Oracle Cloud Infrastructure-Dokumentation

Berechtigungen

Die folgenden Oracle Cloud Infrastructure-Serviceberechtigungen sind erforderlich, um Ops Insights für Oracle Cloud-Datenbanken und zusätzlich für Exadata Cloud Service-Systeme zu aktivieren.

Hinweis

Wenn veraltete Policys ermittelt werden, zeigt Policy Advisor ein Banner an, das eine Policy-Aktualisierung im neuen CRISP-Format erfordert. Klicken Sie zum Aktualisieren auf die Schaltfläche Voraussetzungs-Policys aktualisieren. Weitere Informationen zu veralteten Policys finden Sie unter Entfernen der Service-Principal-Policy.Policy Advisor-Warnung
  • Bare-Metal- und VM-DB-Systeme und Exadata Cloud Service-Berechtigungen: Um Ops Insights für Oracle Cloud-Datenbanken zu aktivieren, benötigen Sie die erforderlichen Bare-Metal- und VM-DB-Systeme sowie die erforderlichen Exadata Cloud Service-Berechtigungen.
    Hinweis

    Um Exadata Insights zu verwenden, müssen Sie das Exadata-Ziel und nicht die Datenbank direkt aktivieren.
    Im Folgenden finden Sie ein Beispiel einer Policy, die der Benutzergruppe opsi-admins die Berechtigung zum Aktivieren von Ops Insights für die Oracle Cloud-Datenbanken im Mandanten erteilt:
    Hinweis

    Diese Policys können auch für Compartments gelten. 
    allow group opsi-admins to read database-family in tenancy
    Für Exadata sind auch die folgenden Policys erforderlich:
    Hinweis

    Diese Policys können auch für Compartments gelten. 
    allow group opsi-admins to read cloud-exadata-infrastructures in tenancy
    allow group opsi-admins to read cloud-vmclusters in tenancy

    Weitere Informationen zu den spezifischen Ressourcentypen und Berechtigungen für Bare-Metal- und VM-DB-Systeme sowie den Exadata Cloud-Service finden Sie unter Policy-Details für Base Database Service und Details zu Exadata Cloud Service-Instanzen.

  • Networking-Serviceberechtigungen: Um mit dem privaten Endpunkt von Ops Insights zu arbeiten und die Kommunikation zwischen Ops Insights und der Oracle Cloud-Datenbank zu ermöglichen, benötigen Sie die Berechtigung manage für den Ressourcentyp vnics und die Berechtigung use für den Ressourcentyp subnets, und entweder den Ressourcentyp network-security-groups oder security-lists (Sie können entweder den Netzwerkzugriff über eine Netzwerksicherheitsgruppe öffnen (die Datenbank sollte für die Verwendung derselben konfiguriert sein), oder das Subnetz muss über die entsprechenden Sicherheitslisten verfügen (das Subnetz, in dem sich die Datenbank befindet).

    Im Folgenden finden Sie Beispiele für die einzelnen Policys, die der Benutzergruppe opsi-admins die erforderlichen Berechtigungen erteilen: 

    allow group opsi-admins to manage vnics in tenancy
allow group opsi-admins to use subnets in tenancy
allow group opsi-admins to use network-security-groups in tenancy
    
allow group opsi-admins to use security-lists in tenancy

    Oder eine einzelne Policy, die den aggregierten Ressourcentyp des Networking-Service verwendet, erteilt der Benutzergruppe opsi-admins dieselben Berechtigungen wie im vorherigen Absatz: 

    allow group opsi-admins to manage virtual-network-family in tenancy

    Weitere Informationen zu den Ressourcentypen und Berechtigungen für den Networking-Service finden Sie im Abschnitt Networking unter Details zu den Coreservices.

  • Vault-Serviceberechtigungen:

    Cloud-Datenbankzugangsdaten werden dem OCI Vault-Service hinzugefügt. Sie müssen daher eine Policy schreiben, damit Ops Insights sie für Metrikdatenerfassung lesen kann. Um neue Geheimnisse zu erstellen oder vorhandene Geheimnisse zu verwenden, wenn Sie die Datenbankzugangsdaten angeben, um Ops Insights für Oracle Cloud-Datenbanken zu aktivieren, benötigen Sie die manage-Berechtigung für den aggregierten Ressourcentyp secret-family.

    Im Folgenden finden Sie ein Beispiel für die Policy, mit der der Benutzergruppe opsi-admins die Berechtigung zum Erstellen und Verwenden von Secrets im Mandanten erteilt wird: 

    allow group opsi-admins to manage secret-family in tenancy

    Neben der Benutzergruppen-Policy für den Vault-Service ist die folgende Service-Policy erforderlich, um Ops Insights die Berechtigung zum Lesen von Datenbankkennwort-Secrets in einem bestimmten Vault zu erteilen:

    allow any-user to read secret-family in tenancy where 
ALL{request.principal.type='opsidatabaseinsight', target.vault.id =  'Vault OCID'}
    Hinweis

    Compartment ABC ist das Compartment des Vaults. Dieses Compartment muss nicht mit dem Compartment der Datenbank übereinstimmen.

    Weitere Informationen zu den Ressourcentypen und Berechtigungen des Vault-Service finden Sie unter Details zum Vault Service.