Oracle Cloud Infrastructure-Dokumentation

Datenbankmanagementberechtigungen

Um Diagnose- und Managementfeatures für Oracle-Datenbanken verwenden zu können, müssen Sie zu einer Benutzergruppe in Ihrem Mandanten mit den erforderlichen Berechtigungen für die folgenden Datenbankmanagement-Ressourcentypen gehören.

Hinweis

Zusätzlich zu Database Management-Berechtigungen sind weitere Oracle Cloud Infrastructure-Serviceberechtigungen erforderlich, um Diagnose- und Managementfeatures für Oracle-Datenbanken zu verwenden. Weitere Informationen finden Sie unter Additional Permissions Required to Use Diagnostics & Management.
  • dbmgmt-managed-database-groups: Mit diesem Ressourcentyp kann eine Benutzergruppe die Features für Datenbankgruppen verwenden.
  • dbmgmt-managed-databases: Mit diesem Ressourcentyp kann eine Benutzergruppe die Features für verwaltete Datenbanken verwenden.
  • dbmgmt-jobs: Mit diesem Ressourcentyp kann eine Benutzergruppe die Features für Jobs verwenden.
  • dbmgmt-named-credentials: Mit diesem Ressourcentyp kann eine Benutzergruppe benannte Zugangsdaten erstellen und verwalten.
  • dbmgmt-family: Dieser aggregierte Ressourcentyp umfasst alle einzelnen Database Management-Ressourcentypen und ermöglicht einer Benutzergruppe die Aktivierung und Verwendung aller Database Management-Features.

Im Folgenden finden Sie einige Beispiele für Policys, die Benutzergruppen die Berechtigungen erteilen, die für die Verwendung der verschiedenen Diagnose- und Managementfunktionen erforderlich sind:

  • So erteilen Sie der Benutzergruppe DB-MGMT-USER die Berechtigung, Diagnostics & Management- und andere Datenbankmanagementfeatures für die verwalteten Datenbanken im Mandanten zu verwenden:
    Allow group DB-MGMT-USER to manage dbmgmt-family in tenancy
  • So erteilen Sie der Benutzergruppe MGD-DB-USER die Berechtigung, die Anzahl der Oracle Datenbanken anzuzeigen, für die Diagnostics & Management (in Compartment ABC) in der Kachel Oracle Datenbanken auf der Seite Überblick von Database Management aktiviert ist:
    Allow group MGD-DB-USER to inspect dbmgmt-managed-databases in compartment ABC
  • So erteilen Sie der Benutzgruppe MGD-DB-USER die Berechtigung, verwaltete Datenbanken im Compartment ABC zu überwachen und zu verwalten:
    Allow group MGD-DB-USER to manage dbmgmt-managed-databases in compartment ABC
  • So erteilen Sie der Benutzergruppe MGD-DB-USER die Berechtigung, die Metrikdiagramme für Primär- und Standbydatenbanken im Compartment ABC zu überwachen:
    Allow group MGD-DB-USER to read dbmgmt-managed-databases in compartment ABC
  • So erteilen Sie der Benutzergruppe DB-JOBS-USER die Berechtigung, mit Jobs im Compartment ABC zu arbeiten:
    Allow group DB-JOBS-USER to manage dbmgmt-jobs in compartment ABC
  • So erteilen Sie der Benutzergruppe DB-NC-ADMIN die Berechtigung zum Erstellen und Verwalten benannter Zugangsdaten in Compartment ABC:
    Allow group DB-NC-ADMIN to manage dbmgmt-named-credentials in compartment ABC
    Allow group DB-NC-ADMIN to use dbmgmt-managed-databases in compartment ABC
  • So erteilen Sie der Benutzergruppe DB-NC-USER die Berechtigung zur Verwendung benannter Zugangsdaten in Compartment ABC, um verschiedene Diagnose- und Managementaufgaben auszuführen:
    Allow group DB-MGMT-USER to read dbmgmt-named-credentials in compartment ABC
    Hinweis

    Die Policy, die die Berechtigung zur Verwendung benannter Zugangsdaten zum Ausführen verschiedener Diagnose- und Managementaufgaben erteilt, ist zusätzlich zu den anderen Policys erforderlich, die zum Überwachen und Verwalten verwalteter Datenbanken erforderlich sind.
  • So erteilen Sie der Benutzergruppe DB-GRPS-USER die Berechtigung, mit Datenbankgruppen im Compartment ABC zu arbeiten:
    Allow group DB-GRPS-USER to manage dbmgmt-managed-database-groups in compartment ABC

Weitere Informationen zu den Ressourcentypen und Berechtigungen für das Datenbankmanagement finden Sie unter Policy-Details für das Datenbankmanagement.

Datenbankmanagement-Policys mit Bedingungen

Sie können granulare Policys erstellen, indem Sie die Bedingungen angeben, die erfüllt werden müssen, damit einer Benutzergruppe der Zugriff erteilt werden kann. Wenn Sie Bedingungen in Datenbankmanagement-Policys verwenden, können die Variablen request.operation und request.permission hinzugefügt werden, um den Zugriff auf bestimmte API-Vorgänge und -Berechtigungen zu beschränken. Im Folgenden finden Sie einige Beispiele für Datenbankmanagement-Policys mit Bedingungen:

  • Um der Benutzergruppe PERF-HUB-USER nur Zugriff auf Performancehub zu erteilen und gleichzeitig die anderen Aufgaben zu beschränken, die sie für die verwalteten Datenbanken im Compartment ABC ausführen können, müssen zwei Policys erstellt werden. Die erste Policy ist eine umfassende Policy mit dem Verb inspect. Die zweite Policy verwendet das Verb read und eine Bedingung mit der Variablen request.operation, die sicherstellt, dass die Benutzergruppe nur den API-Vorgang RetrieveDatabasePerformanceData ausführen kann:
    Allow group PERF-HUB-USER to inspect dbmgmt-family in compartment ABC
    Allow group PERF-HUB-USER to read dbmgmt-family in compartment ABC where any { request.operation = 'RetrieveDatabasePerformanceData', request.operation = 'GetManagedDatabase' }
  • Um der Benutzergruppe DB-USERS die Berechtigung zum Ausführen aller Aufgaben außer denjenigen zu erteilen, für die die Berechtigung DBMGMT_MANAGED_DB_CONTENT_WRITE erforderlich ist, muss eine Policy mit der Variablen request.permission erstellt werden:
    Allow group DB-USERS to manage dbmgmt-family in compartment ABC where request.permission != 'DBMGMT_MANAGED_DB_CONTENT_WRITE'

Informationen zu anderen Policy-Typen mit Bedingungen finden Sie unter Bedingungen.