Für Oracle Database-Verbindungen
Beispiel-Policys für Datenbanktools
Hier sind fünf verschiedene Personas, die Datenbanktools verwenden können. Jede Persona kann über eine andere Ebene des Verwaltungszugriffs für den begleitenden Oracle Cloud Infrastructure-Service verfügen, wie in der folgenden Tabelle dargestellt:
Tabelle 7-1: Beispiel-Policys
| Persona | Virtual Networking-Familie | Datenbank- oder autonome Datenbankfamilie | Vaults | Schlüssel | Secret-Familie | Datenbanktoolfamilie | Verbindung zu Datenbanktools |
|---|---|---|---|---|---|---|---|
| Datenbanktooladministrator | verwalten | verwalten | verwalten | verwalten | verwalten | verwalten | -- |
| Datenbanktoolmanager | verwalten | lesen | verwenden | verwenden | verwalten | verwalten | -- |
| Datenbanktool-Verbindungsmanager | verwenden | lesen | verwenden | verwenden | verwalten | verwenden | verwalten |
| Verbindung zu Datenbanktools mit authentifiziertem Principal-Benutzer | -- | lesen | -- | -- | lesen | lesen | verwenden |
| Verbindung zu Datenbanktools mit Resource Principal Runtime Identity | -- | lesen | -- | -- | -- | lesen | verwenden |
Datenbanktooladministrator
Der Datenbanktooladministrator kann alle Aspekte des Service verwalten. Mit den folgenden Policys werden ihm die Berechtigungen erteilt, die zum Verwalten von Netzwerken, Vaults, Schlüsseln, Secrets, Datenbanken und Datenbanktools in einem bestimmten Compartment erforderlich sind.
Ersetzen Sie die Platzhalter <group_name> und <compartment_name> durch Ihre eigenen Werte.
Table 7-2: Datenbanktooladministrator-Policys
| Policy | Zugriffsebene |
|---|---|
|
Zum Verwalten von virtuellen Cloud-Netzwerken (VCNs), Subnetzen, virtuellen Netzwerkkarten (VNICs), Netzwerksicherheitsgruppen. |
|
Zum Verwalten von Database Cloud Service (Virtual-Machine- und Bare-Metal-DB-Systeme, Exadata Cloud Service-VM-Cluster). |
|
Zum Lesen von autonomen Datenbanken auf gemeinsam verwendeter und dedizierter Exadata-Infrastruktur. |
|
Zum Verwalten von Vaults. |
|
Um Schlüssel zu verwalten. |
|
Zum Verwalten von Secrets. |
|
Zum Verwalten von Datenbanktools. |
Datenbanktoolmanager
Der Datenbanktoolmanager kann Netzwerke (einschließlich privater Endpunkte), Secrets und Verbindungen zu Datenbanktools verwalten, hat aber nur eingeschränkten Zugriff auf die Services Oracle Cloud Infrastructure Vault und Database.
Ersetzen Sie <group_name> und <compartment_name> durch Ihre eigenen Werte.
Tabelle 7-3: Datenbanktoolmanager-Policys
| Policy | Zugriffsebene |
|---|---|
|
Zum Verwenden von virtuellen Cloud-Netzwerken (VCNs), Subnetzen, virtuellen Netzwerkkarten (VNICs) und Netzwerksicherheitsgruppen. |
|
Zum Lesen von Database Cloud Service (Virtual-Machine- und Bare-Metal-DB-Systeme, Exadata Cloud Service-VM-Cluster). |
|
Zum Lesen von autonomen Datenbanken auf gemeinsam verwendeter und dedizierter Exadata-Infrastruktur. |
|
Zum Verwenden von Vaults (Beispiel: Secret erstellen). |
|
Zum Verwenden von Schlüsseln (Beispiel: Secret erstellen). |
|
Zum Verwalten von Secrets. |
|
Zum Verwalten von Datenbanktools. |
Datenbanktool-Verbindungsmanager
Der Datenbanktool-Verbindungsmanager verwaltet das Erstellen von Verbindungen zu Datenbankservices und hat schreibgeschützten Zugriff auf die anderen Services.
Ersetzen Sie <group_name> und <compartment_name> durch Ihre eigenen Werte.
Wenn Sie eine WHERE-Klausel in der Policy verwenden, um den Zugriff basierend auf der Verbindungs-OCID einzuschränken, verwenden Sie Folgendes:
where target.resource.id = <connection-ocid>Um SQL Worksheet mit einer Verbindung zu Datenbanktools zu verwenden, müssen Sie einem Benutzer die Berechtigung inspect für alle Datenbanktoolverbindungen in einem Compartment erteilen. Ohne diese Berechtigung kann ein Benutzer keine Verbindung zu Datenbanktools auf der Seite "Verbindungen" anzeigen oder Verbindungen in der Dropdown-Liste "SQL-Arbeitsblatt" auswählen. Beispiel: Die folgende Policy-Anweisung schränkt eine angegebene Gruppe auf use nur die angegebene Verbindungs-OCID für Datenbanktools ein.
allow group <group-name> to use database-tools-connections in compartment <compartment-name> where all { target.resource.id = '<connection-ocid>' }Selbst in solchen Szenarios müssen Sie weiterhin die folgende unbedingte Policy-Anweisung angeben, damit die angegebene Gruppe die Datenbanktoolverbindungen auflisten kann.
allow group <group-name> to inspect database-tools-connections in compartment <compartment-name>
Mit dieser bedingungslosen inspect-Berechtigung können Benutzer alle Datenbanktoolverbindungen im Compartment anzeigen, einschließlich der Verbindungen, für die sie keinen use-Zugriff haben. Wenn Sie verschiedenen Gruppen Zugriff auf verschiedene Verbindungssets erteilen müssen, ohne alle Verbindungen verfügbar zu machen, empfiehlt Oracle, separate Compartments für jedes Set von Datenbanktoolverbindungen zu erstellen und dann gegebenenfalls inspect- und use-Berechtigungen auf Compartment-Ebene zu erteilen.
Tabelle 7-4: Datenbanktool-Verbindungsmanager-Policys
| Policy | Zugriffsebene |
|---|---|
|
Zum Verwenden von virtuellen Cloud-Netzwerken (VCNs), Subnetzen, virtuellen Netzwerkkarten (VNICs) und Netzwerksicherheitsgruppen. |
|
Zum Lesen von Database Cloud Service (Virtual-Machine- und Bare-Metal-DB-Systeme, Exadata Cloud Service-VM-Cluster). |
|
Zum Lesen von autonomen Datenbanken auf gemeinsam verwendeter und dedizierter Exadata-Infrastruktur. |
|
Zum Verwenden von Vaults (Beispiel: Secret erstellen). |
|
Zum Verwenden von Schlüsseln (Beispiel: Secret erstellen). |
|
Zum Verwalten von Secrets. |
|
Zum Verwenden von privaten Endpunkten und Endpunktservices für Datenbanktools. |
|
Zum Verwalten von Verbindungen zu Datenbanktools. |
Verbindung zu Datenbanktools mit authentifizierter Principal-Laufzeitidentität
Diese Policys gelten für Datenbanktoolverbindungen, bei denen die Laufzeitidentität AUTHENTICATED_PRINCIPAL verwendet.
Wenn Sie verhindern möchten, dass Benutzer Secrets lesen, verwenden Sie stattdessen die Verbindung zu Datenbanktools mit dem Resource Principal. Siehe Datenbanktoolverbindung mit Resource Principal-Laufzeitidentität.
In der folgenden Tabelle sind Policys und zugehörige Zugriffsebenen für Datenbanktoolverbindungen mit authentifizierter Principal-Laufzeitidentität aufgeführt.
Tabelle 7-5: Policys für Datenbanktoolverbindungen mit authentifizierter Principal-Laufzeitidentität
| Policy | Zugriffsebene |
|---|---|
|
Zum Lesen von Database Cloud Service (Virtual-Machine- und Bare-Metal-DB-Systeme, Exadata Cloud Service-VM-Cluster). |
|
Zum Lesen von autonomen Datenbanken auf gemeinsam verwendeter und dedizierter Exadata-Infrastruktur. |
|
Zum Lesen von Secrets. |
|
Zum Lesen von privaten Endpunkten und Endpunktservices für Datenbanktools. |
|
Zum Verwenden von Verbindungen zu Datenbanktools. |
Ersetzen Sie <group_name> und <compartment_name> durch Werte, die auf Ihrer Umgebung basieren.
Verbindung zu Datenbanktools mit Resource Principal Runtime Identity
Diese Policys gelten für Datenbanktoolverbindungen, bei denen die Laufzeitidentität RESOURCE_PRINCIPAL verwendet.
Um zu verhindern, dass Benutzer Secrets lesen, verwenden Sie die Verbindung zu Datenbanktools mit der Laufzeitidentität des Resource Principals. Ein Benutzer der Verbindung "Datenbanktools" mit der Laufzeitidentität des Resource Principals kann nur vorab erstellte Datenbankverbindungen verwenden, die mit OCI-Datenbanktools erstellt wurden, und der Benutzer kann keine Secret-Werte anzeigen. Siehe Resource Principal.
In der folgenden Tabelle sind dynamische Gruppen und enthaltene Ressourcen für die Verbindung zu Datenbanktools mit Resource Principal aufgeführt.
Tabelle 7-6: Dynamische Gruppe für Datenbanktoolverbindungen mit Resource Principal
| Regel für dynamische Gruppenabgleich | Inklusive |
|---|---|
|
Enthält alle im Compartment gefundenen Database Tool-Verbindungen. |
|
Enthält nur die angegebene Verbindung zu den Datenbanktools. |
Ersetzen Sie <group_name>, <compartment_name>, <connection_ocid> und <dynamic_group_name> durch Werte, die auf Ihrer Umgebung basieren.
In der folgenden Tabelle werden Policys und zugehörige Zugriffsebenen für die Verbindung zu Datenbanktools mit der Laufzeitidentität des Resource Principals aufgeführt.
Tabelle 7-7: Policys für Datenbanktoolverbindungen mit Resource Principal Runtime Identity
| Policy | Zugriffsebene |
|---|---|
|
Zum Lesen von Database Cloud Service (Virtual-Machine- und Bare-Metal-DB-Systeme, Exadata Cloud Service-VM-Cluster). |
|
Zum Lesen von autonomen Datenbanken auf gemeinsam verwendeter und dedizierter Exadata-Infrastruktur. |
|
Zum Lesen privater Endpunkte, Verbindungen und Endpunktservices für Datenbanktools. |
|
Zum Verwenden von Datenbanktools-Verbindungen. |
|
So erteilen Sie den Mitgliedern der dynamischen Gruppe Zugriff auf das Lesen von Secrets |
Ersetzen Sie <group_name>, <compartment_name>, <connection_ocid> und <dynamic_group_name> durch Werte, die auf Ihrer Umgebung basieren.