專用 Exadata 基礎架構上的自治式 AI 資料庫 IAM 原則
本文列出管理專用 Exadata 基礎架構上 Autonomous AI Database 基礎架構資源所需的 IAM 原則。
專用 Exadata 基礎架構上的 Oracle Autonomous AI Database 仰賴 IAM (身分識別與存取管理) 服務來認證並授權雲端使用者執行使用任何 Oracle Cloud Infrastructure 介面 (主控台、REST API、CLI 或 SDK) 的作業。IAM 服務使用群組、區間和原則來控制哪些雲端使用者可以存取哪些資源。
Autonomous AI Database 的原則詳細資訊
本主題涵蓋撰寫原則以控制對 Autonomous AI Database 資源之存取的詳細資訊。
秘訣:
如需範例原則,請參閱讓資料庫和機組管理員管理 Autonomous AI Database。資源類型
聚總資源類型涵蓋直接遵循的個別資源類型清單。例如,撰寫一個原則以允許群組存取 autonomous-database-family,就等同於針對可授予 autonomous-databases、autonomous-backups、autonomous-container-databases 和 cloud-autonomous-vmclusters 資源類型存取權的群組撰寫四個個別原則。如需詳細資訊,請參閱資源類型。
聚總資源類型:
autonomous-database-family
個別資源類型:
autonomous-databases
autonomous-backups
autonomous-container-databases
cloud-autonomous-vmclusters (僅限 Oracle Public Cloud 部署項目)
autonomous-vmclusters (僅限 Oracle Exadata Cloud@Customer 部署)
autonomous-virtual-machine
秘訣:
聚總資源類型database-family 分別涵蓋在 Oracle Public Cloud 和 Exadata Cloud@Customer 上佈建 Autonomous AI Database 所需的 cloud-exadata-infrastructures 和 exadata-infrastructures 資源類型。如需有關 database-family 所涵蓋資源的詳細資訊,請參閱Exadata Cloud Service 執行處理的原則詳細資訊和基準資料庫服務的原則詳細資訊。
支援的變數
支援一般變數。請參閱所有要求的一般變數瞭解詳細資訊。
此外,您可以使用 target.workloadType 變數,如下表所示:
| target.workloadType 值 | 描述 |
|---|---|
OLTP |
線上交易處理,用於具有 Autonomous Transaction Processing 工作負載的 Autonomous AI Database 。 |
DW |
資料倉儲,用於 Autonomous AI Database 與 Autonomous Data Warehouse 工作負載。 |
Allow group ADB-Admins
to manage autonomous-database
in tenancy where target.workloadType = 'workload_type'動詞 + 資源類型組合的詳細資訊
您可以按照 inspect > read > use > manage 的順序,累積存取層次。表格儲存格中的加號 (+) 表示與儲存格直接相較的增量存取,而「無額外」則表示無增量存取。
例如,autonomous-databases 資源類型的 read 動詞涵蓋與 inspect 動詞相同的權限和 API 作業,以及 AUTONOMOUS_DATABASE_CONTENT_READ 權限。read 動詞部分涵蓋 CreateAutonomousDatabaseBackup 作業,這也需要 autonomous-backups 的管理權限。
下表顯示每個動詞所涵蓋的權限和 API 作業。如需權限的相關資訊,請參閱 Permissions 。
附註:
autonomous-database-family 所涵蓋的資源系列可用來授予與所有 Autonomous AI Database 工作負載類型關聯之資料庫資源的存取權。| Verbs | 權限 | 完全涵蓋的 API | 部分涵蓋的 API |
|---|---|---|---|
|
檢查 |
|
|
無 |
|
已讀取 |
|
無額外 |
|
|
使用 |
|
|
|
|
管理 |
|
|
無 |
| Verbs | 權限 | 完全涵蓋的 API | 部分涵蓋的 API |
|---|---|---|---|
|
檢查 |
|
|
無 |
|
已讀取 |
|
無額外 |
|
|
使用 |
讀取 + 無額外 |
無額外 |
無 |
|
管理 |
|
|
|
| Verbs | 權限 | 完全涵蓋的 API | 部分涵蓋的 API |
|---|---|---|---|
|
檢查 |
|
|
無 |
|
已讀取 |
檢查 + 無額外 |
無額外 |
無 |
|
使用 |
讀取 +
|
|
|
|
管理 |
|
無額外 |
|
| Verbs | 權限 | 完全涵蓋的 API | 部分涵蓋的 API |
|---|---|---|---|
|
檢查 |
|
|
無 |
|
已讀取 |
無額外 |
無額外 |
無 |
|
使用 |
讀取 +
|
|
|
|
管理 |
|
無額外 |
(兩者也需要 |
自治式 VM 叢集
| Verbs | 權限 | 完全涵蓋的 API | 部分涵蓋的 API |
|---|---|---|---|
| 檢查 |
|
|
|
| 已讀取 |
檢查 + 無額外 |
無額外 |
無 |
| 使用 |
|
|
|
| 管理 |
|
|
|
| Verbs | 權限 | 完全涵蓋的 API | 部分涵蓋的 API |
|---|---|---|---|
| 檢查 | AUTONOMOUS_VIRTUAL_MACHINE_INSPECT |
|
無 |
每個 API 作業所需的權限
自治式容器資料庫 (ACD) 和 Autonomous AI Database (ADB) 是 Oracle Public Cloud 、多重雲端和 Exadata Cloud@Customer 部署之間的通用資源。因此,下表中兩個部署的權限相同。
-
AUTONOMOUS_VM_CLUSTER_UPDATE 和 AUTONOMOUS_CONTAINER_DATABASE_CREATE 對 Exadata Cloud@Customer 的權限。
-
Oracle Public Cloud 和多雲端的 CLOUD_AUTONOMOUS_VM_CLUSTER_UPDATE 和 AUTONOMOUS_CONTAINER_DATABASE_CREATE 權限。
如需權限的相關資訊,請參閱 Permissions 。
下表列出依資源類型分組的邏輯順序列出 Autonomous AI Database 資源的 API 作業。
您可以使用 API 檢視和管理 Autonomous AI Database 的不同基礎架構資源。請參閱 專用 Exadata 基礎架構上 Autonomous AI Database 的 API 參考,取得管理不同 Autonomous AI Database 資源的 REST API 端點清單。
使用者存取權定義在 IAM 原則敘述句中。當您建立原則敘述句,讓群組可以存取特定動詞和資源類型時,實際上會讓該群組存取一或多個預先定義的 IAM 權限。動詞的目的是簡化授予多個相關權限的程序。
若要允許或拒絕特定的 IAM 權限,請新增 where 條件至原則敘述句。例如,若要允許一組機組管理員對 Exadata 基礎架構資源執行除了以外的任何作業來刪除它們,請建立此原則敘述句:
Allow group FleetAdmins to manage cloud-exadata-infrastructures in tenancy where request.permission != 'CLOUD_EXADATA_INFRASTRUCTURE_DELETE'
接著,您可以省略 where 條件,允許較小的機組管理員在 Exadata 基礎架構資源上執行任何作業 (包括刪除):
Allow group FleetSuperAdmins to manage cloud-exadata-infrastructures in tenancy
如需有關使用此方式使用 where 條件的詳細資訊,請參閱權限的 "Scoping Access with Permissions or API Operations" 小節。
管理 Exadata 基礎架構資源的原則
下表列出雲端使用者執行 Exadata 基礎架構資源管理作業所需的 IAM 原則。
| 操作 | Oracle Public Cloud 和多雲端的必要 IAM 政策 | Exadata Cloud@Customer 上的必要 IAM 原則 |
|---|---|---|
|
建立 Exadata 基礎架構資源 |
|
|
|
檢視 Exadata 基礎架構資源清單 |
|
|
|
檢視 Exadata 基礎架構資源的詳細資訊 |
|
|
|
變更 Exadata 基礎架構資源的維護排程 |
|
|
|
將 Exadata 基礎架構資源搬移至其他區間 |
|
|
|
管理 Exadata 基礎架構資源的安全憑證 |
|
|
|
終止 Exadata 基礎架構資源 |
|
|
管理自治式 Exadata VM 叢集的原則
下表列出雲端使用者在自治式 Exadata VM 叢集執行管理作業所需的 IAM 原則。
| 操作 | Oracle Public Cloud 和多雲端的必要 IAM 政策 | Exadata Cloud@Customer 上的必要 IAM 原則 |
|---|---|---|
|
建立自治式 Exadata VM 叢集 |
|
|
|
檢視自治式 Exadata VM 叢集清單 |
|
|
|
檢視自治式 Exadata VM 叢集的詳細資訊 |
|
|
|
變更自治式 VM 叢集的授權類型 |
不適用 |
|
|
將自治式 Exadata VM 叢集搬移至其他區間 |
|
|
|
終止自治式 Exadata VM 叢集 |
|
|
管理自治式容器資料庫的原則
下表列出雲端使用者在自治式容器資料庫 (ACD) 上執行管理作業所需的 IAM 原則。
| 操作 | 必要的 IAM 原則 |
|---|---|
|
建立自治式容器資料庫 |
在 Oracle Public Cloud 和多雲端上建立自治式容器資料庫時,請參考 在 Oracle Public Cloud 和多雲端上建立自治式容器資料庫時,請參考 在 Exadata Cloud@Customer 上建立自治式容器資料庫時, 在 Exadata Cloud@Customer 上建立自治式容器資料庫時, |
|
檢視自治式容器資料庫清單 |
|
|
檢視自治式容器資料庫詳細資訊 |
|
|
變更自治式容器資料庫的備份保留原則 |
|
|
編輯自治式容器資料庫的維護偏好設定 |
|
|
重新啟動自治式容器資料庫 |
|
|
將自治式容器資料庫搬移至其他區間 |
|
|
輪換自治式容器資料庫加密金鑰 |
|
|
終止自治式容器資料庫 |
在 Oracle Public Cloud 和多雲端上建立自治式容器資料庫時,請參考 在 Oracle Public Cloud 和多雲端上建立自治式容器資料庫時,請參考 在 Exadata Cloud@Customer 上建立自治式容器資料庫時, |
管理自治式資料保全組態的原則
下表列出雲端使用者執行自治式資料保全組態管理作業所需的 IAM 原則。
| 操作 | 必要的 IAM 原則 |
|---|---|
|
檢視與 ACD 的自治式資料保全關聯。 |
|
|
列出啟用 Autonomous Data Guard 且與指定的 ACD 或 Autonomous AI Database 關聯的 ACD。 |
|
|
將「停用的待命資料庫」復原至作用中的待命 ACD。 |
|
|
切換主要和待命 ACD 的角色。 |
|
|
容錯移轉至待命 ACD。容錯移轉順利完成時,此待命 ACD 將會成為新的主要 ACD。 |
|
|
修改自治式資料保全設定值,例如保護模式、自動容錯移轉以及快速啟動容錯移轉延遲限制。 |
|
|
取得與指定 Autonomous AI Database 關聯的啟用 Autonomous Data Guard 資料庫。 |
|
|
列出 Autonomous AI Database 資料保全關聯。 |
|
|
在 ACD 上啟用「自治式資料保全」。 |
|
|
在實體待命資料庫與快照待命 ACD 之間轉換待命 ACD。 |
|
管理 Autonomous AI Database 的政策
下表列出雲端使用者在 Autonomous AI Database 上執行管理作業所需的 IAM 原則。
| 操作 | 必要的 IAM 原則 |
|---|---|
|
建立自治式 AI 資料庫 |
|
|
檢視 Autonomous AI Database 清單 |
|
|
檢視自治式 AI 資料庫的詳細資訊 |
|
|
設定自治式 AI 資料庫 ADMIN 使用者的密碼 |
|
|
調整 Autonomous AI Database 的 CPU 核心數目或儲存 |
|
|
啟用或停用自治式 AI 資料庫的自動調整功能 |
|
|
將自治式 AI 資料庫搬移至其他區間 |
Autonomous AI Database 目前區間和區間中將它移至的
|
|
停止或啟動自治式 AI 資料庫 |
|
|
重新啟動自治式 AI 資料庫 |
|
|
手動備份 Autonomous AI Database |
|
|
回復自治式 AI 資料庫 |
|
|
複製自治式 AI 資料庫 |
|
|
終止自治式 AI 資料庫 |
|