Oracle Cloud Infrastructure-Dokumentation

Erforderliche Berechtigungen zum Entdecken externer Datenbanksysteme

Um externe Datenbanksysteme in Datenbankmanagement zu ermitteln, müssen Sie zu einer Benutzergruppe in Ihrem Mandanten mit den erforderlichen Berechtigungen für die folgenden Datenbankmanagement-Ressourcentypen gehören:

  • dbmgmt-external-dbsystem-discoveries: Mit diesem Ressourcentyp kann eine Benutzergruppe die Discovery initiieren und die Discovery-Ergebnisse mit Verbindungsdetails aktualisieren.
  • dbmgmt-external-dbsystems: Mit diesem Ressourcentyp kann eine Benutzergruppe das externe Datenbanksystem erstellen und seine Komponenten registrieren.
  • dbmgmt-work-requests: Mit diesem Ressourcentyp kann eine Benutzergruppe die Arbeitsanforderungen überwachen, die mit der Discovery des externen Datenbanksystems verknüpft sind.
  • dbmgmt-family: Dieser aggregierte Ressourcentyp umfasst die einzelnen Database Management-Ressourcentypen und ermöglicht einer Benutzergruppe die Erkennung und Überwachung externer Datenbanksysteme. Darüber hinaus können Sie mit diesem Ressourcentyp die Berechtigungen erteilen, die für die Aktivierung und Verwendung von Database Management für Oracle-Datenbanken und Exadata-Infrastruktur erforderlich sind.

Im Folgenden finden Sie Beispiele für die einzelnen Policys, die einer Benutzergruppe die erforderlichen Berechtigungen zum Erkennen und Erstellen externer Datenbanksysteme und Überwachen zugehöriger Arbeitsanforderungen erteilen:

Allow group DB-MGMT-EXTDBSYSTEM-ADMIN to manage dbmgmt-external-dbsystem-discoveries in tenancy
Allow group DB-MGMT-EXTDBSYSTEM-ADMIN to manage dbmgmt-external-dbsystems in tenancy
Allow group DB-MGMT-EXTDBSYSTEM-ADMIN to read dbmgmt-work-requests in tenancy

Alternativ kann eine einzelne Policy mit dem aggregierten Database Management-Ressourcentyp der DB-MGMT-EXTDBSYSTEM-ADMIN-Benutzergruppe dieselben Berechtigungen wie im vorherigen Absatz sowie die erforderlichen Berechtigungen für die Verwendung von Database Management für Oracle-Datenbanken und Exadata-Infrastruktur erteilen. 

Allow group DB-MGMT-EXTDBSYSTEM-ADMIN to manage dbmgmt-family in tenancy

Weitere Informationen zu den Ressourcentypen und Berechtigungen für das Datenbankmanagement finden Sie unter Policy-Details für das Datenbankmanagement.

Erforderliche zusätzliche Berechtigungen zum Entdecken externer Datenbanksysteme

Zusätzlich zu den Database Management-Berechtigungen sind die folgenden Oracle Cloud Infrastructure-Serviceberechtigungen erforderlich, um externe Datenbanksysteme zu ermitteln.

Policy für dynamische Gruppe für Management-Agent

Ein Management Agent ist erforderlich, um die Komponenten im externen Datenbanksystem zu registrieren. Um dies dem Management Agent zu ermöglichen, führen Sie die folgenden Schritte aus:

  1. Erstellen Sie eine dynamische Gruppe (agent-dynamic-group), die den Management Agent enthält, und geben Sie die folgende Vergleichsregel ein, um die dynamische Gruppe zu definieren:
    ALL {resource.type='managementagent', resource.compartment.id='<AGENT_COMPARTMENT_OCID>'}

    Informationen zum Erstellen einer dynamischen Gruppe finden Sie unter So erstellen Sie eine dynamische Gruppe.

  2. Erstellen Sie eine Policy mit dem Verb manage und dem Ressourcentyp Database Management dbmgmt-external-dbsystems, um der dynamischen Gruppe die Berechtigung zum Registrieren der Komponenten des externen Datenbanksystems zu erteilen. In diesem Beispiel registriert agent-dynamic-group die Komponenten des externen Datenbanksystems, die sich in Compartment ABC befinden.
    Allow dynamic-group agent-dynamic-group to manage dbmgmt-external-dbsystems in compartment ABC

Informationen zu dynamischen Gruppen finden Sie unter Dynamische Gruppen verwalten.

Berechtigungen für Vault-Service

Vault-Serviceberechtigungen sind erforderlich, um neue Secrets zu erstellen oder vorhandene Secrets zu verwenden, wenn externe Datenbanksysteme erkannt oder eine Verbindung zu den Komponenten hinzugefügt wird. Um diese Berechtigungen zu erteilen, müssen Sie eine Policy mit dem Verb read und dem aggregierten Ressourcentyp secret-family erstellen.

Im folgenden Beispiel für die Policy, die der Gruppe DB-MGMT-EXTDBSYSTEM-ADMIN die Berechtigung zum Erstellen und Verwenden von Secrets in dem Mandanten erteilt: 

Allow group DB-MGMT-EXTDBSYSTEM-ADMIN to read secret-family in tenancy

Weitere Informationen zu den Ressourcentypen und Berechtigungen des Vault-Service finden Sie unter Details zum Vault Service.