際上會讓該群組存取一或多個預先定義的 IAM 權限。動詞的目的是簡化授予多個相關權限的程序。

若要允許或拒絕特定的 IAM 權限,請新增 where 條件至原則敘述句。例如,若要允許一組機組管理員對 Exadata 基礎架構資源執行除了以外的任何作業來刪除它們,請建立此原則敘述句:

Allow group FleetAdmins to manage cloud-exadata-infrastructures in tenancy where request.permission != 'CLOUD_EXADATA_INFRASTRUCTURE_DELETE'

接著,您可以省略 where 條件,允許較小的機組管理員在 Exadata 基礎架構資源上執行任何作業 (包括刪除):

Allow group FleetSuperAdmins to manage cloud-exadata-infrastructures in tenancy

如需有關使用此方式使用 where 條件的詳細資訊,請參閱權限的 "Scoping Access with Permissions or API Operations" 小節。

管理 Exadata 基礎架構資源的原則

下表列出雲端使用者執行 Exadata 基礎架構資源管理作業所需的 IAM 原則。

操作 Oracle Public Cloud 和多雲端的必要 IAM 政策 Exadata Cloud@Customer 上的必要 IAM 原則

建立 Exadata 基礎架構資源

manage cloud-exadata-infrastructures

use vnic

use subnet

manage exadata-infrastructures

檢視 Exadata 基礎架構資源清單

inspect cloud-exadata-infrastructures

inspect exadata-infrastructures

檢視 Exadata 基礎架構資源的詳細資訊

inspect cloud-exadata-infrastructures

inspect exadata-infrastructures

變更 Exadata 基礎架構資源的維護排程

use cloud-exadata-infrastructures

use exadata-infrastructures

將 Exadata 基礎架構資源搬移至其他區間

use cloud-exadata-infrastructures

use exadata-infrastructures

管理 Exadata 基礎架構資源的安全憑證

manage cloud-exadata-infrastructures

manage exadata-infrastructures

終止 Exadata 基礎架構資源

manage cloud-exadata-infrastructures

use vnic

use subnet

manage exadata-infrastructures

管理自治式 Exadata VM 叢集的原則

下表列出雲端使用者在自治式 Exadata VM 叢集執行管理作業所需的 IAM 原則。

操作 Oracle Public Cloud 和多雲端的必要 IAM 政策 Exadata Cloud@Customer 上的必要 IAM 原則

建立自治式 Exadata VM 叢集

manage cloud-autonomous-vmclusters

use cloud-exadata-infrastructures

manage autonomous-vmclusters

use exadata-infrastructures

檢視自治式 Exadata VM 叢集清單

inspect cloud-autonomous-vmclusters

inspect autonomous-vmclusters

檢視自治式 Exadata VM 叢集的詳細資訊

inspect cloud-autonomous-vmclusters

inspect autonomous-vmclusters

變更自治式 VM 叢集的授權類型

不適用

use autonomous-vmclusters

inspect exadata-infrastructures

將自治式 Exadata VM 叢集搬移至其他區間

use cloud-autonomous-vmclusters

use autonomous-vmclusters

終止自治式 Exadata VM 叢集

manage cloud-autonomous-vmclusters

manage autonomous-vmclusters

管理自治式容器資料庫的原則

下表列出雲端使用者在自治式容器資料庫 (ACD) 上執行管理作業所需的 IAM 原則。

操作 必要的 IAM 原則

建立自治式容器資料庫

manage autonomous-container-databases

Oracle Public Cloud多雲端上建立自治式容器資料庫時,請參考 use cloud-exadata-infrastructures

Oracle Public Cloud多雲端上建立自治式容器資料庫時,請參考 use cloud-autonomous-vmclusters

Exadata Cloud@Customer 上建立自治式容器資料庫時,use autonomous-vmclusters

Exadata Cloud@Customer 上建立自治式容器資料庫時,use backup-destinations

檢視自治式容器資料庫清單

inspect autonomous-container-databases

檢視自治式容器資料庫詳細資訊

inspect autonomous-container-databases

變更自治式容器資料庫的備份保留原則

use autonomous-container-databases

編輯自治式容器資料庫的維護偏好設定

use autonomous-container-databases

重新啟動自治式容器資料庫

use autonomous-container-databases

將自治式容器資料庫搬移至其他區間

use autonomous-container-databases

輪換自治式容器資料庫加密金鑰

use autonomous-container-databases

inspect autonomous-container-databases

終止自治式容器資料庫

manage autonomous-container-databases

Oracle Public Cloud多雲端上建立自治式容器資料庫時,請參考 use cloud-exadata-infrastructures

Oracle Public Cloud多雲端上建立自治式容器資料庫時,請參考 use cloud-autonomous-vmclusters

Exadata Cloud@Customer 上建立自治式容器資料庫時,use autonomous-vmclusters

管理自治式資料保全組態的原則

下表列出雲端使用者執行自治式資料保全組態管理作業所需的 IAM 原則。

操作 必要的 IAM 原則

檢視與 ACD 的自治式資料保全關聯。

inspect autonomous-container-databases

列出已啟用自治式資料保全且與指定 ACD 或 Autonomous Database 關聯的 ACD。

inspect autonomous-container-databases

將「停用的待命資料庫」復原至作用中的待命 ACD。

inspect autonomous-container-databases

update autonomous-container-databases

切換主要和待命 ACD 的角色。

inspect autonomous-container-databases

update autonomous-container-databases

容錯移轉至待命 ACD。容錯移轉順利完成時,此待命 ACD 將會成為新的主要 ACD。

inspect autonomous-container-databases

update autonomous-container-databases

修改自治式資料保全設定值,例如保護模式、自動容錯移轉以及快速啟動容錯移轉延遲限制。

inspect autonomous-container-databases

update autonomous-container-databases

取得與指定之 Autonomous Database 關聯的啟用自治式資料保全資料庫。

inspect autonomous-container-databases

列出 Autonomous Database 資料保全關聯。

inspect autonomous-container-databases

在 ACD 上啟用「自治式資料保全」。

inspect cloud-autonomous-vmclustersinspect autonomous-vmclusters

inspect autonomous-container-databases

update autonomous-container-databases

在實體待命資料庫與快照待命 ACD 之間轉換待命 ACD。

inspect cloud-autonomous-vmclustersinspect autonomous-vmclusters

inspect autonomous-container-databases

update autonomous-container-databases

管理 Autonomous Database 的政策

下表列出雲端使用者在 Autonomous Database 上執行管理作業所需的 IAM 原則。

操作 必要的 IAM 原則

建立 Autonomous Database

manage autonomous-databases

read autonomous-container-databases

檢視 Autonomous Database 清單

inspect autonomous-databases

檢視 Autonomous Database 的詳細資訊

inspect autonomous-databases

設定 Autonomous Database 之 ADMIN 使用者的密碼

use autonomous-databases

調整 Autonomous Database 的 CPU 核心數量或儲存空間

use autonomous-databases

啟用或停用 Autonomous Database 的自動調整功能

use autonomous-databases

Autonomous Database 移至其他區間

Autonomous Database 目前區間中的 use autonomous-databases,以及您將其移至的區間中

read autonomous-backups

停止或啟動 Autonomous Database

use autonomous-databases

重新啟動 Autonomous Database

use autonomous-databases

手動備份 Autonomous Database

read autonomous-databases

manage autonomous-backups

回復 Autonomous Database

use autonomous-databases

read autonomous-backups

複製 Autonomous Database

manage autonomous-databases

read autonomous-container-databases

終止 Autonomous Database

manage autonomous-databases