Documentación de Oracle Cloud Infrastructure

Políticas para el sistema de base de datos MySQL HeatWave

Muestra cómo permitir a Disaster Recovery (DR) gestionar el sistema de base de datos MySQL que forma parte de la batería de aplicaciones.

Políticas para configurar mediante la entidad de recurso


Allow dynamic-group <Dynamic_group_Name> to manage mysql-family in comparment <>

Políticas para configurar mediante la autenticación de usuarios:

Políticas para el sistema MySQL de BD

Configure políticas para permitir que Disaster Recovery (DR) gestione la familia de recursos MySQL.
Allow group <group name> to manage mysql-family in compartment
    <compartment_name>
Políticas para Vault-Secret

Configure políticas de IAM para otorgar acceso de lectura al secreto de almacén utilizado en las operaciones de recuperación ante desastres (DR) del sistema de base de datos MySQL, lo que permite a los principales de recursos autorizados recuperar el secreto según sea necesario.

Crear Grupo Dinámico

Antes de crear la política, asegúrese de que ha definido un grupo dinámico para los recursos que necesitan acceso al secreto de Vault. Por ejemplo, para otorgar acceso al secreto a todas las instancias de un compartimento específico, puede utilizar la siguiente sintaxis de política:

ALL {resource.type='computecontainerinstance', resource.compartment.id =
      'ocid1.compartment.oc1..<compartment_ocid>'}

Sustituya <compartment_ocid> por el OCID real del compartimento.

Políticas para Object Storage

Definición de la política

Cree una política que otorgue el permiso de grupo dinámico a los secretos read del almacén y cargue logs en el cubo de Object Storage durante la ejecución. Utilice el verbo read con el tipo de recurso secret-family. La sintaxis de la política es: 

Allow dynamic-group <dynamic-group-name> to manage object-family in compartment
      <compartment-name>

Allow dynamic-group <dynamic-group-name> to read secret-family in compartment <compartment-name>

En el ejemplo anterior:

<dynamic-group-name>: The name of your dynamic group.
<compartment-name>: The name of the compartment where the secret resides.

Política de ejemplo

Si el grupo dinámico se denomina InstanceSecretReaders y los secretos se almacenan en el compartimento MySecretsCompartment, la sentencia de política sería: 

Allow dynamic-group InstanceSecretReaders to read secret-family in compartment MySecretsCompartment

Esta política permite a cualquier recurso que sea miembro del grupo dinámico InstanceSecretReaders leer los secretos almacenados en el compartimento MySecretsCompartment a través de OCI Vault.