基準資料庫服務的原則詳細資訊

本文提供撰寫 Oracle Cloud Infrastructure Identity and Access Management (IAM) 原則以控制對 Oracle Base Database Service 資源之存取的詳細資訊。

秘訣：

資源類型

聚總資源類型涵蓋直接遵循的個別資源類型清單。例如，撰寫一個原則以允許群組存取 database-family，就等同於為可授予 db-systems、db-nodes、db-homes、databases、database-software-image 和 db-backups 資源類型的群組撰寫個別原則。如需詳細資訊，請參閱原則如何運作中的 Resource-Types 。

聚總資源類型

database-family

個別資源類型

db-systems
db-nodes
db-homes
databases
pluggable databases
db-backups

支援的變數

只支援一般變數。如需詳細資訊，請參閱原則參照中的所有要求的一般變數。

動詞 + 資源類型組合的詳細資訊

下表顯示每個動詞所涵蓋的權限和 API 作業。您可以按照 inspect > read > use > manage 的順序，累積存取層次。表格儲存格中的加號 (+) 表示與儲存格直接相較的增量存取，而「無額外」則表示無增量存取。

例如，db-systems 資源類型的 read 和 use 動詞與 inspect 動詞相比，沒有額外的權限或 API 作業。不過，manage 動詞還包含兩個權限，部分涵蓋另外兩個 API 作業。

db 系統

Verbs	權限	完全涵蓋的 API	部分涵蓋的 API
檢查	DB_SYSTEM_INSPECT	`ListDbSystems` `GetDbSystem` `ListDbSystemPatches` `ListDbSystemPatchHistoryEntries` `GetDbSystemPatch` `GetDbSystemPatchHistoryEntry`	無
已讀取	無額外	無額外	無
使用	DB_SYSTEM_UPDATE	無額外	`ChangeDbSystemCompartment` (也需要 `use db-homes`、`use databases` 和 `inspect db-backups`)
管理	USE + DB_SYSTEM_CREATE DB_SYSTEM_DELETE	`UpdateDBSystem`	`LaunchDBSystem`、`TerminateDbSystem` (同時需要 `manage db-homes`、`manage databases`、`use vnics` 和 `use subnets`)

資料庫節點

Verbs	權限	完全涵蓋的 API	部分涵蓋的 API
檢查	DB_NODE_INSPECT DB_NODE_QUERY	`GetDbNode`	無
已讀取	無額外	無額外	無
使用	無額外	無額外	無
管理	USE + DB_NODE_POWER_ACTIONS	`DbNodeAction`	無

db-homes

Verbs	權限	完全涵蓋的 API	部分涵蓋的 API
檢查	DB_HOME_INSPECT	`ListDBHome` `GetDBHome` `ListDbHomePatches` `ListDbHomePatchHistoryEntries` `GetDbHomePatch` `GetDbHomePatchHistoryEntry`	無
已讀取	無額外	無額外	無
使用	DB_HOME_UPDATE	`UpdateDBHome`	`ChangeDbSystemCompartment` (也需要 `use db-systems`、`use databases` 和 `inspect db-backups`)
管理	USE + DB_HOME_CREATE DB_HOME_DELETE	無額外	`LaunchDBSystem`、`TerminateDbSystem` (同時需要 `manage db-systems`、`manage databases`、`use vnics` 和 `use subnets`)。如果預設資料庫上啟用自動備份，也需要 `manage db-backups`。 `CreateDbHome` (也需要 `use db-systems` 和 `manage databases`)。如果是從備份回復來建立資料庫本位目錄，也需要 `read db-backups`。 `DeleteDbHome` (也需要 `use db-systems` 和 `manage databases`)。如果預設資料庫上啟用自動備份，也需要 `manage db-backups`。如果選取 `performFinalBackup` 選項，也需要 `manage db-backups` 和 `read databases`。

資料庫

Verbs	權限	完全涵蓋的 API	部分涵蓋的 API
檢查	DATABASE_INSPECT	`ListDatabases` `GetDatabase` `ListDataGuardAssociations` `GetDataGuardAssociation`	無
已讀取	無額外 DATABASE_CONTENT_READ	無額外	無
使用	已閱讀 + DATABASE_CONTENT_WRITE DATABASE_UPDATE	`UpdateDatabase` `SwitchoverDataGuardAssociation` `FailoverDataGuardAssociation` `ReinstateDataGuardAssociation` `RotateVaultKey` `MigrateVaultKey`	`CreateDataGuardAssociation` `ChangeDbSystemCompartment` (也需要 `use db-systems`、`use db-homes` 和 `inspect db-backups`)
管理	USE + DATABASE_CREATE DATABASE_DELETE	無額外	`LaunchDBSystem`、`TerminateDbSystem` (同時需要 `manage db-systems`、`manage db-homes`、`use vnics` 和 `use subnets`)

可插拔資料庫

Verbs	權限	完全涵蓋的 API	部分涵蓋的 API
檢查	PLUGGABLE_DATABASE_INSPECT	`ListPluggableDatabases` `GetPluggableDatabase`	無
已讀取	檢查 + PLUGGABLE_DATABASE_CONTENT_READ	無額外	無
使用	已閱讀 + PLUGGABLE_DATABASE_CONTENT_WRITE PLUGGABLE_DATABASE_UPDATE	`UpdatePluggableDatabases` `StartPluggableDatabase` `StopPluggableDatabase`	無
管理	USE + PLUGGABLE_DATABASE_CREATE PLUGGABLE_DATABASE_DELETE	無額外	`CreatePluggableDatabase`、`DeletePluggableDatabase`、`LocalClonePluggableDatabase`、`RemoteClonePluggableDatabase` (所有也需要 `use databases`)

資料庫備份

Verbs	權限	完全涵蓋的 API	部分涵蓋的 API
檢查	DB_BACKUP_INSPECT	`GetBackup` `ListBackups`	`ChangeDbSystemCompartment` (也需要 `use db-systems`、`use db-homes` 和 `use databases`)
已讀取	檢查 + DB_BACKUP_CONTENT_READ	無	`RestoreDatabase` (也需要 `use databases`)
使用	無額外	無額外	無
管理	USE + DB_BACKUP_CREATE DB_BACKUP_DELETE	`DeleteBackup`	`CreateBackup` (也需要 `read databases`)

如需權限和動詞的詳細資訊，請參閱進階原則功能。

每個 API 作業所需的權限

下表以邏輯順序列出資料庫系統和可插式資料庫的 API 作業，依資源類型分組。

資料庫 API 作業

API 作業	使用作業所需的權限
`ListDbSystems`	DB_SYSTEM_INSPECT
`GetDbSystem`	DB_SYSTEM_INSPECT
`LaunchDbSystem`	DB_SYSTEM_CREATE 和 DB_HOME_CREATE 和 DATABASE_CREATE 和 VNIC_CREATE 和 VNIC_ATTACH 以及 SUBNET_ATTACH 若要啟用初始資料庫的自動備份，也需要 DB_BACKUP_CREATE 和 DATABASE_CONTENT_READ
`UpdateDbSystem`	DB_SYSTEM_INSPECT 和 DB_SYSTEM_UPDATE
`ChangeDbSystemCompartment`	DB_SYSTEM_UPDATE 和 DB_HOME_UPDATE 和 DATABASE_UPDATE 和 DB_BACKUP_INSPECT
`ListDbSystemPatches`	DB_SYSTEM_INSPECT
`ListDbSystemPatchHistoryEntries`	DB_SYSTEM_INSPECT
`GetDbSystemPatch`	DB_SYSTEM_INSPECT
`GetDbSystemPatchHistoryEntry`	DB_SYSTEM_INSPECT
`TerminateDbSystem`	DB_SYSTEM_DELETE 和 DB_HOME_DELETE 和 DATABASE_DELETE 和 VNIC_DETACH 和 VNIC_DELETE 以及 SUBNET_DETACH 如果為資料庫系統中的任何資料庫啟用自動備份，也需要 DB_BACKUP_DELETE
`GetDbNode`	DB_NODE_INSPECT
`DbNodeAction`	DB_NODE_POWER_ACTIONS
`ListDbHomes`	DB_HOME_INSPECT
`GetDbHome`	DB_HOME_INSPECT
`ListDbHomePatches`	DB_HOME_INSPECT
`ListDbHomePatchHistoryEntries`	DB_HOME_INSPECT
`GetDbHomePatch`	DB_HOME_INSPECT
`GetDbHomePatchHistoryEntry`	DB_HOME_INSPECT
`CreateDbHome`	DB_SYSTEM_INSPECT 和 DB_SYSTEM_UPDATE 和 DB_HOME_CREATE 和 DATABASE_CREATE 若要啟用資料庫的自動備份，也需要 DB_BACKUP_CREATE 和 DATABASE_CONTENT_READ
`UpdateDbHome`	DB_HOME_UPDATE
`DeleteDbHome`	DB_SYSTEM_UPDATE 和 DB_HOME_DELETE 和 DATABASE_DELETE 如果啟用自動備份，也需要 DB_BACKUP_DELETE 如果在終止時執行最終備份，也需要 DB_BACKUP_CREATE 和 DATABASE_CONTENT_READ
`ListDatabases`	DATABASE_INSPECT
`GetDatabase`	DATABASE_INSPECT
`UpdateDatabase`	DATABASE_UPDATE 若要啟用自動備份，也需要 DB_BACKUP_CREATE 和 DATABASE_CONTENT_READ
`ListDbSystemShapes`	(不需要權限；可供任何人使用)
`ListDbVersions`	(不需要權限；可供任何人使用)
`GetDataGuardAssociation`	DATABASE_INSPECT
`ListDataGuardAssociations`	DATABASE_INSPECT
`CreateDataGuardAssociation`	DB_SYSTEM_UPDATE 和 DB_HOME_CREATE 和 DB_HOME_UPDATE 和 DATABASE_CREATE 和 DATABASE_UPDATE
`SwitchoverDataGuardAssociation`	DATABASE_UPDATE
`FailoverDataGuardAssociation`	DATABASE_UPDATE
`ReinstateDataGuardAssociation`	DATABASE_UPDATE
`MigrateVaultKey`	DATABASE_UPDATE
`RotateVaultKey`	DATABASE_UPDATE
`GetBackup`	DB_BACKUP_INSPECT
`ListBackups`	DB_BACKUP_INSPECT
`CreateBackup`	DB_BACKUP_CREATE 和 DATABASE_CONTENT_READ
`DeleteBackup`	DB_BACKUP_DELETE 和 DB_BACKUP_INSPECT
`RestoreDatabase`	DB_BACKUP_INSPECT 和 DB_BACKUP_CONTENT_READ 和 DATABASE_CONTENT_WRITE

可插式資料庫 API 作業

API 作業	使用作業所需的權限
`ListPluggableDatabase`	PLUGGABLE_DATABASE_INSPECT
`GetPluggableDatabase`	PLUGGABLE_DATABASE_INSPECT
`CreatePluggableDatabase`	DATABASE_INSPECT* DATABASE_UPDATE* PLUGGABLE_DATABASE_CREATE 如果已對 CDB 啟用自動備份並包含此 PDB，則需要額外權限： PLUGGABLE_DATABASE_CONTENT_READ
`UpdatePluggableDatabase`	PLUGGABLE_DATABASE_INSPECT 與 PLUGGABLE_DATABASE_UPDATE 如果已對 CDB 啟用自動備份並包含此 PDB，則需要額外權限： PLUGGABLE_DATABASE_CONTENT_READ
`StartPluggableDatabase`	PLUGGABLE_DATABASE_INSPECT 與 PLUGGABLE_DATABASE_UPDATE
`StopPluggableDatabase`	PLUGGABLE_DATABASE_INSPECT 與 PLUGGABLE_DATABASE_UPDATE
`DeletePluggableDatabase`	DATABASE_INSPECT (存在) DATABASE_UPDATE (存在) PLUGGABLE_DATABASE_DELETE
`LocalClonePluggableDatabase`	DATABASE_INSPECT* DATABASE_UPDATE* PLUGGABLE_DATABASE_INSPECT PLUGGABLE_DATABASE_UPDATE PLUGGABLE_DATABASE_CONTENT_READ PLUGGABLE_DATABASE_CREATE PLUGGABLE_DATABASE_CONTENT_WRITE
`RemoteClonePluggableDatabase`	DATABASE_INSPECT* DATABASE_UPDATE* PLUGGABLE_DATABASE_INSPECT PLUGGABLE_DATABASE_UPDATE PLUGGABLE_DATABASE_CONTENT_READ PLUGGABLE_DATABASE_CREATE PLUGGABLE_DATABASE_CONTENT_WRITE

如需權限和動詞的詳細資訊，請參閱進階原則功能。

標題與著作權資訊

Oracle 和 (或) 其關係企業。