Datenbankmanagementberechtigungen

Um eine Oracle Cloud Infrastructure-Ressource zu erstellen, die das externe DB-System MySQL darstellt, eine Verbindung mit dieser über eine Connector-Ressource herstellt und Database Management aktiviert, müssen Sie zu einer Benutzergruppe in Ihrem Mandanten mit den erforderlichen Berechtigungen für die folgenden Ressourcentypen für Database Management gehören:

• dbmgmt-external-mysql-databases: Mit diesem Ressourcentyp kann eine Benutzergruppe eine Ressource erstellen und verwalten, die das externe DB-System MySQL darstellt, und das Datenbankmanagement für das externe DB-System MySQL aktivieren.
• dbmgmt-external-mysql-database-connectors: Mit diesem Ressourcentyp kann eine Benutzergruppe eine Connector-Ressource erstellen und verwalten, die die Verbindungsdetails enthält, die für die Verbindung zum externen DB-System MySQL erforderlich sind.
• dbmgmt-work-requests: Mit diesem Ressourcentyp kann eine Benutzergruppe die während der Registrierung des externen MySQL-DB-Systems generierten Arbeitsanforderungen überwachen.
• dbmgmt-mysql-family: Dieser aggregierte Ressourcentyp enthält die einzelnen Database Management-Ressourcentypen für HeatWave und externes MySQL und ermöglicht einer Benutzergruppe die Aktivierung und Verwendung von Database Management.

Im Folgenden finden Sie Beispiele für die Policys, die der Benutzergruppe DB-MGMT-MYSQL-ADMIN die Berechtigung zum Erstellen einer externen MySQL-DB-Systemressource erteilen, einen Connector für die Verbindung zum externen MySQL-DB-System erstellen, das Datenbankmanagement aktivieren und die während des Prozesses generierten Arbeitsanforderungen überwachen:

Allow group DB-MGMT-MYSQL-ADMIN to manage dbmgmt-external-mysql-databases in tenancy

Allow group DB-MGMT-MYSQL-ADMIN to manage dbmgmt-external-mysql-database-connectors in tenancy

Allow group DB-MGMT-MYSQL-ADMIN to read dbmgmt-work-requests in tenancy

Alternativ kann eine einzelne Policy, die das Datenbankmanagement für den aggregierten HeatWave- und den externen MySQL-Ressourcentyp verwendet, der DB-MGMT-MYSQL-ADMIN-Benutzergruppe dieselben Berechtigungen wie im vorherigen Absatz erteilen:

Allow group DB-MGMT-MYSQL-ADMIN to manage dbmgmt-mysql-family in tenancy

Weitere Informationen zu den Ressourcentypen und Berechtigungen für das Datenbankmanagement finden Sie unter Policy-Details für das Datenbankmanagement.

Andere Oracle Cloud Infrastructure-Serviceberechtigungen

Zusätzlich zu Database Management-Berechtigungen sind die folgenden Oracle Cloud Infrastructure-Serviceberechtigungen erforderlich, um ein externes MySQL-DB-System zu registrieren und Database Management zu aktivieren.

• Management Agent-Berechtigungen: Um eine Verbindung mit der Instanz im externen DB-System MySQL mit einem Management Agent zu erstellen und Daten zu erfassen, benötigen Sie die Berechtigung manage für den aggregierten Ressourcentyp management-agents.

  Hier ist ein Beispiel für die Policy, die der Benutzergruppe DB-MGMT-MYSQL-ADMIN die Berechtigung zum Arbeiten mit Management-Agents im Mandanten erteilt:

  Allow group DB-MGMT-MYSQL-ADMIN to manage management-agents in tenancy

  Die folgende Service-Policy ist erforderlich, um Database Management (dpd) die Berechtigung zum Deployment der erforderlichen Plug-ins auf den Management-Agents im Compartment zu erteilen:

  Allow service dpd to manage management-agents in compartment ABC

  Außerdem müssen Sie eine dynamische Gruppe für alle Management-Agents erstellen, die vom externen DB-System MySQL verwendet werden sollen. Dies ist erforderlich, damit das externe DB-System MySQL mit verschiedenen Oracle Cloud Infrastructure-Serviceendpunkten interagieren kann. Beispiel: Mit einer dynamischen Gruppe können Sie eine Policy für die Management-Agents erstellen, um Metrikdaten in den Oracle Cloud Infrastructure Monitoring-Service hochzuladen. Beim Erstellen einer dynamischen Gruppe können Sie eine Regel definieren, um die Management-Agents in einem Compartment oder im Mandanten zu der dynamischen Gruppe hinzuzufügen. Dadurch wird sichergestellt, dass dieser Schritt nur einmalig ausgeführt werden muss und alle neu installierten Management-Agents automatisch zur dynamischen Gruppe gehören.

  Beispiel:

  1. Erstellen Sie eine dynamische Gruppe (agent-dynamic-group) in der Standarddomain, die den Management Agent enthält, und geben Sie die folgende Übereinstimmungsregel ein, um die dynamische Gruppe zu definieren:

     ALL {resource.type='managementagent', resource.compartment.id='ocid1.compartment.oc1.examplecompartmentid'}

     Um Agents in allen Compartments des Mandanten und nicht nur in einem bestimmten Compartment abzudecken, verwenden Sie die folgende Übereinstimmungsregel:

     ALL {resource.type='managementagent'}

     Informationen zum Erstellen einer dynamischen Gruppe finden Sie unter So erstellen Sie eine dynamische Gruppe.

  2. Erstellen Sie Policys mit der dynamischen Gruppe (agent-dynamic-group), um mit verschiedenen Oracle Cloud Infrastructure-Services zu interagieren. Beispiele:

     Allow dynamic-group agent-dynamic-group to manage management-agents in tenancy

     Allow dynamic-group agent-dynamic-group to use metrics in tenancy

     Allow dynamic-group agent-dynamic-group to use tag-namespaces in tenancy

  Weitere Informationen über:

  • Ressourcentypen und Berechtigungen für den Management Agent-Service finden Sie unter Details zu Management Agent.
  • Dynamische Gruppen finden Sie unter Dynamische Gruppen verwalten.
• Berechtigungen für den Vault-Service: Um neue Geheimnisse zu erstellen oder vorhandene Geheimnisse zu verwenden, wenn Sie Datenbankmanagement aktivieren, benötigen Sie die manage-Berechtigung für den aggregierten Ressourcentyp secret-family.

  Im Folgenden finden Sie ein Beispiel für die Policy, die der Benutzergruppe DB-MGMT-MYSQL-ADMIN die Berechtigung erteilt, Geheimnisse im Mandanten zu erstellen und zu verwenden:

  Allow group DB-MGMT-MYSQL-ADMIN to manage secret-family in tenancy

  Weitere Informationen zu den Ressourcentypen und Berechtigungen des Vault-Service finden Sie unter Details zum Vault Service.