Documentación de Oracle Cloud Infrastructure

Permisos necesarios para activar diagnósticos y gestión para bases de datos de Oracle Cloud

Para activar Diagnostics y Management para bases de datos de Oracle Cloud, debe tener los siguientes permisos:

Permisos de Database Management

Para activar Diagnostics y Management para bases de datos de Oracle Cloud, debe pertenecer a un grupo de usuarios de su arrendamiento con los permisos necesarios en los siguientes tipos de recursos de Database Management:

  • dbmgmt-private-endpoints: este tipo de recurso permite a un grupo de usuarios crear puntos finales privados de Database Management para comunicarse con bases de datos de Oracle Cloud en Base Database Service, ExaDB-D y ExaDB-XS.
  • dbmgmt-work-requests: este tipo de recurso permite a un grupo de usuarios supervisar las solicitudes de trabajo generadas al activar Diagnostics & Management.
  • dbmgmt-family: este tipo de recurso agregado incluye todos los tipos de recursos individuales de Database Management y permite a un grupo de usuarios activar y utilizar todas las funciones de Database Management.

A continuación se muestran ejemplos de políticas que otorgan al grupo de usuarios DB-MGMT-ADMIN el permiso para crear un punto final privado de Database Management y supervisar las solicitudes de trabajo asociadas al punto final privado: 

Allow group DB-MGMT-ADMIN to manage dbmgmt-private-endpoints in tenancy
Allow group DB-MGMT-ADMIN to read dbmgmt-work-requests in tenancy

De manera alternativa, una única política que utiliza el tipo de recurso agregado Database Management otorga al grupo de usuarios DB-MGMT-ADMIN los mismos permisos detallados en el párrafo anterior: 

Allow group DB-MGMT-ADMIN to manage dbmgmt-family in tenancy

Para obtener más información sobre los tipos de recursos y permisos de Database Management, consulte Detalles de política para Database Management.

Otros permisos del servicio de Oracle Cloud Infrastructure

Además de los permisos de Database Management, se necesitan los siguientes permisos de servicio de Oracle Cloud Infrastructure para activar Diagnostics y Management para bases de datos de Oracle Cloud.

  • Permisos Base Database Service, ExaDB-D, ExaDB-XS y ExaDB-C@C: para activar los permisos Diagnóstico y gestión para bases de datos de Oracle Cloud, debe tener el permiso use en los respectivos tipos de recursos de la solución en la nube de Oracle Database. También se puede utilizar una única política que utilice el tipo de recurso agregado para bases de datos de Oracle Cloud, database-family.

    Este es un ejemplo de una política que otorga al grupo de usuarios DB-MGMT-ADMIN el permiso para activar Diagnostics y Management para todas las bases de datos de Oracle Cloud en el arrendamiento: 

    Allow group DB-MGMT-ADMIN to use database-family in tenancy

    Si desea obtener más información sobre:

  • Permisos del servicio Networking (para bases de datos de Oracle Cloud en Base Database Service, ExaDB-D y ExaDB-XS): para trabajar con el punto final privado de Database Management y activar la comunicación entre Database Management y una base de datos de Oracle Clouden Base Database Service, ExaDB-D o ExaDB-XS, debe tener el permiso manage en el tipo de recurso vnics y el permiso use en el tipo de recurso subnets y en el tipo de recurso network-security-groups o security-lists.

    A continuación se muestran ejemplos de las políticas individuales que otorgan al grupo de usuarios DB-MGMT-ADMIN los permisos necesarios: 

    Allow group DB-MGMT-ADMIN to manage vnics in tenancy
    Allow group DB-MGMT-ADMIN to use subnets in tenancy
    Allow group DB-MGMT-ADMIN to use network-security-groups in tenancy

    o bien

    Allow group DB-MGMT-ADMIN to use security-lists in tenancy

    Como alternativa, una única política que utiliza el tipo de recurso agregado del servicio Networking otorga al grupo de usuarios DB-MGMT-ADMIN los mismos permisos detallados en el párrafo anterior: 

    Allow group DB-MGMT-ADMIN to manage virtual-network-family in tenancy

    Para obtener más información sobre los tipos de recursos y permisos del servicio Networking, consulte la sección Red en Detalles de los servicios principales.

  • Permisos de Management Agent (para bases de datos de Oracle Cloud en ExaDB-D y ExaDB-C@C): para utilizar un agente de gestión al activar Diagnostics & Management para ExaDB-D y ExaDB-C@C, debe tener el permiso read en el tipo de recurso management-agents.

    Este es un ejemplo de la política que otorga al grupo de usuarios DB-MGMT-ADMIN el permiso necesario en el arrendamiento: 

    Allow group DB-MGMT-ADMIN to read management-agents in tenancy

    Para obtener más información sobre los tipos de recursos y permisos de Management Agent, consulte Detalles de Management Agent.

  • Permisos del servicio Vault: para crear nuevos secretos o utilizar secretos existentes al activar Diagnósticos y gestión para bases de datos de Oracle Cloud, debe tener el permiso manage en el tipo de recurso agregado secret-family.

    A continuación, se muestra un ejemplo de la política que otorga al grupo de usuarios DB-MGMT-ADMIN el permiso para crear y utilizar secretos en el arrendamiento: 

    Allow group DB-MGMT-ADMIN to manage secret-family in tenancy

    Además de la política de grupo de usuarios para el servicio Vault, se necesita la siguiente política de entidad de recurso para otorgar a los recursos de base de datos gestionada el permiso para acceder a secretos de contraseña de usuario de base de datos y secretos de cartera de base de datos (si se ha utilizado el protocolo TCPS para conectarse a la base de datos):

    Allow any-user to read secret-family in compartment ABC where ALL {request.principal.type = dbmgmtmanageddatabase}

    Si desea otorgar el permiso para acceder a un secreto específico, actualice la política de la siguiente manera:

    Allow any-user to read secret-family in compartment ABC where ALL {target.secret.id = <Secret OCID>,request.principal.type = dbmgmtmanageddatabase}

    Para obtener más información sobre los tipos de recursos y permisos del servicio Vault, consulte Detalles para el servicio Vault.