Droits d'accès supplémentaires requis pour utiliser les diagnostics et la gestion pour les bases de données Autonomous AI

Afin d'utiliser Diagnostics et gestion pour les bases de données Autonomous AI, les droits d'accès du service Oracle Cloud Infrastructure suivants sont requis en plus des droits d'accès Database Management.

• Autorisation de base de données Autonomous AI : un droit d'accès de base de données Autonomous AI est requis pour visualiser le nombre total de bases de données Autonomous AI dans le compartiment sélectionné sur la mosaïque Bases de données Oracle sur la page Présentation de Database Management, et pour extraire des données des bases de données Autonomous AI et les afficher sur les pages Récapitulatif de parc Oracle Database et Détails de la base de données gérée :

  Pour accorder ce droit d'accès, une stratégie avec le verbe manage et les types de ressource Autonomous AI Database doit être créée. Voici un exemple dans lequel le type agrégé de ressource autonomous-database-family est utilisé :

  Allow group DB-MGMT-USER to manage autonomous-database-family in compartment ABC

  Remarque
  
  Vous pouvez également créer la stratégie suivante pour accorder à un groupe d'utilisateurs le droit d'afficher le nombre total de bases de données Oracle, qui incluent des bases de données Autonomous AI, des bases de données externes et des bases de données Oracle Cloud dans le compartiment, sur la mosaïque Bases de données Oracle.

  Allow group DB-MGMT-USER to {DATABASE_SERVICE_USAGE_INSPECT} in compartment ABC

  Pour plus d'informations sur les types de ressource et les droits d'accès de base de données Autonomous AI, reportez-vous à Stratégies IAM pour Autonomous AI Database Serverless et à Stratégies IAM pour Autonomous AI Database on Dedicated Exadata Infrastructure.

• Droit d'accès de l'agent de gestion : le droit d'accès de l'agent de gestion est requis pour surveiller la base de données Autonomous AI si un agent de gestion a été utilisé pour activer la communication entre Database Management et la base de données Autonomous AI.

  Pour accorder ce droit d'accès, une stratégie avec le verbe read et le type de ressource d'agent de gestion management-agents doit être créée. Voici un exemple :

  Allow group DB-MGMT-USER to read management-agents in tenancy

• Droits d'accès du service Monitoring : les droits d'accès du service Monitoring sont requis pour effectuer les opérations suivantes.
  • Visualisez les mesures de base de données sur les pages Récapitulatif de parc Oracle Database et Détails de la base de données gérée.
  • Visualisez les données de performances de base de données dans les tableaux de bord définis par Oracle et utilisez les mesures du service Monitoring pour créer des widgets.
  • Afficher les alarmes de base de données ouvertes sur les pages Diagnostics et Gestion.
  • Effectuez les tâches liées aux alarmes dans la section Définitions d'alarme de la page Détails de la base de données gérée.

  Voici des informations sur les stratégies qui fournissent les droits d'accès requis pour effectuer les tâches indiquées dans la liste précédente :

  • Afin de visualiser les données de performances de base de données dans Diagnostics & Management et d'utiliser les mesures du service Monitoring pour créer des widgets, vous devez créer une stratégie avec le verbe read pour le type de ressource metrics. Voici un exemple :

    Allow group DB-MGMT-USER to read metrics in compartment ABC

  • Pour afficher les alarmes de base de données ouvertes sur les pages Diagnostics et gestion, ainsi que les pages Statut d'alarme et Définitions d'alarme du service Monitoring, vous devez créer une stratégie avec le verbe read pour le type de ressource alarms (en plus d'une stratégie avec le verbe read pour le type de ressource metrics). Voici un exemple :

    Allow group DB-MGMT-USER to read alarms in compartment ABC

  • Pour effectuer des tâches liées aux alarmes dans la section Définitions d'alarme de la page Détails de la base de données gérée, une stratégie avec le verbe manage pour le type de ressource alarms doit être créée (en plus d'une stratégie avec le verbe read pour le type de ressource metrics). Voici un exemple :

    Allow group DB-MGMT-USER to manage alarms in compartment ABC

  Afin de construire des requêtes et de créer des alarmes pour les mesures de base de données à l'aide du service Monitoring, d'autres droits d'accès sont requis. Afin d'obtenir des informations sur les sujets suivants, reportez-vous aux rubriques indiquées :

  • Pour les types de ressource et les droits d'accès du service Monitoring, reportez-vous à Détails de Monitoring.

  • Pour les stratégies courantes du service Monitoring, reportez-vous à Stratégies courantes.

• Droit d'accès du service Notifications : un droit d'accès du service Notifications est requis pour utiliser ou créer des sujets et des abonnements lors de la création d'alarmes dans la section Définitions d'alarme de la page Détails de la base de données gérée.

  Pour accorder ce droit d'accès, une stratégie avec le verbe use ou manage pour le type de ressource ons-topics doit être créée (en plus des droits d'accès du service Monitoring). Voici un exemple de stratégie avec le verbe manage qui vous permet de créer un sujet lors de la création d'une alarme :

  Allow group DB-MGMT-USER to manage ons-topics in compartment ABC

  Pour plus d'informations sur les types de ressource et les droits d'accès du service Notifications, reportez-vous à Détails du service Notifications.

• Droits d'accès du service Vault : un droit d'accès du service Vault est requis afin d'utiliser des clés secrètes lorsque vous indiquez des informations d'identification de base de données pour effectuer des tâches telles que créer un travail et modifier les paramètres de base de données dans Diagnostics et gestion. Si des informations d'identification enregistrées et nommées sont définies, ce droit d'accès est également requis pour utiliser ces informations d'identification afin d'accéder aux bases de données gérées, de les gérer et de les surveiller.

  Afin d'accorder ce droit d'accès, vous devez créer une stratégie avec le verbe read pour les types de ressource du service Vault. Voici un exemple dans lequel le type agrégé de ressource secret-family est utilisé :

  Allow group DB-MGMT-USER to read secret-family in compartment ABC

  Pour autoriser l'accès aux clés secrètes d'un coffre uniquement, mettez à jour la stratégie comme suit :

  Allow group DB-MGMT-USER to read secret-family in compartment ABC where target.vault.id = <Vault OCID>

  En plus de la stratégie de groupe d'utilisateurs du service Vault, la stratégie de principal de ressource suivante peut être requise pour accorder le droit d'accès aux clés secrètes lors de la création d'un travail programmé :

  Allow any-user to read secret-family in compartment ABC where ALL {target.secret.id = <Secret OCID>,request.principal.type = dbmgmtmanageddatabase}

  Pour plus d'informations sur les types de ressource et les droits d'accès du service Vault, reportez-vous à Détails du service Vault.

• Droits d'accès au tableau de bord de gestion : les droits d'accès au tableau de bord de gestion sont requis pour utiliser les tableaux de bord des bases de données Autonomous AI pour lesquelles Diagnostics & Management est activé.

  Pour effectuer des tâches telles que la création d'un tableau de bord ou d'un widget, vous devez disposer des droits d'accès requis sur les types de ressource du tableau de bord de gestion suivants :

  • management-dashboard : ce type de ressource permet à un groupe d'utilisateurs d'utiliser des tableaux de bord.
  • management-saved-search : ce type de ressource permet à un groupe d'utilisateurs d'utiliser les recherches enregistrées dans un tableau de bord.

  Pour plus d'informations sur les types de ressource, les droits d'accès et les opérations d'API relatifs au tableau de bord de gestion, et afin d'obtenir des exemples de stratégie, reportez-vous à Détails relatifs au tableau de bord de gestion.

• Droits d'accès du service Object Storage : des droits d'accès du service Object Storage sont requis pour utiliser la fonctionnalité Travaux dans Diagnostics et gestion.
  • Pour permettre à un groupe d'utilisateurs de lire les résultats d'un travail de type Requête stockés dans un bucket Object Storage, vous devez créer deux stratégies. Voici des exemples :

    Allow group DB-MGMT-USER to read buckets in compartment ABC

    et

    Allow group DB-MGMT-USER to manage objects in compartment ABC

  • En plus de la stratégie de groupe d'utilisateurs pour le service Object Storage, la stratégie de principal de ressource suivante est requise afin d'autoriser les ressources de base de données gérée à écrire les résultats des travaux programmés sur le service Object Storage :

    Allow any-user to manage objects in compartment ABC where ALL {target.bucket.name = <Bucket Name>,request.principal.type = dbmgmtmanageddatabase}

  Pour plus d'informations sur les types de ressource et les droits d'accès du service Object Storage, reportez-vous à Détails relatifs à Object Storage, Archive Storage et Data Transfer.

• Balisage des droits d'accès du service : pour plus d'informations sur les droits d'accès requis pour utiliser des balises dans Diagnostics et gestion, reportez-vous à Balisage de l'authentification et de l'autorisation.