Droits d'accès Database Management

Pour créer une ressource Oracle Cloud Infrastructure qui représente le système de base de données MySQL externe, vous y connecter à l'aide d'une ressource de connecteur et activer Database Management, vous devez appartenir à un groupe d'utilisateurs de votre location avec les droits d'accès requis sur les types de ressource Database Management suivants :

• dbmgmt-external-mysql-databases : ce type de ressource permet à un groupe d'utilisateurs de créer et de gérer une ressource qui représente le système de base de données MySQL externe et d'activer Database Management pour le système de base de données MySQL externe.
• dbmgmt-external-mysql-database-connectors : ce type de ressource permet à un groupe d'utilisateurs de créer et de gérer une ressource de connecteur contenant les détails de connexion requis pour la connexion au système de base de données MySQL externe.
• dbmgmt-work-requests : ce type de ressource permet à un groupe d'utilisateurs de surveiller les demandes de travail générées lors du processus d'inscription du système de base de données MySQL externe.
• dbmgmt-mysql-family : ce type agrégé de ressource inclut les types individuels de ressource Database Management pour HeatWave et MySQL externe, et permet à un groupe d'utilisateurs d'activer et d'utiliser Database Management.

Voici des exemples de stratégies qui accordent au groupe d'utilisateurs DB-MGMT-MYSQL-ADMIN le droit de créer une ressource de système de base de données MySQL externe, de créer un connecteur pour se connecter au système de base de données MySQL externe, d'activer Database Management et de surveiller les demandes de travail générées au cours du processus :

Allow group DB-MGMT-MYSQL-ADMIN to manage dbmgmt-external-mysql-databases in tenancy

Allow group DB-MGMT-MYSQL-ADMIN to manage dbmgmt-external-mysql-database-connectors in tenancy

Allow group DB-MGMT-MYSQL-ADMIN to read dbmgmt-work-requests in tenancy

Sinon, une stratégie unique utilisant Database Management pour HeatWave et le type agrégé de ressource MySQL externe accorde au groupe d'utilisateurs DB-MGMT-MYSQL-ADMIN les mêmes droits d'accès que ceux décrits dans le paragraphe précédent :

Allow group DB-MGMT-MYSQL-ADMIN to manage dbmgmt-mysql-family in tenancy

Pour plus d'informations sur les types de ressource et les droits d'accès de Database Management, reportez-vous à Détails de stratégie pour Database Management.

Droits d'accès des autres services Oracle Cloud Infrastructure

En plus des droits d'accès Database Management, les droits d'accès de service Oracle Cloud Infrastructure suivants sont requis pour inscrire un système de base de données MySQL externe et activer Database Management.

• Droits d'accès de l'agent de gestion : pour créer une connexion avec l'instance dans le système de base de données MySQL externe à l'aide d'un agent de gestion et collecter des données, vous devez disposer du droit d'accès manage sur le type agrégé de ressource management-agents.

  Voici un exemple de stratégie qui accorde au groupe d'utilisateurs DB-MGMT-MYSQL-ADMIN le droit d'accès permettant d'utiliser des agents de gestion dans la location :

  Allow group DB-MGMT-MYSQL-ADMIN to manage management-agents in tenancy

  La stratégie de service suivante est requise pour accorder à Database Management (dpd) le droit de déployer les modules d'extension nécessaires sur les agents de gestion du compartiment :

  Allow service dpd to manage management-agents in compartment ABC

  En outre, vous devez créer un groupe dynamique pour tous les agents de gestion à utiliser par le système de base de données MySQL externe. Cette opération est requise pour permettre au système de base de données MySQL externe d'interagir avec diverses adresses de service Oracle Cloud Infrastructure. Par exemple, à l'aide d'un groupe dynamique, vous pouvez créer une stratégie permettant aux agents de gestion de télécharger des données de mesure vers le service Oracle Cloud Infrastructure Monitoring. Lorsque vous créez un groupe dynamique, vous pouvez définir une règle pour ajouter les agents de gestion d'un compartiment ou de la location au groupe dynamique. Cette étape de configuration est ainsi unique : tout nouvel agent de gestion installé appartient automatiquement au groupe dynamique.

  Voici un exemple :

  1. Créez un groupe dynamique (agent-dynamic-group) dans le domaine par défaut qui contient l'agent de gestion et entrez la règle de mise en correspondance suivante pour définir le groupe dynamique :

     ALL {resource.type='managementagent', resource.compartment.id='ocid1.compartment.oc1.examplecompartmentid'}

     Pour couvrir les agents dans tous les compartiments de la location et pas seulement un compartiment spécifique, utilisez la règle de mise en correspondance suivante :

     ALL {resource.type='managementagent'}

     Pour plus d'informations sur la création d'un groupe dynamique, reportez-vous à Procédure de création d'un groupe dynamique.

  2. Créez des stratégies avec le groupe dynamique (agent-dynamic-group) pour interagir avec divers services Oracle Cloud Infrastructure. Exemples :

     Allow dynamic-group agent-dynamic-group to manage management-agents in tenancy

     Allow dynamic-group agent-dynamic-group to use metrics in tenancy

     Allow dynamic-group agent-dynamic-group to use tag-namespaces in tenancy

  Pour plus d'informations sur les sujets suivants, reportez-vous aux rubriques indiquées :

  • Types de ressource et droits d'accès du service d'agent de gestion. Reportez-vous à Détails de l'agent de gestion.
  • Groupes dynamiques, reportez-vous à Gestion des groupes dynamiques.
• Droits d'accès du service Vault : pour créer des secrets ou utiliser des secrets existants lors de l'activation de Database Management, vous devez disposer du droit d'accès manage sur le type de ressource agrégé secret-family.

  Voici un exemple de stratégie qui accorde au groupe d'utilisateurs DB-MGMT-MYSQL-ADMIN le droit d'accès permettant de créer et d'utiliser des clés secrètes dans la location :

  Allow group DB-MGMT-MYSQL-ADMIN to manage secret-family in tenancy

  Pour plus d'informations sur les types de ressource et les droits d'accès du service Vault, reportez-vous à Détails du service Vault.