Datenbankmanagementberechtigungen

Um Diagnostics & Management für Oracle Cloud-Datenbanken zu aktivieren, müssen Sie zu einer Benutzergruppe in Ihrem Mandanten mit den erforderlichen Berechtigungen für die folgenden Datenbankmanagement-Ressourcentypen gehören:

• dbmgmt-private-endpoints: Mit diesem Ressourcentyp kann eine Benutzergruppe private Database Management-Endpunkte für die Kommunikation mit Oracle Cloud-Datenbanken in Base Database Service, ExaDB-D und ExaDB-XS erstellen.
• dbmgmt-work-requests: Mit diesem Ressourcentyp kann eine Benutzergruppe die Arbeitsanforderungen überwachen, die bei der Aktivierung von Diagnostics & Management generiert werden.
• dbmgmt-family: Dieser aggregierte Ressourcentyp umfasst alle einzelnen Database Management-Ressourcentypen und ermöglicht einer Benutzergruppe die Aktivierung und Verwendung aller Database Management-Features.

Im Folgenden finden Sie Beispiele für Policys, die der Benutzergruppe DB-MGMT-ADMIN die Berechtigung zum Erstellen eines privaten Endpunkts für Datenbankmanagement und zum Überwachen der mit dem privaten Endpunkt verknüpften Arbeitsanforderungen erteilen:

Allow group DB-MGMT-ADMIN to manage dbmgmt-private-endpoints in tenancy

Allow group DB-MGMT-ADMIN to read dbmgmt-work-requests in tenancy

Alternativ kann eine einzelne Policy mit dem aggregierten Datenbankmanagement-Ressourcentyp der Benutzergruppe DB-MGMT-ADMIN dieselben Berechtigungen wie im vorherigen Absatz erteilen:

Allow group DB-MGMT-ADMIN to manage dbmgmt-family in tenancy

Weitere Informationen zu den Ressourcentypen und Berechtigungen für das Datenbankmanagement finden Sie unter Policy-Details für das Datenbankmanagement.

Andere Oracle Cloud Infrastructure-Serviceberechtigungen

Zusätzlich zu Database Management-Berechtigungen sind die folgenden Oracle Cloud Infrastructure-Serviceberechtigungen erforderlich, um Diagnostics & Management für Oracle Cloud-Datenbanken zu aktivieren.

• Berechtigungen für Base Database Service, ExaDB-D, ExaDB-XS und ExaDB-C@C: Um Diagnostics & Management für Oracle Cloud-Datenbanken zu aktivieren, benötigen Sie die Berechtigung use für die jeweiligen Ressourcentypen der Oracle Database-Cloudlösung. Alternativ kann eine einzelne Policy verwendet werden, die den aggregierten Ressourcentyp für Oracle Cloud-Datenbanken database-family verwendet.

  Im Folgenden finden Sie ein Beispiel für eine Policy, die der Benutzergruppe DB-MGMT-ADMIN die Berechtigung erteilt, Diagnose und Management für alle Oracle Cloud-Datenbanken im Mandanten zu aktivieren:

  Allow group DB-MGMT-ADMIN to use database-family in tenancy

  Weitere Informationen über:

  • Ressourcentypen und Berechtigungen für Base Database Service finden Sie unter Details zu Base Database Service.
  • ExaDB: D-Ressourcentypen und -Berechtigungen, siehe Details zu Exadata Database Service on Dedicated Infrastructure.
  • ExaDB-XS-Ressourcentypen und -Berechtigungen finden Sie unter Details zu Oracle Exadata Database Service auf Exascale-Infrastruktur.
  • ExaDB: Ressourcentypen und Berechtigungen für C@C finden Sie unter Details zu Exadata Database Service on Cloud@Customer.
• Networking-Serviceberechtigungen (für Oracle Cloud-Datenbanken im Base Database Service, ExaDB-D und ExaDB-XS): So arbeiten Sie mit dem privaten Database Management-Endpunkt und aktivieren die Kommunikation zwischen Database Management und einer Oracle Cloud-Datenbank Im Base Database Service, ExaDB-D oder ExaDB-XS benötigen Sie die Berechtigung manage für den Ressourcentyp vnics und die Berechtigung use für den Ressourcentyp subnets und entweder den Ressourcentyp network-security-groups oder security-lists.

  Im Folgenden finden Sie Beispiele für die einzelnen Policys, die der Benutzergruppe DB-MGMT-ADMIN die erforderlichen Berechtigungen erteilen:

  Allow group DB-MGMT-ADMIN to manage vnics in tenancy

  Allow group DB-MGMT-ADMIN to use subnets in tenancy

  Allow group DB-MGMT-ADMIN to use network-security-groups in tenancy

  oder

  Allow group DB-MGMT-ADMIN to use security-lists in tenancy

  Alternativ kann eine einzelne Policy, die den aggregierten Ressourcentyp des Networking-Service verwendet, der Benutzergruppe DB-MGMT-ADMIN dieselben Berechtigungen wie im vorherigen Absatz erteilen:

  Allow group DB-MGMT-ADMIN to manage virtual-network-family in tenancy

  Weitere Informationen zu den Ressourcentypen und Berechtigungen für den Networking-Service finden Sie im Abschnitt Networking unter Details zu den Coreservices.

• Management Agent-Berechtigungen (für Oracle Cloud-Datenbanken in ExaDB-D und ExaDB-C@C): Um einen Management Agent zu verwenden, wenn Diagnostics & Management für ExaDB-D und ExaDB-C@C aktiviert wird, benötigen Sie die Berechtigung read für den Ressourcentyp management-agents.

  Im folgenden Beispiel für die Policy, die der Benutzergruppe DB-MGMT-ADMIN die erforderliche Berechtigung im Mandanten erteilt:

  Allow group DB-MGMT-ADMIN to read management-agents in tenancy

  Weitere Informationen zu den Management Agent-Ressourcentypen und -Berechtigungen finden Sie unter Details zum Management Agent.

• Berechtigungen für den Vault-Service: Um neue Geheimnisse zu erstellen oder vorhandene Geheimnisse zu verwenden, wenn Sie Diagnose und Management für Oracle Cloud-Datenbanken aktivieren, benötigen Sie die manage-Berechtigung für den aggregierten Ressourcentyp secret-family.

  Im Folgenden finden Sie ein Beispiel für die Policy, die der Benutzergruppe DB-MGMT-ADMIN die Berechtigung zum Erstellen und Verwenden von Secrets im Mandanten erteilt:

  Allow group DB-MGMT-ADMIN to manage secret-family in tenancy

  Zusätzlich zur Benutzergruppen-Policy für den Vault-Service ist die folgende Resource Principal Policy erforderlich, um verwalteten Datenbankressourcen die Berechtigung für den Zugriff auf Secrets für Datenbankbenutzerkennwörter und Datenbank-Wallet Secrets zu erteilen (wenn das TCPS-Protokoll für die Verbindung zur Datenbank verwendet wurde):

  Allow any-user to read secret-family in compartment ABC where ALL {request.principal.type = dbmgmtmanageddatabase}

  Wenn Sie die Berechtigung für den Zugriff auf ein bestimmtes Secret erteilen möchten, aktualisieren Sie die Policy wie folgt:

  Allow any-user to read secret-family in compartment ABC where ALL {target.secret.id = <Secret OCID>,request.principal.type = dbmgmtmanageddatabase}

  Weitere Informationen zu den Ressourcentypen und Berechtigungen des Vault-Service finden Sie unter Details zum Vault Service.