Erforderliche Policys und Berechtigungen
Die Benutzergruppen, die den MySQL HeatWave-Service verwalten, müssen über die erforderlichen Policys und Berechtigungen zum Zugriff auf die Ressourcen und zur Verwaltung verfügen.
Erforderliche Policys
Definieren Sie die erforderlichen Policys auf Mandantenebene, um Zugriff auf verschiedene DB-Systemressourcen zu erhalten.
Tabelle 20-1: Erforderliche Policys
Policy | Beschreibung |
---|---|
Allow group <group_name> to {COMPARTMENT_INSPECT} in compartment <compartment_name> |
Erteilt den Mitgliedern von <group_name> die Berechtigung COMPARTMENT_INSPECT . Mit dieser Berechtigung kann die Gruppe den Inhalt des angegebenen Compartments auflisten und lesen.
|
Allow group <group_name> to {VCN_READ, SUBNET_READ, SUBNET_ATTACH, SUBNET_DETACH} in compartment <compartment_name> |
Erteilt den Mitgliedern von <group_name> die Berechtigungen VCN_READ , SUBNET_READ , SUBNET_ATTACH und SUBNET_DETACH . Mit diesen Berechtigungen kann die Gruppe Subnetze lesen, anhängen und trennen sowie VCNs im angegebenen Compartment lesen. Sie benötigen diese Policy-Anweisung, um ein DB-System oder ein Lesereplikat an das Subnetz eines VCN anzuhängen.
|
Allow group <group_name> to {VNIC_CREATE, VNIC_DELETE, VNIC_UPDATE, NETWORK_SECURITY_GROUP_UPDATE_MEMBERS, VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP} in compartment <compartment_name> |
(Für Leseendpunkt und Read Replica Load Balancer) Erteilt den Mitgliedern von <group_name> die Berechtigungen VNIC_CREATE , VNIC_DELETE , VNIC_UPDATE , NETWORK_SECURITY_GROUP_UPDATE_MEMBERS und VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP . Sie benötigen diese Policy-Anweisung, um beim Erstellen des ersten Lesereplikats eines DB-Systems automatisch einen Load Balancer für das Lesereplikat zu erstellen oder um einen Leseendpunkt eines DB-Systems zu erstellen.
|
Allow any-user to {VNIC_CREATE, VNIC_UPDATE, VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP, VNIC_DISASSOCIATE_NETWORK_SECURITY_GROUP} in compartment <subnet_compartment_name> where all {request.principal.type='mysqldbsystem', request.resource.compartment.id='<DBsystem_compartment_OCID>'} |
(Für Netzwerksicherheitsgruppen (NSGs) im DB-System oder Lesereplikat)
Erteilt die Berechtigungen Erteilt die Berechtigungen This is a resource principal which grants the permission Dies ist ein Resource Principal, der die Berechtigung |
Allow any-user to read leaf-certificate-family in compartment <certificate_compartment_name> where all {request.principal.type = 'mysqldbsystem', request.resource.compartment.id='<DBsystem_compartment_OCID>'} |
(Für benutzerdefiniertes Zertifikat oder nur eigenes Zertifikat mitbringen)
Erteilt den Mitgliedern von leaf-certificate-family aggregate resource-type in the <certificate_compartment_name> compartment to the DB systems in the compartment with OCID <DBsystem_compartment_OCID>.
|
|
(Für vom Benutzer verwalteten Verschlüsselungsschlüssel oder nur Ihren eigenen Schlüssel verwenden)
Erteilt Zugriff auf die Member von Erteilt Zugriff auf die Member von <group_name>, um Vaults im Compartment <key_compartment_name> zu lesen. Dies ist ein Resource Principal, der DB-Systemen im Compartment die OCID <DBsystem_compartment_OCID> erteilt, um die Verwendung von Verschlüsselungsschlüsseln im Compartment <key_compartment_name> an andere Services zu delegieren. Eine Begleitrichtlinie ist erforderlich, damit der andere Service die Verschlüsselungsschlüssel verwenden kann. Erteilt dem Block-Volume-Service und dem Objektspeicherservice in der Region <region>, dass der Verschlüsselungsschlüssel mit dem OCID-Wert <key_OCID> im Compartment <key_compartment_name> verwendet wird. Dies ist ein Resource Principal, der DB-Systeme in diesem Mandanten die aufgeführten Berechtigungen für alle Mandanten unterstützt oder zulässt, die entsprechende Dies ist ein Resource Principal, der DB-Systemen in diesem Mandanten die Zuordnung oder Verwendung der Schlüssel in diesem Mandanten mit Dies ist ein Resource Principal, der DB-Systemen in diesem Mandanten die Zuordnung oder Verwendung der Schlüssel in diesem Mandanten mit Dies ist ein Resource Principal, der DB-Systemen in diesem Mandanten die Zuordnung oder Verwendung der Schlüssel in diesem Mandanten mit |
Veraltet in Version 9.4.0: Allow service mysql_dp_auth to {AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT, DYNAMIC_GROUP_INSPECT} in tenancy Für Version 9.4.0 oder höher: |
(Nur für authentication_oci -Plug-in) erteilt die Berechtigungen AUTHENTICATION_INSPECT , GROUP_MEMBERSHIP_INSPECT und DYNAMIC_GROUP_INSPECT , um MySQL-Benutzer im DB-System vorhandenen Benutzern und Gruppen zuzuordnen, die im IAM-Service definiert sind. Siehe Mit authentication_oci-Plug-in authentifizieren.
|
Allow group <group_name> to read metrics in compartment <compartment_name> |
(Nur zum Lesen von Metriken) Erteilt den Mitgliedern von <group_name> Zugriff zum Lesen von Metriken in der Konsole. Abgesehen von dieser Policy benötigen Sie auch die folgende Policy, um Metriken zu lesen:
|
Tabelle 20-2: Zugehörige Services
Zugehöriger Service | Beschreibung |
---|---|
Zertifikate (mit eigenem Zertifikat) |
Sie müssen Policys definieren, um DB-Systemen Sicherheitszertifikate zuzuweisen. Sie müssen einen Resource Principal definieren, damit DB-Systeme auf Sicherheitszertifikate zugreifen können. Siehe Resource Principals. |
Datenbankmanagement |
Sie müssen Policys definieren, um das Datenbankmanagement zu aktivieren und zu verwenden. Siehe Erforderliche Berechtigungen zum Verwenden von Datenbankmanagement. |
Verwandte Themen
Erforderliche Berechtigungen
Die Benutzergruppen von MySQL HeatWave Service müssen über die erforderlichen Berechtigungen verfügen, um den Inhalt von Compartments zu lesen, virtuelle Cloud-Netzwerke zu verwenden und MySQL HeatWave Service zu verwalten.
Tabelle 20-3: Erforderliche Berechtigungen
Berechtigung | Beschreibung |
---|---|
COMPARTMENT_INSPECT |
Erteilt die Rechte zum Lesen und Anzeigen des Inhalts von Compartments. |
VCN_READ, SUBNET_READ, SUBNET_ATTACH, SUBNET_DETACH |
Erteilt die Rechte zum Lesen, Anhängen und Trennen von Subnetzen und zum Lesen von VCNs. Ohne diese Ressourcentypen können Sie ein DB-System nicht an ein Netzwerk anhängen. |
NETWORK_SECURITY_GROUP_READ, NETWORK_SECURITY_GROUP_UPDATE_MEMBERS, VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP, VNIC_DISASSOCIATE_NETWORK_SECURITY_GROUP |
(Für Netzwerksicherheitsgruppen) Erteilt Berechtigungen zum Zuweisen und Aufheben der Zuweisung von Netzwerksicherheitsgruppen zu einem DB-System oder Lesereplikat. |
CERTIFICATE_READ |
(Für benutzerdefiniertes Zertifikat oder eigenes Zertifikat mitbringen) Erteilt das Recht, Sicherheitszertifikate im Certificates-Service zu lesen. Ohne diese Berechtigung können Sie einem DB-System kein Sicherheitszertifikat zuweisen. |
AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT, DYNAMIC_GROUP_INSPECT |
(Für authentication_oci -Plug-in) Erteilt die Rechte, MySQL-Benutzer im DB-System vorhandenen Benutzern und Gruppen zuzuordnen, die im IAM-Service definiert sind.
|
VNIC_CREATE, VNIC_DELETE,VNIC_UPDATE, NETWORK_SECURITY_GROUP_UPDATE_MEMBERS,VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP |
(Für Leseendpunkt und Read Replica Load Balancer) Erteilt die Berechtigung zum Erstellen eines Leseendpunkts oder eines Read Replica Load Balancers. |
Tabelle 20-4: Zugehörige Services
Berechtigungen | Beschreibung |
---|---|
Zertifikate (mit eigenem Zertifikat) |
Sie benötigen Berechtigungen zum Lesen der Sicherheitszertifikate. Die DB-Systeme benötigen Berechtigungen für den Zugriff auf die Sicherheitszertifikate. Siehe Resource Principals. |
Datenbankmanagement |
Sie benötigen Berechtigungen zum Aktivieren und Verwenden von Datenbankmanagement. Siehe Erforderliche Berechtigungen zum Verwenden von Datenbankmanagement. |