Pour utiliser les diagnostics et la gestion des bases de données autonomes, les autorisations de service Oracle Cloud Infrastructure suivantes sont requises en plus des autorisations pour le service de gestion de bases de données.

• Autorisation pour Autonomous Database : Une autorisation Autonomous Database est requise pour voir le nombre total de bases de données autonomes dans le compartiment sélectionné sur la vignette Bases de données Oracle de la page Aperçu du service de gestion de bases de données et pour extraire des données des bases de données autonomes et les afficher dans les pages Sommaire du parc Oracle Database et Détails de la base de données gérée :

  Pour accorder cette autorisation, une politique doit être créée avec le verbe manage et les types de ressource Base de données autonome. Voici un exemple dans lequel le type de ressource agrégé autonomous-database-family est utilisé :

  Allow group DB-MGMT-USER to manage autonomous-database-family in compartment ABC

  Note
  
  Vous pouvez également créer la politique suivante pour accorder à un groupe d'utilisateurs l'autorisation de voir le nombre total de bases de données Oracle, notamment des bases de données autonomes, des bases de données externes et des bases de données Oracle Cloud dans le compartiment, sur la vignette Bases de données Oracle.

  Allow group DB-MGMT-USER to {DATABASE_SERVICE_USAGE_INSPECT} in compartment ABC

  Pour plus d'informations sur les types de ressource et les autorisations pour Autonomous Database, voir Politiques IAM pour Autonomous Database sans serveur et Politiques IAM pour Autonomous Database sur une infrastructure Exadata dédiée.

• Autorisations du service de surveillance : Les autorisations du service de surveillance sont requises pour :
  • Consultez les mesures de base de données dans les pages Sommaire du parc Oracle Database et Détails de la base de données gérée.
  • Voir les données de performance de base de données dans les tableaux de bord définis par Oracle et utiliser les mesures du service de surveillance pour créer des widgets.
  • Voir les alarmes de base de données ouvertes dans les pages Diagnostics et gestion.
  • Effectuez des tâches liées à une alarme dans la section Définition d'alarmes de la page Détails de la base de données gérée.

  Voici des informations sur les politiques qui fournissent les autorisations requises pour effectuer les tâches indiquées dans la liste précédente :

  • Pour voir les données de performance de base de données dans Diagnostics et gestion et utiliser les mesures du service de surveillance pour créer des widgets, une politique avec le verbe read pour le type de ressource metrics doit être créée. Voici un exemple :

    Allow group DB-MGMT-USER to read metrics in compartment ABC

  • Pour voir les alarmes de base de données ouvertes dans les pages Diagnostics et gestion et dans les pages Statut d'alarme et Définitions d'alarme du service de surveillance, une politique avec le verbe read pour le type de ressource alarms doit être créée (en plus d'une politique avec le verbe read pour le type de ressource metrics). Voici un exemple :

    Allow group DB-MGMT-USER to read alarms in compartment ABC

  • Pour effectuer des tâches liées aux alarmes dans la section Définition d'alarmes de la page Détails de la base de données gérée, vous devez créer une politique avec le verbe manage pour le type de ressource alarms (en plus d'une politique avec le verbe read pour le type de ressource metrics). Voici un exemple :

    Allow group DB-MGMT-USER to manage alarms in compartment ABC

  Pour créer des interrogations et des alarmes pour les mesures de base de données à l'aide du service de surveillance, d'autres autorisations sont requises. Pour plus d'informations sur les sujets suivants :

  • Types de ressource et autorisations pour le service de surveillance, voir Informations détaillées sur le service de surveillance.

  • Politiques communes du service de surveillance, voir Politiques communes.

• Autorisation pour le service d'avis : Une autorisation pour le service d'avis est requise pour utiliser ou créer des sujets et des abonnements lors de la création d'alarmes dans la section Définition d'alarmes de la page Détails de la base de données gérée.

  Pour accorder cette autorisation, une politique avec le verbe use ou manage pour le type de ressource ons-topics doit être créée (en plus des autorisations du service de surveillance). Voici un exemple de politique avec le verbe manage qui vous permet de créer un nouveau sujet lors de la création d'une alarme :

  Allow group DB-MGMT-USER to manage ons-topics in compartment ABC

  Pour plus d'informations sur les types de ressource et les autorisations du service d'avis, voir Informations détaillées sur le service d'avis.

• Autorisations pour le service de chambre forte : Une autorisation pour le service de chambre forte est requise pour utiliser des clés secrètes lors de la spécification de données d'identification de base de données pour effectuer des tâches telles que créer une tâche et modifier les paramètres de base de données dans Diagnostics et gestion. Si des données d'identification privilégiées et nommées sont définies, cette autorisation est également requise pour utiliser ces données d'identification pour accéder aux bases de données gérées, les gérer et les surveiller.

  Pour accorder cette autorisation, une politique avec le verbe read pour les types de ressource du service de chambre forte doit être créée. Voici un exemple dans lequel le type de ressource agrégé secret-family est utilisé :

  Allow group DB-MGMT-USER to read secret-family in compartment ABC

  Si vous voulez autoriser l'accès aux clés secrètes uniquement à partir d'une chambre forte spécifique, mettez à jour la politique à ceci :

  Allow group DB-MGMT-USER to read secret-family in compartment ABC where target.vault.id = <Vault OCID>

  En plus de la politique de groupe d'utilisateurs pour le service de chambre forte, la politique de principal de ressource suivante peut être requise pour accorder l'autorisation d'accéder aux clés secrètes lors de la création d'une tâche programmée :

  Allow any-user to read secret-family in compartment ABC where ALL {target.secret.id = <Secret OCID>,request.principal.type = dbmgmtmanageddatabase}

  Pour plus d'informations sur les types de ressource et les autorisations pour le service de chambre forte, voir Informations détaillées sur le service de chambre forte.

• Autorisations pour le tableau de bord de gestion : Les autorisations pour le tableau de bord de gestion sont requises pour utiliser des tableaux de bord pour les bases de données autonomes pour lesquelles les diagnostics et la gestion sont activés.

  Pour effectuer des tâches telles que la création d'un tableau de bord ou d'un widget, vous devez disposer des autorisations requises sur les types de ressource du tableau de bord de gestion :

  • management-dashboard : Ce type de ressource permet à un groupe d'utilisateurs d'utiliser des tableaux de bord.
  • management-saved-search : Ce type de ressource permet à un groupe d'utilisateurs d'utiliser les recherches enregistrées dans un tableau de bord.

  Pour plus d'informations sur les types de ressource, les autorisations, les opérations d'API et les exemples de politiques du tableau de bord de gestion, voir Informations détaillées sur le tableau de bord de gestion.

• Autorisations pour le service de stockage d'objets : Les autorisations pour le service de stockage d'objets sont requises pour utiliser la fonction Tâches dans Diagnostics et gestion.
  • Pour permettre à un groupe d'utilisateurs de lire les résultats de la tâche de type Interrogation stockée dans un seau de stockage d'objets, deux politiques doivent être créées. Voici des exemples :

    Allow group DB-MGMT-USER to read buckets in compartment ABC

    et

    Allow group DB-MGMT-USER to manage objects in compartment ABC

  • En plus de la politique de groupe d'utilisateurs pour le service de stockage d'objets, la politique de principal de ressource suivante est requise pour accorder aux ressources de base de données gérée l'autorisation d'écrire les résultats des tâches programmées :

    Allow any-user to manage objects in compartment ABC where ALL {target.bucket.name = <Bucket Name>,request.principal.type = dbmgmtmanageddatabase}

  Pour plus d'informations sur les types de ressource et les autorisations pour le service de stockage d'objets, voir Informations détaillées sur les services de stockage d'archives, de stockage d'objets et de transfert de données.

• Autorisations pour le service de marquage : Pour plus d'informations sur les autorisations requises pour utiliser des marqueurs dans Diagnostics et gestion, voir Marquage de l'authentification et de l'autorisation.