Permisos de Database Management

Para crear un recurso de Oracle Cloud Infrastructure que represente el sistema de base de datos MySQL externo, conectarse a él mediante un recurso de conector y activar Database Management, debe pertenecer a un grupo de usuarios de su arrendamiento con los permisos necesarios en los siguientes tipos de recursos de Database Management:

• dbmgmt-external-mysql-databases: este tipo de recurso permite a un grupo de usuarios crear y gestionar un recurso que representa el sistema de base de datos MySQL externo y activar Database Management para el sistema de base de datos MySQL externo.
• dbmgmt-external-mysql-database-connectors: este tipo de recurso permite a un grupo de usuarios crear y gestionar un recurso de conector que contiene los detalles de conexión necesarios para conectarse al sistema de base de datos MySQL externo.
• dbmgmt-work-requests: este tipo de recurso permite a un grupo de usuarios supervisar las solicitudes de trabajo generadas durante el proceso de registro del sistema de base de datos MySQL externo.
• dbmgmt-mysql-family: este tipo de recurso agregado incluye los tipos de recursos individuales de Database Management para HeatWave y MySQL externo y permite a un grupo de usuarios activar y utilizar Database Management.

A continuación se muestran ejemplos de las políticas que otorgan al grupo de usuarios DB-MGMT-MYSQL-ADMIN el permiso para crear un recurso de sistema de base de datos MySQL externo, crear un conector para conectarse al sistema de base de datos MySQL externo, activar Database Management y supervisar las solicitudes de trabajo generadas durante el proceso:

Allow group DB-MGMT-MYSQL-ADMIN to manage dbmgmt-external-mysql-databases in tenancy

Allow group DB-MGMT-MYSQL-ADMIN to manage dbmgmt-external-mysql-database-connectors in tenancy

Allow group DB-MGMT-MYSQL-ADMIN to read dbmgmt-work-requests in tenancy

De manera alternativa, una única política que utiliza Database Management para el tipo de recurso agregado HeatWave y MySQL externo otorga al grupo de usuarios DB-MGMT-MYSQL-ADMIN los mismos permisos detallados en el párrafo anterior:

Allow group DB-MGMT-MYSQL-ADMIN to manage dbmgmt-mysql-family in tenancy

Para obtener más información sobre los tipos de recursos y permisos de Database Management, consulte Detalles de política para Database Management.

Otros permisos del servicio de Oracle Cloud Infrastructure

Además de los permisos de Database Management, se necesitan los siguientes permisos del servicio de Oracle Cloud Infrastructure para registrar un sistema de base de datos MySQL externo y activar Database Management.

• Permisos de Management Agent: para crear una conexión con la instancia en el sistema de base de datos MySQL externo mediante un agente de gestión y recopilar datos, debe tener el permiso manage en el tipo de recurso agregado management-agents.

  A continuación, se muestra un ejemplo de la política que otorga al grupo de usuarios DB-MGMT-MYSQL-ADMIN el permiso para trabajar con instancias de Management Agent en el arrendamiento:

  Allow group DB-MGMT-MYSQL-ADMIN to manage management-agents in tenancy

  Se necesita la siguiente política de servicio para otorgar a Database Management (dpd) el permiso para desplegar los plugins necesarios en Management Agent en el compartimento:

  Allow service dpd to manage management-agents in compartment ABC

  Además, debe crear un grupo dinámico para todos los agentes de gestión que se utilizarán en el sistema de base de datos MySQL externo. Esto es necesario para permitir que el sistema de base de datos externo MySQL interactúe con los distintos puntos finales del servicio de Oracle Cloud Infrastructure. Por ejemplo, con un grupo dinámico, puede crear una política para que los agentes de gestión carguen datos de métricas en el servicio Oracle Cloud Infrastructure Monitoring. Al crear un grupo dinámico, puede definir una regla para agregar los agentes de gestión de un compartimento o del arrendamiento al grupo dinámico. De esta forma, se asegurará de que este paso sea un paso de configuración único y que cualquier nuevo agente de gestión que se instale pertenezca automáticamente al grupo dinámico.

  A continuación le mostramos un ejemplo:

  1. Cree un grupo dinámico (agent-dynamic-group) en el dominio por defecto que contiene Management Agent e introduzca la siguiente regla de coincidencia para definir el grupo dinámico:

     ALL {resource.type='managementagent', resource.compartment.id='ocid1.compartment.oc1.examplecompartmentid'}

     Para cubrir agentes en todos los compartimentos del arrendamiento y no solo en un compartimento específico, utilice la siguiente regla de coincidencia:

     ALL {resource.type='managementagent'}

     Para obtener información sobre cómo crear un grupo dinámico, consulte Para crear un grupo dinámico.

  2. Cree políticas con el grupo dinámico (agent-dynamic-group) para interactuar con varios servicios de Oracle Cloud Infrastructure. Por ejemplo:

     Allow dynamic-group agent-dynamic-group to manage management-agents in tenancy

     Allow dynamic-group agent-dynamic-group to use metrics in tenancy

     Allow dynamic-group agent-dynamic-group to use tag-namespaces in tenancy

  Si desea obtener más información sobre:

  • Tipos de recursos y permisos del servicio Management Agent. Consulte Detalles de Management Agent.
  • Grupos dinámicos, consulte Gestión de grupos dinámicos.
• Permisos del servicio Vault: para crear nuevos secretos o utilizar secretos existentes al activar Database Management, debe tener el permiso manage en el tipo de recurso agregado secret-family.

  Este es un ejemplo de la política que otorga al grupo de usuarios DB-MGMT-MYSQL-ADMIN el permiso para crear y utilizar secretos en el arrendamiento:

  Allow group DB-MGMT-MYSQL-ADMIN to manage secret-family in tenancy

  Para obtener más información sobre los tipos de recursos y permisos del servicio Vault, consulte Detalles para el servicio Vault.