Para utilizar Diagnostics y Management para bases de datos externas, se necesitan los siguientes permisos del servicio de Oracle Cloud Infrastructure, además de los permisos de Database Management.

• Permiso de servicio de base de datos externa: se necesita un permiso de servicio de base de datos externa para ver el número total de bases de datos externas en el compartimento seleccionado en el mosaico Bases de datos Oracle de la página Visión general de Database Management.

  Para otorgar este permiso, se debe crear una política con el verbo inspect y los tipos de recursos del servicio de base de datos externa. A continuación, se muestra un ejemplo en el que se utiliza el tipo de recurso agregado external-database-family:

  Allow group DB-MGMT-USER to inspect external-database-family in compartment ABC

  Nota
  
  También puede crear la siguiente política para otorgar a un grupo de usuarios el permiso para ver el número total de bases de datos Oracle, que incluyen bases de datos externas, bases de datos de Oracle Cloud y bases de datos autónomas en el compartimento, en el mosaico Bases de datos Oracle.

  Allow group DB-MGMT-USER to {DATABASE_SERVICE_USAGE_INSPECT} in compartment ABC

  Para obtener más información sobre los tipos de recursos y permisos del servicio Base de datos externa, consulte Detalles de base de datos externa.

• Permisos del servicio Monitoring: los permisos del servicio Monitoring son necesarios para:
  • Vea las métricas de base de datos en las páginas Resumen de conjunto de Oracle Database y Detalles de base de datos gestionada.
  • Ver los datos de rendimiento de la base de datos en los paneles de control definidos por Oracle y utilizar las métricas del servicio Monitoring para crear widgets.
  • Consulte el resumen de ejecución del trabajo en el separador Ejecuciones de la sección Trabajos de la página Detalles de base de datos gestionada.
  • Vea las alarmas de base de datos abiertas en las páginas de diagnóstico y gestión.
  • Realice tareas relacionadas con la alarma en la sección Definiciones de alarma de la página Detalles de base de datos gestionada.

  Más información sobre las políticas que proporcionan los permisos necesarios para realizar las tareas proporcionadas en la lista anterior:

  • Para ver los datos de rendimiento de la base de datos en Diagnósticos y Gestión, utilizar las métricas del servicio Monitoring para crear widgets y ver el resumen de ejecución del trabajo, se debe crear una política con el verbo read para el tipo de recurso metrics. A continuación le mostramos un ejemplo:

    Allow group DB-MGMT-USER to read metrics in compartment ABC

  • Para ver las alarmas de base de datos abiertas en las páginas Diagnóstico y gestión y las páginas Estado de alarma y Definiciones de alarma del servicio Monitoring, se debe crear una política con el verbo read para el tipo de recurso alarms (además de una política con el verbo read para el tipo de recurso metrics). A continuación le mostramos un ejemplo:

    Allow group DB-MGMT-USER to read alarms in compartment ABC

  • Para realizar tareas relacionadas con la alarma en la sección Definiciones de alarma de la página Detalles de base de datos gestionada, se debe crear una política con el verbo manage para el tipo de recurso alarms (además de una política con el verbo read para el tipo de recurso metrics). A continuación le mostramos un ejemplo:

    Allow group DB-MGMT-USER to manage alarms in compartment ABC

  Para crear consultas y alarmas para las métricas de la base de datos mediante el servicio Monitoring, se necesitan otros permisos. Para obtener información sobre:

  • Los permisos y tipos de recursos del servicio Monitoring, consulte Detalles del servicio Monitoring.

  • Políticas del servicio Monitoring comunes, consulte Políticas comunes.

• Permiso del servicio Notifications: se necesita un permiso del servicio Notifications para utilizar o crear temas y suscripciones al crear alarmas en la sección Definiciones de alarma de la página Detalles de base de datos gestionada.

  Para otorgar este permiso, se debe crear una política con el verbo use o manage para el tipo de recurso ons-topics (además de los permisos del servicio Monitoring). A continuación, se muestra un ejemplo de una política con el verbo manage que permite crear un tema nuevo al crear una alarma:

  Allow group DB-MGMT-USER to manage ons-topics in compartment ABC

  Para obtener más información sobre los tipos de recursos y permisos del servicio Notifications, consulte Detalles de Notifications.

• permisos del servicio Vault: se necesita un permiso del servicio Vault para utilizar secretos al especificar credenciales de base de datos para realizar tareas como crear un trabajo y editar parámetros de base de datos mediante Diagnostics & Management. Si se definen las credenciales preferidas y con nombre, este permiso también es necesario para utilizar estas credenciales para acceder, gestionar y supervisar las bases de datos gestionadas.

  Para otorgar este permiso, se debe crear una política con el verbo read para los tipos de recursos del servicio Vault. A continuación, se muestra un ejemplo en el que se utiliza el tipo de recurso agregado secret-family:

  Allow group DB-MGMT-USER to read secret-family in compartment ABC

  Si desea otorgar el permiso para acceder a secretos solo desde un almacén específico, actualice la política de la siguiente manera:

  Allow group DB-MGMT-USER to read secret-family in compartment ABC where target.vault.id = <Vault OCID>

  Además de la política de grupo de usuarios para el servicio Vault, es posible que se necesite la siguiente política de entidad de recurso para otorgar el permiso para acceder a los secretos al crear un trabajo programado:

  Allow any-user to read secret-family in compartment ABC where ALL {target.secret.id = <Secret OCID>,request.principal.type = dbmgmtmanageddatabase}

  Para obtener más información sobre los tipos de recursos y permisos del servicio Vault, consulte Detalles para el servicio Vault.

• Permisos del panel de control de gestión: se necesitan permisos del panel de control de gestión para utilizar paneles de control para las bases de datos externas para las que está activado Diagnostics & Management.

  Para realizar tareas como crear un panel de control o un widget, debe tener los permisos necesarios en los tipos de recursos management-dashboard:

  • management-dashboard: permite a un grupo de usuarios utilizar paneles de control.
  • management-saved-search: este tipo de recurso permite a un grupo de usuarios utilizar las búsquedas guardadas en un panel de control.

  Para obtener más información sobre los tipos de recursos, permisos, operaciones de API y ejemplos de políticas de Management Dashboard, consulte Detalles de Management Dashboard.

• permisos del servicio Object Storage: se necesitan permisos del servicio Object Storage para utilizar la función Trabajos en Diagnósticos y gestión.
  • Para permitir que Management Agent almacene los resultados de un trabajo de tipo Consulta en un cubo de Object Storage, primero se debe crear un grupo dinámico que contenga Management Agent. Para obtener información, consulte Política de IAM necesaria para la comunicación del agente de gestión.

    Para proporcionar a un grupo dinámico de Management Agent el permiso para almacenar los resultados de un trabajo de tipo Consulta en un cubo de Object Storage, se deben crear dos políticas. A continuación le mostramos ejemplos:

    Allow dynamic-group Management-Agents-Group to read buckets in compartment ABC where request.principal.type = 'managementagent'

    y

    Allow dynamic-group Management-Agents-Group to manage objects in compartment ABC where all {request.principal.type = 'managementagent', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}

  • Para permitir que un grupo de usuarios lea los resultados del trabajo de tipo Consulta almacenados en un cubo de Object Storage, se deben crear dos políticas. A continuación le mostramos ejemplos:

    Allow group DB-MGMT-USER to read buckets in compartment ABC

    y

    Allow group DB-MGMT-USER to manage objects in compartment ABC

  Además de la política de grupo de usuarios para el servicio Object Storage, se necesita la siguiente política de entidad de recurso para otorgar a los recursos de la base de datos gestionada el permiso para escribir los resultados de los trabajos programados en el servicio Object Storage:

  Allow any-user to manage objects in compartment ABC where ALL {target.bucket.name = <Bucket Name>,request.principal.type = dbmgmtmanageddatabase}

  Para obtener más información sobre los tipos de recursos y permisos del servicio Object Storage, consulte Detalles de Object Storage, Archive Storage y Data Transfer.

• Permisos del servicio Events: se necesita un permiso del servicio Events para crear y ver reglas de eventos para supervisar recursos.

  Para otorgar este permiso, se debe crear una política con el verbo manage para el tipo de recurso cloudevents-rules. A continuación, se muestra un ejemplo de una política con el verbo manage que permite crear y ver reglas de eventos:

  Allow group DB-MGMT-USER to manage cloudevents-rules in tenancy

  Además del permiso del servicio Events, necesita otros permisos del servicio de Oracle Cloud Infrastructure para especificar un tipo de acción al crear una regla de evento. Para obtener más información, consulte Events y políticas de IAM.

  Para obtener más información sobre el tipo de recurso y los permisos del servicio Events, consulte Detalles del servicio Events.

• Etiquetado de permisos de servicio: para obtener información sobre los permisos necesarios para utilizar etiquetas en Diagnostics & Management, consulte Etiquetado de autenticación y autorización.
• Permisos para trabajar con extensiones de métrica: se necesita un permiso para un tipo de recurso Stack Monitoring para trabajar con extensiones de métrica en Database Management. A continuación se muestra un ejemplo de una política que otorga al grupo de usuarios DB-MGMT-USER el permiso para realizar todas las tareas relacionadas con la extensión de métrica en el compartimento ABC:

  Allow group DB-MGMT-USER to manage stack-monitoring-metric-extension in compartment ABC