Oracle Cloud Infrastructure-Dokumentation

Erforderliche Berechtigungen zum Aktivieren von Diagnose und Management für autonome Datenbanken

Um Diagnostics & Management für autonome Datenbanken zu aktivieren, benötigen Sie die folgenden Berechtigungen:

Datenbankmanagementberechtigungen

Um Diagnose und Management für autonome Datenbanken zu aktivieren, müssen Sie zu einer Benutzergruppe in Ihrem Mandanten mit den erforderlichen Berechtigungen für die folgenden Datenbankmanagement-Ressourcentypen gehören:

  • dbmgmt-private-endpoints: Mit diesem Ressourcentyp kann eine Gruppe private Endpunkte für das Datenbankmanagement für die Kommunikation mit autonomen Datenbanken erstellen.
  • dbmgmt-work-requests: Mit diesem Ressourcentyp kann eine Benutzergruppe die Arbeitsanforderungen überwachen, die bei der Aktivierung von Diagnostics & Management generiert werden.
  • dbmgmt-family: Dieser aggregierte Ressourcentyp umfasst alle einzelnen Database Management-Ressourcentypen und ermöglicht einer Benutzergruppe die Aktivierung und Verwendung aller Database Management-Features.

Im Folgenden finden Sie Beispiele für Policys, die der Benutzergruppe DB-MGMT-ADMIN die Berechtigung zum Erstellen eines privaten Endpunkts für Datenbankmanagement und zum Überwachen der mit dem privaten Endpunkt verknüpften Arbeitsanforderungen erteilen: 

Allow group DB-MGMT-ADMIN to manage dbmgmt-private-endpoints in tenancy
Allow group DB-MGMT-ADMIN to read dbmgmt-work-requests in tenancy

Alternativ kann eine einzelne Policy mit dem aggregierten Datenbankmanagement-Ressourcentyp der Benutzergruppe DB-MGMT-ADMIN dieselben Berechtigungen wie im vorherigen Absatz erteilen: 

Allow group DB-MGMT-ADMIN to manage dbmgmt-family in tenancy

Weitere Informationen zu den Ressourcentypen und Berechtigungen für das Datenbankmanagement finden Sie unter Policy-Details für das Datenbankmanagement.

Andere Oracle Cloud Infrastructure-Serviceberechtigungen

Zusätzlich zu den Database Management-Berechtigungen sind die folgenden Oracle Cloud Infrastructure-Serviceberechtigungen erforderlich, um Diagnostics & Management für autonome Datenbanken zu aktivieren.

  • Autonomous Database-Berechtigungen: Um Diagnose und Management für autonome Datenbanken zu aktivieren, müssen Sie zu einer Benutzergruppe in Ihrem Mandanten gehören, die über die Berechtigung manage für die Autonomous Database-Ressourcentypen verfügt. Beim Erstellen einer Policy kann der aggregierte Ressourcentyp für autonome Datenbanken (autonomous-database-family) verwendet werden.
    Im Folgenden finden Sie ein Beispiel für eine Policy, die der Benutzergruppe DB-MGMT-ADMIN die Berechtigung erteilt, Diagnose und Management für alle autonomen Datenbanken im Mandanten zu aktivieren:
    Allow group DB-MGMT-ADMIN to manage autonomous-database-family in tenancy

    Weitere Informationen zu den Autonomous Database-Ressourcentypen und -Berechtigungen finden Sie unter IAM-Policys für Autonomous Database Serverless und IAM-Policys für Autonomous Database on Dedicated Exadata Infrastructure.

  • Networking-Serviceberechtigungen: Um mit dem privaten Endpunkt von Database Management zu arbeiten und die Kommunikation zwischen Database Management und einer Autonomous Database zu aktivieren, müssen Sie über die manage-Berechtigung für den Ressourcentyp vnics und die use-Berechtigung für den Ressourcentyp subnets sowie entweder für den Ressourcentyp network-security-groups oder für den Ressourcentyp security-lists verfügen.

    Im Folgenden finden Sie Beispiele für die einzelnen Policys, die der Benutzergruppe DB-MGMT-ADMIN die erforderlichen Berechtigungen erteilen: 

    Allow group DB-MGMT-ADMIN to manage vnics in tenancy
    Allow group DB-MGMT-ADMIN to use subnets in tenancy
    Allow group DB-MGMT-ADMIN to use network-security-groups in tenancy

    oder

    Allow group DB-MGMT-ADMIN to use security-lists in tenancy

    Alternativ kann eine einzelne Policy, die den aggregierten Ressourcentyp des Networking-Service verwendet, der Benutzergruppe DB-MGMT-ADMIN dieselben Berechtigungen wie im vorherigen Absatz erteilen: 

    Allow group DB-MGMT-ADMIN to manage virtual-network-family in tenancy

    Weitere Informationen zu den Ressourcentypen und Berechtigungen für den Networking-Service finden Sie im Abschnitt Networking unter Details zu den Coreservices.

  • Berechtigungen für den Vault-Service: Um neue Geheimnisse zu erstellen oder vorhandene Geheimnisse zu verwenden, wenn Sie Diagnose und Management für autonome Datenbanken aktivieren, benötigen Sie die manage-Berechtigung für den aggregierten Ressourcentyp secret-family.

    Im Folgenden finden Sie ein Beispiel für die Policy, die der Benutzergruppe DB-MGMT-ADMIN die Berechtigung zum Erstellen und Verwenden von Secrets im Mandanten erteilt: 

    Allow group DB-MGMT-ADMIN to manage secret-family in tenancy

    Zusätzlich zur Benutzergruppen-Policy für den Vault-Service ist die folgende Resource Principal Policy erforderlich, um verwalteten Datenbankressourcen die Berechtigung für den Zugriff auf Secrets für Datenbankbenutzerkennwörter und Datenbank-Wallet Secrets zu erteilen (wenn das TCPS-Protokoll für die Verbindung zur Datenbank verwendet wurde):

    Allow any-user to read secret-family in compartment ABC where ALL {request.principal.type = dbmgmtmanageddatabase}

    Wenn Sie die Berechtigung für den Zugriff auf ein bestimmtes Secret erteilen möchten, aktualisieren Sie die Policy wie folgt:

    Allow any-user to read secret-family in compartment ABC where ALL {target.secret.id = <Secret OCID>,request.principal.type = dbmgmtmanageddatabase}

    Weitere Informationen zu den Ressourcentypen und Berechtigungen des Vault-Service finden Sie unter Details zum Vault Service.