基準資料庫服務的原則詳細資訊

本文提供撰寫 Oracle Cloud Infrastructure Identity and Access Management (IAM) 原則以控制對 Oracle Base Database Service 資源之存取的詳細資訊。

秘訣:

如需範例原則,請參閱讓資料庫管理員管理 Oracle Cloud 資料庫系統

資源類型

聚總資源類型涵蓋直接遵循的個別資源類型清單。例如,撰寫一個原則以允許群組存取 database-family,就等同於為可授予 db-systemsdb-nodesdb-homesdatabasesdatabase-software-imagedb-backups 資源類型的群組撰寫個別原則。如需詳細資訊,請參閱原則如何運作中的 Resource-Types

聚總資源類型

  • database-family

個別資源類型

  • db-systems
  • db-nodes
  • db-homes
  • databases
  • pluggable databases
  • db-backups

支援的變數

只支援一般變數。如需詳細資訊,請參閱原則參照中的所有要求的一般變數

動詞 + 資源類型組合的詳細資訊

下表顯示每個動詞所涵蓋的權限和 API 作業。您可以按照 inspect > read > use > manage 的順序,累積存取層次。表格儲存格中的加號 (+) 表示與儲存格直接相較的增量存取,而「無額外」則表示無增量存取。

例如,db-systems 資源類型的 readuse 動詞與 inspect 動詞相比,沒有額外的權限或 API 作業。不過,manage 動詞還包含兩個權限,部分涵蓋另外兩個 API 作業。

db 系統

Verbs 權限 完全涵蓋的 API 部分涵蓋的 API
檢查 DB_SYSTEM_INSPECT

ListDbSystems

GetDbSystem

ListDbSystemPatches

ListDbSystemPatchHistoryEntries

GetDbSystemPatch

GetDbSystemPatchHistoryEntry

已讀取 無額外 無額外
使用 DB_SYSTEM_UPDATE 無額外 ChangeDbSystemCompartment (也需要 use db-homesuse databasesinspect db-backups)
管理

USE +

DB_SYSTEM_CREATE

DB_SYSTEM_DELETE

UpdateDBSystem LaunchDBSystemTerminateDbSystem (同時需要 manage db-homesmanage databasesuse vnicsuse subnets)

資料庫節點

Verbs 權限 完全涵蓋的 API 部分涵蓋的 API
檢查

DB_NODE_INSPECT

DB_NODE_QUERY

GetDbNode
已讀取 無額外 無額外
使用 無額外 無額外
管理

USE +

DB_NODE_POWER_ACTIONS

DbNodeAction

db-homes

Verbs 權限 完全涵蓋的 API 部分涵蓋的 API
檢查 DB_HOME_INSPECT

ListDBHome

GetDBHome

ListDbHomePatches

ListDbHomePatchHistoryEntries

GetDbHomePatch

GetDbHomePatchHistoryEntry

已讀取 無額外 無額外
使用 DB_HOME_UPDATE UpdateDBHome ChangeDbSystemCompartment (也需要 use db-systemsuse databasesinspect db-backups)
管理

USE +

DB_HOME_CREATE

DB_HOME_DELETE

無額外

LaunchDBSystemTerminateDbSystem (同時需要 manage db-systemsmanage databasesuse vnicsuse subnets)。

如果預設資料庫上啟用自動備份,也需要 manage db-backups

CreateDbHome (也需要 use db-systemsmanage databases)。

如果是從備份回復來建立資料庫本位目錄,也需要 read db-backups

DeleteDbHome (也需要 use db-systemsmanage databases)。

如果預設資料庫上啟用自動備份,也需要 manage db-backups

如果選取 performFinalBackup 選項,也需要 manage db-backupsread databases

資料庫

Verbs 權限 完全涵蓋的 API 部分涵蓋的 API
檢查 DATABASE_INSPECT

ListDatabases

GetDatabase

ListDataGuardAssociations

GetDataGuardAssociation

已讀取

無額外

DATABASE_CONTENT_READ

無額外
使用

已閱讀 +

DATABASE_CONTENT_WRITE

DATABASE_UPDATE

UpdateDatabase

SwitchoverDataGuardAssociation

FailoverDataGuardAssociation

ReinstateDataGuardAssociation

RotateVaultKey

MigrateVaultKey

CreateDataGuardAssociation

ChangeDbSystemCompartment (也需要 use db-systemsuse db-homesinspect db-backups)

管理

USE +

DATABASE_CREATE

DATABASE_DELETE

無額外 LaunchDBSystemTerminateDbSystem (同時需要 manage db-systemsmanage db-homesuse vnicsuse subnets)

可插拔資料庫

Verbs 權限 完全涵蓋的 API 部分涵蓋的 API
檢查 PLUGGABLE_DATABASE_INSPECT

ListPluggableDatabases

GetPluggableDatabase

已讀取

檢查 +

PLUGGABLE_DATABASE_CONTENT_READ

無額外
使用

已閱讀 +

PLUGGABLE_DATABASE_CONTENT_WRITE

PLUGGABLE_DATABASE_UPDATE

UpdatePluggableDatabases

StartPluggableDatabase

StopPluggableDatabase

管理

USE +

PLUGGABLE_DATABASE_CREATE

PLUGGABLE_DATABASE_DELETE

無額外 CreatePluggableDatabaseDeletePluggableDatabaseLocalClonePluggableDatabaseRemoteClonePluggableDatabase (所有也需要 use databases)

資料庫備份

Verbs 權限 完全涵蓋的 API 部分涵蓋的 API
檢查 DB_BACKUP_INSPECT

GetBackup

ListBackups

ChangeDbSystemCompartment (也需要 use db-systemsuse db-homesuse databases)
已讀取

檢查 +

DB_BACKUP_CONTENT_READ

RestoreDatabase (也需要 use databases)
使用 無額外 無額外
管理

USE +

DB_BACKUP_CREATE

DB_BACKUP_DELETE

DeleteBackup CreateBackup (也需要 read databases)
如需權限和動詞的詳細資訊,請參閱進階原則功能

每個 API 作業所需的權限

下表以邏輯順序列出資料庫系統和可插式資料庫的 API 作業,依資源類型分組。

資料庫 API 作業

API 作業 使用作業所需的權限
ListDbSystems DB_SYSTEM_INSPECT
GetDbSystem DB_SYSTEM_INSPECT
LaunchDbSystem

DB_SYSTEM_CREATE 和 DB_HOME_CREATE 和 DATABASE_CREATE 和 VNIC_CREATE 和 VNIC_ATTACH 以及 SUBNET_ATTACH

若要啟用初始資料庫的自動備份,也需要 DB_BACKUP_CREATE 和 DATABASE_CONTENT_READ

UpdateDbSystem DB_SYSTEM_INSPECT 和 DB_SYSTEM_UPDATE
ChangeDbSystemCompartment DB_SYSTEM_UPDATE 和 DB_HOME_UPDATE 和 DATABASE_UPDATE 和 DB_BACKUP_INSPECT
ListDbSystemPatches DB_SYSTEM_INSPECT
ListDbSystemPatchHistoryEntries DB_SYSTEM_INSPECT
GetDbSystemPatch DB_SYSTEM_INSPECT
GetDbSystemPatchHistoryEntry DB_SYSTEM_INSPECT
TerminateDbSystem

DB_SYSTEM_DELETE 和 DB_HOME_DELETE 和 DATABASE_DELETE 和 VNIC_DETACH 和 VNIC_DELETE 以及 SUBNET_DETACH

如果為資料庫系統中的任何資料庫啟用自動備份,也需要 DB_BACKUP_DELETE

GetDbNode DB_NODE_INSPECT
DbNodeAction DB_NODE_POWER_ACTIONS
ListDbHomes DB_HOME_INSPECT
GetDbHome DB_HOME_INSPECT
ListDbHomePatches DB_HOME_INSPECT
ListDbHomePatchHistoryEntries DB_HOME_INSPECT
GetDbHomePatch DB_HOME_INSPECT
GetDbHomePatchHistoryEntry DB_HOME_INSPECT
CreateDbHome

DB_SYSTEM_INSPECT 和 DB_SYSTEM_UPDATE 和 DB_HOME_CREATE 和 DATABASE_CREATE

若要啟用資料庫的自動備份,也需要 DB_BACKUP_CREATE 和 DATABASE_CONTENT_READ

UpdateDbHome DB_HOME_UPDATE
DeleteDbHome

DB_SYSTEM_UPDATE 和 DB_HOME_DELETE 和 DATABASE_DELETE

如果啟用自動備份,也需要 DB_BACKUP_DELETE

如果在終止時執行最終備份,也需要 DB_BACKUP_CREATE 和 DATABASE_CONTENT_READ

ListDatabases DATABASE_INSPECT
GetDatabase DATABASE_INSPECT
UpdateDatabase

DATABASE_UPDATE

若要啟用自動備份,也需要 DB_BACKUP_CREATE 和 DATABASE_CONTENT_READ

ListDbSystemShapes (不需要權限;可供任何人使用)
ListDbVersions (不需要權限;可供任何人使用)
GetDataGuardAssociation DATABASE_INSPECT
ListDataGuardAssociations DATABASE_INSPECT
CreateDataGuardAssociation DB_SYSTEM_UPDATE 和 DB_HOME_CREATE 和 DB_HOME_UPDATE 和 DATABASE_CREATE 和 DATABASE_UPDATE
SwitchoverDataGuardAssociation DATABASE_UPDATE
FailoverDataGuardAssociation DATABASE_UPDATE
ReinstateDataGuardAssociation DATABASE_UPDATE
MigrateVaultKey DATABASE_UPDATE
RotateVaultKey DATABASE_UPDATE
GetBackup DB_BACKUP_INSPECT
ListBackups DB_BACKUP_INSPECT
CreateBackup DB_BACKUP_CREATE 和 DATABASE_CONTENT_READ
DeleteBackup DB_BACKUP_DELETE 和 DB_BACKUP_INSPECT
RestoreDatabase DB_BACKUP_INSPECT 和 DB_BACKUP_CONTENT_READ 和 DATABASE_CONTENT_WRITE

可插式資料庫 API 作業

API 作業 使用作業所需的權限
ListPluggableDatabase PLUGGABLE_DATABASE_INSPECT
GetPluggableDatabase PLUGGABLE_DATABASE_INSPECT
CreatePluggableDatabase

DATABASE_INSPECT*

DATABASE_UPDATE*

PLUGGABLE_DATABASE_CREATE

如果已對 CDB 啟用自動備份並包含此 PDB,則需要額外權限:

PLUGGABLE_DATABASE_CONTENT_READ

UpdatePluggableDatabase

PLUGGABLE_DATABASE_INSPECT 與

PLUGGABLE_DATABASE_UPDATE

如果已對 CDB 啟用自動備份並包含此 PDB,則需要額外權限:

PLUGGABLE_DATABASE_CONTENT_READ

StartPluggableDatabase

PLUGGABLE_DATABASE_INSPECT 與

PLUGGABLE_DATABASE_UPDATE

StopPluggableDatabase

PLUGGABLE_DATABASE_INSPECT 與

PLUGGABLE_DATABASE_UPDATE

DeletePluggableDatabase

DATABASE_INSPECT (存在)

DATABASE_UPDATE (存在)

PLUGGABLE_DATABASE_DELETE

LocalClonePluggableDatabase

DATABASE_INSPECT*

DATABASE_UPDATE*

PLUGGABLE_DATABASE_INSPECT

PLUGGABLE_DATABASE_UPDATE

PLUGGABLE_DATABASE_CONTENT_READ

PLUGGABLE_DATABASE_CREATE

PLUGGABLE_DATABASE_CONTENT_WRITE

RemoteClonePluggableDatabase

DATABASE_INSPECT*

DATABASE_UPDATE*

PLUGGABLE_DATABASE_INSPECT

PLUGGABLE_DATABASE_UPDATE

PLUGGABLE_DATABASE_CONTENT_READ

PLUGGABLE_DATABASE_CREATE

PLUGGABLE_DATABASE_CONTENT_WRITE

如需權限和動詞的詳細資訊,請參閱進階原則功能