Oracle Cloud Infrastructure-Dokumentation

Erforderliche Berechtigungen zum Aktivieren von Diagnose und Management für autonome KI-Datenbanken

Um Diagnostics & Management für autonome KI-Datenbanken zu aktivieren, benötigen Sie die folgenden Berechtigungen:

Datenbankmanagementberechtigungen

Um Diagnostics & Management für autonome KI-Datenbanken aktivieren zu können, müssen Sie zu einer Benutzergruppe in Ihrem Mandanten mit den erforderlichen Berechtigungen zu den folgenden Datenbankmanagement-Ressourcentypen gehören:

  • dbmgmt-private-endpoints: Mit diesem Ressourcentyp kann eine Benutzergruppe private Endpunkte für das Datenbankmanagement erstellen, um mit serverlosen und autonomen KI-Datenbanken der autonomen KI auf einer dedizierten Exadata-Infrastruktur zu kommunizieren.
  • dbmgmt-work-requests: Mit diesem Ressourcentyp kann eine Benutzergruppe die Arbeitsanforderungen überwachen, die bei der Aktivierung von Diagnostics & Management generiert werden.
  • dbmgmt-family: Dieser aggregierte Ressourcentyp umfasst alle einzelnen Database Management-Ressourcentypen und ermöglicht einer Benutzergruppe die Aktivierung und Verwendung aller Database Management-Features.

Im Folgenden finden Sie Beispiele für Policys, die der Benutzergruppe DB-MGMT-ADMIN die Berechtigung zum Erstellen eines privaten Endpunkts für Datenbankmanagement und zum Überwachen der mit dem privaten Endpunkt verknüpften Arbeitsanforderungen erteilen: 

Allow group DB-MGMT-ADMIN to manage dbmgmt-private-endpoints in tenancy
Allow group DB-MGMT-ADMIN to read dbmgmt-work-requests in tenancy

Alternativ kann eine einzelne Policy mit dem aggregierten Datenbankmanagement-Ressourcentyp der Benutzergruppe DB-MGMT-ADMIN dieselben Berechtigungen wie im vorherigen Absatz erteilen: 

Allow group DB-MGMT-ADMIN to manage dbmgmt-family in tenancy

Weitere Informationen zu den Ressourcentypen und Berechtigungen für das Datenbankmanagement finden Sie unter Policy-Details für das Datenbankmanagement.

Andere Oracle Cloud Infrastructure-Serviceberechtigungen

Zusätzlich zu Datenbankmanagementberechtigungen sind die folgenden Oracle Cloud Infrastructure-Serviceberechtigungen erforderlich, um Diagnostics & Management für autonome KI-Datenbanken zu aktivieren.

  • Autonome KI-Datenbankberechtigungen: Um Diagnostics & Management für autonome KI-Datenbanken zu aktivieren, müssen Sie zu einer Benutzergruppe in Ihrem Mandanten mit der Berechtigung manage für die Ressourcentypen der autonomen KI-Datenbank gehören. Beim Erstellen einer Policy kann der aggregierte Ressourcentyp für autonome KI-Datenbanken autonomous-database-family verwendet werden.
    Im Folgenden erhalten Sie ein Beispiel dafür für eine Policy, die der Benutzergruppe DB-MGMT-ADMIN die Berechtigung zum Aktivieren von Diagnostics & Management für alle autonomen KI-Datenbanken im Mandanten erteilt:
    Allow group DB-MGMT-ADMIN to manage autonomous-database-family in tenancy

    Weitere Informationen zu den Ressourcentypen und Berechtigungen für die autonome KI-Datenbank finden Sie unter IAM-Policys für autonome KI-Datenbankserverlos und IAM-Policys für autonome KI-Datenbank auf dedizierter Exadata-Infrastruktur.

  • Networking-Serviceberechtigungen: Um mit dem privaten Endpunkt für das Datenbankmanagement zu arbeiten und der Kommunikation zwischen Datenbankmanagement und einer autonomen KI-Datenbank aktivieren zu können, benötigen Sie die Berechtigung manage für den Ressourcentyp "vnics" sowie die Berechtigung use für den Ressourcentyp "subnets" und entweder den Ressourcentyp "network-security-groups" oder "security-lists".

    Im Folgenden finden Sie Beispiele für die einzelnen Policys, die der Benutzergruppe DB-MGMT-ADMIN die erforderlichen Berechtigungen erteilen: 

    Allow group DB-MGMT-ADMIN to manage vnics in tenancy
    Allow group DB-MGMT-ADMIN to use subnets in tenancy
    Allow group DB-MGMT-ADMIN to use network-security-groups in tenancy

    oder

    Allow group DB-MGMT-ADMIN to use security-lists in tenancy

    Alternativ kann eine einzelne Policy, die den aggregierten Ressourcentyp des Networking-Service verwendet, der Benutzergruppe DB-MGMT-ADMIN dieselben Berechtigungen wie im vorherigen Absatz erteilen: 

    Allow group DB-MGMT-ADMIN to manage virtual-network-family in tenancy

    Weitere Informationen zu den Ressourcentypen und Berechtigungen für den Networking-Service finden Sie im Abschnitt Networking unter Details zu den Coreservices.

  • Management Agent-Berechtigungen: Um einen Management Agent beim Aktivieren von Diagnostics & Management für autonome KI-Datenbanken zu verwenden, benötigen Sie die Berechtigung read für den Ressourcentyp management-agents.

    Im Folgenden finden Sie ein Beispiel für die Policy, die der Benutzergruppe DB-MGMT-ADMIN die erforderliche Berechtigung für den Mandanten erteilt: 

    Allow group DB-MGMT-ADMIN to read management-agents in tenancy

    Weitere Informationen zu den Ressourcentypen und Berechtigungen des Management Agent finden Sie unter Details zu Management Agent.

  • Vault-Serviceberechtigungen: Um neue Secrets erstellen oder vorhandene Secrets verwenden zu können, wenn Sie Diagnostics & Management für autonome KI-Datenbanken aktivieren, benötigen Sie die Berechtigung manage für den aggregierten Ressourcentyp secret-family.

    Im Folgenden finden Sie ein Beispiel für die Policy, die der Benutzergruppe DB-MGMT-ADMIN die Berechtigung zum Erstellen und Verwenden von Secrets im Mandanten erteilt: 

    Allow group DB-MGMT-ADMIN to manage secret-family in tenancy

    Zusätzlich zur Benutzergruppen-Policy für den Vault-Service ist die folgende Resource Principal Policy erforderlich, um verwalteten Datenbankressourcen die Berechtigung für den Zugriff auf Secrets für Datenbankbenutzerkennwörter und Datenbank-Wallet Secrets zu erteilen (wenn das TCPS-Protokoll für die Verbindung zur Datenbank verwendet wurde):

    Allow any-user to read secret-family in compartment ABC where ALL {request.principal.type = dbmgmtmanageddatabase}

    Wenn Sie die Berechtigung für den Zugriff auf ein bestimmtes Secret erteilen möchten, aktualisieren Sie die Policy wie folgt:

    Allow any-user to read secret-family in compartment ABC where ALL {target.secret.id = <Secret OCID>,request.principal.type = dbmgmtmanageddatabase}

    Weitere Informationen zu den Ressourcentypen und Berechtigungen des Vault-Service finden Sie unter Details zum Vault Service.