Autorisations pour le service de gestion de bases de données

Pour activer les diagnostics et la gestion des bases de données autonomes, vous devez appartenir à un groupe d'utilisateurs de votre location avec les autorisations requises sur les types de ressource du service de gestion de bases de données suivants :

• dbmgmt-private-endpoints : Ce type de ressource permet à un groupe d'utilisateurs de créer des points d'extrémité privés pour le service de gestion de bases de données pour communiquer avec les bases de données autonomes.
• dbmgmt-work-requests : Ce type de ressource permet à un groupe d'utilisateurs de surveiller les demandes de travail générées lors de l'activation des diagnostics et de la gestion.
• dbmgmt-family : Ce type de ressource agrégé inclut tous les types de ressource individuels du service de gestion de bases de données et permet à un groupe d'utilisateurs d'activer et d'utiliser toutes les fonctions du service de gestion de bases de données.

Voici des exemples de politiques qui accordent au groupe d'utilisateurs DB-MGMT-ADMIN l'autorisation de créer un point d'extrémité privé pour le service de gestion de bases de données et de surveiller les demandes de travail associées au point d'extrémité privé :

Allow group DB-MGMT-ADMIN to manage dbmgmt-private-endpoints in tenancy

Allow group DB-MGMT-ADMIN to read dbmgmt-work-requests in tenancy

Une seule politique utilisant le type de ressource agrégé Gestion de bases de données octroie au groupe d'utilisateurs DB-MGMT-ADMIN les mêmes autorisations que celles détaillées au paragraphe précédent :

Allow group DB-MGMT-ADMIN to manage dbmgmt-family in tenancy

Pour plus d'informations sur les types de ressource et les autorisations pour le service de gestion de bases de données, voir Informations détaillées sur les politiques pour le service de gestion de bases de données.

Autres autorisations de service Oracle Cloud Infrastructure

En plus des autorisations pour le service de gestion de bases de données, les autorisations de service Oracle Cloud Infrastructure suivantes sont requises pour activer les diagnostics et la gestion des bases de données autonomes.

• Autorisations pour Autonomous Database : Pour activer les diagnostics et la gestion des bases de données autonomes, vous devez appartenir à un groupe d'utilisateurs de votre location doté de l'autorisation manage sur les types de ressource Autonomous Database. Lors de la création d'une politique, le type de ressource agrégé pour les bases de données autonomes, autonomous-database-family, peut être utilisé.
  Voici un exemple de politique qui accorde au groupe d'utilisateurs DB-MGMT-ADMIN l'autorisation d'activer les diagnostics et la gestion pour toutes les bases de données autonomes de la location :

  Allow group DB-MGMT-ADMIN to manage autonomous-database-family in tenancy

  Pour plus d'informations sur les types de ressource et les autorisations pour Autonomous Database, voir Politiques IAM pour Autonomous Database sans serveur et Politiques IAM pour Autonomous Database sur une infrastructure Exadata dédiée.

• Autorisations pour le service de réseau : Pour utiliser le point d'extrémité privé du service de gestion de bases de données et activer la communication entre le service de gestion de bases de données et une base de données Autonomous Database, vous devez avoir l'autorisation manage sur le type de ressource vnics et l'autorisation use sur le type de ressource subnets et sur le type de ressource network-security-groups ou security-lists.

  Voici des exemples de politiques individuelles qui accordent au groupe d'utilisateurs DB-MGMT-ADMIN les autorisations requises :

  Allow group DB-MGMT-ADMIN to manage vnics in tenancy

  Allow group DB-MGMT-ADMIN to use subnets in tenancy

  Allow group DB-MGMT-ADMIN to use network-security-groups in tenancy

  ou

  Allow group DB-MGMT-ADMIN to use security-lists in tenancy

  Une seule politique utilisant le type de ressource agrégé du service de réseau accorde au groupe d'utilisateurs DB-MGMT-ADMIN les mêmes autorisations que celles décrites dans le paragraphe précédent :

  Allow group DB-MGMT-ADMIN to manage virtual-network-family in tenancy

  Pour plus d'informations sur les types de ressource et les autorisations pour le service de réseau, voir la section Réseau sous Informations détaillées sur les services de base.

• Autorisations pour le service de chambre forte : Pour créer de nouvelles clés secrètes ou utiliser des clés secrètes existantes lors de l'activation des diagnostics et de la gestion pour les bases de données autonomes, vous devez avoir l'autorisation manage sur le type de ressource agrégé secret-family.

  Voici un exemple de politique qui accorde au groupe d'utilisateurs DB-MGMT-ADMIN l'autorisation de créer et d'utiliser des clés secrètes dans la location :

  Allow group DB-MGMT-ADMIN to manage secret-family in tenancy

  En plus de la politique de groupe d'utilisateurs pour le service de chambre forte, la politique de principal de ressource suivante est requise pour accorder aux ressources de base de données gérée l'autorisation d'accéder aux clés secrètes de mot de passe d'utilisateur de base de données et aux clés secrètes de portefeuille de base de données (si le protocole TCPS a été utilisé pour se connecter à la base de données) :

  Allow any-user to read secret-family in compartment ABC where ALL {request.principal.type = dbmgmtmanageddatabase}

  Si vous voulez autoriser l'accès à une clé secrète spécifique, mettez à jour la politique à :

  Allow any-user to read secret-family in compartment ABC where ALL {target.secret.id = <Secret OCID>,request.principal.type = dbmgmtmanageddatabase}

  Pour plus d'informations sur les types de ressource et les autorisations pour le service de chambre forte, voir Informations détaillées sur le service de chambre forte.