Para las conexiones de Oracle Database
Políticas de ejemplo para Database Tools
Aquí hay cinco personas diferentes que pueden utilizar Database Tools. Cada persona puede tener un nivel diferente de acceso de gestión al servicio de Oracle Cloud Infrastructure adjunto, como se muestra en la siguiente tabla:
Tabla 7-1 Políticas de ejemplo
| Usuario tipo | Familia de redes virtuales | Familia de bases de datos o de Autonomous Database | Almacenes de claves | Claves | Familia de secretos | Familia de Database Tools | Conexión de Database Tools |
|---|---|---|---|---|---|---|---|
| Administrador de Database Tools | manage | manage | manage | manage | manage | manage | -- |
| Gestor de Database Tools | manage | read | use | use | manage | manage | -- |
| Gestor de conexiones de Database Tools | use | read | use | use | manage | use | manage |
| Conexión de Database Tools con el usuario de principal autenticado | -- | read | -- | -- | read | read | use |
| Conexión de Database Tools con la identidad de tiempo de ejecución de la entidad de recurso | -- | read | -- | -- | -- | read | use |
Administrador de Database Tools
El administrador de Database Tools puede gestionar todos los aspectos del servicio. Las siguientes políticas les otorgan los permisos necesarios para gestionar la red, los almacenes, las claves, los secretos, las bases de datos y Database Tools en un compartimento específico.
Sustituya los marcadores de posición <group_name> y <compartment_name> por sus propios valores.
Tabla 7-2 Políticas de administrador de Database Tools
| Política | Nivel de acceso |
|---|---|
|
Para gestionar redes virtuales en la nube (VCN), subredes, tarjetas de interfaz de red virtual, grupos de seguridad de red. |
|
Para gestionar Database Cloud Service (sistemas de máquina virtual y de base de datos con hardware dedicado, clusters de máquina virtual de Exadata Cloud Service). |
|
Para leer instancias de Autonomous Database en una infraestructura de Exadata tanto compartida como dedicada. |
|
Para gestionar almacenes. |
|
Para gestionar claves. |
|
Para gestionar secretos. |
|
Para gestionar Database Tools. |
Gestor de Database Tools
El gestor de Database Tools puede gestionar las conexiones de red (incluidos los puntos finales privados), secretos y conexiones a Database Tools, pero tiene acceso limitado a los servicios de Oracle Cloud Infrastructure Vault y Database.
Sustituya <group_name> y <compartment_name> por sus propios valores.
Tabla 7-3 Políticas de gestor de Database Tools
| Política | Nivel de acceso |
|---|---|
|
Para utilizar redes virtuales en la nube (VCN), subredes, tarjetas de interfaz de red virtual y grupos de seguridad de red. |
|
Para leer Database Cloud Service (sistemas de máquina virtual y de base de datos con hardware dedicado, clusters de máquina virtual de Exadata Cloud Service). |
|
Para leer instancias de Autonomous Database en una infraestructura de Exadata tanto compartida como dedicada. |
|
Para utilizar un almacén (por ejemplo, crear un secreto). |
|
Para utilizar claves (por ejemplo, crear un secreto). |
|
Para gestionar secretos. |
|
Para gestionar Database Tools. |
Gestor de conexiones de Database Tools
El gestor de conexiones de Database Tools gestiona la creación de conexiones a los servicios de Database y tiene acceso de solo lectura a los demás servicios.
Sustituya <group_name> y <compartment_name> por sus propios valores.
Si utiliza una cláusula where en la política para restringir el acceso según el OCID de conexión, utilice lo siguiente:
where target.resource.id = <connection-ocid>Para utilizar la hoja de trabajo de SQL con una conexión de Database Tools, debe otorgar a un usuario el permiso inspect para todas las conexiones de Database Tools de un compartimento. Sin este permiso, un usuario no puede ver ninguna conexión de Database Tools en la página Connections ni seleccionar ninguna conexión en la lista desplegable SQL Worksheet. Por ejemplo, la siguiente sentencia de política restringe un grupo especificado a use solo el OCID de conexión de Database Tools especificado.
allow group <group-name> to use database-tools-connections in compartment <compartment-name> where all { target.resource.id = '<connection-ocid>' }Incluso en estos escenarios, debe seguir proporcionando la siguiente sentencia de política incondicional para permitir que el grupo especificado muestre las conexiones de Database Tools.
allow group <group-name> to inspect database-tools-connections in compartment <compartment-name>
Este permiso inspect incondicional permite a los usuarios ver todas las conexiones de Database Tools en el compartimento, incluidas aquellas para las que no tienen acceso use. Si necesita otorgar a diferentes grupos acceso a diferentes juegos de conexiones sin exponer todas las conexiones, Oracle recomienda crear compartimentos independientes para cada juego de conexiones de Database Tools y, a continuación, otorgar permisos inspect y use en el nivel de compartimento según corresponda.
Tabla 7-4 Políticas de gestor de conexiones de Database Tools
| Política | Nivel de acceso |
|---|---|
|
Para utilizar redes virtuales en la nube (VCN), subredes, tarjetas de interfaz de red virtual y grupos de seguridad de red. |
|
Para leer Database Cloud Service (sistemas de máquina virtual y de base de datos con hardware dedicado, clusters de máquina virtual de Exadata Cloud Service). |
|
Para leer instancias de Autonomous Database en una infraestructura de Exadata tanto compartida como dedicada. |
|
Para utilizar un almacén (por ejemplo, crear un secreto). |
|
Para utilizar claves (por ejemplo, crear un secreto). |
|
Para gestionar secretos. |
|
Para utilizar puntos finales privados y servicios de punto final de Database Tools. |
|
Para gestionar conexiones a Database Tools. |
Conexión de Database Tools con identidad de tiempo de ejecución de principal autenticado
Estas políticas se aplican a las conexiones de Database Tools donde la identidad de tiempo de ejecución utiliza AUTHENTICATED_PRINCIPAL.
Si desea evitar que los usuarios lean secretos, utilice la conexión de Database Tools con la entidad de recurso en su lugar. Consulte Conexión de Database Tools con identidad de tiempo de ejecución de entidad de recurso.
En la siguiente tabla, se muestran las políticas y los niveles de acceso asociados para la conexión de Database Tools con la identidad de tiempo de ejecución del principal autenticado.
Tabla 7-5 Políticas para la conexión de Database Tools con identidad de tiempo de ejecución de principal autenticado
| Política | Nivel de acceso |
|---|---|
|
Para leer Database Cloud Service (sistemas de máquina virtual y de base de datos con hardware dedicado, clusters de máquina virtual de Exadata Cloud Service). |
|
Para leer instancias de Autonomous Database en una infraestructura de Exadata tanto compartida como dedicada. |
|
Para leer secretos. |
|
Para leer puntos finales privados de Database Tools, servicios de punto final. |
|
Para utilizar conexiones de Database Tools. |
Sustituya <group_name> y <compartment_name> por valores basados en el entorno.
Conexión de Database Tools con la identidad de tiempo de ejecución de la entidad de recurso
Estas políticas se aplican a las conexiones de Database Tools donde la identidad de tiempo de ejecución utiliza RESOURCE_PRINCIPAL.
Para evitar que los usuarios lean secretos, utilice la conexión de Database Tools con la identidad de tiempo de ejecución de la entidad de recurso. Un usuario de la conexión de Database Tools con la identidad de tiempo de ejecución de la entidad de recurso solo puede utilizar conexiones de base de datos creadas previamente con OCI Database Tools y el usuario no puede ver los valores secretos. Consulte Resource Principal.
En la siguiente tabla, se muestran los grupos dinámicos y los recursos incluidos para la conexión de Database Tools con la entidad de recurso.
Tabla 7-6 Grupo dinámico para la conexión de Database Tools con la entidad de recurso
| Regla de confrontación de grupo dinámico | Incluye |
|---|---|
|
Incluye todas las conexiones de Database Tool encontradas en el compartimento. |
|
Incluye solo la conexión de Database Tools especificada. |
Sustituya <group_name>, <compartment_name>, <connection_ocid> y <dynamic_group_name> por valores basados en el entorno.
En la siguiente tabla, se muestran las políticas y los niveles de acceso asociados para la conexión de Database Tools con la identidad de tiempo de ejecución de la entidad de recurso.
Tabla 7-7 Políticas para la conexión de Database Tools con la identidad de tiempo de ejecución de la entidad de recurso
| Política | Nivel de acceso |
|---|---|
|
Para leer Database Cloud Service (sistemas de máquina virtual y de base de datos con hardware dedicado, clusters de máquina virtual de Exadata Cloud Service). |
|
Para leer instancias de Autonomous Database en una infraestructura de Exadata tanto compartida como dedicada. |
|
Para leer los puntos finales privados, las conexiones y los servicios de punto final de Database Tools. |
|
Para utilizar las conexiones de Database Tools. |
|
Para otorgar a los miembros del grupo dinámico acceso para leer secretos |
Sustituya <group_name>, <compartment_name>, <connection_ocid> y <dynamic_group_name> por valores basados en el entorno.