Documentation sur Oracle Cloud Infrastructure

Permissions supplémentaires requises pour utiliser les diagnostics et la gestion des bases de données Oracle Cloud

Pour utiliser les diagnostics et la gestion des bases de données Oracle Cloud, les autorisations de service Oracle Cloud Infrastructure suivantes sont requises en plus des autorisations pour le service de gestion de bases de données.

  • Base Database Service, ExaDB-D, ExaDB-XS, and ExaDB-C@C permissions: The respective Oracle Database cloud solution permission is required to view the total number of Oracle Cloud Databases in the selected compartment on the Oracle databases tile on the Database Management Overview page and to retrieve data from the Oracle Cloud Databases and display it on the Oracle Database fleet summary and other Diagnostics & Management pages:

    Pour accorder cette autorisation, une politique avec le verbe read et les types de ressource de la solution Oracle Database Cloud doivent être créés. Vous pouvez également utiliser une seule politique utilisant le type de ressource agrégé pour les bases de données Oracle Cloud, database-family.

    Voici un exemple dans lequel le type de ressource agrégé database-family est utilisé : 

    Allow group DB-MGMT-USER to read database-family in compartment ABC
    Note

    Vous pouvez également créer la politique suivante pour accorder à un groupe d'utilisateurs l'autorisation de voir le nombre total de bases de données Oracle, notamment des bases de données Oracle Cloud, des bases de données externes et des bases de données autonomes dans le compartiment, sur la vignette Bases de données Oracle.
    Allow group DB-MGMT-USER to {DATABASE_SERVICE_USAGE_INSPECT} in compartment ABC

    Pour plus d'informations sur les sujets suivants :

  • Autorisations du service de surveillance : Les autorisations du service de surveillance sont requises pour :
    • Consultez les mesures de base de données dans les pages Sommaire du parc Oracle Database et Détails de la base de données gérée.
    • Voir les données de performance de base de données dans les tableaux de bord définis par Oracle et utiliser les mesures du service de surveillance pour créer des widgets.
    • Voir le sommaire des instances d'exécution de tâche dans l'onglet Exécutions de la section Tâches de la page Détails de la base de données gérée.
    • Voir les alarmes de base de données ouvertes dans les pages Diagnostics et gestion.
    • Effectuez des tâches liées à une alarme dans la section Définition d'alarmes de la page Détails de la base de données gérée.

    Voici des informations sur les politiques qui fournissent les autorisations requises pour effectuer les tâches indiquées dans la liste précédente :

    • Pour voir les données de performance de base de données dans Diagnostics et gestion, utiliser les mesures du service de surveillance afin de créer des widgets et voir le sommaire des instances d'exécution de tâche, une politique avec le verbe read pour le type de ressource metrics doit être créée. Voici un exemple :
      Allow group DB-MGMT-USER to read metrics in compartment ABC
    • Pour voir les alarmes de base de données ouvertes dans les pages Diagnostics et gestion et dans les pages Statut d'alarme et Définitions d'alarme du service de surveillance, une politique avec le verbe read pour le type de ressource alarms doit être créée (en plus d'une politique avec le verbe read pour le type de ressource metrics). Voici un exemple :
      Allow group DB-MGMT-USER to read alarms in compartment ABC
    • Pour effectuer des tâches liées aux alarmes dans la section Définition d'alarmes de la page Détails de la base de données gérée, vous devez créer une politique avec le verbe manage pour le type de ressource alarms (en plus d'une politique avec le verbe read pour le type de ressource metrics). Voici un exemple :
      Allow group DB-MGMT-USER to manage alarms in compartment ABC

    Pour créer des interrogations et des alarmes pour les mesures de base de données à l'aide du service de surveillance, d'autres autorisations sont requises. Pour plus d'informations sur les sujets suivants :

  • Autorisation pour le service d'avis : Une autorisation pour le service d'avis est requise pour utiliser ou créer des sujets et des abonnements lors de la création d'alarmes dans la section Définition d'alarmes de la page Détails de la base de données gérée.

    Pour accorder cette autorisation, une politique avec le verbe use ou manage pour le type de ressource ons-topics doit être créée (en plus des autorisations du service de surveillance). Voici un exemple de politique avec le verbe manage qui vous permet de créer un nouveau sujet lors de la création d'une alarme : 

    Allow group DB-MGMT-USER to manage ons-topics in compartment ABC

    Pour plus d'informations sur les types de ressource et les autorisations du service d'avis, voir Informations détaillées sur le service d'avis.

  • Autorisations pour le service de chambre forte : Une autorisation pour le service de chambre forte est requise pour utiliser des clés secrètes lors de la spécification de données d'identification de base de données pour effectuer des tâches telles que créer une tâche et modifier les paramètres de base de données dans Diagnostics et gestion. Si des données d'identification privilégiées et nommées sont définies, cette autorisation est également requise pour utiliser ces données d'identification pour accéder aux bases de données gérées, les gérer et les surveiller.

    Pour accorder cette autorisation, une politique avec le verbe read pour les types de ressource du service de chambre forte doit être créée. Voici un exemple dans lequel le type de ressource agrégé secret-family est utilisé : 

    Allow group DB-MGMT-USER to read secret-family in compartment ABC

    Si vous voulez autoriser l'accès aux clés secrètes uniquement à partir d'une chambre forte spécifique, mettez à jour la politique à ceci :

    Allow group DB-MGMT-USER to read secret-family in compartment ABC where target.vault.id = <Vault OCID>

    En plus de la politique de groupe d'utilisateurs pour le service de chambre forte, la politique de principal de ressource suivante peut être requise pour accorder l'autorisation d'accéder aux clés secrètes lors de la création d'une tâche programmée :

    Allow any-user to read secret-family in compartment ABC where ALL {target.secret.id = <Secret OCID>,request.principal.type = dbmgmtmanageddatabase}

    Pour plus d'informations sur les types de ressource et les autorisations pour le service de chambre forte, voir Informations détaillées sur le service de chambre forte.

  • Autorisations pour le tableau de bord de gestion : Les autorisations pour le tableau de bord de gestion sont requises pour utiliser des tableaux de bord pour les bases de données Oracle Cloud pour lesquelles les diagnostics et la gestion sont activés.

    Pour effectuer des tâches telles que la création d'un tableau de bord ou d'un widget, vous devez disposer des autorisations requises sur les types de ressource du tableau de bord de gestion :

    • management-dashboard : Ce type de ressource permet à un groupe d'utilisateurs d'utiliser des tableaux de bord.
    • management-saved-search : Ce type de ressource permet à un groupe d'utilisateurs d'utiliser les recherches enregistrées dans un tableau de bord.

    Pour plus d'informations sur les types de ressource, les autorisations, les opérations d'API et les exemples de politiques du tableau de bord de gestion, voir Informations détaillées sur le tableau de bord de gestion.

  • Autorisations pour le service de stockage d'objets : Les autorisations pour le service de stockage d'objets sont requises pour utiliser la fonction Tâches dans Diagnostics et gestion.
    • Pour permettre à un groupe d'utilisateurs de lire les résultats de la tâche de type Interrogation stockée dans un seau de stockage d'objets, deux politiques doivent être créées. Voici des exemples :
      Allow group DB-MGMT-USER to read buckets in compartment ABC

      et

      Allow group DB-MGMT-USER to manage objects in compartment ABC
    • En plus de la politique de groupe d'utilisateurs pour le service de stockage d'objets, la politique de principal de ressource suivante est requise pour accorder aux ressources de base de données gérée l'autorisation d'écrire les résultats des tâches programmées :
      Allow any-user to manage objects in compartment ABC where ALL {target.bucket.name = <Bucket Name>,request.principal.type = dbmgmtmanageddatabase}

    Pour plus d'informations sur les types de ressource et les autorisations pour le service de stockage d'objets, voir Informations détaillées sur les services de stockage d'archives, de stockage d'objets et de transfert de données.

  • Autorisations pour le service d'événements : Une autorisation pour le service d'événements est requise pour créer et voir des règles d'événement pour surveiller les ressources.

    Pour accorder cette autorisation, une politique avec le verbe manage pour le type de ressource cloudevents-rules doit être créée. Voici un exemple de politique avec le verbe manage qui vous permet de créer et de voir des règles d'événement : 

    Allow group DB-MGMT-USER to manage cloudevents-rules in tenancy

    En plus de l'autorisation Service d'événements, vous devez disposer d'autres autorisations de service Oracle Cloud Infrastructure pour spécifier un type d'action lors de la création d'une règle d'événement. Pour plus d'informations, voir Événements et politiques IAM.

    Pour plus d'informations sur le type de ressource et les autorisations du service d'événements, voir Informations détaillées sur le service d'événements.

  • Autorisations pour le service de marquage : Pour plus d'informations sur les autorisations requises pour utiliser des marqueurs dans Diagnostics et gestion, voir Marquage de l'authentification et de l'autorisation.