Documentación de Oracle Cloud Infrastructure

Permisos

Se necesitan los siguientes permisos del servicio de Oracle Cloud Infrastructure para activar Ops Insights para bases de datos de Oracle Cloud y, además, para sistemas de Exadata Cloud Service.

Nota

Cuando se detecten políticas en desuso, el asesor de políticas mostrará un banner que requiere una actualización de política al nuevo formato CRISP, para actualizarlo, haga clic en el botón Actualizar políticas de requisitos. Para obtener más información sobre las políticas en desuso, consulte: Eliminación de políticas de entidad de servicio.Advertencia de asesor de políticas
  • Sistemas de base de datos con hardware dedicado y de máquina virtual y permisos de Exadata Cloud Service: para activar Ops Insights para bases de datos de Oracle Cloud, debe tener los sistemas de base de datos de máquina virtual y con hardware dedicado necesarios y los permisos de Exadata Cloud Service.
    Nota

    Para utilizar estadísticas de Exadata, debe activar el destino de Exadata y no la base de datos directamente.
    A continuación, se muestra un ejemplo de una política que otorga al grupo de usuarios opsi-admins el permiso para activar Ops Insights para las bases de datos de Oracle Cloud en el arrendamiento:
    Nota

    Estas políticas también pueden tener un ámbito de compartimento. 
    allow group opsi-admins to read database-family in tenancy
    Para Exadata, también se necesitan las siguientes políticas:
    Nota

    Estas políticas también pueden tener un ámbito de compartimento. 
    allow group opsi-admins to read cloud-exadata-infrastructures in tenancy
    allow group opsi-admins to read cloud-vmclusters in tenancy

    Para obtener más información sobre los sistemas de base de datos con hardware dedicado y de máquina virtual específicos y los tipos de recursos y permisos del servicio Exadata Cloud, consulte Detalles de política para Base Database Service y Detalles para instancias de Exadata Cloud Service.

  • Permisos del servicio Networking: para trabajar con el punto final privado de Ops Insights y activar la comunicación entre Ops Insights y la base de datos Oracle Cloud, debe tener el permiso manage en el tipo de recurso vnics y el permiso use en el tipo de recurso subnets y en cualquiera de los dos el tipo de recurso network-security-groups o security-lists (puede abrir el acceso de red a través de un grupo de seguridad de red (la base de datos debe haberse configurado para utilizar la misma) o la subred debe tener las listas de seguridad adecuadas (la subred en la que reside la base de datos)).

    A continuación se muestran ejemplos de las políticas individuales que otorgan al grupo de usuarios opsi-admins los permisos necesarios: 

    allow group opsi-admins to manage vnics in tenancy
allow group opsi-admins to use subnets in tenancy
allow group opsi-admins to use network-security-groups in tenancy
    
allow group opsi-admins to use security-lists in tenancy

    O bien, una única política que utiliza el tipo de recurso agregado del servicio Networking otorga al grupo de usuarios opsi-admins los mismos permisos detallados en el párrafo anterior: 

    allow group opsi-admins to manage virtual-network-family in tenancy

    Para obtener más información sobre los tipos de recursos y permisos del servicio Networking, consulte la sección Red en Detalles de los servicios principales.

  • Permisos de servicio de almacén:

    Las credenciales de base de datos en la nube se agregan al servicio OCI Vault, por lo que tendrá que escribir una política para permitir que Ops Insights las lea para las recopilaciones de datos de métricas. Para crear nuevos secretos o utilizar secretos existentes al especificar las credenciales de la base de datos para activar Ops Insights para bases de datos de Oracle Cloud, debe tener el permiso manage en el tipo de recurso agregado secret-family.

    Este es un ejemplo de la política que otorga al grupo de usuarios opsi-admins el permiso para crear y utilizar secretos en el arrendamiento: 

    allow group opsi-admins to manage secret-family in tenancy

    Además de la política de grupo de usuarios para el servicio Vault, se necesita la siguiente política de servicio para otorgar a Ops Insights el permiso para leer secretos de contraseña de base de datos en un almacén específico:

    allow any-user to read secret-family in tenancy where 
ALL{request.principal.type='opsidatabaseinsight', target.vault.id =  'Vault OCID'}
    Nota

    El compartimento ABC es el compartimento del almacén. No es necesario que este compartimento coincida con el compartimento de la base de datos.

    Para obtener más información sobre los tipos de recursos y permisos del servicio Vault, consulte Detalles para el servicio Vault.