Oracle Cloud Infrastructure-Dokumentation

Policys für MySQL HeatWave-DB-System

Zeigt, wie Sie das Verwalten des MySQL-DB-Systems, das Teil des Anwendungsstacks ist, durch Disaster Recovery (DR) zulassen.

Policys zur Konfiguration mit Resource Principal


Allow dynamic-group <Dynamic_group_Name> to manage mysql-family in comparment <>

Policys zur Konfiguration mit Benutzerauthentifizierung:

Policys für MySQL-DB-System

Konfigurieren Sie Policys, damit Disaster Recovery (DR) die Ressourcenfamilie MySQL verwalten kann.
Allow group <group name> to manage mysql-family in compartment
    <compartment_name>
Policys für Vault-Secret

Konfigurieren Sie IAM-Policys, um Lesezugriff auf das Vault Secret zu erteilen, das in Disaster Recovery-(DR-)Vorgängen des MySQL-DB-Systems verwendet wird. Dadurch können autorisierte Resource Principals das Secret nach Bedarf abrufen.

Dynamische Gruppe erstellen

Stellen Sie vor dem Erstellen der Policy sicher, dass Sie eine dynamische Gruppe für die Ressourcen definiert haben, die Zugriff auf das Vault Secret benötigen. Beispiel: Um allen Instanzen innerhalb eines bestimmten Compartments Zugriff auf das Secret zu erteilen, können Sie die folgende Policy-Syntax verwenden:

ALL {resource.type='computecontainerinstance', resource.compartment.id =
      'ocid1.compartment.oc1..<compartment_ocid>'}

Ersetzen Sie <compartment_ocid> durch die tatsächliche OCID des Compartments.

Policys für Object Storage

Policy definieren

Erstellen Sie eine Policy, die der dynamischen Gruppe die Berechtigung für read-Secrets aus dem Vault erteilt, und laden Sie Logs während der Ausführung in den Objektspeicher-Bucket hoch. Verwenden Sie das Verb read mit dem Ressourcentyp secret-family. Die Policy-Syntax lautet: 

Allow dynamic-group <dynamic-group-name> to manage object-family in compartment
      <compartment-name>

Allow dynamic-group <dynamic-group-name> to read secret-family in compartment <compartment-name>

Im obigen Beispiel gilt Folgendes:

<dynamic-group-name>: The name of your dynamic group.
<compartment-name>: The name of the compartment where the secret resides.

Beispiel-Police

Wenn die dynamische Gruppe den Namen InstanceSecretReaders hat und Ihre Secrets im Compartment MySecretsCompartment gespeichert sind, lautet die Policy-Anweisung wie folgt: 

Allow dynamic-group InstanceSecretReaders to read secret-family in compartment MySecretsCompartment

Mit dieser Policy kann jede Ressource, die Mitglied der dynamischen Gruppe InstanceSecretReaders ist, die im Compartment MySecretsCompartment gespeicherten Secrets über OCI Vault lesen.