Documentation sur Oracle Cloud Infrastructure

Politiques et autorisations obligatoires

Les groupes d'utilisateurs qui gèrent le service MySQL HeatWave doivent disposer des politiques et des autorisations obligatoires pour accéder aux ressources et les gérer.

Politiques obligatoires

Définissez les politiques obligatoires au niveau de la location pour accéder à diverses ressources de système de base de données.

Tableau 20-1 Politiques obligatoires

Politique Description
Allow group <group_name> to {COMPARTMENT_INSPECT} in compartment <compartment_name> Octroie l'autorisation COMPARTMENT_INSPECT aux membres de <group_name>. Cette autorisation permet au groupe de lister et de lire le contenu du compartiment spécifié.
Allow group <group_name> to {VCN_READ, SUBNET_READ, SUBNET_ATTACH, SUBNET_DETACH} in compartment <compartment_name> Octroie les autorisations VCN_READ, SUBNET_READ, SUBNET_ATTACH et SUBNET_DETACH aux membres de <group_name>. Ces autorisations permettent au groupe de lire, d'attacher et de détacher des sous-réseaux et de lire des réseaux en nuage virtuels dans le compartiment spécifié. Vous avez besoin de cet énoncé de politique pour attacher un système de base de données ou une réplique de lecture au sous-réseau d'un VCN.
Allow group <group_name> to {VNIC_CREATE, VNIC_DELETE, VNIC_UPDATE, NETWORK_SECURITY_GROUP_UPDATE_MEMBERS, VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP} in compartment <compartment_name> (Pour le point d'extrémité de lecture et l'équilibreur de charge de réplique de lecture) Octroie les autorisations VNIC_CREATE, VNIC_DELETE, VNIC_UPDATE, NETWORK_SECURITY_GROUP_UPDATE_MEMBERS et VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP aux membres de <group_name>. Vous avez besoin de cet énoncé de politique pour créer automatiquement un équilibreur de charge de réplique de lecture lors de la création de la première réplique de lecture d'un système de base de données ou pour créer un point d'extrémité de lecture d'un système de base de données.

Allow group <group_name> to {NETWORK_SECURITY_GROUP_READ, NETWORK_SECURITY_GROUP_UPDATE_MEMBERS} in compartment <NSG_compartment_name>

Allow group <group_name> to {VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP, VNIC_DISASSOCIATE_NETWORK_SECURITY_GROUP} in compartment <compartment_name>

Allow any-user to {NETWORK_SECURITY_GROUP_UPDATE_MEMBERS} in compartment <NSG_compartment_name> where all {request.principal.type='mysqldbsystem', request.resource.compartment.id='<DBsystem_compartment_OCID>'}

Allow any-user to {VNIC_CREATE, VNIC_UPDATE, VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP, VNIC_DISASSOCIATE_NETWORK_SECURITY_GROUP} in compartment <subnet_compartment_name> where all {request.principal.type='mysqldbsystem', request.resource.compartment.id='<DBsystem_compartment_OCID>'}		 (Pour les groupes de sécurité de réseau dans le système de base de données ou la réplique de lecture)

Octroie les autorisations NETWORK_SECURITY_GROUP_READ et NETWORK_SECURITY_GROUP_UPDATE_MEMBERS pour permettre au groupe de lire les groupes de sécurité de réseau et de mettre à jour les ressources parents des groupes de sécurité de réseau dans le compartiment spécifié.

Octroie les autorisations VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP et VNIC_DISASSOCIATE_NETWORK_SECURITY_GROUP pour permettre aux systèmes de base de données et à la réplique de lecture du compartiment spécifié d'être associés et dissociés des groupes de sécurité de réseau.

Il s'agit d'un principal de ressource qui accorde l'autorisation NETWORK_SECURITY_GROUP_UPDATE_MEMBERS sur les groupes de sécurité de réseau du compartiment <NSG_compartment_name> aux systèmes de base de données du compartiment ayant l'OCID <DBsystem_compartment_OCID>.

Il s'agit d'un principal de ressource qui accorde l'autorisation VNIC_CREATE, VNIC_UPDATE, VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP et VNIC_DISASSOCIATE_NETWORK_SECURITY_GROUP sur les cartes vNIC du compartiment <subnet_compartment_name> aux systèmes de base de données du compartiment ayant l'OCID <DBsystem_compartment_OCID>.

Allow group <group_name> to read leaf-certificates in compartment <certificate_compartment_name>

Allow any-user to read leaf-certificate-family in compartment <certificate_compartment_name> where all {request.principal.type = 'mysqldbsystem', request.resource.compartment.id='<DBsystem_compartment_OCID>'}		 (Pour le certificat défini par l'utilisateur ou utilisez votre propre certificat uniquement)

Octroie les autorisations de lecture du type de ressource leaf-certificates aux membres de <group_name>. L'autorisation permet au groupe d'affecter un certificat de sécurité dans le compartiment spécifié à un système de base de données.

Il s'agit d'un principal de ressource qui accorde les autorisations de lecture du type de ressource agrégé leaf-certificate-family dans le compartiment <certificate_compartment_name> aux systèmes de base de données du compartiment ayant l'OCID <DBsystem_compartment_OCID>.

Allow group <group_name> to read vaults in compartment <vault_compartment_name>

Allow group <group_name> to read keys in compartment <key_compartment_name>

Allow any-user to use key-delegate in compartment <key_compartment_name> where all {request.principal.type = 'mysqldbsystem', request.resource.compartment.id='<DBsystem_compartment_OCID>'}

Allow service blockstorage, objectstorage-<region> to use keys in compartment <key_compartment_name> where target.key.id='<key_OCID>'

Endorse any-user to {VOLUME_UPDATE, VOLUME_INSPECT, VOLUME_CREATE, VOLUME_BACKUP_READ, VOLUME_BACKUP_UPDATE, BUCKET_UPDATE, VOLUME_GROUP_BACKUP_CREATE, VOLUME_BACKUP_COPY, VOLUME_BACKUP_CREATE, TAG_NAMESPACE_INSPECT, TAG_NAMESPACE_USE} in any-tenancy where request.principal.type = 'mysqldbsystem'

Endorse any-user TO associate keys in tenancy with volumes in any-tenancy where request.principal.type = 'mysqldbsystem'

Endorse any-user to associate keys in tenancy with volume-backups in any-tenancy where request.principal.type = 'mysqldbsystem'

Endorse any-user to associate keys in tenancy with buckets in any-tenancy where request.principal.type = 'mysqldbsystem'

 (Pour une clé de chiffrement gérée par l'utilisateur ou utilisez votre propre clé uniquement)

Permet d'accéder aux membres de <group_name> pour lire les chambres fortes dans le compartiment <vault_compartment_name>.

Permet d'accéder aux membres de <group_name> pour lire les chambres fortes dans le compartiment <key_compartment_name>.

Il s'agit d'un principal de ressource qui accorde aux systèmes de base de données du compartiment doté de l'OCID <DBsystem_compartment_OCID> la délégation de l'utilisation des clés de chiffrement du compartiment <key_compartment_name> à d'autres services. Une politique complémentaire est requise pour que l'autre service puisse utiliser les clés de chiffrement.

Autorise le service de volume par blocs et le service de stockage d'objets dans la région <region> à utiliser une clé de chiffrement avec la valeur OCID égale à <key_OCID> dans le compartiment <key_compartment_name>.

Il s'agit d'un principal de ressource qui endosse ou autorise les systèmes de base de données de cette location à disposer des autorisations listées pour toutes les locations qui fournissent des autorisations ADMIT équivalentes sur cette location.

Il s'agit d'un principal de ressource qui endosse ou permet aux systèmes de base de données de cette location d'associer ou d'utiliser les clés de cette location à volumes dans n'importe quelle location.

Il s'agit d'un principal de ressource qui endosse ou permet aux systèmes de base de données de cette location d'associer ou d'utiliser les clés de cette location à volume-backups dans n'importe quelle location.

Il s'agit d'un principal de ressource qui endosse ou permet aux systèmes de base de données de cette location d'associer ou d'utiliser les clés de cette location à buckets dans n'importe quelle location.

Obsolète dans la version 9.4.0 : Allow service mysql_dp_auth to {AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT, DYNAMIC_GROUP_INSPECT} in tenancy

Pour la version 9.4.0 ou supérieure : Allow any-user to {AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT, DYNAMIC_GROUP_INSPECT} in tenancy where request.principal.type = 'mysqldbsystem'

 (Pour le plugiciel authentication_oci uniquement) Octroie l'autorisation AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT et DYNAMIC_GROUP_INSPECT pour mapper les utilisateurs MySQL du système de base de données aux utilisateurs et groupes existants définis dans le service IAM. Voir Authentification à l'aide du plugiciel authentication_oci.
Allow group <group_name> to read metrics in compartment <compartment_name> (Pour la lecture des mesures uniquement) Permet d'accéder aux membres de <group_name> pour lire les mesures dans la console. Outre cette politique, vous avez également besoin de la politique suivante pour lire les mesures :

Allow group <group name> to read mysql-family in compartment <compartment_name>

Tableau 20-2 Services associés

Service associé Description
Certificats (Apportez votre propre certificat)

Vous devez définir des politiques pour affecter des certificats de sécurité aux systèmes de base de données.

Vous devez définir un principal de ressource pour permettre aux systèmes de base de données d'accéder aux certificats de sécurité. Voir Principaux de ressources.

Gestion de bases de données

Vous devez définir des politiques pour activer et utiliser le service de gestion de bases de données. Voir Autorisations requises pour utiliser le service de gestion de bases de données.

Autorisations obligatoires

Les groupes d'utilisateurs du service MySQL HeatWave doivent disposer des autorisations obligatoires pour lire le contenu des compartiments, utiliser les réseaux en nuage virtuels et gérer le service MySQL HeatWave.

Tableau 20-3 Autorisations obligatoires

Autorisation Description
COMPARTMENT_INSPECT Octroie les droits de lecture et de consultation du contenu des compartiments.
VCN_READ, SUBNET_READ, SUBNET_ATTACH, SUBNET_DETACH Accorde les droits de lecture, attachement et détachement de sous-réseaux, et de lecture de VCN. Vous ne pouvez pas associer un système de base de données à un réseau sans ces types de ressource.
NETWORK_SECURITY_GROUP_READ, NETWORK_SECURITY_GROUP_UPDATE_MEMBERS, VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP, VNIC_DISASSOCIATE_NETWORK_SECURITY_GROUP (Pour les groupes de sécurité de réseau) Octroie des droits d'association et de dissociation de groupes de sécurité de réseau à un système de base de données ou à une réplique de lecture.
CERTIFICATE_READ (Pour un certificat défini par l'utilisateur ou apportez votre propre certificat) Octroie le droit de lire les certificats de sécurité dans le service de certificats. Vous ne pouvez pas affecter de certificat de sécurité à un système de base de données sans cette autorisation.
AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT, DYNAMIC_GROUP_INSPECT (Pour le plugiciel authentication_oci) Octroie les droits de mappage des utilisateurs MySQL du système de base de données aux utilisateurs et groupes existants définis dans le service IAM.
VNIC_CREATE, VNIC_DELETE,VNIC_UPDATE, NETWORK_SECURITY_GROUP_UPDATE_MEMBERS,VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP (Pour le point d'extrémité de lecture et l'équilibreur de charge de réplique de lecture) Octroie les droits de création d'un point d'extrémité de lecture ou d'un équilibreur de charge de réplique de lecture.

Tableau 20-4 Services associés

Permissions Description
Certificats (Apportez votre propre certificat)

Vous devez disposer des autorisations nécessaires pour lire les certificats de sécurité.

Les systèmes de base de données ont besoin d'autorisations pour accéder aux certificats de sécurité. Voir Principaux de ressources.

Gestion de bases de données

Vous devez disposer d'autorisations pour activer et utiliser le service de gestion de bases de données. Voir Autorisations requises pour utiliser le service de gestion de bases de données.