Documentation sur Oracle Cloud Infrastructure

Définir les données d'identification privilégiées

Vous pouvez définir les données d'identification privilégiées pour vous connecter à la base de données gérée et effectuer des tâches spécifiques.

Les données d'identification privilégiées simplifient l'accès à la base de données gérée en utilisant les données d'identification de base de données stockées dans une clé secrète du service de chambre forte pour Oracle Cloud Infrastructure. Les données d'identification privilégiées peuvent être utilisées pour assurer la connectivité par défaut à la base de données en fonction des rôles d'utilisateur et des tâches à effectuer, ce qui permet de séparer les fonctions des différents groupes d'utilisateurs et d'offrir une autre couche de sécurité. Dans Diagnostics et gestion du service de gestion de bases de données, vous pouvez définir les données d'identification préférées suivantes pour les utilisateurs afin qu'ils puissent se connecter à la base de données gérée et effectuer le jeu de tâches associé :

  • Surveillance de base : privilèges minimaux pour collecter des mesures et voir le sommaire du parc de bases de données et les détails de la base de données gérée. Les données d'identification de surveillance de base sont définies automatiquement pour l'utilisateur de surveillance lorsque Diagnostics & Management est activé.

  • Diagnostics avancés : Privilèges avancés pour utiliser des outils de diagnostic tels que le centre de performance et l'explorateur AWR. Si les données d'identification de diagnostics avancés sont définies pour une base de données gérée, elles peuvent être utilisées pour utiliser automatiquement les fonctions de diagnostic et pour effectuer des opérations de lecture dans la base de données gérée.

  • Administration : Privilèges de gestion pour exécuter des tâches d'administration telles que la création d'espaces-tables et la modification des paramètres de base de données. Si les données d'identification d'administration sont définies pour une base de données gérée, elles peuvent être utilisées pour alimenter automatiquement les données d'identification de la base de données afin d'effectuer les opérations d'écriture dans la base de données gérée.

Note

Pour les bases de données Oracle Cloud et les bases de données autonomes, les données d'identification privilégiées dans Diagnostics et Gestion ne sont disponibles que pour les utilisateurs autorisés à lire la clé secrète qui stocke le mot de passe de l'utilisateur de la base de données. Pour plus d'informations sur les autorisations, voir Effectuer les tâches préalables et obtenir les autorisations requises.

Pour plus d'informations sur les sujets suivants :

Effectuer les tâches préalables et obtenir les autorisations requises

Voici une liste des tâches courantes à effectuer avant de configurer les données d'identification privilégiées.

  1. L'administrateur de base de données crée les utilisateurs de base de données pour lesquels les données d'identification privilégiées seront définies :
    • Utilisateur du service de surveillance
      Note

      • Pour les bases de données externes et les bases de données Oracle Cloud, vous pouvez utiliser l'utilisateur DBSNMP comme utilisateur de surveillance. Il s'agit d'une option pratique, car l'utilisateur DBSNMP est intégré à Oracle Database et dispose des privilèges requis pour surveiller les bases de données dans Oracle Cloud Infrastructure. Au lieu de l'utilisateur DBSNMP, vous pouvez également utiliser un script SQL pour créer un nouvel utilisateur de base de données avec le jeu minimal de privilèges requis pour surveiller les bases de données gérées. Pour plus d'informations sur le script SQL, voir Création des données d'identification pour le service de surveillance pour Oracle Database pour le service de gestion de bases de données (KB57458) dans My Oracle Support.
      • Pour les bases de données autonomes, vous pouvez utiliser l'utilisateur ADBSNMP en tant qu'utilisateur de surveillance. Toutefois, notez que l'utilisateur ADBSNMP ne dispose pas des privilèges requis pour effectuer certaines tâches de surveillance et de gestion avancées.
    • Utilisateur des diagnostics avancés
      Note

      • Lors de la création de l'utilisateur des diagnostics avancés pour effectuer les tâches du centre de performance, vous devez vous assurer que l'utilisateur dispose des privilèges requis pour utiliser le centre de performance. Pour plus d'informations sur les privilèges requis, voir OCI : Conditions préalables pour le centre de performance (KB59684) dans My Oracle Support.
      • Pour les bases de données autonomes, les données d'identification privilégiées des diagnostics avancés doivent être définies pour utiliser l'utilisateur ADMIN pour utiliser les fonctions avancées du centre de performance, à savoir Top Activity Lite, Activity Session History et les rapports AWR au niveau de l'instance, les exécutions de tâche ADDM sur demande et le réglage SQL.
    • Utilisateur administrateur

    Pour les bases de données externes et les bases de données Oracle Cloud, vous avez la possibilité d'utiliser un script SQL pour créer un utilisateur de base de données avec le jeu de privilèges requis pour effectuer des diagnostics avancés et des tâches d'administration. Pour plus d'informations sur le script SQL, voir Création de l'utilisateur et de l'utilisateur d'administration d'Oracle Database Management Advanced Diagnostics (KB84103) dans My Oracle Support.

    Pour plus d'informations sur la création de comptes d'utilisateur, voir Création de comptes d'utilisateur dans le Guide de sécurité d'Oracle Database.

  2. Un utilisateur Oracle Cloud Infrastructure ayant les autorisations requises crée les clés secrètes du service de chambre forte suivantes pour les mots de passe d'utilisateur de base de données :
    • Clé secrète pour stocker le mot de passe de l'utilisateur du service de surveillance
    • Clé secrète pour stocker le mot de passe de l'utilisateur des diagnostics avancés
    • Clé secrète pour stocker le mot de passe de l'utilisateur administrateur

    Ces clés secrètes peuvent être créées dans différents compartiments ou dans le même compartiment avec une clé de chambre forte différente ou identique.

    Voici un exemple de politique qui accorde à un groupe d'utilisateurs l'autorisation de créer des clés secrètes :

    Allow group DB-MGMT-USER to manage secret-family in compartment ABC

    Pour plus d'informations sur la création d'une clé secrète, voir Création d'une clé secrète dans une chambre forte.

Lors de l'exécution des tâches préalables, un utilisateur disposant des autorisations suivantes peut définir les données d'identification préférées dans Diagnostics & Management :

  • Autorisation DBMGMT_MANAGED_DB_UPDATE pour définir les données d'identification privilégiées. Vous pouvez accorder l'autorisation DBMGMT_MANAGED_DB_UPDATE minimale à un groupe d'utilisateurs ou accorder des autorisations de niveau général à l'aide des verbes use ou manage et du type de ressource dbmgmt-managed-databases.

    Voici un exemple de politique avec l'autorisation minimale de définir les données d'identification privilégiées :

    Allow group DB-MGMT-USER to {DBMGMT_MANAGED_DB_UPDATE} in compartment ABC

    Voici un exemple de politique générale qui accorde à un groupe d'utilisateurs l'autorisation de définir les données d'identification privilégiées :

    Allow group DB-MGMT-USER to use dbmgmt-managed-databases in compartment ABC

    Pour plus d'informations sur les types de ressource et les autorisations pour le service de gestion de bases de données, voir Informations détaillées sur les politiques pour le service de gestion de bases de données.

  • Autorisation d'accéder à la clé secrète qui stocke le mot de passe de l'utilisateur de base de données. Voici un exemple de politique qui accorde à un groupe d'utilisateurs l'autorisation de créer des clés secrètes :

    Allow group DB-MGMT-USER to read secret-family in compartment ABC

    Si vous voulez autoriser l'accès aux clés secrètes uniquement à partir d'une chambre forte spécifique, mettez à jour la politique à ceci :

    Allow group DB-MGMT-USER to read secret-family in compartment ABC where target.vault.id = <Vault OCID>

    Pour plus d'informations sur les autorisations requises pour le service de chambre forte pour accéder aux clés secrètes et les utiliser, voir Autorisations supplémentaires requises pour utiliser les diagnostics et la gestion.

Définir les données d'identification privilégiées dans Diagnostics & Management

Vous pouvez définir les données d'identification privilégiées de diagnostic avancé et d'administration dans Diagnostics et gestion.

Note

Les données d'identification de surveillance de base sont définies lorsque Diagnostics et gestion sont activés. Toutefois, vous pouvez mettre à jour les données d'identification de surveillance de base. Pour mettre à jour les données d'identification de surveillance de base pour :
  • Bases de données externes : Mettez à jour les données d'identification de base de données spécifiées lors de la création de la connexion à la base de données externe. Pour plus d'informations, voir Mettre à jour les données d'identification de connexion d'une connexion à une base de données externe.
  • Bases de données et bases de données autonomes Oracle Cloud : Mettez à jour les données d'identification de base de données spécifiées lors de l'activation de Diagnostics et de la gestion pour la base de données Oracle Cloud :
    1. Allez à la page Administration Bases de données gérées du service de gestion des bases de données.
    2. Dans le volet de gauche, sélectionnez le compartiment dans lequel réside la base de données et le type de déploiement de la base de données.
    3. Cliquez sur l'icône Actions (Actions) de la base de données et sur Modifier les diagnostics et la gestion.
    4. Dans le panneau Modifier les diagnostics et la gestion, mettez à jour les données d'identification de base de données spécifiées pour la connexion à la base de données Oracle Cloud ou Autonomous Database sélectionnée.

Pour définir les données d'identification privilégiées de diagnostic avancé et d'administration dans Diagnostics & Management :

  1. Allez à la page Détails de la base de données gérée et, dans le volet de gauche sous Ressources, cliquez sur Données d'identification.
    L'onglet Données d'identification privilégiées s'affiche et vous pouvez définir les données d'identification privilégiées et voir des détails tels que le statut de ces données, que l'accès soit activé ou non, le nom d'utilisateur et le rôle définis dans ces données, ainsi que les données d'identification nommées associées, le cas échéant.
  2. Cliquez sur l'icône Actions (Actions) correspondant aux données d'identification privilégiées à définir, puis cliquez sur Modifier.
  3. Dans le panneau Modifier les données d'identification privilégiées, sélectionnez l'une des options suivantes dans la liste déroulante Type de données d'identification pour définir les données d'identification privilégiées :
    • Données d'identification nommées : Sélectionnez cette option pour associer les données d'identification privilégiées à des données d'identification nommées existantes :
      Note

      Si des données d'identification nommées sont utilisées (actives) et sont définies en tant que données d'identification de session pour la base de données gérée, le nom des données d'identification nommées s'affiche à côté de Actif.
      1. Portée : Sélectionnez la portée des données d'identification nommées :
        • Ressource : Les données d'identification nommées avec l'étendue Ressource peuvent être utilisées pour accéder, surveiller et gérer une seule base de données gérée.
        • Global : Des données d'identification nommées avec la portée Global peuvent être utilisées pour accéder, surveiller et gérer toutes les bases de données gérées dans Diagnostics & Management.
      2. Données d'identification nommées : Sélectionnez les données d'identification nommées. Si le compartiment dans lequel résident les données d'identification nommées est différent du compartiment affiché, cliquez sur Changer de compartiment et sélectionnez un autre compartiment.
    • Nouvelles données d'identification : Sélectionnez cette option pour créer des données d'identification :
      1. Nom d'utilisateur : Spécifiez le nom d'utilisateur de base de données à connecter à la base de données gérée.
      2. Clé secrète du mot de passe de l'utilisateur : Sélectionnez la clé secrète qui contient le mot de passe de l'utilisateur de base de données dans la liste déroulante. Notez que le mot de passe de l'utilisateur ne peut pas être stocké directement dans les données d'identification privilégiées et qu'il doit d'abord être stocké dans une clé secrète du service de chambre forte. Si le compartiment dans lequel réside la clé secrète est différent du compartiment affiché, cliquez sur Changer de compartiment et sélectionnez un autre compartiment.

        Si aucune clé secrète existante avec le mot de passe de l'utilisateur de la base de données n'est disponible, sélectionnez Créer une nouvelle clé secrète... dans la liste déroulante. Pour plus d'informations sur l'autorisation requise pour créer une clé secrète et sur la façon de la créer, voir Effectuer les tâches préalables et obtenir les autorisations requises.

      3. Rôle : Sélectionnez le rôle dans les options disponibles.
      4. Enregistrer comme nouvelles données d'identification nommées : Facultativement, cochez cette case et spécifiez un nom pour les données d'identification nommées et l'une des options de mode d'accès par mot de passe suivantes pour enregistrer les nouvelles données d'identification en tant que données d'identification nommées.
        • Utilisateur : L'autorisation d'accéder à la clé secrète du mot de passe est définie pour un utilisateur dans la politique.
        • Ressource : L'autorisation d'accéder à la clé secrète du mot de passe est définie pour le type de ressource (pour laquelle les données d'identification nommées sont créées) dans la politique.

    Pour plus d'informations sur les données d'identification nommées, voir Créer et gérer les données d'identification nommées.

  4. Facultativement, cliquez sur Tester pour vérifier si la connexion à la base de données gérée a été établie à l'aide des données d'identification.
  5. Cliquez sur Enregistrer pour enregistrer les données d'identification.
Dans l'onglet Données d'identification privilégiées, vous pouvez cliquer sur le nom des données d'identification pour voir des détails tels que le nom d'utilisateur et la clé secrète du mot de passe, si les données d'identification sont définies. Vous pouvez également cliquer sur l'icône Actions (Actions) correspondant à des données d'identification privilégiées pour les modifier, les voir ou les effacer.
Note

  • Si les données d'identification privilégiées d'administration sont définies, elles sont remplies automatiquement lorsque vous effectuez des tâches telles que la création d'un travail ou d'un espace-table, et vous avez la possibilité d'utiliser ces données d'identification ou d'en fournir de nouvelles. Toutefois, si les données d'identification privilégiées d'administration sont définies pour la tâche ADDM d'exécution sur demande ou pour la tâche d'arrêt de sessions dans le centre de performance, elles sont sélectionnées automatiquement.
  • Si des données d'identification de session sont définies et que des données d'identification privilégiées sont également définies à l'aide de données d'identification d'utilisateur différentes, les données d'identification de session ont préséance sur les données d'identification privilégiées et sont automatiquement sélectionnées lorsque vous effectuez des tâches. Vous avez la possibilité d'utiliser les données d'identification de session, de sélectionner les données d'identification privilégiées ou de fournir de nouvelles données d'identification. Si des données d'identification de session sont définies, elles sont utilisées pour exécuter la tâche ADDM sur demande ou pour mettre fin aux sessions dans le centre de performance. Pour plus d'informations sur les données d'identification de session, voir Définir les données d'identification de session.
  • Si les données d'identification privilégiées ne sont pas définies, alors :
    • L'utilisateur du service de surveillance est utilisé pour la surveillance de base.
    • Les données d'identification de session peuvent être définies pour être utilisées dans une session particulière.
    • Les données d'identification de base de données doivent être spécifiées lors des opérations d'écriture.

Autorisations requises pour utiliser les données d'identification privilégiées pour effectuer des tâches

Voici quelques exemples de scénario qui répertorient les politiques IAM, qui accordent les autorisations requises pour utiliser les données d'identification privilégiées. Ces scénarios partent des hypothèses suivantes :

  • Les données d'identification privilégiées ont été définies par un utilisateur Oracle Cloud Infrastructure disposant des autorisations requises.
  • Les données d'identification privilégiées ont été définies pour les utilisateurs de base de données suivants, qui doivent disposer des autorisations Oracle Cloud Infrastructure pour voir les données d'identification privilégiées et effectuer le jeu de tâches de diagnostic et de gestion associé.
    • Utilisateur des diagnostics avancés
    • Utilisateur administrateur

    Pour plus d'informations sur les tâches préalables et les autorisations requises pour définir les données d'identification privilégiées, voir Effectuer les tâches préalables et obtenir les autorisations requises.

Scénario 1 : Si les données d'identification privilégiées des diagnostics avancés sont définies pour l'utilisateur des diagnostics avancés, cet utilisateur a besoin des autorisations suivantes pour voir les données d'identification privilégiées et effectuer le jeu de tâches associé :

  • Autorisation du service de gestion de bases de données pour effectuer la tâche Diagnostics et gestion. Par exemple, pour voir les espaces-tables, l'utilisateur des diagnostics avancés aura besoin de l'autorisation DBMGMT_MANAGED_DB_READ.

    Voici un exemple de politique qui accorde à un groupe d'utilisateurs l'autorisation de voir les espaces-tables :

    Allow group DB-MGMT-USER to read dbmgmt-managed-databases in compartment ABC
  • Autorisation pour le service de chambre forte pour lire la clé secrète qui contient le mot de passe de l'utilisateur des diagnostics avancés.

    Voici un exemple de politique qui accorde à un groupe d'utilisateurs l'autorisation de lire des clés secrètes :

    Allow group DB-MGMT-USER to read secrets in compartment ABC

Scénario 2 : Si les données d'identification privilégiées d'administration sont définies pour l'utilisateur administrateur, ce dernier a besoin des autorisations suivantes pour voir les données d'identification privilégiées et effectuer le jeu de tâches associé :

  • Autorisation du service de gestion de bases de données pour effectuer la tâche Diagnostics et gestion. Par exemple, pour créer des espaces-tables, l'utilisateur administrateur aura besoin de l'autorisation DBMGMT_MANAGED_DB_CONTENT_WRITE.

    Voici un exemple de politique qui accorde à un groupe d'utilisateurs l'autorisation de créer des espaces-tables :

    Allow group DB-MGMT-USER to use dbmgmt-managed-databases in compartment ABC
  • Autorisation pour le service de chambre forte pour lire la clé secrète qui contient le mot de passe de l'utilisateur administrateur.

    Voici un exemple de politique qui accorde à un groupe d'utilisateurs l'autorisation de lire des clés secrètes :

    Allow group DB-MGMT-USER to read secrets in compartment ABC

Pour plus d'informations sur les autorisations requises pour le service de gestion de bases de données pour effectuer chaque tâche, voir Informations détaillées sur les politiques pour le service de gestion de bases de données.

Informations supplémentaires sur les données d'identification privilégiées

Voici un tableau qui répertorie certaines des tâches de diagnostic et de gestion qui peuvent être effectuées avec les données d'identification privilégiées de diagnostic avancé et d'administration.

Note

Si des données d'identification de session sont définies et que des données d'identification privilégiées sont également définies à l'aide de données d'identification d'utilisateur différentes, les données d'identification de session ont préséance sur les données d'identification privilégiées et sont automatiquement sélectionnées lorsque vous effectuez des tâches. Vous avez la possibilité d'utiliser les données d'identification de session, de sélectionner les données d'identification privilégiées ou d'en fournir de nouvelles. Si des données d'identification de session sont définies, elles sont utilisées pour exécuter la tâche ADDM sur demande ou pour mettre fin aux sessions dans le centre de performance. Pour plus d'informations sur les données d'identification de session, voir Définir les données d'identification de session.
Données d'identification privilégiées Tâches
Diagnostics avancés Effectuez toutes les tâches dans le centre de performance, à l'exception de l'exécution du moniteur ADDM à la demande et de la fin des sessions, qui nécessitent les données d'identification privilégiées de l'administration.

Pour plus d'informations, voir Caractéristiques du centre de performance.

Effectuez toutes les tâches dans ADDM Spotlight, à l'exception de l'exécution de SQL Tuning Advisor et de la modification des paramètres de base de données, qui nécessitent les informations d'identification et de connexion (credentials) privilégiées par l'administration.

Pour plus d'informations, voir Surveiller et gérer une base de données gérée spécifique.

Effectuer toutes les tâches liées à l'explorateur AWR.

Pour plus d'informations, voir Utiliser l'explorateur AWR pour analyser la performance de la base de données.

Voir les journaux d'alerte et d'attention.

Pour plus d'informations, voir Voir les journaux d'alertes.

Effectuer toutes les tâches de réglage SQL en lecture seule, telles que consulter les tâches de réglage SQL, les ensembles de réglages SQL et les conclusions et recommandations de SQL Tuning Advisor.

Pour plus d'informations, voir Analyser des énoncés SQL à l'aide de SQL Tuning Advisor.

Répertorier les ensembles de réglages SQL et voir les détails de ces derniers.

Pour plus d'informations, voir Gérer les jeux de réglages SQL.

Effectuez toutes les tâches SPM en lecture seule, telles que l'affichage des lignes de base de plan SQL, des détails de configuration des lignes de base de plan SQL et des tâches soumises pour charger les lignes de base de plan SQL.

Pour plus d'informations, voir Utiliser SPM pour gérer les plans d'exécution SQL.

recherche d'instructions SQL;

Pour plus d'informations, voir Rechercher des énoncés SQL.

Rechercher des sessions.

Pour plus d'informations, voir Sessions de recherche.

Voir le sommaire et les tâches des statistiques de l'optimiseur, ainsi que le sommaire et les tâches du service de conseils sur les statistiques de l'optimiseur.

Pour plus d'informations, voir Surveiller et analyser les statistiques de l'optimiseur.

Surveillez les sauvegardes.

Pour plus d'informations, voir Surveiller les sauvegardes d'une base de données gérée spécifique.

Voir les espaces-tables.

Pour plus d'informations, voir Surveiller et gérer les espaces-tables et les fichiers de données.

Voir les utilisateurs et les détails de chaque utilisateur.

Pour plus d'informations, voir Voir les utilisateurs.

Voir les paramètres de base de données.

Pour plus d'informations, voir Voir et modifier les paramètres de base de données.

Administration Mettez fin aux sessions dans le centre de performance ou dans la section Sessions de recherche de la page Détails de la base de données gérée.

Pour plus d'informations, voir :
Exécuter des tâches ADDM sur demande dans le centre de performance.

Pour plus d'informations, voir Exécuter une tâche ADDM.

Utiliser les paramètres AWR pour la collecte d'instantanés dans le centre de performance.

Pour plus d'informations, consultez Paramètres AWR.

Exécutez SQL Tuning Advisor dans ADDM Spotlight.

Pour plus d'informations, voir Surveiller et gérer une base de données gérée spécifique.

Modifiez les paramètres de base de données dans ADDM Spotlight.

Pour plus d'informations, voir Surveiller et gérer une base de données gérée spécifique.

Exécutez SQL Tuning Advisor et implémentez des recommandations.

Pour plus d'informations, voir Analyser des énoncés SQL à l'aide de SQL Tuning Advisor.

Créez, chargez et supprimez des ensembles de réglages SQL.

Pour plus d'informations, voir Gérer les jeux de réglages SQL.

Mettre en oeuvre les recommandations du service de conseils sur les statistiques de l'optimiseur.

Pour plus d'informations, voir Surveiller et analyser les statistiques de l'optimiseur.

Effectuez des tâches de configuration SPM et d'autres tâches telles que le chargement de lignes de base de plan SQL.

Pour plus d'informations, voir Utiliser SPM pour gérer les plans d'exécution SQL.

Créer, modifier et supprimer des espaces-tables et des fichiers de données.

Pour plus d'informations, voir Surveiller et gérer les espaces-tables et les fichiers de données.

Modifier les paramètres de base de données.

Pour plus d'informations, voir Voir et modifier les paramètres de base de données.

Créer des tâches.

Pour plus d'informations, voir Créer une tâche.