Autonomous Database on Dedicated Exadata Infrastructure 的 IAM 政策

本文列出在專用 Exadata 基礎架構上管理 Autonomous Database 基礎架構資源所需的 IAM 原則。

Oracle Autonomous Database on Dedicated Exadata Infrastructure 仰賴 IAM (Identity and Access Management) 服務來驗證和授權雲端使用者執行使用任何 Oracle Cloud Infrastructure 介面 (主控台、REST API、CLI 或 SDK) 的作業。IAM 服務使用群組、區間和原則來控制哪些雲端使用者可以存取哪些資源。

相關主題

專用 Exadata 基礎架構中 Autonomous Database 內的存取控制

Autonomous Database 的原則詳細資訊

本主題涵蓋撰寫原則以控制 Autonomous Database 資源存取的詳細資訊。

原則定義使用者群組對個別區間中特定資源的存取權種類。如需詳細資訊，請參閱開始使用原則。

秘訣：

如需範例原則，請參閱讓資料庫和機隊管理員管理自治式資料庫。

資源類型

聚總資源類型涵蓋直接遵循的個別資源類型清單。例如，撰寫一個原則以允許群組存取 autonomous-database-family，就等同於針對可授予 autonomous-databases、autonomous-backups、autonomous-container-databases 和 cloud-autonomous-vmclusters 資源類型存取權的群組撰寫四個個別原則。如需詳細資訊，請參閱資源類型。

Autonomous Database 的資源類型

聚總資源類型：

autonomous-database-family

個別資源類型：

autonomous-databases

autonomous-backups

autonomous-container-databases

cloud-autonomous-vmclusters (僅限 Oracle Public Cloud 部署項目)

autonomous-vmclusters (僅限 Oracle Exadata Cloud@Customer 部署)

autonomous-virtual-machine

秘訣：

聚總資源類型 database-family 分別涵蓋在 Oracle Public Cloud 和 Exadata Cloud@Customer 上佈建 Autonomous Database 所需的 cloud-exadata-infrastructures 和 exadata-infrastructures 資源類型。如需有關 database-family 所涵蓋資源的詳細資訊，請參閱Exadata Cloud Service 執行處理的原則詳細資訊和基準資料庫服務的原則詳細資訊。

支援的變數

支援一般變數。請參閱所有要求的一般變數瞭解詳細資訊。

此外，您可以使用 target.workloadType 變數，如下表所示：

target.workloadType 值	描述
`OLTP`	線上交易處理，用於具有 Autonomous Transaction Processing 工作負載的 Autonomous Database 。
`DW`	資料倉儲，用於具有 Autonomous Data Warehouse 工作負載的 Autonomous Database 。

使用 target.workloadType 變數的原則範例：

Allow group ADB-Admins 
to manage autonomous-database 
in tenancy where target.workloadType = 'workload_type'

動詞 + 資源類型組合的詳細資訊

您可以按照 inspect > read > use > manage 的順序，累積存取層次。表格儲存格中的加號 (+) 表示與儲存格直接相較的增量存取，而「無額外」則表示無增量存取。

例如，autonomous-databases 資源類型的 read 動詞涵蓋與 inspect 動詞相同的權限和 API 作業，以及 AUTONOMOUS_DATABASE_CONTENT_READ 權限。read 動詞部分涵蓋 CreateAutonomousDatabaseBackup 作業，這也需要 autonomous-backups 的管理權限。

下表顯示每個動詞所涵蓋的權限和 API 作業。如需權限的相關資訊，請參閱 Permissions 。

適用於 autonomous-database-family 資源類型

附註：

autonomous-database-family 所涵蓋的資源系列，可用來授予與所有 Autonomous Database 工作負載類型關聯的資料庫資源存取權。

自治式資料庫

Verbs	權限	完全涵蓋的 API	部分涵蓋的 API
檢查	`AUTONOMOUS_DATABASE_INSPECT`	`GetAutonomousDatabase, ListAutonomousDatabases`	無
已讀取	`INSPECT +` `AUTONOMOUS_DATABASE_CONTENT_READ`	無額外	`CreateAutonomousDatabaseBackup` (也需要 `manage autonomous-backups`)
使用	`READ +` `AUTONOMOUS_DATABASE_CONTENT_WRITE` `AUTONOMOUS_DATABASE_UPDATE`	`UpdateAutonomousDatabase`	`RestoreAutonomousDatabase` (也需要 `read autonomous-backups`) `ChangeAutonomousDatabaseCompartment` (也需要 `read autonomous-backups`)
管理	`USE +` `AUTONOMOUS_DATABASE_CREATE` `AUTONOMOUS_DATABASE_DELETE`	`CreateAutonomousDatabase`	無

自治式備份

Verbs	權限	完全涵蓋的 API	部分涵蓋的 API
檢查	`AUTONOMOUS_DB_BACKUP_INSPECT`	`ListAutonomousDatabaseBackups, GetAutonomousDatabaseBackup`	無
已讀取	`INSPECT +` `AUTONOMOUS_DB_BACKUP_CONTENT_READ`	無額外	`RestoreAutonomousDatabase` (也需要 `use autonomous-databases`) `ChangeAutonomousDatabaseCompartment` (也需要 `use autonomous-databases`)
使用	讀取 + 無額外	無額外	無
管理	`USE +` `AUTONOMOUS_DB_BACKUP_CREATE` `AUTONOMOUS_DB_BACKUP_DELETE`	`DeleteAutonomousDatabaseBackup`	`CreateAutonomousDatabaseBackup` (也需要 `read autonomous-databases`)

autonomous-container-databases

Verbs	權限	完全涵蓋的 API	部分涵蓋的 API
檢查	`AUTONOMOUS_CONTAINER_DATABASE_INSPECT`	`ListAutonomousContainerDatabases, GetAutonomousContainerDatabase`	無
已讀取	檢查 + 無額外	無額外	無
使用	讀取 + `AUTONOMOUS_CONTAINER_DATABASE_UPDATE`	`UpdateAutonomousContainerDatabase` `ChangeAutonomousContainerDatabaseCompartment`	`CreateAutonomousDatabase` (也需要 `manage autonomous-databases`)
管理	`USE +` `AUTONOMOUS_CONTAINER_DATABASE_CREATE` `AUTONOMOUS_CONTAINER_DATABASE_DELETE`	無額外	`CreateAutonomousContainerDatabase, TerminateAutonomousContainerDatabase` (同時需要 `use cloud-autonomous-vmclusters, use cloud-exadata-infrastructures`)

雲端自治式叢集

Verbs	權限	完全涵蓋的 API	部分涵蓋的 API
檢查	`CLOUD_AUTONOMOUS_VM_CLUSTER_INSPECT`	`ListCloudAutonomousVmClusters` `GetCloudAutonomousVmCluster`	無
已讀取	`INSPECT +` 無額外	無額外	無
使用	讀取 + `CLOUD_AUTONOMOUS_VM_CLUSTER_UPDATE`	`UpdateCloudAutonomousVmCluster` `ChangeCloudAutonomousVmClusterCompartment`	`CreateAutonomousDatabase` (也需要 `manage autonomous-databases`) `CreateAutonomousContainerDatabase` (也需要 `manage autonomous-container-databases`)
管理	`USE +` `CLOUD_AUTONOMOUS_VM_CLUSTER_CREATE` `CLOUD_AUTONOMOUS_VM_CLUSTER_DELETE`	無額外	`CreateCloudAutonomousVmCluster, DeleteCloudAutonomousVmCluster` (兩者也需要 `use vnics, use subnets, use cloud-exadata-infrastructures`)

自治式 VM 叢集

Verbs	權限	完全涵蓋的 API	部分涵蓋的 API
檢查	`AUTONOMOUS_VM_CLUSTER_INSPECT`	`ListAutonomousVmClusters` `GetAutonomousVmCluster`	`ChangeAutonomousVmClusterCompartment`
已讀取	檢查 + 無額外	無額外	無
使用	`READ` + `AUTONOMOUS_VM_CLUSTER_UPDATE`	`ChangeAutonomousVmClusterCompartment`	`UpdateAutonomousVmCluster` `CreateAutonomousContainerDatabase` `TerminateAutonomousContainerDatabase`
管理	`USE` + `AUTONOMOUS_VM_CLUSTER_CREATE` + `AUTONOMOUS_VM_CLUSTER_DELETE`	`DeleteAutonomousVmCluster`	`CreateAutonomousVmCluster`

自主虛擬機

Verbs 權限完全涵蓋的 API 部分涵蓋的 API

檢查

Verbs	權限	完全涵蓋的 API	部分涵蓋的 API
檢查	`AUTONOMOUS_VIRTUAL_MACHINE_INSPECT`	`GetAutonomousVirtualMachine` `ListAutonomousVirtualMachines`	無

AUTONOMOUS_VIRTUAL_MACHINE_INSPECT

GetAutonomousVirtualMachine

ListAutonomousVirtualMachines

無

每個 API 作業所需的權限

Autonomous Container Database (ACD) 和 Autonomous Database (ADB) 是 Oracle Public Cloud 、多雲端和 Exadata Cloud@Customer 部署之間的常用資源。因此，下表中兩個部署的權限相同。

不過，某些 ACD 作業需要 AVMC 層級權限，而且 Oracle Public Cloud 和 Exadata Cloud@Customer 的 AVMC 資源不同，因此您需要每個部署類型的不同權限。例如，若要建立 ACD，您需要：

AUTONOMOUS_VM_CLUSTER_UPDATE 和 AUTONOMOUS_CONTAINER_DATABASE_CREATE 對 Exadata Cloud@Customer 的權限。
Oracle Public Cloud 和多雲端的 CLOUD_AUTONOMOUS_VM_CLUSTER_UPDATE 和 AUTONOMOUS_CONTAINER_DATABASE_CREATE 權限。

如需權限的相關資訊，請參閱 Permissions 。

下表以邏輯順序列出 Autonomous Database 資源的 API 作業，並依資源類型分組。

Autonomous Database API 作業

您可以使用 API 檢視及管理 Autonomous Database 的不同基礎架構資源。如需管理不同 Autonomous Database 資源的 REST API 端點清單，請參閱 API Reference for Autonomous Database on Dedicated Exadata Infrastructure 。

限制使用者對特定權限的存取

使用者存取權定義在 IAM 原則敘述句中。當您建立原則敘述句，讓群組可以存取特定動詞和資源類型時，實際上會讓該群組存取一或多個預先定義的 IAM 權限。動詞的目的是簡化授予多個相關權限的程序。

若要允許或拒絕特定的 IAM 權限，請新增 where 條件至原則敘述句。例如，若要允許一組機組管理員對 Exadata 基礎架構資源執行除了以外的任何作業來刪除它們，請建立此原則敘述句：

Allow group FleetAdmins to manage cloud-exadata-infrastructures in tenancy where request.permission != 'CLOUD_EXADATA_INFRASTRUCTURE_DELETE'

接著，您可以省略 where 條件，允許較小的機組管理員在 Exadata 基礎架構資源上執行任何作業 (包括刪除)：

Allow group FleetSuperAdmins to manage cloud-exadata-infrastructures in tenancy

如需有關使用此方式使用 where 條件的詳細資訊，請參閱權限的 "Scoping Access with Permissions or API Operations" 小節。

管理 Exadata 基礎架構資源的原則

下表列出雲端使用者執行 Exadata 基礎架構資源管理作業所需的 IAM 原則。

操作	Oracle Public Cloud 和多雲端的必要 IAM 政策	Exadata Cloud@Customer 上的必要 IAM 原則
建立 Exadata 基礎架構資源	`manage cloud-exadata-infrastructures` `use vnic` `use subnet`	`manage exadata-infrastructures`
檢視 Exadata 基礎架構資源清單	`inspect cloud-exadata-infrastructures`	`inspect exadata-infrastructures`
檢視 Exadata 基礎架構資源的詳細資訊	`inspect cloud-exadata-infrastructures`	`inspect exadata-infrastructures`
變更 Exadata 基礎架構資源的維護排程	`use cloud-exadata-infrastructures`	`use exadata-infrastructures`
將 Exadata 基礎架構資源搬移至其他區間	`use cloud-exadata-infrastructures`	`use exadata-infrastructures`
管理 Exadata 基礎架構資源的安全憑證	`manage cloud-exadata-infrastructures`	`manage exadata-infrastructures`
終止 Exadata 基礎架構資源	`manage cloud-exadata-infrastructures` `use vnic` `use subnet`	`manage exadata-infrastructures`

管理自治式 Exadata VM 叢集的原則

下表列出雲端使用者在自治式 Exadata VM 叢集執行管理作業所需的 IAM 原則。

操作	Oracle Public Cloud 和多雲端的必要 IAM 政策	Exadata Cloud@Customer 上的必要 IAM 原則
建立自治式 Exadata VM 叢集	`manage cloud-autonomous-vmclusters` `use cloud-exadata-infrastructures`	`manage autonomous-vmclusters` `use exadata-infrastructures`
檢視自治式 Exadata VM 叢集清單	`inspect cloud-autonomous-vmclusters`	`inspect autonomous-vmclusters`
檢視自治式 Exadata VM 叢集的詳細資訊	`inspect cloud-autonomous-vmclusters`	`inspect autonomous-vmclusters`
變更自治式 VM 叢集的授權類型	不適用	`use autonomous-vmclusters` `inspect exadata-infrastructures`
將自治式 Exadata VM 叢集搬移至其他區間	`use cloud-autonomous-vmclusters`	`use autonomous-vmclusters`
終止自治式 Exadata VM 叢集	`manage cloud-autonomous-vmclusters`	`manage autonomous-vmclusters`

管理自治式容器資料庫的原則

下表列出雲端使用者在自治式容器資料庫 (ACD) 上執行管理作業所需的 IAM 原則。

操作	必要的 IAM 原則
建立自治式容器資料庫	`manage autonomous-container-databases` 在 Oracle Public Cloud 和多雲端上建立自治式容器資料庫時，請參考 `use cloud-exadata-infrastructures`。在 Oracle Public Cloud 和多雲端上建立自治式容器資料庫時，請參考 `use cloud-autonomous-vmclusters`。在 Exadata Cloud@Customer 上建立自治式容器資料庫時，`use autonomous-vmclusters`。在 Exadata Cloud@Customer 上建立自治式容器資料庫時，`use backup-destinations`。
檢視自治式容器資料庫清單	`inspect autonomous-container-databases`
檢視自治式容器資料庫詳細資訊	`inspect autonomous-container-databases`
變更自治式容器資料庫的備份保留原則	`use autonomous-container-databases`
編輯自治式容器資料庫的維護偏好設定	`use autonomous-container-databases`
重新啟動自治式容器資料庫	`use autonomous-container-databases`
將自治式容器資料庫搬移至其他區間	`use autonomous-container-databases`
輪換自治式容器資料庫加密金鑰	`use autonomous-container-databases` `inspect autonomous-container-databases`
終止自治式容器資料庫	`manage autonomous-container-databases` 在 Oracle Public Cloud 和多雲端上建立自治式容器資料庫時，請參考 `use cloud-exadata-infrastructures`。在 Oracle Public Cloud 和多雲端上建立自治式容器資料庫時，請參考 `use cloud-autonomous-vmclusters`。在 Exadata Cloud@Customer 上建立自治式容器資料庫時，`use autonomous-vmclusters`。

管理自治式資料保全組態的原則

下表列出雲端使用者執行自治式資料保全組態管理作業所需的 IAM 原則。

操作	必要的 IAM 原則
檢視與 ACD 的自治式資料保全關聯。	`inspect autonomous-container-databases`
列出已啟用自治式資料保全且與指定 ACD 或 Autonomous Database 關聯的 ACD。	`inspect autonomous-container-databases`
將「停用的待命資料庫」復原至作用中的待命 ACD。	`inspect autonomous-container-databases` `update autonomous-container-databases`
切換主要和待命 ACD 的角色。	`inspect autonomous-container-databases` `update autonomous-container-databases`
容錯移轉至待命 ACD。容錯移轉順利完成時，此待命 ACD 將會成為新的主要 ACD。	`inspect autonomous-container-databases` `update autonomous-container-databases`
修改自治式資料保全設定值，例如保護模式、自動容錯移轉以及快速啟動容錯移轉延遲限制。	`inspect autonomous-container-databases` `update autonomous-container-databases`
取得與指定之 Autonomous Database 關聯的啟用自治式資料保全資料庫。	`inspect autonomous-container-databases`
列出 Autonomous Database 資料保全關聯。	`inspect autonomous-container-databases`
在 ACD 上啟用「自治式資料保全」。	`inspect cloud-autonomous-vmclusters` 或 `inspect autonomous-vmclusters` `inspect autonomous-container-databases` `update autonomous-container-databases`
在實體待命資料庫與快照待命 ACD 之間轉換待命 ACD。	`inspect cloud-autonomous-vmclusters` 或 `inspect autonomous-vmclusters` `inspect autonomous-container-databases` `update autonomous-container-databases`

管理 Autonomous Database 的政策

下表列出雲端使用者在 Autonomous Database 上執行管理作業所需的 IAM 原則。

操作	必要的 IAM 原則
建立 Autonomous Database	`manage autonomous-databases` `read autonomous-container-databases`
檢視 Autonomous Database 清單	`inspect autonomous-databases`
檢視 Autonomous Database 的詳細資訊	`inspect autonomous-databases`
設定 Autonomous Database 之 ADMIN 使用者的密碼	`use autonomous-databases`
調整 Autonomous Database 的 CPU 核心數量或儲存空間	`use autonomous-databases`
啟用或停用 Autonomous Database 的自動調整功能	`use autonomous-databases`
將 Autonomous Database 移至其他區間	Autonomous Database 目前區間中的 `use autonomous-databases`，以及您將其移至的區間中 `read autonomous-backups`
停止或啟動 Autonomous Database	`use autonomous-databases`
重新啟動 Autonomous Database	`use autonomous-databases`
手動備份 Autonomous Database	`read autonomous-databases` `manage autonomous-backups`
回復 Autonomous Database	`use autonomous-databases` `read autonomous-backups`
複製 Autonomous Database	`manage autonomous-databases` `read autonomous-container-databases`
終止 Autonomous Database	`manage autonomous-databases`

標題與著作權資訊

Oracle 和 (或) 其關係企業。