Documentation sur Oracle Cloud Infrastructure

Permissions

Les autorisations de service Oracle Cloud Infrastructure suivantes sont requises pour activer le service de données clés sur l'exploitation pour les bases de données Oracle Cloud et en outre pour les systèmes Exadata Cloud Service.

Note

Lorsque des politiques obsolètes sont détectées, Policy Advisor affiche une bannière nécessitant une mise à jour de politique au nouveau format CRISP. Pour la mettre à jour, cliquez sur le bouton Mettre à jour les politiques préalables. Pour plus d'informations sur les politiques obsolètes, voir : Suppression d'une politique de principal de service.Avertissement du conseiller en politiques
  • Autorisations pour les systèmes de base de données sans système d'exploitation et sur machine virtuelle et Exadata Cloud Service : Pour activer le service de données clés sur l'exploitation pour les bases de données Oracle Cloud, vous devez disposer des autorisations requises pour les systèmes de base de données sans système d'exploitation et sur machine virtuelle et Exadata Cloud Service.
    Note

    Pour utiliser les données clés Exadata, vous devez activer la cible Exadata et non la base de données directement.
    Voici un exemple de politique qui accorde au groupe d'utilisateurs opsi-admins l'autorisation d'activer le service de données clés sur l'exploitation pour les bases de données Oracle Cloud dans la location :
    Note

    Ces politiques peuvent également avoir une portée par compartiment. 
    allow group opsi-admins to read database-family in tenancy
    Pour Exadata, les politiques suivantes sont également requises :
    Note

    Ces politiques peuvent également avoir une portée par compartiment. 
    allow group opsi-admins to read cloud-exadata-infrastructures in tenancy
    allow group opsi-admins to read cloud-vmclusters in tenancy

    Pour plus d'informations sur des systèmes de base de données sans système d'exploitation et sur machine virtuelle spécifiques ainsi que sur les types de ressource et les autorisations du service Exadata Cloud, voir Informations détaillées sur les politiques pour le service de base de données de base et Informations détaillées sur les instances Exadata Cloud Service.

  • Autorisations pour le service de réseau : Pour utiliser le point d'extrémité privé du service de données clés sur l'exploitation et activer la communication entre le service de données clés sur l'exploitation et la base de données Oracle Cloud, vous devez disposer de l'autorisation manage sur le type de ressource vnics et de l'autorisation use sur le type de ressource subnets, et soit le type de ressource network-security-groups ou security-lists (Vous pouvez ouvrir l'accès au réseau au moyen d'un groupe de sécurité de réseau (la base de données aurait dû être configurée pour l'utiliser), ou le sous-réseau doit avoir les listes de sécurité appropriées (le sous-réseau dans lequel réside la base de données)).

    Voici des exemples de politiques individuelles qui accordent au groupe d'utilisateurs opsi-admins les autorisations requises : 

    allow group opsi-admins to manage vnics in tenancy
allow group opsi-admins to use subnets in tenancy
allow group opsi-admins to use network-security-groups in tenancy
    
allow group opsi-admins to use security-lists in tenancy

    Ou une seule politique utilisant le type de ressource agrégé du service de réseau accorde au groupe d'utilisateurs opsi-admins les mêmes autorisations que celles décrites dans le paragraphe précédent : 

    allow group opsi-admins to manage virtual-network-family in tenancy

    Pour plus d'informations sur les types de ressource et les autorisations pour le service de réseau, voir la section Réseau sous Informations détaillées sur les services de base.

  • Autorisations du service de chambre forte :

    Les données d'identification de base de données en nuage sont ajoutées au service de chambre forte OCI. Vous devrez donc écrire une politique pour permettre au service de données clés sur l'exploitation de les lire pour les collectes de données de mesure. Pour créer de nouvelles clés secrètes ou utiliser des clés secrètes existantes lorsque vous spécifiez les données d'identification de la base de données pour activer le service de données clés sur l'exploitation pour les bases de données Oracle Cloud, vous devez disposer de l'autorisation manage sur le type de ressource agrégé secret-family.

    Voici un exemple de politique qui accorde au groupe d'utilisateurs opsi-admins l'autorisation de créer et d'utiliser des clés secrètes dans la location : 

    allow group opsi-admins to manage secret-family in tenancy

    En plus de la politique de groupe d'utilisateurs pour le service de chambre forte, la politique de service suivante est requise pour accorder au service de données clés sur l'exploitation l'autorisation de lire les clés secrètes de mot de passe de base de données dans une chambre forte spécifique :

    allow any-user to read secret-family in tenancy where 
ALL{request.principal.type='opsidatabaseinsight', target.vault.id =  'Vault OCID'}
    Note

    Le compartiment ABC est le compartiment de la chambre forte. Ce compartiment n'est pas obligatoire pour correspondre au compartiment de la base de données.

    Pour plus d'informations sur les types de ressource et les autorisations pour le service de chambre forte, voir Informations détaillées sur le service de chambre forte.