Documentación de Oracle Cloud Infrastructure

Políticas de IAM para una base de datos de IA autónoma

Proporciona información sobre las políticas de IAM necesarias para las operaciones de API en Autonomous AI Database.

Oracle Autonomous AI Database se basa en el servicio IAM (Identity and Access Management) para autenticar y autorizar a los usuarios de la nube a realizar operaciones que utilicen cualquiera de las interfaces de la instancia de Oracle Cloud Infrastructure (consola, API REST, CLI o SDK).

El servicio IAM utiliza grupos, compartimentos, y políticas para controlar qué usuarios de la nube pueden acceder a qué recursos.

Tema principal: Seguridad

Detalles de política para base de datos de IA autónoma

En este tema, se tratan los detalles de cómo escribir políticas para controlar el acceso a los recursos de Autonomous AI Database.

Una política define qué tipo de acceso tiene un grupo de usuarios a un recurso específico en un compartimento individual. Para obtener más información, consulte Introducción a las políticas.

Tipos de recursos

Un tipo de recurso agregado cubre la lista de tipos de recursos individuales que le siguen directamente. Por ejemplo, escribir una política para permitir que un grupo tenga acceso a autonomous-database-family equivale a escribir cuatro políticas independientes para el grupo que otorgarían acceso a los tipos de recursos autonomous-databases, autonomous-backups. Para obtener más información, consulte Tipos de recursos.

Tipos de recursos para la base de datos de IA autónoma

Tipo de recurso agregado:

autonomous-database-family

Tipos de recursos individuales:

autonomous-databases

autonomous-backups

Detalles de las combinaciones de verbo + tipo de recurso

El nivel de acceso es acumulativo a medida que pasa de inspect > read > use > manage. Un signo más (+) en una celda de la tabla indica un acceso incremental en comparación con la celda situada directamente encima, mientras que "sin extra" indica que no hay un acceso incremental.

Por ejemplo, el verbo read para el tipo de recurso autonomous-databases abarca los mismos permisos y operaciones de API que el verbo inspect, además del permiso AUTONOMOUS_DATABASE_CONTENT_READ. El verbo read cubre parcialmente la operación CreateAutonomousDatabaseBackup, que también necesita permisos de gestión para autonomous-backups.

En las siguientes tablas se muestran los Permisos y operaciones de API que cubre cada verbo. Para obtener información sobre los permisos, consulte Permisos.

Nota

La familia de recursos cubierta por autonomous-database-family se puede utilizar para otorgar acceso a la base de datos de los recursos asociados a todos los tipos del trabajo de la base de datos de IA autónoma.
Tipos de recursos de bases de datos autónomas
Verbos Permisos API totalmente cubiertas API parcialmente cubiertas

inspect

AUTONOMOUS_DATABASE_INSPECT

GetAutonomousDatabase, GetAutonomousDatabaseBackupConfig, GetAutonomousDatabaseCapability, ListAutonomousDatabases, ListAutonomousDatabaseClones, ListAutonomousDatabasePeers, ListAutonomousDatabaseRefreshableClones, ResourcePoolShapes

ninguno

leído

INSPECT +

AUTONOMOUS_DATABASE_CONTENT_READ

GenerateAutonomousDatabasePerformanceData, GenerateAutonomousDatabaseWallet, GetAutonomousDatabaseRegionalWallet, GetAutonomousDatabaseWallet, RetrieveDatabasePerformanceBulkData

CreateAutonomousDatabaseBackup (también necesita manage autonomous-backups)

usar

READ +

AUTONOMOUS_DATABASE_CONTENT_WRITE

AUTONOMOUS_DATABASE_UPDATE

AutonomousDatabaseManualRefresh, CancelAutonomousDatabaseSession, ChangeDisasterRecoveryConfiguration, ConfigureAutonomousDatabaseVaultKey, DeregisterAutonomousDatabaseDataSafe, DisableAutonomousDatabaseOperationsInsights, DisableDatabaseManagement, EnableAutonomousDatabaseOperationsInsights, EnableDatabaseManagement, FailOverAutonomousDatabase, GetAutonomousDatabaseConsoleToken, RegisterAutonomousDatabaseDataSafe, RestartAutonomousDatabase, RotateAutonomousDatabaseEncryptionKey, ShrinkAutonomousDatabase, StartAutonomousDatabase, StopAutonomousDatabase, SwitchOverAutonomousDatabase, UpdateAutonomousDatabaseRegionalWallet, UpdateAutonomousDatabase

RestoreAutonomousDatabase (también necesita read autonomous-backups)

ChangeAutonomousDatabaseCompartment (también necesita read autonomous-backups)

gestionar

USE +

AUTONOMOUS_DATABASE_CREATE

AUTONOMOUS_DATABASE_DELETE

CreateAutonomousDatabase, DeleteAutonomousDatabase

ninguno

Lista de operaciones y políticas de IAM necesarias para gestionar una instancia de Autonomous AI Database

Operación Políticas de IAM necesarias

Agregar base de datos de peer

use autonomous-databases

Agregar atributos de seguridad

use autonomous-databases

Cambiar modelo de recurso informático

use autonomous-databases

Cambiar modo de base de datos

use autonomous-databases

Cambiar red

use autonomous-databases

Cambiar tipo de carga de trabajo

use autonomous-databases

Clonación de una base de datos de IA autónoma

manage autonomous-databases

Consulte Permisos de IAM y operaciones de API para la base de datos de IA autónoma para obtener permisos de clonación adicionales en la base de datos de IA autónoma.

Creación de una base de datos de IA autónoma

manage autonomous-databases

read autonomous-databases

Editar configuración de Database Tools

use autonomous-databases

Editar programa de inicio/parada

use autonomous-databases
Activar pool elástico

use autonomous-databases

Activar o desactivar la escala automática para una base de datos de IA autónoma

use autonomous-databases
Unirse al pool elástico

use autonomous-databases

Gestionar contactos de cliente

use autonomous-databases

Gestionar clave de cifrado

use autonomous-databases

Mover una base de datos de IA autónoma a otro compartimento

use autonomous-databases en el compartimento actual de la base de datos y en el compartimento al que la está moviendo

read autonomous-backups

Cambio de nombre de una base de datos de IA autónoma

use autonomous-databases

Reinicio de una base de datos de IA autónoma

use autonomous-databases

Restauración de una base de datos de IA autónoma

use autonomous-databases

read autonomous-backups

Escalar el recuento de ECPU o el almacenamiento de una base de datos de IA autónoma

use autonomous-databases

Definir contraseña de usuario ADMIN

use autonomous-databases

Parar o iniciar una base de datos de IA autónoma

use autonomous-databases

Switchover

use autonomous-databases

Terminación de una base de datos de IA autónoma

manage autonomous-databases

Actualizar recuperación ante desastres

use autonomous-databases

Actualizar nombre mostrado

use autonomous-databases

Actualizar licencia y edición de Oracle Database

use autonomous-databases

Actualizar acceso de red para ACL

use autonomous-databases

Actualizar el acceso de red para un punto final privado

use autonomous-databases

Visualización de una lista de bases de datos de IA autónomas

inspect autonomous-databases

Ver detalles de una base de datos de IA autónoma

inspect autonomous-databases

copias de seguridad autónomas

Verbos Permisos API totalmente cubiertas API parcialmente cubiertas

inspect

AUTONOMOUS_DB_BACKUP_INSPECT

ListAutonomousDatabaseBackups, GetAutonomousDatabaseBackup

ninguno

gestionar

USE +

AUTONOMOUS_DB_BACKUP_CREATE

AUTONOMOUS_DB_BACKUP_DELETE

DeleteAutonomousDatabaseBackup

CreateAutonomousDatabaseBackup (también necesita read autonomous-databases)

leído

INSPECT +

AUTONOMOUS_DB_BACKUP_CONTENT_READ

no extra

RestoreAutonomousDatabase (también necesita use autonomous-databases)

ChangeAutonomousDatabaseCompartment (también necesita use autonomous-databases)

usar

READ +

no extra

no extra

ninguno

Variables soportadas

Todas las variables generales de OCI Identity and Access Management están soportadas. Consulte Variables generales para todas las solicitudes para obtener más información.

Además, puede utilizar la variable target.id con el OCID de una base de datos después de la creación de una base de datos y la variable target.workloadType con un valor como se muestra en la siguiente tabla:

Valor de target.workloadType Descripción
OLTP Procesamiento de transacciones en línea, que se utiliza para bases de datos de IA autónomas con carga de trabajo de procesamiento de transacciones.
LH Lakehouse, utilizado para la base de datos de IA autónoma con cargas de trabajo analíticas y de plataforma de datos.
DW Data Warehouse, utilizado para bases de datos de IA autónomas con carga de trabajo de almacén de datos.
AJD

Autonomous JSON Database utilizado para bases de datos de IA autónomas con carga de trabajo JSON.

APEX

Servicio APEX utilizado para el servicio APEX de base de datos de IA autónoma.

Política de ejemplo que utiliza la variable target.id: 

Allow group ADB-Admins to manage autonomous-databases in tenancy where target.id = 'OCID'

Política de ejemplo con la variable target.workloadType: 

Allow group ADB-Admins to manage autonomous-databases in tenancy where target.workloadType = 'AJD'

Permisos de IAM y operaciones de API para la base de datos de IA autónoma

En este tema se tratan los permisos de IAM disponibles para las operaciones en Autonomous AI Database.

A continuación se muestran los permisos de IAM para Autonomous AI Database:

  • AUTONOMOUS_DATABASE_CONTENT_READ

  • AUTONOMOUS_DATABASE_CONTENT_WRITE

  • AUTONOMOUS_DATABASE_CREATE

    Consulte Clonación de permisos para conocer las limitaciones de clonación adicionales.

  • AUTONOMOUS_DATABASE_DELETE

  • AUTONOMOUS_DATABASE_INSPECT

  • AUTONOMOUS_DATABASE_UPDATE

  • AUTONOMOUS_DB_BACKUP_CONTENT_READ

  • AUTONOMOUS_DB_BACKUP_CREATE

  • AUTONOMOUS_DB_BACKUP_INSPECT

  • NETWORK_SECURITY_GROUP_UPDATE_MEMBERS

  • VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP

Política de ejemplo para que un grupo tenga permisos para crear Oracle Autonomous AI Database en un compartimento: 

Allow group group-name to manage autonomous-database in compartment id compartment-ocid 
    where all{request.permission = 'AUTONOMOUS_DATABASE_UPDATE'}
Permisos necesarios para usar la operación Operación de API
AUTONOMOUS_DATABASE_CONTENT_READ

GenerateAutonomousDatabaseWallet

GetAutonomousDatabaseRegionalWallet

GetAutonomousDatabaseWallet

RetrieveDatabasePerformanceBulkData
AUTONOMOUS_DATABASE_CREATE

CreateAutonomousDatabase
AUTONOMOUS_DATABASE_DELETE

DeleteAutonomousDatabase
AUTONOMOUS_DATABASE_INSPECT

GetAutonomousDatabase

ListAutonomousDatabaseClones

ListAutonomousDatabasePeers

ListAutonomousDatabaseRefreshableClones

ListAutonomousDatabases

ResourcePoolShapes
AUTONOMOUS_DATABASE_UPDATE

AutonomousDatabaseManualRefresh

ConfigureAutonomousDatabaseVaultKey

DeregisterAutonomousDatabaseDataSafe

DisableAutonomousDatabaseOperationsInsights

DisableDatabaseManagement

EnableAutonomousDatabaseOperationsInsights

EnableDatabaseManagement

FailOverAutonomousDatabase

RegisterAutonomousDatabaseDataSafe

RestartAutonomousDatabase

RotateAutonomousDatabaseEncryptionKey

ShrinkAutonomousDatabase

StartAutonomousDatabase

StopAutonomousDatabase

SwitchOverAutonomousDatabase

UpdateAutonomousDatabaseWallet

UpdateAutonomousDatabaseRegionalWallet
AUTONOMOUS_DB_BACKUP_INSPECT

GetAutonomousDatabaseBackup

ListAutonomousDatabaseBackups
AUTONOMOUS_DB_BACKUP_UPDATE

UpdateAutonomousDatabaseBackup
AUTONOMOUS_DB_BACKUP_CREATE

AUTONOMOUS_DATABASE_CONTENT_READ

CreateAutonomousDatabaseBackup
AUTONOMOUS_DB_BACKUP_INSPECT

AUTONOMOUS_DB_BACKUP_DELETE

DeleteAutonomousDatabaseBackup

AUTONOMOUS_DB_BACKUP_INSPECT

AUTONOMOUS_DB_BACKUP_CONTENT_READ

AUTONOMOUS_DATABASE_CONTENT_WRITE

RestoreAutonomousDatabase

Necesario en el compartimento de origen y de destino:

AUTONOMOUS_DATABASE_UPDATE

AUTONOMOUS_DB_BACKUP_INSPECT

AUTONOMOUS_DB_BACKU_CREATE

AUTONOMOUS_DATABASE_CONTENT_WRITE

Necesario tanto en el compartimento de origen como en el de destino cuando está activado el punto final privado:

WNIC_ASSOCIATE_NETOWRK_SECURITY_GROUP

NETWORK_SECURITY_GROUP_UPDATE_MEMBERS

ChangeAutonomousDatabaseCompartment

Tres casos posibles:

  • Si la Carga de Trabajo es NULL: AUTONOMOUS_DATABASE_UPDATE
  • Si la Carga de Trabajo no es NULL:

    AUTONOMOUS_DATABASE_CREATE

    AUTONOMOUS_DATABASE_UPDATE

  • Si el etiquetado está activado:

    AUTONOMOUS_DATABASE_UPDATE

    AUTONOMOUS_DATABASE_INSPECT

UpdateAutonomousDatabase: utilice esta API para los cambios o actualizaciones de cualquiera de las siguientes operaciones:

  • definir contraseña de administrador (adminPassword)
  • programa de inicio o detención automáticos (scheduledOperations)
  • gestionar contactos del cliente (customerContacts)
  • Editar Configuración de Herramienta (dbToolsDetails)
  • actualizar las opciones de licencia BYOL (licenseModel y byolComputeCountLimit)
  • actualizar nombre mostrado (displayName)
  • unir un pool elástico
  • actualizar opciones de pool elástico
  • gestionar claves de cifrado
  • actualización a Autonomous Data Guard para la recuperación ante desastres (isLocalDataGuardEnabled y disasterRecoveryType)
  • cambiar modo de operación de base de datos de solo lectura/escritura (openMode)
  • actualizar el acceso de red con ACL (whitelistedIps)
  • actualizar el acceso de red con el punto final privado (privateEndpointLabel)
  • cambiar el nombre de la base de datos (dbName)
  • escalar límites de recursos informáticos (computeCount)
  • Gestionar la opción de escala automática de recursos informáticos (isAutoScalingEnabled)
  • escalar límites de almacenamiento ( dataStorageSizeInTBs)
  • Gestionar opciones de escala automática de almacenamiento (isAutoScalingForStorageEnabled)
  • cambiar tipo a carga de trabajo (dbWorkload)
requiere changeAutonomousDatabaseSubscription

ChangeAutonomousDatabaseSubscription

requiere getSaasAdminUser

SaasAdminUserStatus
requiere updateSaasAdminUser

ConfigureSaasAdminUser

ListAutonomousDatabaseCharacterSets

ListAutonomousDatabaseMaintenanceWindows

Clonación de permisos

Los permisos generales de IAM están soportados para Autonomous AI Database. Además, puede utilizar target.autonomous-database.cloneType con los valores de permiso soportados para controlar el nivel de acceso, como se muestra en la siguiente tabla.

Valor target.autonomous-database.cloneType Descripción
CLONE-FULL

Permitir solo clonación completa.
CLONE-METADATA

Permitir sólo clonación de metadatos.
CLONE-REFRESHABLE

Permitir solo clonación de refrescamiento.
/CLONE*/

Permitir cualquier tipo de clonación.

Políticas de ejemplo con los valores de permiso target.autonomous-database.cloneType soportados: 

Allow group group-name to manage autonomous-databases in compartment id compartment-ocid 
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-FULL'}
Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-METADATA'}
Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-REFRESHABLE'}
Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = /CLONE*/}

Consulte Permisos para obtener más información.

Proporcionar privilegios específicos en las políticas de IAM para gestionar una base de datos de IA autónoma

Muestra las políticas de IAM que puede utilizar con un verbo de autorización y una condición para otorgar operaciones más granulares a un grupo.

Por ejemplo, para permitir que el grupo MyGroup inicie bases de datos de IA autónomas mediante la API StartAutonomousDatabase: 

Allow MyGroup to manage autonomous-databases where request.operation = 'StartAutonomousDatabase'

Consulte Verbos y Condiciones para obtener más información.

Lista de verbos de autorización
autonomousDatabaseManualRefresh
changeAutonomousDatabaseCompartment
changeAutonomousDatabaseSubscription
changeDisasterRecoveryConfiguration
configureAutonomousDatabaseVaultKey
configureSaasAdminUser
createAutonomousDatabase
createAutonomousDatabaseBackup
deleteAutonomousDatabase
deleteAutonomousDatabaseBackup
deregisterAutonomousDatabaseDataSafe
disableAutonomousDatabaseManagement
disableAutonomousDatabaseOperationsInsights
enableAutonomousDatabaseManagement
enableAutonomousDatabaseOperationsInsights
failOverAutonomousDatabase
generateAutonomousDatabaseWallet
getAutonomousDatabase
getAutonomousDatabaseBackup
getAutonomousDatabaseRegionalWallet
getAutonomousDatabaseWallet
listAutonomousDatabaseBackups
listAutonomousDatabaseCharacterSets
listAutonomousDatabaseClones
listAutonomousDatabaseMaintenanceWindows
listAutonomousDatabasePeers
listAutonomousDatabaseRefreshableClones
listAutonomousDatabases
registerAutonomousDatabaseDataSafe
resourcePoolShapes
restartAutonomousDatabase
restoreAutonomousDatabase
rotateAutonomousDatabaseEncryptionKey
SaasAdminUserStatus
shrinkAutonomousDatabase
startAutonomousDatabase
stopAutonomousDatabase
switchoverAutonomousDatabase
updateAutonomousDatabase
updateAutonomousDatabaseBackup
updateAutonomousDatabaseRegionalWallet
updateAutonomousDatabaseWallet

El verbo de autorización updateAutonomousDatabase agrupa privilegios para utilizar varias operaciones de API.

Operación
DeregisterAutonomousDatabaseDataSafe
DisableAutonomousDatabaseOperationsInsights
DisableDatabaseManagement
EnableAutonomousDatabaseOperationsInsights
RegisterAutonomousDatabaseDataSafe

Por ejemplo:

Allow MyGroup to manage autonomous-databases where request.operation =  'updateAutonomousDatabase'