Oracle Cloud Infrastructure-Dokumentation

Erforderliche Berechtigungen abrufen

Im Folgenden wird beschrieben, wie die erforderlichen Berechtigungen zur Verwendung des Service zur Erkennung von Sicherheitslücken bei Beobachtbarkeit und Management sowie zum Patchen und Patchen verwendet werden.

Erforderliche Berechtigungen und Policys für die Erkennung und das Patching von Sicherheitslücken

  1. Externe Datenbank-Policys und -berechtigungen

    Um Vulnerability Detection und Patching für externe Datenbanken aktivieren zu können, müssen Sie zu einer Benutzergruppe in Ihrem Mandanten mit der Berechtigung use für die Ressourcentypen für externe Datenbanken gehören. Beim Erstellen einer Policy kann der aggregierte Ressourcentyp für externe Datenbanken (external-database-family) verwendet werden.

    Im Folgenden wird ein Beispiel einer Policy, die der Benutzergruppe DB-MGMT-ADMIN die Berechtigung zum Aktivieren von Vulnerability Detection und Patching für alle externen Datenbanken im Mandanten erteilt: 

    Allow group DB-MGMT-ADMIN to use external-database-family in tenancy

    Weitere Informationen zu den Ressourcentypen und Berechtigungen für den externen Datenbankservice finden Sie unter Details zur externen Datenbank.

  2. Datenbankmanagement-Policys

    Um Vulnerability Detection und Patching zu aktivieren, müssen Sie zu einer Benutzergruppe in Ihrem Mandanten mit den erforderlichen Berechtigungen zu den folgenden Datenbankmanagement-Ressourcentypen gehören.

      • dbmgmt-work-requests: Mit diesem Ressourcentyp kann eine Benutzergruppe die Arbeitsanforderungen überwachen, die generiert werden, wenn Datenbankmanagement aktiviert wird.
      • dbmgmt-family: Dieser aggregierte Ressourcentyp umfasst alle einzelnen Datenbankmanagement-Ressourcentypen und ermöglicht einer Benutzergruppe die Aktivierung von Datenbankmanagement und die Verwendung aller zugehörigen Features.

    Im Folgenden finden Sie einige Beispiele für Policys, die Benutzergruppen die Berechtigungen erteilen, die für die Verwendung von Vulnerability Detection und Patching erforderlich sind.

    • So erteilen Sie der Benutzergruppe DB-MGMT-USER die Berechtigung, alle Datenbankmanagementfeatures für die verwalteten Datenbanken (Oracle-Datenbanken, für die das Datenbankmanagement aktiviert ist) im Mandanten zu verwenden:
      Allow group DB-MGMT-USER to manage dbmgmt-family in tenancy
    • So erteilen Sie der Benutzergruppe DB-MGMT-USER die Berechtigung zur Verwendung von Vulnerability Detection- und Patching-Features für alle verwalteten Datenbanken im Compartment:
      Allow group DB-MGMT-USER to manage external-database-family in tenancy
  3. Im Folgenden werden die erforderlichen Policys und Berechtigungen für Management-Agents aufgeführt. Führen Sie alle Schritte aus, die für das korrekte Setup beschrieben sind:
    1. Erstellen Sie eine dynamische Gruppe (d.h. my-agent-group) mit einer der folgenden Regeln:
      • Zugriff auf alle Compartments: ALL {resource.type='managementagent'}
      • Zugriff auf Compartments begrenzen: ALL {resource.type='managementagent', resource.compartment.id='ocid1.compartment.oc1.examplecompartmentid'}
    2. Erstellen Sie die Policy, mit der die Gruppe mit dem Erfassungsendpunkt kommunizieren kann:
      ALLOW DYNAMIC-GROUP my-agent-group to {DBMGMT_DBLM_INGEST} in
    TENANCY

Erforderliche Berechtigungen und Policys für die Verwendung von Vulnerability Detection and Patching

Um Vulnerability Detection und Patching für externe Datenbanken verwenden zu können, müssen Sie zu einer Benutzergruppe in Ihrem Mandanten mit den erforderlichen Berechtigungen für die folgenden Ressourcentypen für das Datenbankmanagement gehören.

  • dbmgmt-family: Dieser aggregierte Ressourcentyp umfasst alle einzelnen Datenbankmanagement-Ressourcentypen und ermöglicht einer Benutzergruppe die Aktivierung von Datenbankmanagement und die Verwendung aller zugehörigen Features.
So erteilen Sie der Benutzergruppe DB-MGMT-USER die Berechtigung, alle Datenbankmanagementfeatures für die verwalteten Datenbanken (Oracle-Datenbanken, für die das Datenbankmanagement aktiviert ist) im Mandanten zu verwenden:
Allow group DB-MGMT-USER to manage dbmgmt-family in tenancy
So erteilen Sie der Benutzergruppe DB-MGMT-USER die Berechtigung, einzelne spezifische Ressourcenfeatures zur Erkennung von Sicherheitslücken und zum Patchen von Ressourcen in den verwalteten Datenbanken (Oracle-Datenbanken, für die Datenbankmanagement aktiviert ist) im Mandanten zu verwenden:
  • Volle Zugriffsberechtigung: 
    Allow group Dbmgmt- access-all-admin to manage dbmgmt-family in tenancy
  • Zugriff auf Funktionen zur Erkennung von Sicherheitslücken:
    Allow group Dbmgmt-vulnerability-users to manage dbmgmt-dblm-vulnerability in
      tenancy
  • Zugriff zum Verwalten des Patchings und Erstellen eines Images:
    Allow group Dbmgmt-patch-admin  to manage dbmgmt-dblm-patch-mgmt in
      tenancy
  • Zugriff auf Patching beschränkt:
    Allow group Dbmgmt-patch-user  to manage dbmgmt-dblm-patch-operations in
      tenancy