Políticas y permisos obligatorios
Los grupos de usuarios que gestionan el servicio HeatWave deben tener las políticas y permisos obligatorios para acceder a los recursos y gestionarlos.
Políticas obligatorias
Defina las políticas obligatorias en el nivel de arrendamiento para obtener acceso a varios recursos del sistema de base de datos.
Tabla 20-1 Políticas obligatorias
| Política | Descripción |
|---|---|
Allow group <group_name> to {COMPARTMENT_INSPECT} in compartment <compartment_name> |
Otorga el permiso COMPARTMENT_INSPECT a los miembros de <group_name>. El permiso permite al grupo mostrar y leer el contenido del compartimento especificado.
|
Allow group <group_name> to {VCN_READ, SUBNET_READ, SUBNET_ATTACH, SUBNET_DETACH} in compartment <compartment_name> |
Otorga los permisos VCN_READ, SUBNET_READ, SUBNET_ATTACH y SUBNET_DETACH a los miembros de <group_name>. Estos permisos permiten al grupo leer, asociar y desasociar subredes y leer VCN en el compartimento especificado. Necesita esta sentencia de política para asociar un sistema de base de datos o una réplica de lectura a la subred de una VCN.
|
Allow group <group_name> to {VNIC_CREATE, VNIC_DELETE, VNIC_UPDATE, NETWORK_SECURITY_GROUP_UPDATE_MEMBERS, VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP} in compartment <compartment_name> |
(Para el punto final de lectura y el equilibrador de carga de réplica de lectura) Otorga los permisos VNIC_CREATE, VNIC_DELETE, VNIC_UPDATE, NETWORK_SECURITY_GROUP_UPDATE_MEMBERS y VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP a los miembros de <group_name>. Necesita esta sentencia de política para crear automáticamente un equilibrador de carga de réplica de lectura al crear la primera réplica de lectura de un sistema de base de datos o para crear un punto final de lectura de un sistema de base de datos.
|
|
Allow any-user to {VNIC_CREATE, VNIC_UPDATE, VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP, VNIC_DISASSOCIATE_NETWORK_SECURITY_GROUP} in compartment <subnet_compartment_name> where all {request.principal.type='mysqldbsystem', request.resource.compartment.id='<DBsystem_compartment_OCID>'} |
(Para grupos de seguridad de red (NSG) en el sistema de base de datos o para leer réplicas)
Otorga los permisos Otorga los permisos Ésta es una entidad de recurso que otorga el permiso Ésta es una entidad de recurso que otorga el permiso |
|
Allow any-user to read leaf-certificate-family in compartment <certificate_compartment_name> where all {request.principal.type = 'mysqldbsystem', request.resource.compartment.id='<DBsystem_compartment_OCID>'} |
(Para un certificado definido por el usuario o solo para traer su propio certificado)
Otorga los permisos de lectura del tipo de recurso leaf-certificate-family en el compartimento <certificate_compartment_name> a los sistemas de base de datos del compartimento con el OCID <DBsystem_compartment_OCID>.
|
|
|
(Para una clave de cifrado gestionada por el usuario o solo para traer su propia clave)
Ésta es una entidad de recurso que otorga a los sistemas de base de datos del compartimento el OCID <DBsystem_compartment_OCID> para delegar el uso de claves de cifrado en el compartimento <key_compartment_name> a otros servicios. Se necesita una política complementaria para que el otro servicio utilice las claves de cifrado. Otorga al servicio de volumen en bloque y al servicio de almacenamiento de objetos en la región <region> el uso de una clave de cifrado con el valor de OCID igual a <key_OCID> en el compartimento <key_compartment_name>. Esta es una entidad de recurso que aprueba o permite a los sistemas de base de datos de este arrendamiento los permisos mostrados para cualquier arrendamiento que proporcione un permiso Esta es una entidad de recurso que aprueba o permite que los sistemas de base de datos de este arrendamiento asocien o utilicen las claves de este arrendamiento con Esta es una entidad de recurso que aprueba o permite que los sistemas de base de datos de este arrendamiento asocien o utilicen las claves de este arrendamiento con Esta es una entidad de recurso que aprueba o permite que los sistemas de base de datos de este arrendamiento asocien o utilicen las claves de este arrendamiento con |
Allow service mysql_dp_auth to {AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT, DYNAMIC_GROUP_INSPECT} in tenancy |
(Solo para el plugin authentication_oci) Otorga los permisos AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT y DYNAMIC_GROUP_INSPECT para asignar usuarios MySQL del sistema de base de datos a usuarios y grupos existentes definidos en el servicio IAM. Consulte Autenticación mediante el plugin authentication_oci.
|
Allow group <group_name> to read metrics in compartment <compartment_name> |
(Solo para la lectura de métricas) Otorga acceso a los miembros de <group_name> para leer métricas en la consola. Además de esta política, también necesita la siguiente política para leer métricas:
|
Tabla 20-2 Servicios asociados
| Servicio asociado | Descripción |
|---|---|
| Certificados (Traiga su propio certificado) |
Debe definir políticas para asignar certificados de seguridad a los sistemas de base de datos. Debe definir una entidad de recurso para permitir que los sistemas de base de datos accedan a los certificados de seguridad. Consulte Principales de recurso. |
| Database Management |
Debe definir políticas para activar y utilizar Database Management. Consulte Permisos necesarios para utilizar Database Management. |
Temas relacionados
Permisos obligatorios
Los grupos de usuarios del servicio HeatWave deben tener los permisos obligatorios para leer el contenido de los compartimentos, utilizar las redes virtuales en la nube y gestionar el servicio HeatWave.
Tabla 20-3 Permisos obligatorios
| Permiso | Descripción |
|---|---|
COMPARTMENT_INSPECT |
Otorga derechos para leer y ver el contenido de los compartimentos. |
VCN_READ, SUBNET_READ, SUBNET_ATTACH, SUBNET_DETACH |
Otorga derechos para leer, asociar y desasociar subredes y para leer las VCN. No puede conectar un sistema de base de datos a una red sin estos tipos de recursos. |
NETWORK_SECURITY_GROUP_READ, NETWORK_SECURITY_GROUP_UPDATE_MEMBERS, VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP, VNIC_DISASSOCIATE_NETWORK_SECURITY_GROUP |
(Para grupos de seguridad de red) Otorga derechos para asociar y desasociar grupos de seguridad de red a un sistema de base de datos o leer réplicas. |
CERTIFICATE_READ |
(Para un certificado definido por el usuario o traiga su propio certificado) Otorga el derecho de leer los certificados de seguridad en el Servicio de Certificados. No puede asignar un certificado de seguridad a un sistema de base de datos sin este permiso. |
AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT, DYNAMIC_GROUP_INSPECT |
(Para el plugin authentication_oci) Otorga los derechos para asignar usuarios MySQL en el sistema de base de datos a usuarios y grupos existentes definidos en el servicio IAM.
|
VNIC_CREATE, VNIC_DELETE,VNIC_UPDATE, NETWORK_SECURITY_GROUP_UPDATE_MEMBERS,VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP |
(Para el punto final de lectura y el equilibrador de carga de réplica de lectura) Otorga derechos para crear un punto final de lectura o un equilibrador de carga de réplica de lectura. |
Tabla 20-4 Servicios asociados
| Permisos | Descripción |
|---|---|
| Certificados (Traiga su propio certificado) |
Necesita permisos para leer los certificados de seguridad. Los sistemas de base de datos necesitan permisos para acceder a los certificados de seguridad. Consulte Principales de recurso. |
| Database Management |
Necesita permisos para activar y utilizar Database Management. Consulte Permisos necesarios para utilizar Database Management. |