Documentación de Oracle Cloud Infrastructure

Permisos de Database Management

Para utilizar las funciones de diagnóstico y gestión para bases de datos de Oracle, debe pertenecer a un grupo de usuarios de su arrendamiento con los permisos necesarios en los siguientes tipos de recursos de Database Management.

Nota

Además de los permisos de Database Management, se necesitan otros permisos del servicio de Oracle Cloud Infrastructure para utilizar las funciones de diagnóstico y gestión para las bases de datos Oracle. Para obtener información, consulte Permisos adicionales necesarios para utilizar diagnóstico y gestión.
  • dbmgmt-managed-database-groups: este tipo de recurso permite a un grupo de usuarios utilizar las funciones de Grupos de bases de datos.
  • dbmgmt-managed-databases: este tipo de recurso permite a un grupo de usuarios utilizar las funciones de Base de datos gestionada.
  • dbmgmt-jobs: este tipo de recurso permite a un grupo de usuarios utilizar las funciones de Trabajos.
  • dbmgmt-named-credentials: este tipo de recurso permite a un grupo de usuarios crear y gestionar credenciales con nombre.
  • dbmgmt-family: este tipo de recurso agregado incluye todos los tipos de recursos individuales de Database Management y permite a un grupo de usuarios activar y utilizar todas las funciones de Database Management.

Estos son algunos ejemplos de las políticas que otorgan a los grupos de usuarios los permisos necesarios para utilizar diversas funciones de diagnóstico y gestión:

  • Para otorgar al grupo de usuarios de DB-MGMT-USER el permiso para utilizar las funciones de Diagnóstico y gestión y otras funciones de Database Management en las bases de datos gestionadas del arrendamiento:
    Allow group DB-MGMT-USER to manage dbmgmt-family in tenancy
  • Para otorgar al grupo de usuarios MGD-DB-USER el permiso para ver el número de bases de datos Oracle para las que está activado Diagnostics & Management (en el compartimento ABC) en el mosaico Bases de datos Oracle de la página Visión general de Database Management:
    Allow group MGD-DB-USER to inspect dbmgmt-managed-databases in compartment ABC
  • Para otorgar al grupo de usuarios MGD-DB-USER el permiso para supervisar y gestionar bases de datos gestionadas en el compartimento ABC:
    Allow group MGD-DB-USER to manage dbmgmt-managed-databases in compartment ABC
  • Para otorgar al grupo de usuarios MGD-DB-USER el permiso para supervisar los gráficos de métricas para las bases de datos principal y en espera en el compartimento ABC:
    Allow group MGD-DB-USER to read dbmgmt-managed-databases in compartment ABC
  • Para otorgar al grupo de usuarios DB-JOBS-USER el permiso para trabajar con trabajos en el compartimento ABC:
    Allow group DB-JOBS-USER to manage dbmgmt-jobs in compartment ABC
  • Para otorgar al grupo de usuarios DB-NC-ADMIN el permiso para crear y gestionar credenciales con nombre en el compartimento ABC:
    Allow group DB-NC-ADMIN to manage dbmgmt-named-credentials in compartment ABC
    Allow group DB-NC-ADMIN to use dbmgmt-managed-databases in compartment ABC
  • Para otorgar al grupo de usuarios DB-NC-USER el permiso para utilizar credenciales con nombre en el compartimento ABC para realizar varias tareas de diagnóstico y gestión:
    Allow group DB-MGMT-USER to read dbmgmt-named-credentials in compartment ABC
    Nota

    La política que otorga el permiso para utilizar credenciales con nombre para realizar varias tareas de diagnóstico y gestión es necesaria además de las demás políticas necesarias para supervisar y gestionar bases de datos gestionadas.
  • Para otorgar al grupo de usuarios DB-GRPS-USER el permiso para trabajar con grupos de bases de datos en el compartimento ABC:
    Allow group DB-GRPS-USER to manage dbmgmt-managed-database-groups in compartment ABC

Para obtener más información sobre los tipos de recursos y permisos de Database Management, consulte Detalles de política para Database Management.

Políticas de Database Management con condiciones

Puede crear políticas granulares especificando las condiciones que se deben cumplir para otorgar acceso a un grupo de usuarios. Al utilizar condiciones en las políticas de Database Management, se pueden agregar las variables request.operation y request.permission para restringir el acceso a operaciones y permisos de API específicos. A continuación, se muestran ejemplos de políticas de Database Management con condiciones:

  • Para otorgar al grupo de usuarios PERF-HUB-USER el permiso para acceder solo al hub de rendimiento, al tiempo que limita el resto de tareas que pueden realizar en las bases de datos gestionadas del compartimento ABC, se deben crear dos políticas. La primera política es una política amplia que utiliza el verbo inspect y la segunda política utiliza el verbo read y una condición con la variable request.operation, que garantiza que el grupo de usuarios solo puede realizar la operación de API RetrieveDatabasePerformanceData:
    Allow group PERF-HUB-USER to inspect dbmgmt-family in compartment ABC
    Allow group PERF-HUB-USER to read dbmgmt-family in compartment ABC where request.operation = ‘RetrieveDatabasePerformanceData’
  • Para otorgar al grupo de usuarios DB-USERS el permiso para realizar todas las tareas excepto aquellas para las que se necesita el permiso DBMGMT_MANAGED_DB_CONTENT_WRITE, se debe crear una política con la variable request.permission:
    Allow group DB-USERS to manage dbmgmt-family in compartment ABC where request.permission != 'DBMGMT_MANAGED_DB_CONTENT_WRITE'

Para obtener información sobre otros tipos de políticas con condiciones, consulte Condiciones.