Documentación de Oracle Cloud Infrastructure

Definición de las credenciales preferidas

Puede definir credenciales preferidas para conectarse a Managed Database y realizar tareas específicas.

Las credenciales preferidas simplifican el acceso a la instancia de Managed Database mediante el uso automático de las credenciales de base de datos almacenadas en un secreto de servicio Vault de Oracle Cloud Infrastructure. Las credenciales preferidas se pueden utilizar para proporcionar conectividad por defecto a la base de datos en función de los roles de usuario y las tareas que se van a realizar, lo que permite la separación de tareas para diferentes grupos de usuarios y proporciona otra capa de seguridad. En Database Management Diagnostics & Management, puede definir las siguientes credenciales preferidas para que los usuarios puedan conectar a Managed Database y realizar el juego de tareas asociado:

  • Supervisión fundamental: privilegios mínimos para recopilar métricas y ver el resumen del conjunto de bases y los detalles de la base de Datos gestionadas. La credencial de supervisión básica se define automáticamente para el usuario de control cuando Diagnostics & Management está activada.

  • Diagnóstico avanzado: privilegios avanzados para utilizar herramientas de diagnóstico, como el hub de rendimiento y el explorador de AWR. Si la credencial Diagnóstico avanzado está definida para una instancia de Managed Database, se puede utilizar para usar automáticamente funciones de diagnóstico y para las operaciones de lectura en la base de datos gestionada.

  • Administración: privilegios de gestión para realizar tareas administrativas, como crear tablespaces y editar parámetros de bases de datos. Si la credencial de Administración está definida para una instancia de Managed Database, se puede utilizar para rellenar automáticamente las credenciales de la base de datos para realizar las operaciones de escritura en Managed Database.

Nota

Para bases de datos de Oracle Cloud y bases de datos autónomas, las credenciales preferidas en Diagnóstico y gestión solo están disponibles para usuarios que tienen permiso para leer el secreto que almacena la contraseña del usuario de base de datos. Para obtener más información sobre los permisos, consulte Realización de tareas previas necesarias y obtención de permisos necesarios.

Para obtener información sobre:

Realización de tareas previas necesarias y obtención de permisos necesarios

A continuación, se muestra una lista de tareas típicas que se deben realizar antes de configurar las credenciales preferidas.

  1. El administrador de la base de datos crea los usuarios de la base de datos para los que se definirán las credenciales preferidas:
    • Usuario de supervisión
      Nota

      • Para las bases de datos externas y las bases de datos de Oracle Cloud, puede utilizar el usuario DBSNMP como usuario de supervisión. Esta es una opción práctica, ya que el usuario DBSNMP está integrado con Oracle Database y tiene los privilegios necesarios para supervisar las bases de datos en Oracle Cloud Infrastructure. En lugar del usuario DBSNMP, también tiene la opción de utilizar un script SQL para crear un nuevo usuario de base de datos con el juego mínimo de privilegios necesarios para supervisar las bases de datos gestionadas. Para obtener información sobre el script SQL, consulte Creación de Credenciales de Supervisión de Oracle Database para Database Management (KB57458) en My Oracle Support.
      • Para las bases de datos autónomas, puede utilizar el usuario ADBSNMP como usuario de supervisión. Sin embargo, tenga en cuenta que el usuario ADBSNMP no tiene los privilegios necesarios para realizar determinadas tareas avanzadas de supervisión y gestión.
    • Usuario de diagnóstico avanzado
      Nota

      • Al crear el usuario de diagnóstico avanzado para realizar tareas del hub de rendimiento, debe asegurarse de que se le otorgan los privilegios necesarios para utilizar el hub de rendimiento. Para obtener información sobre los privilegios necesarios, consulte OCI: Prerequisite Conditions for Performance Hub (KB59684) en My Oracle Support.
      • Para las bases de datos autónomas, la credencial preferida de diagnóstico avanzado se debe definir para utilizar el usuario ADMIN para utilizar funciones avanzadas del hub de rendimiento, como Top Activity Lite, Historial de sesiones de actividad e informes de AWR a nivel de instancia, ejecuciones de tareas de ADDM bajo demanda y ajuste SQL.
    • Usuario administrador

    Para bases de datos externas y bases de datos de Oracle Cloud, tiene la opción de utilizar un script SQL para crear un nuevo usuario de base de datos con el juego de privilegios necesarios para realizar tareas administrativas y de diagnóstico avanzado. Para obtener información sobre el script SQL, consulte Creating the Oracle Database Management Advanced Diagnostics User and Administration User (KB84103) en My Oracle Support.

    Para obtener información sobre cómo crear cuentas de usuario, consulte Creación de cuentas de usuario en la Guía de seguridad de Oracle Database.

  2. Un usuario de Oracle Cloud Infrastructure con los permisos necesarios crea los siguientes secretos de servicio de Vault para las contraseñas de usuario de base de datos:
    • Secreto para almacenar la contraseña de usuario de supervisión
    • Secreto para almacenar la contraseña de usuario de diagnóstico avanzado
    • Secreto para almacenar la contraseña de usuario administrador

    Estos secretos se pueden crear en diferentes compartimentos o en el mismo compartimento con una clave de almacén diferente o igual.

    A continuación se muestra un ejemplo de la política que otorga a un grupo de usuarios el permiso para crear secretos:

    Allow group DB-MGMT-USER to manage secret-family in compartment ABC

    Para obtener información sobre cómo crear un secreto, consulte Creación de un secreto en un almacén.

Al realizar las tareas necesarias, un usuario con los siguientes permisos puede definir la credencial preferida en Diagnostics & Management:

  • Permiso DBMGMT_MANAGED_DB_UPDATE para definir las credenciales preferidas. Puede otorgar el permiso DBMGMT_MANAGED_DB_UPDATE mínimo a un grupo de usuarios u otorgar permisos de nivel amplio mediante los verbos use o manage y el tipo de recurso dbmgmt-managed-databases.

    A continuación, se muestra un ejemplo de una política con el permiso mínimo para definir credenciales preferidas:

    Allow group DB-MGMT-USER to {DBMGMT_MANAGED_DB_UPDATE} in compartment ABC

    A continuación se muestra un ejemplo de una política amplia que otorga a un grupo de usuarios el permiso para definir credenciales preferidas:

    Allow group DB-MGMT-USER to use dbmgmt-managed-databases in compartment ABC

    Para obtener más información sobre los tipos de recursos y permisos de Database Management, consulte Detalles de política para Database Management.

  • Permiso para acceder al secreto que almacena la contraseña de usuario de base de datos. A continuación se muestra un ejemplo de la política que otorga a un grupo de usuarios el permiso para crear secretos:

    Allow group DB-MGMT-USER to read secret-family in compartment ABC

    Si desea otorgar el permiso para acceder a secretos solo desde un almacén específico, actualice la política de la siguiente manera:

    Allow group DB-MGMT-USER to read secret-family in compartment ABC where target.vault.id = <Vault OCID>

    Para obtener más información sobre los permisos del servicio Vault necesarios para acceder y utilizar los secretos, consulte Permisos adicionales necesarios para utilizar Diagnósticos y gestión.

Definición de credenciales preferidas en Diagnóstico y gestión

Puede definir la credencial preferida de Administración y Diagnóstico avanzado en Diagnóstico y Gestión.

Nota

La credencial de supervisión básica se define cuando está activada la función de diagnóstico y gestión; sin embargo, puede actualizar la credencial de supervisión básica. Para actualizar la credencial de supervisión básica para:
  • Bases de datos externas: actualice las credenciales de base de datos especificadas al crear la conexión a la base de datos externa. Para obtener más información, consulte Actualización de las credenciales de conexión de una conexión a base de datos externa.
  • Bases de datos y bases de datos autónomas de Oracle Cloud: actualice las credenciales de base de datos especificadas al activar Diagnostics & Management para la base de datos de Oracle Cloud:
    1. Vaya a la página Administración Bases de datos gestionadas de Database Management.
    2. En el panel izquierdo, seleccione el compartimento en el que reside la base de datos y el tipo de despliegue de la base de datos.
    3. Haga clic en el icono Acciones (Acciones) de la base de datos y, a continuación, en Editar diagnóstico y gestión.
    4. En el panel Editar diagnóstico y gestión, actualice las credenciales de base de datos especificadas para la conexión a la base de datos de Oracle Cloud o la instancia de Autonomous Database seleccionadas.

Para definir las credenciales preferidas de administración y diagnóstico avanzados en Diagnostics & Management:

  1. Vaya a la página Detalles de base de datos gestionada y, en el panel izquierdo, en Recursos, haga clic en Credenciales.
    Se muestra el separador Credenciales preferidas y puede definir las credenciales preferidas y ver detalles como el estado de las credenciales preferidas, tanto si el acceso está activado como si no, el nombre de usuario y el rol definidos en las credenciales preferidas, y la credencial con nombre asociada, si la hay.
  2. Haga clic en el icono Acciones (Acciones) de la credencial preferida que desea definir y en Editar.
  3. En el panel Editar credencial preferida, seleccione una de las siguientes opciones en la lista desplegable Tipo de credencial para definir la credencial preferida:
    • Credencial con nombre: seleccione esta opción para asociar la credencial preferida a una credencial con nombre existente:
      Nota

      Si una credencial con nombre está en uso (activa) y está definida como credencial de sesión para la base de datos gestionada, el nombre de la credencial con nombre se muestra junto a Activa.
      1. Ámbito: seleccione el ámbito de la credencial con nombre:
        • Recurso: se puede utilizar una credencial con nombre con el ámbito Recurso para acceder, supervisar y gestionar una única base de datos gestionada.
        • Global: se puede utilizar una credencial con nombre con el ámbito Global para acceder, supervisar y gestionar todas las bases de datos gestionadas en Diagnostics & Management.
      2. Credencial con nombre: seleccione la credencial con nombre. Si el compartimento en el que reside la credencial con nombre es diferente del que se muestra, haga clic en Cambiar compartimento y seleccione otro compartimento.
    • Nueva credencial: seleccione esta opción para crear una nueva credencial:
      1. Nombre de usuario: especifique el nombre de usuario de base de datos que se va a conectar a la base de datos gestionada.
      2. Secreto de contraseña de usuario: seleccione el secreto que contiene la contraseña de usuario de base de datos en la lista desplegable. Tenga en cuenta que la contraseña de usuario no se puede almacenar directamente en la credencial preferida y primero se debe almacenar en un secreto de servicio Vault. Si el compartimento en el que reside el secreto es diferente del que se muestra, haga clic en Cambiar compartimento y seleccione otro compartimento.

        Si un secreto existente con la contraseña de usuario de base de datos no está disponible, seleccione Crear nuevo secreto... en la lista desplegable. Para obtener información sobre el permiso necesario para crear un secreto y cómo crear un secreto, consulte Realización de tareas previas necesarias y obtención de permisos necesarios.

      3. Rol: seleccione el rol de las opciones disponibles.
      4. Guardar como credencial con nombre nueva: si lo desea, seleccione esta casilla de control y especifique un nombre para la credencial con nombre y una de las siguientes opciones de modo de acceso con contraseña para guardar la credencial nueva como credencial con nombre.
        • Usuario: El permiso para acceder al secreto de contraseña lo define un usuario en la política.
        • Recurso: el permiso para acceder al secreto de contraseña se define para el tipo de recurso (para el que se crea la credencial con nombre) en la política.

    Para obtener información sobre las credenciales con nombre, consulte Creación y gestión de credenciales con nombre.

  4. También puede hacer clic en Probar para comprobar si la conexión a la instancia de Managed Database se ha establecido correctamente mediante las credenciales.
  5. Haga clic en Guardar para guardar las credenciales.
En el separador Credenciales preferidas, puede hacer clic en el nombre de la credencial para ver detalles como el nombre de usuario y el secreto de contraseña, si la credencial está definida. También puede hacer clic en el icono Acciones (Acciones) de una credencial preferida para editar, ver o borrar la credencial preferida.
Nota

  • Si se define la credencial preferida de Administración, se rellena automáticamente al realizar tareas como crear un trabajo o tablespace y tiene la opción de utilizar la credencial preferida de Administración o proporcionar nuevas credenciales. Sin embargo, si la credencial preferida de Administración está definida para la tarea ADDM ejecutada a petición o la tarea de finalización de sesiones en el hub de rendimiento, la credencial preferida de Administración se selecciona automáticamente.
  • Si se define una credencial de sesión y también se define una credencial preferida con credenciales de usuario diferentes, la credencial de sesión tiene prioridad sobre las credenciales preferidas y se selecciona automáticamente al realizar tareas y tiene la opción de utilizar la credencial de sesión, seleccionar la credencial preferida o proporcionar nuevas credenciales. Si se define una credencial de sesión, se utiliza para ejecutar la tarea de ADDM bajo demanda o para terminar sesiones en el hub de rendimiento. Para obtener información sobre las credenciales de sesión, consulte Definición de Credenciales de Sesión.
  • Si no se definen las credenciales preferidas:
    • El usuario de supervisión se utiliza para la supervisión básica.
    • La credencial de sesión se puede definir para que se utilice en una sesión concreta.
    • Se deben especificar las credenciales de base de datos al realizar operaciones de escritura.

Permisos necesarios para utilizar credenciales preferidas para realizar tareas

A continuación, se muestran algunos escenarios de ejemplo que muestran las políticas de IAM, que otorgan los permisos necesarios para utilizar las credenciales preferidas. En los escenarios, se supone que:

  • Las credenciales preferidas las ha definido un usuario de Oracle Cloud Infrastructure con los permisos necesarios.
  • Las credenciales preferidas se definieron para los siguientes usuarios de base de datos y a estos usuarios se les tienen que otorgar permisos de Oracle Cloud Infrastructure para ver la credencial preferida y realizar el juego asociado en tareas de diagnóstico y gestión.
    • Usuario de diagnóstico avanzado
    • Usuario administrativo

    Para obtener información sobre las tareas necesarias y los permisos necesarios para definir las credenciales preferidas, consulte Realización de tareas previas necesarias y obtención de permisos necesarios.

Escenario 1: si la credencial preferida de Diagnóstico avanzado está definida para el usuario de diagnóstico avanzado, este usuario necesita los siguientes permisos para ver la credencial preferida y realizar el juego de tareas asociado:

  • Permiso de Database Management para realizar la tarea Diagnostics & Management. Por ejemplo, para ver tablespaces, el usuario de diagnóstico avanzado necesitará el permiso DBMGMT_MANAGED_DB_READ.

    A continuación se muestra un ejemplo de la política que otorga a un grupo de usuarios el permiso para ver tablespaces:

    Allow group DB-MGMT-USER to read dbmgmt-managed-databases in compartment ABC
  • Permiso del servicio Vault para leer el secreto que contiene la contraseña del usuario de diagnóstico avanzado.

    A continuación se muestra un ejemplo de la política que otorga a un grupo de usuarios el permiso para leer secretos:

    Allow group DB-MGMT-USER to read secrets in compartment ABC

Escenario 2: si la credencial preferida de Administración está definida para el usuario administrador, este usuario necesita los siguientes permisos para ver la credencial preferida y realizar el juego de tareas asociado:

  • Permiso de Database Management para realizar la tarea Diagnostics & Management. Por ejemplo, para crear tablespaces, el usuario administrador necesitará el permiso DBMGMT_MANAGED_DB_CONTENT_WRITE.

    A continuación se muestra un ejemplo de la política que otorga a un grupo de usuarios el permiso para crear tablespaces:

    Allow group DB-MGMT-USER to use dbmgmt-managed-databases in compartment ABC
  • Permiso del servicio Vault para leer el secreto que contiene la contraseña del usuario administrador.

    A continuación se muestra un ejemplo de la política que otorga a un grupo de usuarios el permiso para leer secretos:

    Allow group DB-MGMT-USER to read secrets in compartment ABC

Para obtener información sobre los permisos de Database Management necesarios para realizar cada tarea, consulte Detalles de política para Database Management.

Información Adicional sobre Credenciales Preferidas

A continuación, se muestra una tabla con algunas de las tareas de gestión y diagnóstico que se pueden realizar con las credenciales preferidas de administración y diagnóstico avanzado.

Nota

Si se define una credencial de sesión y una credencial preferida también se define mediante credenciales de usuario diferentes, la credencial de sesión tiene prioridad sobre las credenciales preferidas y se selecciona automáticamente al realizar tareas y tiene la opción de utilizar la credencial de sesión, seleccionar la credencial preferida o proporcionar nuevas credenciales. Si se define una credencial de sesión, se utiliza para ejecutar la tarea de ADDM bajo demanda o para terminar sesiones en el hub de rendimiento. Para obtener información sobre las credenciales de sesión, consulte Definición de Credenciales de Sesión.
Credencial preferida Tareas
Diagnóstico avanzado Realice todas las tareas en el hub de rendimiento, excepto la ejecución de ADDM bajo demanda y la terminación de sesiones, que requieren la credencial preferida de administración.

Para obtener más información, consulte Funciones del hub de rendimiento.

Realice todas las tareas en ADDM Spotlight excepto la ejecución del Asesor de Ajustes SQL y la edición de parámetros de base de datos, que requieren la credencial preferida de administración.

Para obtener información, consulte Supervisión y gestión de una base de datos gestionada específica.

Realizar todas las tareas relacionadas con el explorador de AWR.

Para obtener información, consulte Uso del explorador de AWR para analizar el rendimiento de la base de datos.

Ver logs de alertas y logs de atención.

Para obtener información, consulte Visualización de logs de alertas.

Realizar todas las tareas de ajuste SQL de solo lectura, como la visualización de tareas de ajuste SQL, juegos de ajustes SQL y recomendaciones y conclusiones del asesor de ajustes SQL.

Para obtener más información, consulte Análisis de SQL con el asesor de ajustes SQL.

Mostrar los juegos de ajustes SQL y ver los detalles del juego de ajustes SQL.

Para obtener más información, consulte Gestión de Juegos de Ajustes SQL.

Realice todas las tareas de SPM de solo lectura, como la visualización de líneas base de plan SQL, los detalles de configuración de línea base de plan SQL y los trabajos ejecutados para cargar líneas base de plan SQL.

Para obtener información, consulte Uso de SPM para gestionar planes de ejecución de SQL.

Buscar SQL.

Para obtener más información, consulte Búsqueda de SQL.

Buscar sesiones.

Para obtener más información, consulte Buscar sesiones.

Ver el resumen y las tareas de las estadísticas del optimizador y el resumen y las tareas del asesor de estadísticas del optimizador.

Para obtener información, consulte Supervisión y análisis de estadísticas del optimizador.

Supervisar copias de seguridad.

Para obtener información, consulte Supervisión de copias de seguridad para una base de datos gestionada específica.

Ver tablespaces.

Para obtener más información, consulte Supervisión y gestión de tablespaces y archivos de datos.

Ver usuarios y detalles del usuario.

Para obtener información, consulte Visualización de usuarios.

Ver parámetros de base de datos.

Para obtener más información, consulte Visualización y edición de parámetros de base de datos.

Administración Termine las sesiones en el hub de rendimiento o en la sección Buscar sesiones de la página Detalles de base de datos gestionada.

Para obtener más información:
Ejecutar tareas de ADDM bajo demanda en el hub de rendimiento.

Para obtener más información, consulte Ejecución de una tarea de ADDM.

Utilizar la configuración de AWR para la recopilación de instantáneas en el hub de rendimiento.

Para obtener información, consulte AWR Settings.

Ejecute el Asesor de Ajustes SQL en ADDM Spotlight.

Para obtener información, consulte Supervisión y gestión de una base de datos gestionada específica.

Editar parámetros de base de datos en ADDM Spotlight.

Para obtener información, consulte Supervisión y gestión de una base de datos gestionada específica.

Ejecutar el Asesor de Ajustes SQL e implantar recomendaciones.

Para obtener más información, consulte Análisis de SQL con el asesor de ajustes SQL.

Crear, cargar y suprimir juegos de ajustes SQL.

Para obtener más información, consulte Gestión de Juegos de Ajustes SQL.

Implantación de recomendaciones del Asesor de Estadísticas del Optimizador.

Para obtener información, consulte Supervisión y análisis de estadísticas del optimizador.

Realizar tareas de configuración de SPM y otras tareas, como cargar líneas base de plan SQL.

Para obtener información, consulte Uso de SPM para gestionar planes de ejecución de SQL.

Crear, editar y suprimir tablespaces y archivos de datos.

Para obtener más información, consulte Supervisión y gestión de tablespaces y archivos de datos.

Edición de parámetros de base de datos.

Para obtener más información, consulte Visualización y edición de parámetros de base de datos.

Crear trabajos.

Para obtener más información, consulte Creación de un trabajo.