Autonomous Database on Dedicated Exadata Infrastructure 的 IAM 政策
本文列出在專用 Exadata 基礎架構上管理 Autonomous Database 基礎架構資源所需的 IAM 原則。
Oracle Autonomous Database on Dedicated Exadata Infrastructure 仰賴 IAM (Identity and Access Management) 服務來驗證和授權雲端使用者執行使用任何 Oracle Cloud Infrastructure 介面 (主控台、REST API、CLI 或 SDK) 的作業。IAM 服務使用群組、區間和原則來控制哪些雲端使用者可以存取哪些資源。
Autonomous Database 的原則詳細資訊
本主題涵蓋撰寫原則以控制 Autonomous Database 資源存取的詳細資訊。
秘訣:
如需範例原則,請參閱讓資料庫和機隊管理員管理自治式資料庫。資源類型
聚總資源類型涵蓋直接遵循的個別資源類型清單。例如,撰寫一個原則以允許群組存取 autonomous-database-family
,就等同於針對可授予 autonomous-databases
、autonomous-backups
、autonomous-container-databases
和 cloud-autonomous-vmclusters
資源類型存取權的群組撰寫四個個別原則。如需詳細資訊,請參閱資源類型。
聚總資源類型:
autonomous-database-family
個別資源類型:
autonomous-databases
autonomous-backups
autonomous-container-databases
cloud-autonomous-vmclusters
(僅限 Oracle Public Cloud 部署項目)
autonomous-vmclusters
(僅限 Oracle Exadata Cloud@Customer 部署)
autonomous-virtual-machine
秘訣:
聚總資源類型database-family
分別涵蓋在 Oracle Public Cloud 和 Exadata Cloud@Customer 上佈建 Autonomous Database 所需的 cloud-exadata-infrastructures
和 exadata-infrastructures
資源類型。如需有關 database-family
所涵蓋資源的詳細資訊,請參閱Exadata Cloud Service 執行處理的原則詳細資訊和基準資料庫服務的原則詳細資訊。
支援的變數
支援一般變數。請參閱所有要求的一般變數瞭解詳細資訊。
此外,您可以使用 target.workloadType
變數,如下表所示:
target.workloadType 值 | 描述 |
---|---|
OLTP |
線上交易處理,用於具有 Autonomous Transaction Processing 工作負載的 Autonomous Database 。 |
DW |
資料倉儲,用於具有 Autonomous Data Warehouse 工作負載的 Autonomous Database 。 |
Allow group ADB-Admins
to manage autonomous-database
in tenancy where target.workloadType = 'workload_type'
動詞 + 資源類型組合的詳細資訊
您可以按照 inspect > read > use > manage
的順序,累積存取層次。表格儲存格中的加號 (+) 表示與儲存格直接相較的增量存取,而「無額外」則表示無增量存取。
例如,autonomous-databases
資源類型的 read
動詞涵蓋與 inspect
動詞相同的權限和 API 作業,以及 AUTONOMOUS_DATABASE_CONTENT_READ 權限。read
動詞部分涵蓋 CreateAutonomousDatabaseBackup
作業,這也需要 autonomous-backups
的管理權限。
下表顯示每個動詞所涵蓋的權限和 API 作業。如需權限的相關資訊,請參閱 Permissions 。
附註:
autonomous-database-family 所涵蓋的資源系列,可用來授予與所有 Autonomous Database 工作負載類型關聯的資料庫資源存取權。Verbs | 權限 | 完全涵蓋的 API | 部分涵蓋的 API |
---|---|---|---|
檢查 |
|
|
無 |
已讀取 |
|
無額外 |
|
使用 |
|
|
|
管理 |
|
|
無 |
Verbs | 權限 | 完全涵蓋的 API | 部分涵蓋的 API |
---|---|---|---|
檢查 |
|
|
無 |
已讀取 |
|
無額外 |
|
使用 |
讀取 + 無額外 |
無額外 |
無 |
管理 |
|
|
|
Verbs | 權限 | 完全涵蓋的 API | 部分涵蓋的 API |
---|---|---|---|
檢查 |
|
|
無 |
已讀取 |
檢查 + 無額外 |
無額外 |
無 |
使用 |
讀取 +
|
|
|
管理 |
|
無額外 |
|
Verbs | 權限 | 完全涵蓋的 API | 部分涵蓋的 API |
---|---|---|---|
檢查 |
|
|
無 |
已讀取 |
無額外 |
無額外 |
無 |
使用 |
讀取 +
|
|
|
管理 |
|
無額外 |
(兩者也需要 |
自治式 VM 叢集
Verbs | 權限 | 完全涵蓋的 API | 部分涵蓋的 API |
---|---|---|---|
檢查 |
|
|
|
已讀取 |
檢查 + 無額外 |
無額外 |
無 |
使用 |
|
|
|
管理 |
|
|
|
Verbs | 權限 | 完全涵蓋的 API | 部分涵蓋的 API |
---|---|---|---|
檢查 | AUTONOMOUS_VIRTUAL_MACHINE_INSPECT |
|
無 |
每個 API 作業所需的權限
Autonomous Container Database (ACD) 和 Autonomous Database (ADB) 是 Oracle Public Cloud 、多雲端和 Exadata Cloud@Customer 部署之間的常用資源。因此,下表中兩個部署的權限相同。
-
AUTONOMOUS_VM_CLUSTER_UPDATE 和 AUTONOMOUS_CONTAINER_DATABASE_CREATE 對 Exadata Cloud@Customer 的權限。
-
Oracle Public Cloud 和多雲端的 CLOUD_AUTONOMOUS_VM_CLUSTER_UPDATE 和 AUTONOMOUS_CONTAINER_DATABASE_CREATE 權限。
如需權限的相關資訊,請參閱 Permissions 。
下表以邏輯順序列出 Autonomous Database 資源的 API 作業,並依資源類型分組。
您可以使用 API 檢視及管理 Autonomous Database 的不同基礎架構資源。如需管理不同 Autonomous Database 資源的 REST API 端點清單,請參閱 API Reference for Autonomous Database on Dedicated Exadata Infrastructure 。
使用者存取權定義在 IAM 原則敘述句中。當您建立原則敘述句,讓群組可以存取特定動詞和資源類型時,實際上會讓該群組存取一或多個預先定義的 IAM 權限。動詞的目的是簡化授予多個相關權限的程序。
若要允許或拒絕特定的 IAM 權限,請新增 where
條件至原則敘述句。例如,若要允許一組機組管理員對 Exadata 基礎架構資源執行除了以外的任何作業來刪除它們,請建立此原則敘述句:
Allow group FleetAdmins to manage cloud-exadata-infrastructures in tenancy where request.permission != 'CLOUD_EXADATA_INFRASTRUCTURE_DELETE'
接著,您可以省略 where
條件,允許較小的機組管理員在 Exadata 基礎架構資源上執行任何作業 (包括刪除):
Allow group FleetSuperAdmins to manage cloud-exadata-infrastructures in tenancy
如需有關使用此方式使用 where
條件的詳細資訊,請參閱權限的 "Scoping Access with Permissions or API Operations" 小節。
管理 Exadata 基礎架構資源的原則
下表列出雲端使用者執行 Exadata 基礎架構資源管理作業所需的 IAM 原則。
操作 | Oracle Public Cloud 和多雲端的必要 IAM 政策 | Exadata Cloud@Customer 上的必要 IAM 原則 |
---|---|---|
建立 Exadata 基礎架構資源 |
|
|
檢視 Exadata 基礎架構資源清單 |
|
|
檢視 Exadata 基礎架構資源的詳細資訊 |
|
|
變更 Exadata 基礎架構資源的維護排程 |
|
|
將 Exadata 基礎架構資源搬移至其他區間 |
|
|
管理 Exadata 基礎架構資源的安全憑證 |
|
|
終止 Exadata 基礎架構資源 |
|
|
管理自治式 Exadata VM 叢集的原則
下表列出雲端使用者在自治式 Exadata VM 叢集執行管理作業所需的 IAM 原則。
操作 | Oracle Public Cloud 和多雲端的必要 IAM 政策 | Exadata Cloud@Customer 上的必要 IAM 原則 |
---|---|---|
建立自治式 Exadata VM 叢集 |
|
|
檢視自治式 Exadata VM 叢集清單 |
|
|
檢視自治式 Exadata VM 叢集的詳細資訊 |
|
|
變更自治式 VM 叢集的授權類型 |
不適用 |
|
將自治式 Exadata VM 叢集搬移至其他區間 |
|
|
終止自治式 Exadata VM 叢集 |
|
|
管理自治式容器資料庫的原則
下表列出雲端使用者在自治式容器資料庫 (ACD) 上執行管理作業所需的 IAM 原則。
操作 | 必要的 IAM 原則 |
---|---|
建立自治式容器資料庫 |
在 Oracle Public Cloud 和多雲端上建立自治式容器資料庫時,請參考 在 Oracle Public Cloud 和多雲端上建立自治式容器資料庫時,請參考 在 Exadata Cloud@Customer 上建立自治式容器資料庫時, 在 Exadata Cloud@Customer 上建立自治式容器資料庫時, |
檢視自治式容器資料庫清單 |
|
檢視自治式容器資料庫詳細資訊 |
|
變更自治式容器資料庫的備份保留原則 |
|
編輯自治式容器資料庫的維護偏好設定 |
|
重新啟動自治式容器資料庫 |
|
將自治式容器資料庫搬移至其他區間 |
|
輪換自治式容器資料庫加密金鑰 |
|
終止自治式容器資料庫 |
在 Oracle Public Cloud 和多雲端上建立自治式容器資料庫時,請參考 在 Oracle Public Cloud 和多雲端上建立自治式容器資料庫時,請參考 在 Exadata Cloud@Customer 上建立自治式容器資料庫時, |
管理自治式資料保全組態的原則
下表列出雲端使用者執行自治式資料保全組態管理作業所需的 IAM 原則。
操作 | 必要的 IAM 原則 |
---|---|
檢視與 ACD 的自治式資料保全關聯。 |
|
列出已啟用自治式資料保全且與指定 ACD 或 Autonomous Database 關聯的 ACD。 |
|
將「停用的待命資料庫」復原至作用中的待命 ACD。 |
|
切換主要和待命 ACD 的角色。 |
|
容錯移轉至待命 ACD。容錯移轉順利完成時,此待命 ACD 將會成為新的主要 ACD。 |
|
修改自治式資料保全設定值,例如保護模式、自動容錯移轉以及快速啟動容錯移轉延遲限制。 |
|
取得與指定之 Autonomous Database 關聯的啟用自治式資料保全資料庫。 |
|
列出 Autonomous Database 資料保全關聯。 |
|
在 ACD 上啟用「自治式資料保全」。 |
|
在實體待命資料庫與快照待命 ACD 之間轉換待命 ACD。 |
|
管理 Autonomous Database 的政策
下表列出雲端使用者在 Autonomous Database 上執行管理作業所需的 IAM 原則。
操作 | 必要的 IAM 原則 |
---|---|
建立 Autonomous Database |
|
檢視 Autonomous Database 清單 |
|
檢視 Autonomous Database 的詳細資訊 |
|
設定 Autonomous Database 之 ADMIN 使用者的密碼 |
|
調整 Autonomous Database 的 CPU 核心數量或儲存空間 |
|
啟用或停用 Autonomous Database 的自動調整功能 |
|
將 Autonomous Database 移至其他區間 |
Autonomous Database 目前區間中的
|
停止或啟動 Autonomous Database |
|
重新啟動 Autonomous Database |
|
手動備份 Autonomous Database |
|
回復 Autonomous Database |
|
複製 Autonomous Database |
|
終止 Autonomous Database |
|