Para utilizar Diagnóstico y gestión para bases de datos de Oracle Cloud, se necesitan los siguientes permisos de servicio de Oracle Cloud Infrastructure además de los permisos de Database Management.

• Permisos Base Database Service, ExaDB-D, ExaDB-XS y ExaDB-C@C: el permiso correspondiente de la solución en la nube de Oracle Database es necesario para ver el número total de bases de datos de Oracle Cloud en el compartimento seleccionado en el mosaico Bases de datos Oracle de la página Visión general de Database Management y para recuperar datos de las bases de datos de Oracle Cloud y mostrarlos en el resumen del conjunto de Oracle Database y otras páginas de Diagnóstico y gestión:

  Para otorgar este permiso, se debe crear una política con el verbo read y los tipos de recursos de la solución en la nube de Oracle Database. También se puede utilizar una única política que utilice el tipo de recurso agregado para bases de datos de Oracle Cloud, database-family.

  A continuación, se muestra un ejemplo en el que se utiliza el tipo de recurso agregado database-family:

  Allow group DB-MGMT-USER to read database-family in compartment ABC

  Nota
  
  También puede crear la siguiente política para otorgar a un grupo de usuarios el permiso para ver el número total de bases de datos Oracle, que incluyen bases de datos de Oracle Cloud, bases de datos externas y bases de datos autónomas en el compartimento, en el mosaico Bases de datos Oracle.

  Allow group DB-MGMT-USER to {DATABASE_SERVICE_USAGE_INSPECT} in compartment ABC

  Si desea obtener más información sobre:

  • Tipos de recursos y permisos de Base Database Service. Consulte Detalles de Base Database Service.
  • ExaDB: tipos de recursos y permisos de D. Consulte Detalles de Exadata Database Service en infraestructura dedicada.
  • Tipos de recursos y permisos ExaDB-XS. Consulte Detalles de Oracle Exadata Database Service en la infraestructura de Exascale.
  • ExaDB: tipos de recursos y permisos de C@C. Consulte Detalles de Exadata Database Service en Cloud@Customer.
• Permisos del servicio Monitoring: los permisos del servicio Monitoring son necesarios para:
  • Vea las métricas de base de datos en las páginas Resumen de conjunto de Oracle Database y Detalles de base de datos gestionada.
  • Ver los datos de rendimiento de la base de datos en los paneles de control definidos por Oracle y utilizar las métricas del servicio Monitoring para crear widgets.
  • Consulte el resumen de ejecución del trabajo en el separador Ejecuciones de la sección Trabajos de la página Detalles de base de datos gestionada.
  • Vea las alarmas de base de datos abiertas en las páginas de diagnóstico y gestión.
  • Realice tareas relacionadas con la alarma en la sección Definiciones de alarma de la página Detalles de base de datos gestionada.

  Más información sobre las políticas que proporcionan los permisos necesarios para realizar las tareas proporcionadas en la lista anterior:

  • Para ver los datos de rendimiento de la base de datos en Diagnósticos y Gestión, utilizar las métricas del servicio Monitoring para crear widgets y ver el resumen de ejecución del trabajo, se debe crear una política con el verbo read para el tipo de recurso metrics. A continuación le mostramos un ejemplo:

    Allow group DB-MGMT-USER to read metrics in compartment ABC

  • Para ver las alarmas de base de datos abiertas en las páginas Diagnóstico y gestión y las páginas Estado de alarma y Definiciones de alarma del servicio Monitoring, se debe crear una política con el verbo read para el tipo de recurso alarms (además de una política con el verbo read para el tipo de recurso metrics). A continuación le mostramos un ejemplo:

    Allow group DB-MGMT-USER to read alarms in compartment ABC

  • Para realizar tareas relacionadas con la alarma en la sección Definiciones de alarma de la página Detalles de base de datos gestionada, se debe crear una política con el verbo manage para el tipo de recurso alarms (además de una política con el verbo read para el tipo de recurso metrics). A continuación le mostramos un ejemplo:

    Allow group DB-MGMT-USER to manage alarms in compartment ABC

  Para crear consultas y alarmas para las métricas de la base de datos mediante el servicio Monitoring, se necesitan otros permisos. Para obtener información sobre:

  • Los permisos y tipos de recursos del servicio Monitoring, consulte Detalles del servicio Monitoring.

  • Políticas del servicio Monitoring comunes, consulte Políticas comunes.

• Permiso del servicio Notifications: se necesita un permiso del servicio Notifications para utilizar o crear temas y suscripciones al crear alarmas en la sección Definiciones de alarma de la página Detalles de base de datos gestionada.

  Para otorgar este permiso, se debe crear una política con el verbo use o manage para el tipo de recurso ons-topics (además de los permisos del servicio Monitoring). A continuación, se muestra un ejemplo de una política con el verbo manage que permite crear un tema nuevo al crear una alarma:

  Allow group DB-MGMT-USER to manage ons-topics in compartment ABC

  Para obtener más información sobre los tipos de recursos y permisos del servicio Notifications, consulte Detalles de Notifications.

• permisos del servicio Vault: se necesita un permiso del servicio Vault para utilizar secretos al especificar credenciales de base de datos para realizar tareas como crear un trabajo y editar parámetros de base de datos en Diagnostics & Management. Si se definen las credenciales preferidas y con nombre, este permiso también es necesario para utilizar estas credenciales para acceder, gestionar y supervisar las bases de datos gestionadas.

  Para otorgar este permiso, se debe crear una política con el verbo read para los tipos de recursos del servicio Vault. A continuación, se muestra un ejemplo en el que se utiliza el tipo de recurso agregado secret-family:

  Allow group DB-MGMT-USER to read secret-family in compartment ABC

  Si desea otorgar el permiso para acceder a secretos solo desde un almacén específico, actualice la política de la siguiente manera:

  Allow group DB-MGMT-USER to read secret-family in compartment ABC where target.vault.id = <Vault OCID>

  Además de la política de grupo de usuarios para el servicio Vault, es posible que se necesite la siguiente política de entidad de recurso para otorgar el permiso para acceder a los secretos al crear un trabajo programado:

  Allow any-user to read secret-family in compartment ABC where ALL {target.secret.id = <Secret OCID>,request.principal.type = dbmgmtmanageddatabase}

  Para obtener más información sobre los tipos de recursos y permisos del servicio Vault, consulte Detalles para el servicio Vault.

• Permisos del panel de control de gestión: se necesitan permisos del panel de control de gestión para utilizar paneles de control para las bases de datos de Oracle Cloud para las que está activado Diagnostics & Management.

  Para realizar tareas como crear un panel de control o un widget, debe tener los permisos necesarios en los tipos de recursos management-dashboard:

  • management-dashboard: permite a un grupo de usuarios utilizar paneles de control.
  • management-saved-search: este tipo de recurso permite a un grupo de usuarios utilizar las búsquedas guardadas en un panel de control.

  Para obtener más información sobre los tipos de recursos, permisos, operaciones de API y ejemplos de políticas de Management Dashboard, consulte Detalles de Management Dashboard.

• permisos del servicio Object Storage: se necesitan permisos del servicio Object Storage para utilizar la función Trabajos en Diagnósticos y gestión.
  • Para permitir que un grupo de usuarios lea los resultados del trabajo de tipo Consulta almacenados en un cubo de Object Storage, se deben crear dos políticas. A continuación le mostramos ejemplos:

    Allow group DB-MGMT-USER to read buckets in compartment ABC

    y

    Allow group DB-MGMT-USER to manage objects in compartment ABC

  • Además de la política de grupo de usuarios para el servicio Object Storage, se necesita la siguiente política de entidad de recurso para otorgar a los recursos de la base de datos gestionada el permiso para escribir los resultados de los trabajos programados en el servicio Object Storage:

    Allow any-user to manage objects in compartment ABC where ALL {target.bucket.name = <Bucket Name>,request.principal.type = dbmgmtmanageddatabase}

  Para obtener más información sobre los tipos de recursos y permisos del servicio Object Storage, consulte Detalles de Object Storage, Archive Storage y Data Transfer.

• Permisos del servicio Events: se necesita un permiso del servicio Events para crear y ver reglas de eventos para supervisar recursos.

  Para otorgar este permiso, se debe crear una política con el verbo manage para el tipo de recurso cloudevents-rules. A continuación, se muestra un ejemplo de una política con el verbo manage que permite crear y ver reglas de eventos:

  Allow group DB-MGMT-USER to manage cloudevents-rules in tenancy

  Además del permiso del servicio Events, necesita otros permisos del servicio de Oracle Cloud Infrastructure para especificar un tipo de acción al crear una regla de evento. Para obtener más información, consulte Events y políticas de IAM.

  Para obtener más información sobre el tipo de recurso y los permisos del servicio Events, consulte Detalles del servicio Events.

• Etiquetado de permisos de servicio: para obtener información sobre los permisos necesarios para utilizar etiquetas en Diagnostics & Management, consulte Etiquetado de autenticación y autorización.