Für die Verwendung von Diagnose und Management für externe Datenbanken sind zusätzlich zu den Datenbankmanagementberechtigungen die folgenden Oracle Cloud Infrastructure-Serviceberechtigungen erforderlich.

• Berechtigung für externen Database-Service: Eine Berechtigung für einen externen Database-Service ist erforderlich, um die Gesamtanzahl externer Datenbanken im ausgewählten Compartment in der Kachel Oracle-Datenbanken auf der Seite Überblick für Database Management anzuzeigen.

  Um diese Berechtigung zu erteilen, muss eine Policy mit dem Verb inspect und den Ressourcentypen des externen Datenbankservice erstellt werden. Im folgenden Beispiel wird der aggregierte Ressourcentyp external-database-family verwendet:

  Allow group DB-MGMT-USER to inspect external-database-family in compartment ABC

  Hinweis
  
  Alternativ können Sie die folgende Policy erstellen, um einer Benutzergruppe die Berechtigung zum Anzeigen der Gesamtanzahl der Oracle-Datenbanken zu erteilen, die externe Datenbanken, Oracle Cloud-Datenbanken und autonome Datenbanken im Compartment in der Kachel Oracle-Datenbanken enthalten.

  Allow group DB-MGMT-USER to {DATABASE_SERVICE_USAGE_INSPECT} in compartment ABC

  Weitere Informationen zu den Ressourcentypen und Berechtigungen für den externen Datenbankservice finden Sie unter Details zur externen Datenbank.

• Monitoring-Serviceberechtigungen: Berechtigungen für den Monitoring-Service sind für folgende Vorgänge erforderlich:
  • Zeigen Sie Datenbankmetriken auf den Seiten Oracle Database-Flotte - Übersicht und Details der verwalteten Datenbank an.
  • Datenbankperformancedaten in von Oracle definierten Dashboards anzeigen und Monitoring-Servicemetriken zum Erstellen von Widgets verwenden
  • Zusammenfassung der Jobausführung auf der Registerkarte Ausführungen im Abschnitt Jobs auf der Seite Details der verwalteten Datenbank anzeigen
  • Zeigen Sie offene Datenbankalarme auf den Diagnose- und Verwaltungsseiten an.
  • Führen Sie alarmbezogene Aufgaben im Abschnitt Alarmdefinitionen auf der Seite Details der verwalteten Datenbank aus.

  Im Folgenden finden Sie Informationen zu den Policys, die erforderliche Berechtigungen zum Ausführen der in der vorherigen Liste angegebenen Aufgaben bereitstellen:

  • Um Datenbankleistungsdaten in Diagnose und Management anzuzeigen, verwenden Sie Monitoring-Servicemetriken, um Widgets zu erstellen und die Jobausführungsübersicht anzuzeigen. Es muss eine Policy mit dem Verb read für den Ressourcentyp metrics erstellt werden. Beispiel:

    Allow group DB-MGMT-USER to read metrics in compartment ABC

  • Um die offenen Datenbankalarme auf den Seiten "Diagnose und Management" und die Seiten Alarmstatus und Alarmdefinitionen des Monitoring-Service anzuzeigen, muss eine Policy mit dem Verb read für den Ressourcentyp alarms erstellt werden (zusätzlich zu einer Policy mit dem Verb read für den Ressourcentyp metrics). Beispiel:

    Allow group DB-MGMT-USER to read alarms in compartment ABC

  • Um alarmbezogene Aufgaben im Abschnitt Alarmdefinitionen auf der Seite Details der verwalteten Datenbank auszuführen, muss eine Policy mit dem Verb manage für den Ressourcentyp alarms erstellt werden (zusätzlich zu einer Policy mit dem Verb read für den Ressourcentyp metrics). Beispiel:

    Allow group DB-MGMT-USER to manage alarms in compartment ABC

  Um Abfragen zu erstellen und Alarme für Datenbankmetriken mit dem Monitoring-Service zu erstellen, sind andere Berechtigungen erforderlich. Weitere Informationen:

  • Informationen zu Ressourcentypen und Berechtigungen des Monitoring-Service finden Sie unter Details zu Monitoring.

  • Allgemeine Monitoring-Service-Policys finden Sie unter Allgemeine Policys.

• Notifications-Serviceberechtigung: Eine Notifications-Serviceberechtigung ist erforderlich, um Themen und Abonnements beim Erstellen von Alarmen im Abschnitt Alarmdefinitionen auf der Seite Details der verwalteten Datenbank zu verwenden oder zu erstellen.

  Um diese Berechtigung zu erteilen, muss eine Policy mit dem Verb use oder manage für den Ressourcentyp ons-topics erstellt werden (zusätzlich zu Monitoring-Serviceberechtigungen). Im Folgenden finden Sie ein Beispiel für eine Policy mit dem Verb manage, mit der Sie beim Erstellen eines Alarms ein neues Thema erstellen können:

  Allow group DB-MGMT-USER to manage ons-topics in compartment ABC

  Weitere Informationen zu den Ressourcentypen und Berechtigungen des Notifications-Service finden Sie unter Details zu Notifications.

• Vault-Serviceberechtigungen: Eine Vault-Serviceberechtigung ist erforderlich, um Geheimnisse zu verwenden, wenn Sie Datenbankzugangsdaten angeben, um einen Job zu erstellen und Datenbankparameter mit Diagnostics & Management zu bearbeiten. Wenn bevorzugte und benannte Zugangsdaten festgelegt sind, ist diese Berechtigung auch erforderlich, um mit diesen Zugangsdaten auf verwaltete Datenbanken zuzugreifen, sie zu verwalten und zu überwachen.

  Um diese Berechtigung zu erteilen, muss eine Policy mit dem Verb read für die Ressourcentypen des Vault-Service erstellt werden. Im folgenden Beispiel wird der aggregierte Ressourcentyp secret-family verwendet:

  Allow group DB-MGMT-USER to read secret-family in compartment ABC

  Wenn Sie die Berechtigung zum Zugriff auf Geheimnisse nur aus einem bestimmten Vault erteilen möchten, aktualisieren Sie die Policy wie folgt:

  Allow group DB-MGMT-USER to read secret-family in compartment ABC where target.vault.id = <Vault OCID>

  Zusätzlich zur Benutzergruppen-Policy für den Vault-Service ist möglicherweise die folgende Resource Principal Policy erforderlich, um beim Erstellen eines geplanten Jobs die Berechtigung für den Zugriff auf Secrets zu erteilen:

  Allow any-user to read secret-family in compartment ABC where ALL {target.secret.id = <Secret OCID>,request.principal.type = dbmgmtmanageddatabase}

  Weitere Informationen zu den Ressourcentypen und Berechtigungen des Vault-Service finden Sie unter Details zum Vault Service.

• Management Dashboard-Berechtigungen: Management Dashboard-Berechtigungen sind erforderlich, um Dashboards für die externen Datenbanken zu verwenden, für die Diagnostics & Management aktiviert ist.

  Um Aufgaben wie das Erstellen eines Dashboards oder eines Widgets auszuführen, benötigen Sie die erforderlichen Berechtigungen für die Ressourcentypen des Management-Dashboards:

  • management-dashboard: Mit diesem Ressourcentyp kann eine Benutzergruppe Dashboards verwenden.
  • management-saved-search: Mit diesem Ressourcentyp kann eine Benutzergruppe die gespeicherten Suchen in einem Dashboard verwenden.

  Weitere Informationen zu den Ressourcentypen, Berechtigungen, API-Vorgängen und Beispielen von Policys im Management-Dashboard finden Sie unter Details zu Management-Dashboard.

• Object Storage-Serviceberechtigungen: Object Storage-Serviceberechtigungen sind erforderlich, um das Feature "Jobs" in Diagnose und Management zu verwenden.
  • Um es einem Management-Agent zu ermöglichen, die Jobergebnisse eines Jobs vom Typ Abfrage in einem Objektspeicher-Bucket zu speichern, muss zuerst eine dynamische Gruppe erstellt werden, die den Management-Agent enthält. Weitere Informationen finden Sie unter Erforderliche IAM-Policy für Management Agent-Kommunikation.

    Um einer dynamischen Gruppe von Management-Agents die Berechtigung zum Speichern der Jobergebnisse eines Jobs vom Typ Abfrage in einem Objektspeicher-Bucket zu erteilen, müssen zwei Policys erstellt werden. Beispiele:

    Allow dynamic-group Management-Agents-Group to read buckets in compartment ABC where request.principal.type = 'managementagent'

    und

    Allow dynamic-group Management-Agents-Group to manage objects in compartment ABC where all {request.principal.type = 'managementagent', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}

  • Damit eine Benutzergruppe die in einem Object Storage-Bucket gespeicherten Ergebnisse des Jobs des Typs Abfrage lesen kann, müssen zwei Policys erstellt werden. Beispiele:

    Allow group DB-MGMT-USER to read buckets in compartment ABC

    und

    Allow group DB-MGMT-USER to manage objects in compartment ABC

  Zusätzlich zur Policy der Benutzergruppe für den Object Storage-Service ist die folgende Resource-Principal-Policy erforderlich, um verwalteten Datenbankressourcen die Berechtigung zum Schreiben von Ergebnissen geplanter Jobs in den Object Storage-Service zu erteilen:

  Allow any-user to manage objects in compartment ABC where ALL {target.bucket.name = <Bucket Name>,request.principal.type = dbmgmtmanageddatabase}

  Weitere Informationen zu den Ressourcentypen und Berechtigungen für den Object Storage-Service finden Sie unter Details zu Object Storage, Archive Storage und Data Transfer.

• Events-Serviceberechtigungen: Eine Events-Serviceberechtigung ist erforderlich, um Ereignisregeln zum Überwachen von Ressourcen zu erstellen und anzuzeigen.

  Um diese Berechtigung zu erteilen, muss eine Policy mit dem Verb manage für den Ressourcentyp cloudevents-rules erstellt werden. Im Folgenden finden Sie ein Beispiel einer Policy mit dem Verb manage, mit der Sie Ereignisregeln erstellen und anzeigen können:

  Allow group DB-MGMT-USER to manage cloudevents-rules in tenancy

  Zusätzlich zur Berechtigung für den Events-Service benötigen Sie weitere Oracle Cloud Infrastructure-Serviceberechtigungen, um beim Erstellen einer Ereignisregel einen Aktionstyp anzugeben. Informationen finden Sie unter Events und IAM-Policys.

  Weitere Informationen zum Ressourcentyp und zu Berechtigungen des Events-Service finden Sie unter Details zum Events-Service.

• Serviceberechtigungen taggen: Informationen zu den Berechtigungen, die zur Verwendung von Tags in Diagnostics & Management erforderlich sind, finden Sie unter Authentifizierung und Autorisierung taggen.
• Berechtigungen für die Arbeit mit Metrikerweiterungen: Für die Arbeit mit Metrikerweiterungen in Database Management ist eine Berechtigung für einen Stackmonitoring-Ressourcentyp erforderlich. Im Folgenden finden Sie ein Beispiel einer Policy, die der Benutzergruppe DB-MGMT-USER die Berechtigung zum Ausführen aller auf Metrikerweiterung bezogenen Aufgaben in Compartment ABC erteilt:

  Allow group DB-MGMT-USER to manage stack-monitoring-metric-extension in compartment ABC