Pour utiliser les diagnostics et la gestion des bases de données externes, les autorisations de service Oracle Cloud Infrastructure suivantes sont requises en plus des autorisations pour le service de gestion de bases de données.

• Autorisation du service Base de données externe : Une autorisation du service Base de données externe est requise pour voir le nombre total de bases de données externes dans le compartiment sélectionné sur la vignette Bases de données Oracle de la page Aperçu du service de gestion de bases de données.

  Pour accorder cette autorisation, une politique avec le verbe inspect et les types de ressource du service Base de données externe doit être créée. Voici un exemple dans lequel le type de ressource agrégé external-database-family est utilisé :

  Allow group DB-MGMT-USER to inspect external-database-family in compartment ABC

  Note
  
  Vous pouvez également créer la politique suivante pour accorder à un groupe d'utilisateurs l'autorisation de voir le nombre total de bases de données Oracle, notamment des bases de données externes, des bases de données Oracle Cloud et des bases de données autonomes dans le compartiment, sur la vignette Bases de données Oracle.

  Allow group DB-MGMT-USER to {DATABASE_SERVICE_USAGE_INSPECT} in compartment ABC

  Pour plus d'informations sur les types de ressource et les autorisations pour le service Base de données externe, voir Informations détaillées sur le service de base de données externe.

• Autorisations du service de surveillance : Les autorisations du service de surveillance sont requises pour :
  • Consultez les mesures de base de données dans les pages Sommaire du parc Oracle Database et Détails de la base de données gérée.
  • Voir les données de performance de base de données dans les tableaux de bord définis par Oracle et utiliser les mesures du service de surveillance pour créer des widgets.
  • Voir le sommaire des instances d'exécution de tâche dans l'onglet Exécutions de la section Tâches de la page Détails de la base de données gérée.
  • Voir les alarmes de base de données ouvertes dans les pages Diagnostics et gestion.
  • Effectuez des tâches liées à une alarme dans la section Définition d'alarmes de la page Détails de la base de données gérée.

  Voici des informations sur les politiques qui fournissent les autorisations requises pour effectuer les tâches indiquées dans la liste précédente :

  • Pour voir les données de performance de base de données dans Diagnostics et gestion, utiliser les mesures du service de surveillance afin de créer des widgets et voir le sommaire des instances d'exécution de tâche, une politique avec le verbe read pour le type de ressource metrics doit être créée. Voici un exemple :

    Allow group DB-MGMT-USER to read metrics in compartment ABC

  • Pour voir les alarmes de base de données ouvertes dans les pages Diagnostics et gestion et dans les pages Statut d'alarme et Définitions d'alarme du service de surveillance, une politique avec le verbe read pour le type de ressource alarms doit être créée (en plus d'une politique avec le verbe read pour le type de ressource metrics). Voici un exemple :

    Allow group DB-MGMT-USER to read alarms in compartment ABC

  • Pour effectuer des tâches liées aux alarmes dans la section Définition d'alarmes de la page Détails de la base de données gérée, vous devez créer une politique avec le verbe manage pour le type de ressource alarms (en plus d'une politique avec le verbe read pour le type de ressource metrics). Voici un exemple :

    Allow group DB-MGMT-USER to manage alarms in compartment ABC

  Pour créer des interrogations et des alarmes pour les mesures de base de données à l'aide du service de surveillance, d'autres autorisations sont requises. Pour plus d'informations sur les sujets suivants :

  • Types de ressource et autorisations pour le service de surveillance, voir Informations détaillées sur le service de surveillance.

  • Politiques communes du service de surveillance, voir Politiques communes.

• Autorisation pour le service d'avis : Une autorisation pour le service d'avis est requise pour utiliser ou créer des sujets et des abonnements lors de la création d'alarmes dans la section Définition d'alarmes de la page Détails de la base de données gérée.

  Pour accorder cette autorisation, une politique avec le verbe use ou manage pour le type de ressource ons-topics doit être créée (en plus des autorisations du service de surveillance). Voici un exemple de politique avec le verbe manage qui vous permet de créer un nouveau sujet lors de la création d'une alarme :

  Allow group DB-MGMT-USER to manage ons-topics in compartment ABC

  Pour plus d'informations sur les types de ressource et les autorisations du service d'avis, voir Informations détaillées sur le service d'avis.

• Autorisations pour le service de chambre forte : Une autorisation pour le service de chambre forte est requise pour utiliser des clés secrètes lors de la spécification de données d'identification de base de données pour effectuer des tâches telles que créer une tâche et modifier les paramètres de base de données à l'aide de Diagnostics et gestion. Si des données d'identification privilégiées et nommées sont définies, cette autorisation est également requise pour utiliser ces données d'identification pour accéder aux bases de données gérées, les gérer et les surveiller.

  Pour accorder cette autorisation, une politique avec le verbe read pour les types de ressource du service de chambre forte doit être créée. Voici un exemple dans lequel le type de ressource agrégé secret-family est utilisé :

  Allow group DB-MGMT-USER to read secret-family in compartment ABC

  Si vous voulez autoriser l'accès aux clés secrètes uniquement à partir d'une chambre forte spécifique, mettez à jour la politique à ceci :

  Allow group DB-MGMT-USER to read secret-family in compartment ABC where target.vault.id = <Vault OCID>

  En plus de la politique de groupe d'utilisateurs pour le service de chambre forte, la politique de principal de ressource suivante peut être requise pour accorder l'autorisation d'accéder aux clés secrètes lors de la création d'une tâche programmée :

  Allow any-user to read secret-family in compartment ABC where ALL {target.secret.id = <Secret OCID>,request.principal.type = dbmgmtmanageddatabase}

  Pour plus d'informations sur les types de ressource et les autorisations pour le service de chambre forte, voir Informations détaillées sur le service de chambre forte.

• Autorisations pour le tableau de bord de gestion : Les autorisations pour le tableau de bord de gestion sont requises pour utiliser des tableaux de bord pour les bases de données externes pour lesquelles les diagnostics et la gestion sont activés.

  Pour effectuer des tâches telles que la création d'un tableau de bord ou d'un widget, vous devez disposer des autorisations requises sur les types de ressource du tableau de bord de gestion :

  • management-dashboard : Ce type de ressource permet à un groupe d'utilisateurs d'utiliser des tableaux de bord.
  • management-saved-search : Ce type de ressource permet à un groupe d'utilisateurs d'utiliser les recherches enregistrées dans un tableau de bord.

  Pour plus d'informations sur les types de ressource, les autorisations, les opérations d'API et les exemples de politiques du tableau de bord de gestion, voir Informations détaillées sur le tableau de bord de gestion.

• Autorisations pour le service de stockage d'objets : Les autorisations pour le service de stockage d'objets sont requises pour utiliser la fonction Tâches dans Diagnostics et gestion.
  • Pour permettre à un agent de gestion de stocker les résultats d'une tâche de type Interrogation dans un seau de stockage d'objets, un groupe dynamique contenant l'agent de gestion doit d'abord être créé. Pour plus d'informations, voir Politique GIA requise pour la communication avec les agents de gestion.

    Pour fournir à un groupe dynamique Agent de gestion l'autorisation de stocker les résultats d'une tâche de type Interrogation dans un seau de stockage d'objets, deux politiques doivent être créées. Voici des exemples :

    Allow dynamic-group Management-Agents-Group to read buckets in compartment ABC where request.principal.type = 'managementagent'

    et

    Allow dynamic-group Management-Agents-Group to manage objects in compartment ABC where all {request.principal.type = 'managementagent', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}

  • Pour permettre à un groupe d'utilisateurs de lire les résultats de la tâche de type Interrogation stockée dans un seau de stockage d'objets, deux politiques doivent être créées. Voici des exemples :

    Allow group DB-MGMT-USER to read buckets in compartment ABC

    et

    Allow group DB-MGMT-USER to manage objects in compartment ABC

  En plus de la politique de groupe d'utilisateurs pour le service de stockage d'objets, la politique de principal de ressource suivante est requise pour accorder aux ressources de base de données gérée l'autorisation d'écrire les résultats des tâches programmées :

  Allow any-user to manage objects in compartment ABC where ALL {target.bucket.name = <Bucket Name>,request.principal.type = dbmgmtmanageddatabase}

  Pour plus d'informations sur les types de ressource et les autorisations pour le service de stockage d'objets, voir Informations détaillées sur les services de stockage d'archives, de stockage d'objets et de transfert de données.

• Autorisations pour le service d'événements : Une autorisation pour le service d'événements est requise pour créer et voir des règles d'événement pour surveiller les ressources.

  Pour accorder cette autorisation, une politique avec le verbe manage pour le type de ressource cloudevents-rules doit être créée. Voici un exemple de politique avec le verbe manage qui vous permet de créer et de voir des règles d'événement :

  Allow group DB-MGMT-USER to manage cloudevents-rules in tenancy

  En plus de l'autorisation Service d'événements, vous devez disposer d'autres autorisations de service Oracle Cloud Infrastructure pour spécifier un type d'action lors de la création d'une règle d'événement. Pour plus d'informations, voir Événements et politiques IAM.

  Pour plus d'informations sur le type de ressource et les autorisations du service d'événements, voir Informations détaillées sur le service d'événements.

• Autorisations pour le service de marquage : Pour plus d'informations sur les autorisations requises pour utiliser des marqueurs dans Diagnostics et gestion, voir Marquage de l'authentification et de l'autorisation.
• Autorisations d'utilisation des extensions de mesure : Une autorisation pour un type de ressource Surveillance de pile est requise pour utiliser les extensions de mesure dans le service de gestion de bases de données. Voici un exemple de politique qui accorde au groupe d'utilisateurs DB-MGMT-USER l'autorisation d'effectuer toutes les tâches liées à l'extension de mesure dans le compartiment ABC :

  Allow group DB-MGMT-USER to manage stack-monitoring-metric-extension in compartment ABC