Autorisations pour le service de gestion de bases de données
Pour utiliser les fonctions de diagnostic et de gestion pour les bases de données Oracle, vous devez appartenir à un groupe d'utilisateurs de votre location dotés des autorisations requises sur les types de ressource du service de gestion de bases de données suivants.
Outre les autorisations du service de gestion de bases de données, d'autres autorisations de service Oracle Cloud Infrastructure sont requises pour utiliser les fonctions de diagnostic et de gestion pour les bases de données Oracle. Pour plus d'informations, voir Autorisations supplémentaires requises pour utiliser les diagnostics et la gestion.
dbmgmt-managed-database-groups: Ce type de ressource permet à un groupe d'utilisateurs d'utiliser les fonctions des groupes de bases de données.dbmgmt-managed-databases: Ce type de ressource permet à un groupe d'utilisateurs d'utiliser les fonctions de la base de données gérée.dbmgmt-jobs: Ce type de ressource permet à un groupe d'utilisateurs d'utiliser les fonctions des tâches.dbmgmt-named-credentials: Ce type de ressource permet à un groupe d'utilisateurs de créer et de gérer des données d'identification nommées.dbmgmt-family: Ce type de ressource agrégé inclut tous les types de ressource individuels du service de gestion de bases de données et permet à un groupe d'utilisateurs d'activer et d'utiliser toutes les fonctions du service de gestion de bases de données.
Voici quelques exemples de politiques qui accordent aux groupes d'utilisateurs les autorisations requises pour utiliser diverses fonctions de diagnostic et de gestion :
- Pour accorder au groupe d'utilisateurs
DB-MGMT-USERl'autorisation d'utiliser les fonctions de diagnostic et de gestion et d'autres fonctions de gestion des bases de données sur les bases de données gérées de la location :Allow group DB-MGMT-USER to manage dbmgmt-family in tenancy - Pour accorder au groupe d'utilisateurs
MGD-DB-USERl'autorisation de voir le nombre de bases de données Oracle pour lesquelles les diagnostics et la gestion sont activés (dans le compartimentABC) sur la vignette Bases de données Oracle de la page Aperçu du service de gestion de bases de données :Allow group MGD-DB-USER to inspect dbmgmt-managed-databases in compartment ABC - Pour accorder au groupe d'utilisateurs
MGD-DB-USERl'autorisation de surveiller et de gérer des bases de données gérées dans le compartimentABC:Allow group MGD-DB-USER to manage dbmgmt-managed-databases in compartment ABC - Pour accorder au groupe d'utilisateurs
MGD-DB-USERl'autorisation de surveiller les graphiques de mesure pour les bases de données principale et de secours dans le compartimentABC:Allow group MGD-DB-USER to read dbmgmt-managed-databases in compartment ABC - Pour accorder au groupe d'utilisateurs
DB-JOBS-USERl'autorisation d'utiliser des tâches dans le compartimentABC:Allow group DB-JOBS-USER to manage dbmgmt-jobs in compartment ABC - Pour accorder au groupe d'utilisateurs
DB-NC-ADMINl'autorisation de créer et de gérer des données d'identification nommées dans le compartimentABC:Allow group DB-NC-ADMIN to manage dbmgmt-named-credentials in compartment ABCAllow group DB-NC-ADMIN to use dbmgmt-managed-databases in compartment ABC - Pour accorder au groupe d'utilisateurs
DB-NC-USERl'autorisation d'utiliser des données d'identification nommées dans le compartimentABCpour effectuer diverses tâches de diagnostic et de gestion :Allow group DB-MGMT-USER to read dbmgmt-named-credentials in compartment ABCNote
La politique qui accorde l'autorisation d'utiliser des données d'identification nommées pour effectuer diverses tâches de diagnostic et de gestion est requise en plus des autres politiques requises pour surveiller et gérer les bases de données gérées. - Pour accorder au groupe d'utilisateurs
DB-GRPS-USERl'autorisation d'utiliser des groupes de bases de données dans le compartimentABC:Allow group DB-GRPS-USER to manage dbmgmt-managed-database-groups in compartment ABC
Pour plus d'informations sur les types de ressource et les autorisations pour le service de gestion de bases de données, voir Informations détaillées sur les politiques pour le service de gestion de bases de données.
Politiques pour le service de gestion de bases de données avec conditions
Vous pouvez créer des politiques détaillées en spécifiant les conditions qui doivent être satisfaites pour que l'accès soit accordé à un groupe d'utilisateurs. Lors de l'utilisation de conditions dans les politiques du service de gestion de bases de données, les variables request.operation et request.permission peuvent être ajoutées pour limiter l'accès à des opérations et autorisations d'API spécifiques. Voici des exemples de politiques du service de gestion de bases de données comportant des conditions :
- Pour accorder au groupe d'utilisateurs
PERF-HUB-USERl'autorisation d'accéder uniquement au centre de performance tout en limitant les autres tâches que vous pouvez effectuer sur les bases de données gérées dans le compartimentABC, deux politiques doivent être créées. La première politique est une politique large utilisant le verbeinspectet la seconde utilise le verbereadet une condition avec la variablerequest.operationqui garantit que le groupe d'utilisateurs ne peut effectuer que l'opération d'APIRetrieveDatabasePerformanceData:Allow group PERF-HUB-USER to inspect dbmgmt-family in compartment ABCAllow group PERF-HUB-USER to read dbmgmt-family in compartment ABC where any { request.operation = 'RetrieveDatabasePerformanceData', request.operation = 'GetManagedDatabase' } - Pour accorder au groupe d'utilisateurs
DB-USERSl'autorisation d'effectuer toutes les tâches sauf celles pour lesquelles l'autorisationDBMGMT_MANAGED_DB_CONTENT_WRITEest requise, une politique avec la variablerequest.permissiondoit être créée :Allow group DB-USERS to manage dbmgmt-family in compartment ABC where request.permission != 'DBMGMT_MANAGED_DB_CONTENT_WRITE'
Pour plus d'informations sur d'autres types de politique avec des conditions, voir Conditions.