Documentation Oracle Cloud Infrastructure

Droits d'accès requis pour activer les diagnostics et la gestion pour les bases de données Autonomous AI

Pour activer les diagnostics et la gestion pour les bases de données Autonomous AI, vous devez disposer des droits d'accès suivants :

Droits d'accès Database Management

Afin d'activer Diagnostics et gestion pour les bases de données Autonomous AI, vous devez appartenir à un groupe d'utilisateurs de votre location disposant des droits d'utilisateur requis sur les types de ressource Database Management suivants :

  • dbmgmt-private-endpoints : ce type de ressource permet à un groupe d'utilisateurs de créer des adresses privées Database Management pour communiquer avec des bases de données Autonomous AI sans serveur et des bases de données Autonomous AI sur une infrastructure Exadata dédiée.
  • dbmgmt-work-requests : ce type de ressource permet à un groupe d'utilisateurs de surveiller les demandes de travail générées lors de l'activation des diagnostics et de la gestion.
  • dbmgmt-family : ce type agrégé de ressource inclut tous les types de ressource Database Management individuels, et permet à un groupe d'utilisateurs d'activer et d'utiliser toutes les fonctionnalités de Database Management.

Voici des exemples de stratégies qui accordent au groupe d'utilisateurs DB-MGMT-ADMIN le droit d'accès permettant de créer une adresse privée Database Management et de surveiller les demandes de travail associées à l'adresse privée : 

Allow group DB-MGMT-ADMIN to manage dbmgmt-private-endpoints in tenancy
Allow group DB-MGMT-ADMIN to read dbmgmt-work-requests in tenancy

Sinon, une stratégie unique utilisant le type agrégé de ressource Database Management accorde au groupe d'utilisateurs DB-MGMT-ADMIN les mêmes droits d'accès que ceux décrits dans le paragraphe précédent : 

Allow group DB-MGMT-ADMIN to manage dbmgmt-family in tenancy

Pour plus d'informations sur les types de ressource et les droits d'accès de Database Management, reportez-vous à Détails de stratégie pour Database Management.

Droits d'accès des autres services Oracle Cloud Infrastructure

Outre les droits d'accès Database Management, les droits d'accès du service Oracle Cloud Infrastructure suivants sont requis afin d'activer Diagnostics & Management pour les bases de données Autonomous AI.

  • Droits d'accès de base de données Autonomous AI : afin d'activer les diagnostics et la gestion pour les bases de données Autonomous AI, vous devez appartenir à un groupe d'utilisateurs dans votre location avec le droit d'accès manage sur les types de ressource de base de données Autonomous AI. Lors de la création d'une stratégie, le type de ressource agrégé pour les bases de données autonomes AI, autonomous-database-family, peut être utilisé.
    Voici un exemple de stratégie qui accorde au groupe d'utilisateurs DB-MGMT-ADMIN le droit d'accéder à Diagnostics & Management pour toutes les bases de données Autonomous AI de la location :
    Allow group DB-MGMT-ADMIN to manage autonomous-database-family in tenancy

    Pour plus d'informations sur les types de ressource et les droits d'accès de base de données Autonomous AI, reportez-vous à Stratégies IAM pour Autonomous AI Database Serverless et à Stratégies IAM pour Autonomous AI Database on Dedicated Exadata Infrastructure.

  • Droits d'accès du service Networking : afin d'utiliser l'adresse privée Database Management et d'activer la communication entre Database Management et une base de données Autonomous AI, vous devez disposer du droit d'accès manage sur le genre de ressource vnics, et du droit d'accès use sur le genre de ressource subnets, ainsi que sur le genre de ressource network-security-groups ou security-lists.

    Voici des exemples de stratégies individuelles qui accordent au groupe d'utilisateurs DB-MGMT-ADMIN les droits d'accès requis : 

    Allow group DB-MGMT-ADMIN to manage vnics in tenancy
    Allow group DB-MGMT-ADMIN to use subnets in tenancy
    Allow group DB-MGMT-ADMIN to use network-security-groups in tenancy

    ou

    Allow group DB-MGMT-ADMIN to use security-lists in tenancy

    Sinon, une stratégie unique utilisant le type agrégé de ressource du service Networking accorde au groupe d'utilisateurs DB-MGMT-ADMIN les mêmes droits d'accès que ceux décrits dans le paragraphe précédent : 

    Allow group DB-MGMT-ADMIN to manage virtual-network-family in tenancy

    Pour plus d'informations sur les types de ressource et les droits d'accès du service Networking, reportez-vous à la section Networking dans Détails des services de base.

  • Droits d'accès de l'agent de gestion : afin d'utiliser un agent de gestion lors de l'activation des diagnostics et de la gestion pour les bases de données Autonomous AI, vous devez disposer du droit d'accès read sur le type de ressource management-agents.

    Voici un exemple de stratégie qui accorde au groupe d'utilisateurs DB-MGMT-ADMIN le droit d'accès requis dans la location : 

    Allow group DB-MGMT-ADMIN to read management-agents in tenancy

    Pour plus d'informations sur les types de ressource et les droits d'accès de l'agent de gestion, reportez-vous à Détails relatifs à l'agent de gestion.

  • Droits d'accès du service Coffre : afin d'utiliser des clés sectuelles existantes lors de l'activation de Diagnostics et gestion pour les bases de données Autonomous AI, vous devez disposer du droit d'accès manage sur le type de ressource agrégé secret-family.

    Voici un exemple de stratégie qui accorde au groupe d'utilisateurs DB-MGMT-ADMIN le droit d'accès permettant de créer et d'utiliser des clés secrètes dans la location : 

    Allow group DB-MGMT-ADMIN to manage secret-family in tenancy

    En plus de la stratégie de groupe d'utilisateurs du service Vault, la stratégie de principal de ressource suivante est requise pour accorder aux ressources de base de données gérée le droit d'accéder aux clés secrètes de mot de passe utilisateur de base de données et aux clés secrètes de portefeuille de base de données (si le protocole TCPS a été utilisé pour se connecter à la base de données) :

    Allow any-user to read secret-family in compartment ABC where ALL {request.principal.type = dbmgmtmanageddatabase}

    Pour autoriser l'accès à une clé secrète spécifique, mettez à jour la stratégie comme suit :

    Allow any-user to read secret-family in compartment ABC where ALL {target.secret.id = <Secret OCID>,request.principal.type = dbmgmtmanageddatabase}

    Pour plus d'informations sur les types de ressource et les droits d'accès du service Vault, reportez-vous à Détails du service Vault.