Documentation Oracle Cloud Infrastructure

Droits d'accès supplémentaires requis afin d'utiliser Diagnostics & Management pour les bases de données Oracle Cloud

Afin d'utiliser Diagnostics & Management pour les bases de données Oracle Cloud, les droits d'accès de service Oracle Cloud Infrastructure suivants sont requis en plus des droits d'accès Database Management.

  • Droits d'accès Base Database Service, ExaDB-D, ExaDB-XS et ExaDB-C@C : le droit d'accès correspondant à la solution cloud Oracle Database est requis pour visualiser le nombre total de bases de données Oracle Cloud dans le compartiment sélectionné sur la mosaïque Bases de données Oracle sur la page Présentation de Database Management et pour extraire des données des bases de données Oracle Cloud et les afficher sur le résumé du parc Oracle Database, ainsi que sur d'autres pages Diagnostics & Management :

    Pour accorder ce droit d'accès, vous devez créer une stratégie avec le verbe read et les types de ressource de la solution cloud Oracle Database. Vous pouvez également utiliser une seule stratégie utilisant le type agrégé de ressource pour les bases de données Oracle Cloud, database-family.

    Voici un exemple dans lequel le type agrégé de ressource database-family est utilisé : 

    Allow group DB-MGMT-USER to read database-family in compartment ABC
    Remarque

    Vous pouvez également créer la stratégie suivante pour accorder à un groupe d'utilisateurs le droit d'afficher le nombre total de bases de données Oracle, y compris les bases de données Oracle Cloud, externes et autonomes dans le compartiment, dans la mosaïque Bases de données Oracle.
    Allow group DB-MGMT-USER to {DATABASE_SERVICE_USAGE_INSPECT} in compartment ABC

    Pour plus d'informations sur les sujets suivants, reportez-vous aux rubriques indiquées :

  • Droits d'accès du service Monitoring : les droits d'accès du service Monitoring sont requis pour effectuer les opérations suivantes.
    • Visualisez les mesures de base de données sur les pages Récapitulatif de parc Oracle Database et Détails de la base de données gérée.
    • Visualisez les données de performances de base de données dans les tableaux de bord définis par Oracle et utilisez les mesures du service Monitoring pour créer des widgets.
    • Visualisez le récapitulatif d'exécution de travail dans l'onglet Exécutions de la section Tâches de la page Détails de la base de données gérée.
    • Afficher les alarmes de base de données ouvertes sur les pages Diagnostics et Gestion.
    • Effectuez les tâches liées aux alarmes dans la section Définitions d'alarme de la page Détails de la base de données gérée.

    Voici des informations sur les stratégies qui fournissent les droits d'accès requis pour effectuer les tâches indiquées dans la liste précédente :

    • Afin de visualiser les données de performances de base de données dans Diagnostics et Gestion, d'utiliser les mesures du service Monitoring pour créer des widgets et de visualiser le récapitulatif d'exécution de travail, vous devez créer une stratégie avec le verbe read pour le type de ressource metrics. Voici un exemple :
      Allow group DB-MGMT-USER to read metrics in compartment ABC
    • Pour afficher les alarmes de base de données ouvertes sur les pages Diagnostics et gestion, ainsi que les pages Statut d'alarme et Définitions d'alarme du service Monitoring, vous devez créer une stratégie avec le verbe read pour le type de ressource alarms (en plus d'une stratégie avec le verbe read pour le type de ressource metrics). Voici un exemple :
      Allow group DB-MGMT-USER to read alarms in compartment ABC
    • Pour effectuer des tâches liées aux alarmes dans la section Définitions d'alarme de la page Détails de la base de données gérée, une stratégie avec le verbe manage pour le type de ressource alarms doit être créée (en plus d'une stratégie avec le verbe read pour le type de ressource metrics). Voici un exemple :
      Allow group DB-MGMT-USER to manage alarms in compartment ABC

    Afin de construire des requêtes et de créer des alarmes pour les mesures de base de données à l'aide du service Monitoring, d'autres droits d'accès sont requis. Afin d'obtenir des informations sur les sujets suivants, reportez-vous aux rubriques indiquées :

  • Droit d'accès du service Notifications : un droit d'accès du service Notifications est requis pour utiliser ou créer des sujets et des abonnements lors de la création d'alarmes dans la section Définitions d'alarme de la page Détails de la base de données gérée.

    Pour accorder ce droit d'accès, une stratégie avec le verbe use ou manage pour le type de ressource ons-topics doit être créée (en plus des droits d'accès du service Monitoring). Voici un exemple de stratégie avec le verbe manage qui vous permet de créer un sujet lors de la création d'une alarme : 

    Allow group DB-MGMT-USER to manage ons-topics in compartment ABC

    Pour plus d'informations sur les types de ressource et les droits d'accès du service Notifications, reportez-vous à Détails du service Notifications.

  • Droits d'accès du service Vault : un droit d'accès du service Vault est requis afin d'utiliser des clés secrètes lorsque vous indiquez des informations d'identification de base de données pour effectuer des tâches telles que créer un travail et modifier les paramètres de base de données dans Diagnostics et gestion. Si des informations d'identification enregistrées et nommées sont définies, ce droit d'accès est également requis pour utiliser ces informations d'identification afin d'accéder aux bases de données gérées, de les gérer et de les surveiller.

    Afin d'accorder ce droit d'accès, vous devez créer une stratégie avec le verbe read pour les types de ressource du service Vault. Voici un exemple dans lequel le type agrégé de ressource secret-family est utilisé : 

    Allow group DB-MGMT-USER to read secret-family in compartment ABC

    Pour autoriser l'accès aux clés secrètes d'un coffre uniquement, mettez à jour la stratégie comme suit :

    Allow group DB-MGMT-USER to read secret-family in compartment ABC where target.vault.id = <Vault OCID>

    En plus de la stratégie de groupe d'utilisateurs du service Vault, la stratégie de principal de ressource suivante peut être requise pour accorder le droit d'accès aux clés secrètes lors de la création d'un travail programmé :

    Allow any-user to read secret-family in compartment ABC where ALL {target.secret.id = <Secret OCID>,request.principal.type = dbmgmtmanageddatabase}

    Pour plus d'informations sur les types de ressource et les droits d'accès du service Vault, reportez-vous à Détails du service Vault.

  • Droits d'accès du tableau de bord de gestion : vous devez disposer des droits d'accès du tableau de bord pour les bases de données Oracle Cloud pour lesquelles Diagnostics & Management est activé.

    Pour effectuer des tâches telles que la création d'un tableau de bord ou d'un widget, vous devez disposer des droits d'accès requis sur les types de ressource du tableau de bord de gestion suivants :

    • management-dashboard : ce type de ressource permet à un groupe d'utilisateurs d'utiliser des tableaux de bord.
    • management-saved-search : ce type de ressource permet à un groupe d'utilisateurs d'utiliser les recherches enregistrées dans un tableau de bord.

    Pour plus d'informations sur les types de ressource, les droits d'accès et les opérations d'API relatifs au tableau de bord de gestion, et afin d'obtenir des exemples de stratégie, reportez-vous à Détails relatifs au tableau de bord de gestion.

  • Droits d'accès du service Object Storage : des droits d'accès du service Object Storage sont requis pour utiliser la fonctionnalité Travaux dans Diagnostics et gestion.
    • Pour permettre à un groupe d'utilisateurs de lire les résultats d'un travail de type Requête stockés dans un bucket Object Storage, vous devez créer deux stratégies. Voici des exemples :
      Allow group DB-MGMT-USER to read buckets in compartment ABC

      et

      Allow group DB-MGMT-USER to manage objects in compartment ABC
    • En plus de la stratégie de groupe d'utilisateurs pour le service Object Storage, la stratégie de principal de ressource suivante est requise afin d'autoriser les ressources de base de données gérée à écrire les résultats des travaux programmés sur le service Object Storage :
      Allow any-user to manage objects in compartment ABC where ALL {target.bucket.name = <Bucket Name>,request.principal.type = dbmgmtmanageddatabase}

    Pour plus d'informations sur les types de ressource et les droits d'accès du service Object Storage, reportez-vous à Détails relatifs à Object Storage, Archive Storage et Data Transfer.

  • Droits d'accès du service Events : un droit d'accès du service Events est requis pour créer et visualiser des règles d'événement afin de surveiller les ressources.

    Pour accorder ce droit d'accès, vous devez créer une stratégie avec le verbe manage pour le type de ressource cloudevents-rules. Voici un exemple de stratégie avec le verbe manage qui vous permet de créer et d'afficher des règles d'événement : 

    Allow group DB-MGMT-USER to manage cloudevents-rules in tenancy

    Outre le droit d'accès du service Events, vous avez besoin d'autres droits d'accès du service Oracle Cloud Infrastructure pour indiquer un type d'action lors de la création d'une règle d'événement. Pour plus d'informations, reportez-vous à Evénements et stratégies IAM.

    Pour plus d'informations sur le type de ressource et les droits d'accès du service Events, reportez-vous à Détails du service Events.

  • Balisage des droits d'accès du service : pour plus d'informations sur les droits d'accès requis pour utiliser des balises dans Diagnostics et gestion, reportez-vous à Balisage de l'authentification et de l'autorisation.