Permissions requises pour activer les diagnostics et la gestion des bases de données Oracle Cloud
Pour activer les diagnostics et la gestion des bases de données Oracle Cloud, vous devez avoir les autorisations suivantes :
Autorisations pour le service de gestion de bases de données
Pour activer les diagnostics et la gestion des bases de données Oracle Cloud, vous devez appartenir à un groupe d'utilisateurs de votre location avec les autorisations requises sur les types de ressource du service de gestion de bases de données suivants :
dbmgmt-private-endpoints: Ce type de ressource permet à un groupe d'utilisateurs de créer des points d'extrémité privés du service de gestion de bases de données pour communiquer avec les bases de données Oracle Cloud du service de base de données de base, ExaDB-D et ExaDB-XS.dbmgmt-work-requests: Ce type de ressource permet à un groupe d'utilisateurs de surveiller les demandes de travail générées lors de l'activation des diagnostics et de la gestion.dbmgmt-family: Ce type de ressource agrégé inclut tous les types de ressource individuels du service de gestion de bases de données et permet à un groupe d'utilisateurs d'activer et d'utiliser toutes les fonctions du service de gestion de bases de données.
Voici des exemples de politiques qui accordent au groupe d'utilisateurs DB-MGMT-ADMIN l'autorisation de créer un point d'extrémité privé pour le service de gestion de bases de données et de surveiller les demandes de travail associées au point d'extrémité privé :
Allow group DB-MGMT-ADMIN to manage dbmgmt-private-endpoints in tenancyAllow group DB-MGMT-ADMIN to read dbmgmt-work-requests in tenancyUne seule politique utilisant le type de ressource agrégé Gestion de bases de données octroie au groupe d'utilisateurs DB-MGMT-ADMIN les mêmes autorisations que celles détaillées au paragraphe précédent :
Allow group DB-MGMT-ADMIN to manage dbmgmt-family in tenancyPour plus d'informations sur les types de ressource et les autorisations pour le service de gestion de bases de données, voir Informations détaillées sur les politiques pour le service de gestion de bases de données.
Autres autorisations de service Oracle Cloud Infrastructure
En plus des autorisations pour le service de gestion de bases de données, les autorisations de service Oracle Cloud Infrastructure suivantes sont requises pour activer les diagnostics et la gestion des bases de données Oracle Cloud.
- Autorisations pour le service de base de données de base, ExaDB-D, ExaDB-XS et ExaDB-C@C : Pour activer Diagnostics & Management pour les bases de données Oracle Cloud, vous devez disposer de l'autorisation
usesur les types de ressource de solution en nuage Oracle Database respectifs. Vous pouvez également utiliser une seule politique utilisant le type de ressource agrégé pour les bases de données Oracle Cloud,database-family.Voici un exemple de politique qui accorde au groupe d'utilisateurs
DB-MGMT-ADMINl'autorisation d'activer les diagnostics et la gestion pour toutes les bases de données Oracle Cloud de la location :Allow group DB-MGMT-ADMIN to use database-family in tenancyPour plus d'informations sur les sujets suivants :
- Types de ressource et autorisations pour le service de base de données de base, voir Informations détaillées sur le service de base de données de base.
- ExaDB-D types de ressource et autorisations, voir Informations détaillées sur le service de base de données Exadata sur une infrastructure dédiée.
- ExaDB - Types de ressource et autorisations XS, voir Informations détaillées sur Oracle Exadata Database Service on Exascale Infrastructure.
- ExaDB-C@C - Types de ressource et autorisations, voir Informations détaillées sur le service Exadata Database sur Cloud@Customer.
- Autorisations du service de réseau (pour les bases de données Oracle Cloud dans le service de base de données de base, ExaDB-D et ExaDB-XS) : Pour utiliser le point d'extrémité privé du service de gestion de bases de données et permettre la communication entre le service de gestion de bases de données et une base de données Oracle Cloud dans le service de base de données de base, ExaDB-D ou ExaDB-XS, vous devez avoir l'autorisation
managesur le type de ressourcevnicset l'autorisationusesur le type de ressourcesubnetset le type de ressourcenetwork-security-groupsousecurity-lists.Voici des exemples de politiques individuelles qui accordent au groupe d'utilisateurs
DB-MGMT-ADMINles autorisations requises :Allow group DB-MGMT-ADMIN to manage vnics in tenancyAllow group DB-MGMT-ADMIN to use subnets in tenancyAllow group DB-MGMT-ADMIN to use network-security-groups in tenancyou
Allow group DB-MGMT-ADMIN to use security-lists in tenancyUne seule politique utilisant le type de ressource agrégé du service de réseau accorde au groupe d'utilisateurs
DB-MGMT-ADMINles mêmes autorisations que celles décrites dans le paragraphe précédent :Allow group DB-MGMT-ADMIN to manage virtual-network-family in tenancyPour plus d'informations sur les types de ressource et les autorisations pour le service de réseau, voir la section Réseau sous Informations détaillées sur les services de base.
- Autorisations de l'agent de gestion (pour les bases de données Oracle Cloud dans ExaDB-D et ExaDB-C@C) : Pour utiliser un agent de gestion lors de l'activation des diagnostics et de la gestion pour ExaDB-D et ExaDB-C@C, vous devez disposer de l'autorisation
readsur le type de ressourcemanagement-agents.Voici un exemple de politique qui accorde au groupe d'utilisateurs
DB-MGMT-ADMINl'autorisation requise dans la location :Allow group DB-MGMT-ADMIN to read management-agents in tenancyPour plus d'informations sur les types de ressource et les autorisations pour l'agent de gestion, voir Détails pour l'agent de gestion.
- Autorisations pour le service de chambre forte : Pour créer de nouvelles clés secrètes ou utiliser des clés secrètes existantes lors de l'activation des diagnostics et de la gestion pour les bases de données Oracle Cloud, vous devez avoir l'autorisation
managesur le type de ressource agrégésecret-family.Voici un exemple de politique qui accorde au groupe d'utilisateurs
DB-MGMT-ADMINl'autorisation de créer et d'utiliser des clés secrètes dans la location :Allow group DB-MGMT-ADMIN to manage secret-family in tenancyEn plus de la politique de groupe d'utilisateurs pour le service de chambre forte, la politique de principal de ressource suivante est requise pour accorder aux ressources de base de données gérée l'autorisation d'accéder aux clés secrètes de mot de passe d'utilisateur de base de données et aux clés secrètes de portefeuille de base de données (si le protocole TCPS a été utilisé pour se connecter à la base de données) :
Allow any-user to read secret-family in compartment ABC where ALL {request.principal.type = dbmgmtmanageddatabase}Si vous voulez autoriser l'accès à une clé secrète spécifique, mettez à jour la politique à :
Allow any-user to read secret-family in compartment ABC where ALL {target.secret.id = <Secret OCID>,request.principal.type = dbmgmtmanageddatabase}Pour plus d'informations sur les types de ressource et les autorisations pour le service de chambre forte, voir Informations détaillées sur le service de chambre forte.