Documentación de Oracle Cloud Infrastructure

Permisos necesarios para activar diagnósticos y gestión para bases de datos autónomas

Para activar Diagnósticos y gestión para bases de datos autónomas, debe tener los siguientes permisos:

Permisos de Database Management

Para activar Diagnostics & Management para bases de datos autónomas, debe pertenecer a un grupo de usuarios de su arrendamiento con los permisos necesarios en los siguientes tipos de recursos de Database Management:

  • dbmgmt-private-endpoints: este tipo de recurso permite a un grupo de usuarios crear puntos finales privados de Database Management para comunicarse con las bases de datos autónomas.
  • dbmgmt-work-requests: este tipo de recurso permite a un grupo de usuarios supervisar las solicitudes de trabajo generadas al activar Diagnostics & Management.
  • dbmgmt-family: este tipo de recurso agregado incluye todos los tipos de recursos individuales de Database Management y permite a un grupo de usuarios activar y utilizar todas las funciones de Database Management.

A continuación se muestran ejemplos de políticas que otorgan al grupo de usuarios DB-MGMT-ADMIN el permiso para crear un punto final privado de Database Management y supervisar las solicitudes de trabajo asociadas al punto final privado: 

Allow group DB-MGMT-ADMIN to manage dbmgmt-private-endpoints in tenancy
Allow group DB-MGMT-ADMIN to read dbmgmt-work-requests in tenancy

De manera alternativa, una única política que utiliza el tipo de recurso agregado Database Management otorga al grupo de usuarios DB-MGMT-ADMIN los mismos permisos detallados en el párrafo anterior: 

Allow group DB-MGMT-ADMIN to manage dbmgmt-family in tenancy

Para obtener más información sobre los tipos de recursos y permisos de Database Management, consulte Detalles de política para Database Management.

Otros permisos del servicio de Oracle Cloud Infrastructure

Además de los permisos de Database Management, se necesitan los siguientes permisos de servicio de Oracle Cloud Infrastructure para activar Diagnostics y Management para las bases de datos autónomas.

  • Permisos de Autonomous Database: para activar Diagnósticos y gestión para bases de datos autónomas, debe pertenecer a un grupo de usuarios de su arrendamiento con el permiso manage en los tipos de recursos de Autonomous Database. Al crear una política, se puede utilizar el tipo de recurso agregado para las instancias de Autonomous Database, autonomous-database-family.
    Este es un ejemplo de una política que otorga al grupo de usuarios DB-MGMT-ADMIN el permiso para activar Diagnostics & Management para todas las bases de datos autónomas del arrendamiento:
    Allow group DB-MGMT-ADMIN to manage autonomous-database-family in tenancy

    Para obtener más información sobre los tipos de recursos y permisos de Autonomous Database, consulte Políticas de IAM para Autonomous Database sin servidor y Políticas de IAM para Autonomous Database en infraestructura de Exadata dedicada.

  • Permisos del servicio Networking: para trabajar con el punto final privado de Database Management y activar la comunicación entre Database Management y una instancia de Autonomous Database, debe tener el permiso manage en el tipo de recurso vnics y el permiso use en el tipo de recurso subnets y el tipo de recurso network-security-groups o security-lists.

    A continuación se muestran ejemplos de las políticas individuales que otorgan al grupo de usuarios DB-MGMT-ADMIN los permisos necesarios: 

    Allow group DB-MGMT-ADMIN to manage vnics in tenancy
    Allow group DB-MGMT-ADMIN to use subnets in tenancy
    Allow group DB-MGMT-ADMIN to use network-security-groups in tenancy

    or

    Allow group DB-MGMT-ADMIN to use security-lists in tenancy

    Como alternativa, una única política que utiliza el tipo de recurso agregado del servicio Networking otorga al grupo de usuarios DB-MGMT-ADMIN los mismos permisos detallados en el párrafo anterior: 

    Allow group DB-MGMT-ADMIN to manage virtual-network-family in tenancy

    Para obtener más información sobre los tipos de recursos y permisos del servicio Networking, consulte la sección Red en Detalles de los servicios principales.

  • Permisos del servicio Vault: para crear nuevos secretos o utilizar secretos existentes al activar Diagnósticos y gestión para bases de datos autónomas, debe tener el permiso manage en el tipo de recurso agregado secret-family.

    A continuación, se muestra un ejemplo de la política que otorga al grupo de usuarios DB-MGMT-ADMIN el permiso para crear y utilizar secretos en el arrendamiento: 

    Allow group DB-MGMT-ADMIN to manage secret-family in tenancy

    Además de la política de grupo de usuarios para el servicio Vault, se necesita la siguiente política de entidad de recurso para otorgar a los recursos de base de datos gestionada el permiso para acceder a secretos de contraseña de usuario de base de datos y secretos de cartera de base de datos (si se ha utilizado el protocolo TCPS para conectarse a la base de datos):

    Allow any-user to read secret-family in compartment ABC where ALL {request.principal.type = dbmgmtmanageddatabase}

    Si desea otorgar el permiso para acceder a un secreto específico, actualice la política de la siguiente manera:

    Allow any-user to read secret-family in compartment ABC where ALL {target.secret.id = <Secret OCID>,request.principal.type = dbmgmtmanageddatabase}

    Para obtener más información sobre los tipos de recursos y permisos del servicio Vault, consulte Detalles para el servicio Vault.