Erforderliche Policys und Berechtigungen

Die Benutzergruppen, die den MySQL HeatWave-Service verwalten, müssen über die erforderlichen Policys und Berechtigungen zum Zugriff auf die Ressourcen und zur Verwaltung verfügen.

Erforderliche Policys

Definieren Sie die erforderlichen Policys auf Mandantenebene, um Zugriff auf verschiedene DB-Systemressourcen zu erhalten.

Tabelle 20-1: Erforderliche Policys

Policy Beschreibung
Allow group <group_name> to {COMPARTMENT_INSPECT} in compartment <compartment_name> Erteilt den Mitgliedern von <group_name> die Berechtigung COMPARTMENT_INSPECT. Mit dieser Berechtigung kann die Gruppe den Inhalt des angegebenen Compartments auflisten und lesen.
Allow group <group_name> to {VCN_READ, SUBNET_READ, SUBNET_ATTACH, SUBNET_DETACH} in compartment <compartment_name> Erteilt den Mitgliedern von <group_name> die Berechtigungen VCN_READ, SUBNET_READ, SUBNET_ATTACH und SUBNET_DETACH. Mit diesen Berechtigungen kann die Gruppe Subnetze lesen, anhängen und trennen sowie VCNs im angegebenen Compartment lesen. Sie benötigen diese Policy-Anweisung, um ein DB-System oder ein Lesereplikat an das Subnetz eines VCN anzuhängen.
Allow group <group_name> to {VNIC_CREATE, VNIC_DELETE, VNIC_UPDATE, NETWORK_SECURITY_GROUP_UPDATE_MEMBERS, VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP} in compartment <compartment_name> (Für Leseendpunkt und Read Replica Load Balancer) Erteilt den Mitgliedern von <group_name> die Berechtigungen VNIC_CREATE, VNIC_DELETE, VNIC_UPDATE, NETWORK_SECURITY_GROUP_UPDATE_MEMBERS und VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP. Sie benötigen diese Policy-Anweisung, um beim Erstellen des ersten Lesereplikats eines DB-Systems automatisch einen Load Balancer für das Lesereplikat zu erstellen oder um einen Leseendpunkt eines DB-Systems zu erstellen.

Allow group <group_name> to {NETWORK_SECURITY_GROUP_READ, NETWORK_SECURITY_GROUP_UPDATE_MEMBERS} in compartment <NSG_compartment_name>

Allow group <group_name> to {VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP, VNIC_DISASSOCIATE_NETWORK_SECURITY_GROUP} in compartment <compartment_name>

Allow any-user to {NETWORK_SECURITY_GROUP_UPDATE_MEMBERS} in compartment <NSG_compartment_name> where all {request.principal.type='mysqldbsystem', request.resource.compartment.id='<DBsystem_compartment_OCID>'}

Allow any-user to {VNIC_CREATE, VNIC_UPDATE, VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP, VNIC_DISASSOCIATE_NETWORK_SECURITY_GROUP} in compartment <subnet_compartment_name> where all {request.principal.type='mysqldbsystem', request.resource.compartment.id='<DBsystem_compartment_OCID>'}
(Für Netzwerksicherheitsgruppen (NSGs) im DB-System oder Lesereplikat)

Erteilt die Berechtigungen NETWORK_SECURITY_GROUP_READ und NETWORK_SECURITY_GROUP_UPDATE_MEMBERS, damit die Gruppe NSGs lesen und übergeordnete NSGs-Ressourcen im angegebenen Compartment aktualisieren kann.

Erteilt die Berechtigungen VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP und VNIC_DISASSOCIATE_NETWORK_SECURITY_GROUP, damit die DB-Systeme und das Lesereplikat im angegebenen Compartment mit NSGs verknüpft und getrennt werden können.

This is a resource principal which grants the permission NETWORK_SECURITY_GROUP_UPDATE_MEMBERS on network security groups in the <NSG_compartment_name> compartment to the DB systems in the compartment with OCID <DBsystem_compartment_OCID>.

Dies ist ein Resource Principal, der die Berechtigung VNIC_CREATE, VNIC_UPDATE, VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP und VNIC_DISASSOCIATE_NETWORK_SECURITY_GROUP für VNICs im Compartment <subnet_compartment_name> den DB-Systemen im Compartment mit der OCID <DBsystem_compartment_OCID> erteilt.

Allow group <group_name> to read leaf-certificates in compartment <certificate_compartment_name>

Allow any-user to read leaf-certificate-family in compartment <certificate_compartment_name> where all {request.principal.type = 'mysqldbsystem', request.resource.compartment.id='<DBsystem_compartment_OCID>'}
(Für benutzerdefiniertes Zertifikat oder nur eigenes Zertifikat mitbringen)

Erteilt den Mitgliedern von <group_name> die Leseberechtigungen des Ressourcentyps leaf-certificates. Mit dieser Berechtigung kann die Gruppe einem DB-System ein Sicherheitszertifikat im angegebenen Compartment zuweisen.

This is a resource principal which grants the read permissions of the leaf-certificate-family aggregate resource-type in the <certificate_compartment_name> compartment to the DB systems in the compartment with OCID <DBsystem_compartment_OCID>.

Allow group <group_name> to read vaults in compartment <vault_compartment_name>

Allow group <group_name> to read keys in compartment <key_compartment_name>

Allow any-user to use key-delegate in compartment <key_compartment_name> where all {request.principal.type = 'mysqldbsystem', request.resource.compartment.id='<DBsystem_compartment_OCID>'}

Allow service blockstorage, objectstorage-<region> to use keys in compartment <key_compartment_name> where target.key.id='<key_OCID>'

Endorse any-user to {VOLUME_UPDATE, VOLUME_INSPECT, VOLUME_CREATE, VOLUME_BACKUP_READ, VOLUME_BACKUP_UPDATE, BUCKET_UPDATE, VOLUME_GROUP_BACKUP_CREATE, VOLUME_BACKUP_COPY, VOLUME_BACKUP_CREATE, TAG_NAMESPACE_INSPECT, TAG_NAMESPACE_USE} in any-tenancy where request.principal.type = 'mysqldbsystem'

Endorse any-user TO associate keys in tenancy with volumes in any-tenancy where request.principal.type = 'mysqldbsystem'

Endorse any-user to associate keys in tenancy with volume-backups in any-tenancy where request.principal.type = 'mysqldbsystem'

Endorse any-user to associate keys in tenancy with buckets in any-tenancy where request.principal.type = 'mysqldbsystem'

(Für vom Benutzer verwalteten Verschlüsselungsschlüssel oder nur Ihren eigenen Schlüssel verwenden)

Erteilt Zugriff auf die Member von <group_name>, um Vaults im Compartment <vault_compartment_name> zu lesen.

Erteilt Zugriff auf die Member von <group_name>, um Vaults im Compartment <key_compartment_name> zu lesen.

Dies ist ein Resource Principal, der DB-Systemen im Compartment die OCID <DBsystem_compartment_OCID> erteilt, um die Verwendung von Verschlüsselungsschlüsseln im Compartment <key_compartment_name> an andere Services zu delegieren. Eine Begleitrichtlinie ist erforderlich, damit der andere Service die Verschlüsselungsschlüssel verwenden kann.

Erteilt dem Block-Volume-Service und dem Objektspeicherservice in der Region <region>, dass der Verschlüsselungsschlüssel mit dem OCID-Wert <key_OCID> im Compartment <key_compartment_name> verwendet wird.

Dies ist ein Resource Principal, der DB-Systeme in diesem Mandanten die aufgeführten Berechtigungen für alle Mandanten unterstützt oder zulässt, die entsprechende ADMIT-Berechtigungen für diesen Mandanten bereitstellen.

Dies ist ein Resource Principal, der DB-Systemen in diesem Mandanten die Zuordnung oder Verwendung der Schlüssel in diesem Mandanten mit volumes in beliebigen Mandanten ermöglicht.

Dies ist ein Resource Principal, der DB-Systemen in diesem Mandanten die Zuordnung oder Verwendung der Schlüssel in diesem Mandanten mit volume-backups in beliebigen Mandanten ermöglicht.

Dies ist ein Resource Principal, der DB-Systemen in diesem Mandanten die Zuordnung oder Verwendung der Schlüssel in diesem Mandanten mit buckets in beliebigen Mandanten ermöglicht.

Veraltet in Version 9.4.0: Allow service mysql_dp_auth to {AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT, DYNAMIC_GROUP_INSPECT} in tenancy

Für Version 9.4.0 oder höher: Allow any-user to {AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT, DYNAMIC_GROUP_INSPECT} in tenancy where request.principal.type = 'mysqldbsystem'

(Nur für authentication_oci-Plug-in) erteilt die Berechtigungen AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT und DYNAMIC_GROUP_INSPECT, um MySQL-Benutzer im DB-System vorhandenen Benutzern und Gruppen zuzuordnen, die im IAM-Service definiert sind. Siehe Mit authentication_oci-Plug-in authentifizieren.
Allow group <group_name> to read metrics in compartment <compartment_name> (Nur zum Lesen von Metriken) Erteilt den Mitgliedern von <group_name> Zugriff zum Lesen von Metriken in der Konsole. Abgesehen von dieser Policy benötigen Sie auch die folgende Policy, um Metriken zu lesen:

Allow group <group name> to read mysql-family in compartment <compartment_name>

Tabelle 20-2: Zugehörige Services

Zugehöriger Service Beschreibung
Zertifikate (mit eigenem Zertifikat)

Sie müssen Policys definieren, um DB-Systemen Sicherheitszertifikate zuzuweisen.

Sie müssen einen Resource Principal definieren, damit DB-Systeme auf Sicherheitszertifikate zugreifen können. Siehe Resource Principals.

Datenbankmanagement

Sie müssen Policys definieren, um das Datenbankmanagement zu aktivieren und zu verwenden. Siehe Erforderliche Berechtigungen zum Verwenden von Datenbankmanagement.

Erforderliche Berechtigungen

Die Benutzergruppen von MySQL HeatWave Service müssen über die erforderlichen Berechtigungen verfügen, um den Inhalt von Compartments zu lesen, virtuelle Cloud-Netzwerke zu verwenden und MySQL HeatWave Service zu verwalten.

Tabelle 20-3: Erforderliche Berechtigungen

Berechtigung Beschreibung
COMPARTMENT_INSPECT Erteilt die Rechte zum Lesen und Anzeigen des Inhalts von Compartments.
VCN_READ, SUBNET_READ, SUBNET_ATTACH, SUBNET_DETACH Erteilt die Rechte zum Lesen, Anhängen und Trennen von Subnetzen und zum Lesen von VCNs. Ohne diese Ressourcentypen können Sie ein DB-System nicht an ein Netzwerk anhängen.
NETWORK_SECURITY_GROUP_READ, NETWORK_SECURITY_GROUP_UPDATE_MEMBERS, VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP, VNIC_DISASSOCIATE_NETWORK_SECURITY_GROUP (Für Netzwerksicherheitsgruppen) Erteilt Berechtigungen zum Zuweisen und Aufheben der Zuweisung von Netzwerksicherheitsgruppen zu einem DB-System oder Lesereplikat.
CERTIFICATE_READ (Für benutzerdefiniertes Zertifikat oder eigenes Zertifikat mitbringen) Erteilt das Recht, Sicherheitszertifikate im Certificates-Service zu lesen. Ohne diese Berechtigung können Sie einem DB-System kein Sicherheitszertifikat zuweisen.
AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT, DYNAMIC_GROUP_INSPECT (Für authentication_oci-Plug-in) Erteilt die Rechte, MySQL-Benutzer im DB-System vorhandenen Benutzern und Gruppen zuzuordnen, die im IAM-Service definiert sind.
VNIC_CREATE, VNIC_DELETE,VNIC_UPDATE, NETWORK_SECURITY_GROUP_UPDATE_MEMBERS,VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP (Für Leseendpunkt und Read Replica Load Balancer) Erteilt die Berechtigung zum Erstellen eines Leseendpunkts oder eines Read Replica Load Balancers.

Tabelle 20-4: Zugehörige Services

Berechtigungen Beschreibung
Zertifikate (mit eigenem Zertifikat)

Sie benötigen Berechtigungen zum Lesen der Sicherheitszertifikate.

Die DB-Systeme benötigen Berechtigungen für den Zugriff auf die Sicherheitszertifikate. Siehe Resource Principals.

Datenbankmanagement

Sie benötigen Berechtigungen zum Aktivieren und Verwenden von Datenbankmanagement. Siehe Erforderliche Berechtigungen zum Verwenden von Datenbankmanagement.