附註：

• 此教學課程需要存取 Oracle Cloud。若要註冊免費帳戶，請參閱 Oracle Cloud Infrastructure Free Tier 入門。
• 它使用 Oracle Cloud Infrastructure 證明資料、租用戶及區間的範例值。完成實驗室時，請將這些值取代為您雲端環境特定的值。

為 Oracle Exadata Database Service 的 VM 叢集更新作業指定精細的 OCI IAM 權限

簡介

You can now assign granular permissions for virtual machine (VM) cluster operations for Oracle Exadata Database Service on Cloud@Customer and Oracle Exadata Database Service on Dedicated Infrastructure.例如，您可以讓「資料庫管理員 (DBA)」群組只能調整記憶體或 CPU、允許儲存管理員群組管理本機和 Exadata 儲存，或允許安全管理員群組將 SSH 金鑰新增至 VM 叢集。此增強功能提供對 VM 叢集更新作業的微點控制。

目標

• 建立特定的 Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) 原則，以指定精細的 VM 叢集更新作業權限。

作業 1：建立 OCI IAM 原則以指定 VM 叢集更新作業的精細權限

1. 登入 OCI 主控台，瀏覽至識別與安全，然後按一下原則。

   

2. 按一下建立原則。

   

3. 在建立原則頁面中，輸入下列資訊，然後按一下建立。

   • 名稱：輸入原則名稱。

   • 描述： 輸入描述。

   • 區間： 選取區間。

   • 原則產生器：選取顯示手動編輯器，然後輸入特定的 OCI IAM 原則，以指定 CLOUD_VM_CLUSTER_UPDATE 作業的精細權限。

     allow group StorageAdmin to use cloud-vmclusters in compartment compartment_name where any {request.permission='CLOUD_VM_CLUSTER_UPDATE_EXADATA_STORAGE', request.permission='CLOUD_VM_CLUSTER_UPDATE_LOCAL_STORAGE'}
     allow group StorageAdmin to use cloud-exadata-infrastructures in compartment compartment_name where request.permission = 'CLOUD_EXADATA_INFRASTRUCTURE_INSPECT'
     allow group StorageAdmin to use cloud-vmclusters in compartment compartment_name where request.permission = 'CLOUD_VM_CLUSTER_INSPECT'
     

   

   注意：下列影像顯示授予群組使用者 (StorageAdmin) 在所選區間中調整 VM 叢集本機和 Exadata 儲存的權限的原則。

   

作業 2：驗證 VM 叢集更新作業的指定 OCI IAM 權限

1. 移至 OCI 主控台，瀏覽至 Oracle Database 並按一下 Oracle Exadata Database Service on Dedicated Infrastructure 。

   

2. 選取要驗證 VM 叢集更新之指定 OCI IAM 權限的 VM 叢集。在 Exadata VM 叢集詳細資訊頁面中，按一下新增 SSH 金鑰。

   如果屬於 StorageAdmin 群組的使用者嘗試執行未指派給該群組的作業。例如，新增 SSH 金鑰至 VM 叢集時，將會發生錯誤，如下圖所示。

   

3. 不過，相同的使用者也可以調整 VM 叢集的本機儲存體。

   注意：在此範例中，使用者將 VM 叢集上每一 VM 的 /u02 大小從 60 GB 增加到 70 GB。

   

4. 按一下儲存變更。Exadata VM 叢集會變成 UPDATING 狀態。

   

   在本機儲存調整作業完成之後，這兩個節點的 /u02 大小將會變成 140 GB。

   

   群組的成員只能執行指定給此群組的 OCI IAM 原則所允許的 VM 叢集作業。

   注意：

   • 使用者將需要建立具備 Exadata VM 叢集更新作業必要原則的 OCI IAM 群組，然後將使用者指定給這些群組。需要 INSPECT 權限，才能讓使用者檢視主控台上的資源。例如，檢查雲端 VM 叢集、檢查資料庫等等。
   • 若要從 CLOUD_VM_CLUSTER_UPDATE OCI IAM 權限移轉至精細權限，現有的使用者將需要為 Exadata VM 叢集更新作業使用特定 OCI IAM 原則建立新的 OCI IAM 群組，並將使用者指派給這些群組。將使用者移至新群組之後，必須撤銷現有群組的 CLOUD_VM_CLUSTER_UPDATE OCI IAM 權限。
   • 對於不需要微點控制 Exadata VM 叢集更新作業的客戶，仍可繼續使用現有的 OCI IAM 權限 CLOUD_VM_CLUSTER_UPDATE。
   • 如需 Oracle Exadata Database Service on Dedicated Infrastructure 和 Oracle Exadata Database Service on Cloud@Customer VM 叢集的完整權限清單和 API 作業詳細資訊，請參閱相關連結一節。

相關連結

• Dedicated InfrastructureOracle Exadata Database Service on Dedicated Infrastructure 上 Oracle Exadata Database Service 雲端 VM 叢集的權限和 API 作業詳細資訊

• 適用於 Cloud@CustomerOracle Exadata Database Service on Cloud@Customer 上 Oracle Exadata Database Service 之 VM 叢集的權限和 API 作業詳細資訊

• Oracle Exadata Database Service on Dedicated Infrastructure 的新功能

• 專用基礎架構上的 Exadata 資料庫服務如何取得視訊播放清單

• Oracle LiveLabs 工作坊：在 Dedicated InfrastructureOracle Exadata Database Service on Dedicated Infrastructure 上開始使用 Oracle Exadata Database Service

• Oracle Exadata Database Service on Cloud@Customer 的新功能

• Cloud@Customer 上的 Exadata Database Service 影片播放清單

• Oracle LiveLabs 工作坊：開始使用 Cloud@CustomerOracle Exadata Database Service on Cloud@Customer 上的 Oracle Exadata Database Service

認可

• 作者 - Sanjay Narvekar，Tammy Bednar，Leo Alvarado (產品管理)

其他學習資源

探索 docs.oracle.com/learn 上的其他實驗室，或存取 Oracle Learning YouTube 頻道上的更多免費學習內容。此外，請造訪 education.oracle.com/learning-explorer 以成為 Oracle Learning Explorer。

如需產品文件，請造訪 Oracle Help Center 。

---

標題與著作權資訊

Assign Granular OCI IAM Permissions for VM Cluster Update Operations for Oracle Exadata Database Service

G25946-01

February 2025

Copyright ©2025, Oracle and/or its affiliates.