Afin d'utiliser les diagnostics et la gestion pour les bases de données externes, les droits d'accès de service Oracle Cloud Infrastructure suivants sont requis en plus des droits d'accès Database Management.

• Droit d'accès du service External Database : un droit d'accès du service External Database est requis pour visualiser le nombre total de bases de données externes dans le compartiment sélectionné sur la mosaïque Bases de données Oracle de la page Présentation de Database Management.

  Pour accorder ce droit d'accès, vous devez créer une stratégie avec le verbe inspect et les types de ressource du service External Database. Voici un exemple dans lequel le type agrégé de ressource external-database-family est utilisé :

  Allow group DB-MGMT-USER to inspect external-database-family in compartment ABC

  Remarque
  
  Vous pouvez également créer la stratégie suivante pour accorder à un groupe d'utilisateurs le droit d'afficher le nombre total de bases de données Oracle, y compris les bases de données externes, Oracle Cloud et autonomes dans le compartiment, dans la mosaïque Bases de données Oracle.

  Allow group DB-MGMT-USER to {DATABASE_SERVICE_USAGE_INSPECT} in compartment ABC

  Pour plus d'informations sur les types de ressource et les droits d'accès du service External Database, reportez-vous à Détails pour une base de données externe.

• Droits d'accès du service Monitoring : les droits d'accès du service Monitoring sont requis pour effectuer les opérations suivantes.
  • Visualisez les mesures de base de données sur les pages Récapitulatif de parc Oracle Database et Détails de la base de données gérée.
  • Visualisez les données de performances de base de données dans les tableaux de bord définis par Oracle et utilisez les mesures du service Monitoring pour créer des widgets.
  • Visualisez le récapitulatif d'exécution de travail dans l'onglet Exécutions de la section Tâches de la page Détails de la base de données gérée.
  • Afficher les alarmes de base de données ouvertes sur les pages Diagnostics et Gestion.
  • Effectuez les tâches liées aux alarmes dans la section Définitions d'alarme de la page Détails de la base de données gérée.

  Voici des informations sur les stratégies qui fournissent les droits d'accès requis pour effectuer les tâches indiquées dans la liste précédente :

  • Afin de visualiser les données de performances de base de données dans Diagnostics et Gestion, d'utiliser les mesures du service Monitoring pour créer des widgets et de visualiser le récapitulatif d'exécution de travail, vous devez créer une stratégie avec le verbe read pour le type de ressource metrics. Voici un exemple :

    Allow group DB-MGMT-USER to read metrics in compartment ABC

  • Pour afficher les alarmes de base de données ouvertes sur les pages Diagnostics et gestion, ainsi que les pages Statut d'alarme et Définitions d'alarme du service Monitoring, vous devez créer une stratégie avec le verbe read pour le type de ressource alarms (en plus d'une stratégie avec le verbe read pour le type de ressource metrics). Voici un exemple :

    Allow group DB-MGMT-USER to read alarms in compartment ABC

  • Pour effectuer des tâches liées aux alarmes dans la section Définitions d'alarme de la page Détails de la base de données gérée, une stratégie avec le verbe manage pour le type de ressource alarms doit être créée (en plus d'une stratégie avec le verbe read pour le type de ressource metrics). Voici un exemple :

    Allow group DB-MGMT-USER to manage alarms in compartment ABC

  Afin de construire des requêtes et de créer des alarmes pour les mesures de base de données à l'aide du service Monitoring, d'autres droits d'accès sont requis. Afin d'obtenir des informations sur les sujets suivants, reportez-vous aux rubriques indiquées :

  • Pour les types de ressource et les droits d'accès du service Monitoring, reportez-vous à Détails de Monitoring.

  • Pour les stratégies courantes du service Monitoring, reportez-vous à Stratégies courantes.

• Droit d'accès du service Notifications : un droit d'accès du service Notifications est requis pour utiliser ou créer des sujets et des abonnements lors de la création d'alarmes dans la section Définitions d'alarme de la page Détails de la base de données gérée.

  Pour accorder ce droit d'accès, une stratégie avec le verbe use ou manage pour le type de ressource ons-topics doit être créée (en plus des droits d'accès du service Monitoring). Voici un exemple de stratégie avec le verbe manage qui vous permet de créer un sujet lors de la création d'une alarme :

  Allow group DB-MGMT-USER to manage ons-topics in compartment ABC

  Pour plus d'informations sur les types de ressource et les droits d'accès du service Notifications, reportez-vous à Détails du service Notifications.

• Droits d'accès du service Vault : un droit d'accès du service Vault est requis afin d'utiliser des clés secrètes lorsque vous indiquez des informations d'identification de base de données pour effectuer des tâches telles que créer un travail et modifier les paramètres de base de données à l'aide de Diagnostics et de Gestion. Si des informations d'identification enregistrées et nommées sont définies, ce droit d'accès est également requis pour utiliser ces informations d'identification afin d'accéder aux bases de données gérées, de les gérer et de les surveiller.

  Afin d'accorder ce droit d'accès, vous devez créer une stratégie avec le verbe read pour les types de ressource du service Vault. Voici un exemple dans lequel le type agrégé de ressource secret-family est utilisé :

  Allow group DB-MGMT-USER to read secret-family in compartment ABC

  Pour autoriser l'accès aux clés secrètes d'un coffre uniquement, mettez à jour la stratégie comme suit :

  Allow group DB-MGMT-USER to read secret-family in compartment ABC where target.vault.id = <Vault OCID>

  En plus de la stratégie de groupe d'utilisateurs du service Vault, la stratégie de principal de ressource suivante peut être requise pour accorder le droit d'accès aux clés secrètes lors de la création d'un travail programmé :

  Allow any-user to read secret-family in compartment ABC where ALL {target.secret.id = <Secret OCID>,request.principal.type = dbmgmtmanageddatabase}

  Pour plus d'informations sur les types de ressource et les droits d'accès du service Vault, reportez-vous à Détails du service Vault.

• Autorisations du tableau de bord de gestion : les autorisations du tableau de bord de gestion sont requises pour utiliser les tableaux de bord des bases de données externes pour lesquelles la gestion et les diagnostics sont activés.

  Pour effectuer des tâches telles que la création d'un tableau de bord ou d'un widget, vous devez disposer des droits d'accès requis sur les types de ressource du tableau de bord de gestion suivants :

  • management-dashboard : ce type de ressource permet à un groupe d'utilisateurs d'utiliser des tableaux de bord.
  • management-saved-search : ce type de ressource permet à un groupe d'utilisateurs d'utiliser les recherches enregistrées dans un tableau de bord.

  Pour plus d'informations sur les types de ressource, les droits d'accès et les opérations d'API relatifs au tableau de bord de gestion, et afin d'obtenir des exemples de stratégie, reportez-vous à Détails relatifs au tableau de bord de gestion.

• Droits d'accès du service Object Storage : des droits d'accès du service Object Storage sont requis pour utiliser la fonctionnalité Travaux dans Diagnostics et gestion.
  • Pour permettre à un agent de gestion de stocker les résultats d'un travail de type Requête dans un bucket Object Storage, vous devez d'abord créer un groupe dynamique contenant l'agent de gestion. Pour plus d'informations, reportez-vous à Stratégie IAM requise pour la communication de l'agent de gestion.

    Pour autoriser un groupe dynamique d'agents de gestion à stocker les résultats d'un travail de type Requête dans un bucket Object Storage, vous devez créer deux stratégies. Voici des exemples :

    Allow dynamic-group Management-Agents-Group to read buckets in compartment ABC where request.principal.type = 'managementagent'

    et

    Allow dynamic-group Management-Agents-Group to manage objects in compartment ABC where all {request.principal.type = 'managementagent', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}

  • Pour permettre à un groupe d'utilisateurs de lire les résultats d'un travail de type Requête stockés dans un bucket Object Storage, vous devez créer deux stratégies. Voici des exemples :

    Allow group DB-MGMT-USER to read buckets in compartment ABC

    et

    Allow group DB-MGMT-USER to manage objects in compartment ABC

  En plus de la stratégie de groupe d'utilisateurs pour le service Object Storage, la stratégie de principal de ressource suivante est requise afin d'autoriser les ressources de base de données gérée à écrire les résultats des travaux programmés sur le service Object Storage :

  Allow any-user to manage objects in compartment ABC where ALL {target.bucket.name = <Bucket Name>,request.principal.type = dbmgmtmanageddatabase}

  Pour plus d'informations sur les types de ressource et les droits d'accès du service Object Storage, reportez-vous à Détails relatifs à Object Storage, Archive Storage et Data Transfer.

• Droits d'accès du service Events : un droit d'accès du service Events est requis pour créer et visualiser des règles d'événement afin de surveiller les ressources.

  Pour accorder ce droit d'accès, vous devez créer une stratégie avec le verbe manage pour le type de ressource cloudevents-rules. Voici un exemple de stratégie avec le verbe manage qui vous permet de créer et d'afficher des règles d'événement :

  Allow group DB-MGMT-USER to manage cloudevents-rules in tenancy

  Outre le droit d'accès du service Events, vous avez besoin d'autres droits d'accès du service Oracle Cloud Infrastructure pour indiquer un type d'action lors de la création d'une règle d'événement. Pour plus d'informations, reportez-vous à Evénements et stratégies IAM.

  Pour plus d'informations sur le type de ressource et les droits d'accès du service Events, reportez-vous à Détails du service Events.

• Balisage des droits d'accès du service : pour plus d'informations sur les droits d'accès requis pour utiliser des balises dans Diagnostics et gestion, reportez-vous à Balisage de l'authentification et de l'autorisation.
• Droits d'accès permettant d'utiliser des extensions de mesure : le droit d'accès permettant d'utiliser un type de ressource Stack Monitoring est requis pour utiliser des extensions de mesure dans Database Management. Voici un exemple de stratégie qui accorde au groupe d'utilisateurs DB-MGMT-USER le droit d'effectuer toutes les tâches liées à l'extension de mesure dans le compartiment ABC :

  Allow group DB-MGMT-USER to manage stack-monitoring-metric-extension in compartment ABC