Permisos necesarios para activar diagnósticos y gestión para bases de datos de Oracle Cloud
Para activar Diagnostics y Management para bases de datos de Oracle Cloud, debe tener los siguientes permisos:
Permisos de Database Management
Para activar Diagnostics y Management para bases de datos de Oracle Cloud, debe pertenecer a un grupo de usuarios de su arrendamiento con los permisos necesarios en los siguientes tipos de recursos de Database Management:
dbmgmt-private-endpoints
: este tipo de recurso permite a un grupo de usuarios crear puntos finales privados de Database Management para comunicarse con bases de datos de Oracle Cloud en Base Database Service, ExaDB-D y ExaDB-XS.dbmgmt-work-requests
: este tipo de recurso permite a un grupo de usuarios supervisar las solicitudes de trabajo generadas al activar Diagnostics & Management.dbmgmt-family
: este tipo de recurso agregado incluye todos los tipos de recursos individuales de Database Management y permite a un grupo de usuarios activar y utilizar todas las funciones de Database Management.
A continuación se muestran ejemplos de políticas que otorgan al grupo de usuarios DB-MGMT-ADMIN
el permiso para crear un punto final privado de Database Management y supervisar las solicitudes de trabajo asociadas al punto final privado:
Allow group DB-MGMT-ADMIN to manage dbmgmt-private-endpoints in tenancy
Allow group DB-MGMT-ADMIN to read dbmgmt-work-requests in tenancy
De manera alternativa, una única política que utiliza el tipo de recurso agregado Database Management otorga al grupo de usuarios DB-MGMT-ADMIN
los mismos permisos detallados en el párrafo anterior:
Allow group DB-MGMT-ADMIN to manage dbmgmt-family in tenancy
Para obtener más información sobre los tipos de recursos y permisos de Database Management, consulte Detalles de política para Database Management.
Otros permisos del servicio de Oracle Cloud Infrastructure
Además de los permisos de Database Management, se necesitan los siguientes permisos de servicio de Oracle Cloud Infrastructure para activar Diagnostics y Management para bases de datos de Oracle Cloud.
- Permisos Base Database Service, ExaDB-D, ExaDB-XS y ExaDB-C@C: para activar los permisos Diagnóstico y gestión para bases de datos de Oracle Cloud, debe tener el permiso
use
en los respectivos tipos de recursos de la solución en la nube de Oracle Database. También se puede utilizar una única política que utilice el tipo de recurso agregado para bases de datos de Oracle Cloud,database-family
.Este es un ejemplo de una política que otorga al grupo de usuarios
DB-MGMT-ADMIN
el permiso para activar Diagnostics y Management para todas las bases de datos de Oracle Cloud en el arrendamiento:Allow group DB-MGMT-ADMIN to use database-family in tenancy
Si desea obtener más información sobre:
- Tipos de recursos y permisos de Base Database Service. Consulte Detalles de Base Database Service.
- ExaDB: tipos de recursos y permisos de D. Consulte Detalles de Exadata Database Service en infraestructura dedicada.
- Tipos de recursos y permisos ExaDB-XS. Consulte Detalles de Oracle Exadata Database Service en la infraestructura de Exascale.
- ExaDB: tipos de recursos y permisos de C@C. Consulte Detalles de Exadata Database Service en Cloud@Customer.
- Permisos del servicio Networking (para bases de datos de Oracle Cloud en Base Database Service, ExaDB-D y ExaDB-XS): para trabajar con el punto final privado de Database Management y activar la comunicación entre Database Management y una base de datos de Oracle Clouden Base Database Service, ExaDB-D o ExaDB-XS, debe tener el permiso
manage
en el tipo de recursovnics
y el permisouse
en el tipo de recursosubnets
y en el tipo de recursonetwork-security-groups
osecurity-lists
.A continuación se muestran ejemplos de las políticas individuales que otorgan al grupo de usuarios
DB-MGMT-ADMIN
los permisos necesarios:Allow group DB-MGMT-ADMIN to manage vnics in tenancy
Allow group DB-MGMT-ADMIN to use subnets in tenancy
Allow group DB-MGMT-ADMIN to use network-security-groups in tenancy
o bien
Allow group DB-MGMT-ADMIN to use security-lists in tenancy
Como alternativa, una única política que utiliza el tipo de recurso agregado del servicio Networking otorga al grupo de usuarios
DB-MGMT-ADMIN
los mismos permisos detallados en el párrafo anterior:Allow group DB-MGMT-ADMIN to manage virtual-network-family in tenancy
Para obtener más información sobre los tipos de recursos y permisos del servicio Networking, consulte la sección Red en Detalles de los servicios principales.
- Permisos de Management Agent (para bases de datos de Oracle Cloud en ExaDB-D y ExaDB-C@C): para utilizar un agente de gestión al activar Diagnostics & Management para ExaDB-D y ExaDB-C@C, debe tener el permiso
read
en el tipo de recursomanagement-agents
.Este es un ejemplo de la política que otorga al grupo de usuarios
DB-MGMT-ADMIN
el permiso necesario en el arrendamiento:Allow group DB-MGMT-ADMIN to read management-agents in tenancy
Para obtener más información sobre los tipos de recursos y permisos de Management Agent, consulte Detalles de Management Agent.
- Permisos del servicio Vault: para crear nuevos secretos o utilizar secretos existentes al activar Diagnósticos y gestión para bases de datos de Oracle Cloud, debe tener el permiso
manage
en el tipo de recurso agregadosecret-family
.A continuación, se muestra un ejemplo de la política que otorga al grupo de usuarios
DB-MGMT-ADMIN
el permiso para crear y utilizar secretos en el arrendamiento:Allow group DB-MGMT-ADMIN to manage secret-family in tenancy
Además de la política de grupo de usuarios para el servicio Vault, se necesita la siguiente política de entidad de recurso para otorgar a los recursos de base de datos gestionada el permiso para acceder a secretos de contraseña de usuario de base de datos y secretos de cartera de base de datos (si se ha utilizado el protocolo TCPS para conectarse a la base de datos):
Allow any-user to read secret-family in compartment ABC where ALL {request.principal.type = dbmgmtmanageddatabase}
Si desea otorgar el permiso para acceder a un secreto específico, actualice la política de la siguiente manera:
Allow any-user to read secret-family in compartment ABC where ALL {target.secret.id = <Secret OCID>,request.principal.type = dbmgmtmanageddatabase}
Para obtener más información sobre los tipos de recursos y permisos del servicio Vault, consulte Detalles para el servicio Vault.