Droits d'accès requis afin d'activer les diagnostics et la gestion pour les bases de données Oracle Cloud
Afin d'activer les diagnostics et la gestion pour les bases de données Oracle Cloud, vous devez disposer des droits d'accès suivants :
Droits d'accès Database Management
Afin d'activer les diagnostics et la gestion pour les bases de données Oracle Cloud, vous devez appartenir à un groupe d'utilisateurs de votre location doté des droits d'accès requis sur les types de ressource Database Management suivants :
dbmgmt-private-endpoints: ce type de ressource permet à un groupe d'utilisateurs de créer des adresses privées Database Management pour communiquer avec les bases de données Oracle Cloud dans Base Database Service, ExaDB-D et ExaDB-XS.dbmgmt-work-requests: ce type de ressource permet à un groupe d'utilisateurs de surveiller les demandes de travail générées lors de l'activation des diagnostics et de la gestion.dbmgmt-family: ce type agrégé de ressource inclut tous les types de ressource Database Management individuels, et permet à un groupe d'utilisateurs d'activer et d'utiliser toutes les fonctionnalités de Database Management.
Voici des exemples de stratégies qui accordent au groupe d'utilisateurs DB-MGMT-ADMIN le droit d'accès permettant de créer une adresse privée Database Management et de surveiller les demandes de travail associées à l'adresse privée :
Allow group DB-MGMT-ADMIN to manage dbmgmt-private-endpoints in tenancyAllow group DB-MGMT-ADMIN to read dbmgmt-work-requests in tenancySinon, une stratégie unique utilisant le type agrégé de ressource Database Management accorde au groupe d'utilisateurs DB-MGMT-ADMIN les mêmes droits d'accès que ceux décrits dans le paragraphe précédent :
Allow group DB-MGMT-ADMIN to manage dbmgmt-family in tenancyPour plus d'informations sur les types de ressource et les droits d'accès de Database Management, reportez-vous à Détails de stratégie pour Database Management.
Droits d'accès des autres services Oracle Cloud Infrastructure
En plus des droits d'accès Database Management, les droits d'accès de service Oracle Cloud Infrastructure suivants sont requis afin d'activer les diagnostics et la gestion pour les bases de données Oracle Cloud.
- Droits d'accès Base Database Service, ExaDB-D, ExaDB-XS et ExaDB-C@C : afin d'activer les diagnostics et la gestion pour les bases de données Oracle Cloud, vous devez disposer du droit d'accès
usesur les types de ressource de solution cloud Oracle Database respectifs. Vous pouvez également utiliser une seule stratégie utilisant le type agrégé de ressource pour les bases de données Oracle Cloud,database-family.Voici un exemple de stratégie qui accorde au groupe d'utilisateurs
DB-MGMT-ADMINle droit d'accès permettant d'activer les diagnostics et la gestion pour toutes les bases de données Oracle Cloud de la location :Allow group DB-MGMT-ADMIN to use database-family in tenancyPour plus d'informations sur les sujets suivants, reportez-vous aux rubriques indiquées :
- Types de ressource et droits d'accès Base Database Service. Reportez-vous à Détails relatifs à Base Database Service.
- ExaDB-D : types de ressource et droits d'accès. Reportez-vous à Détails relatifs à Exadata Database Service on Dedicated Infrastructure.
- Types de ressource et droits d'accès ExaDB-XS. Reportez-vous à Détails relatifs à Oracle Exadata Database Service sur une infrastructure Exascale.
- ExaDB-C@C : types de ressource et droits d'accès. Reportez-vous à Détails relatifs à Exadata Database Service on Cloud@Customer.
- Droits d'accès du service Networking (pour les bases de données Oracle Cloud dans Base Database Service, ExaDB-D et ExaDB-XS) : afin d'utiliser l'adresse privée Database Management et d'activer la communication entre Database Management et une base de données Oracle Clouddans Base Database Service, ExaDB-D ou ExaDB-XS, vous devez disposer du droit d'accès
managesur le type de ressourcevnicset du droit d'accèsusesur le type de ressourcesubnetset sur le type de ressourcenetwork-security-groupsousecurity-lists.Voici des exemples de stratégies individuelles qui accordent au groupe d'utilisateurs
DB-MGMT-ADMINles droits d'accès requis :Allow group DB-MGMT-ADMIN to manage vnics in tenancyAllow group DB-MGMT-ADMIN to use subnets in tenancyAllow group DB-MGMT-ADMIN to use network-security-groups in tenancyou
Allow group DB-MGMT-ADMIN to use security-lists in tenancySinon, une stratégie unique utilisant le type agrégé de ressource du service Networking accorde au groupe d'utilisateurs
DB-MGMT-ADMINles mêmes droits d'accès que ceux décrits dans le paragraphe précédent :Allow group DB-MGMT-ADMIN to manage virtual-network-family in tenancyPour plus d'informations sur les types de ressource et les droits d'accès du service Networking, reportez-vous à la section Networking dans Détails des services de base.
- Droits d'accès de l'agent de gestion : (pour les bases de données Oracle Cloud dans ExaDB-D et ExaDB-C@C) afin d'utiliser un agent de gestion lors de l'activation des diagnostics et de la gestion pour ExaDB-D et ExaDB-C@C, vous devez disposer du droit d'accès
readsur le type de ressourcemanagement-agents.Voici un exemple de stratégie qui accorde au groupe d'utilisateurs
DB-MGMT-ADMINle droit d'accès requis dans la location :Allow group DB-MGMT-ADMIN to read management-agents in tenancyPour plus d'informations sur les types de ressource et les droits d'accès de l'agent de gestion, reportez-vous à Détails relatifs à l'agent de gestion.
- Droits d'accès du service Vault : afin de créer des secrets ou d'utiliser des secrets existants lors de l'activation de Diagnostics & Management pour les bases de données Oracle Cloud, vous devez disposer du droit d'accès
managesur le type de ressource agrégésecret-family.Voici un exemple de stratégie qui accorde au groupe d'utilisateurs
DB-MGMT-ADMINle droit d'accès permettant de créer et d'utiliser des clés secrètes dans la location :Allow group DB-MGMT-ADMIN to manage secret-family in tenancyEn plus de la stratégie de groupe d'utilisateurs du service Vault, la stratégie de principal de ressource suivante est requise pour accorder aux ressources de base de données gérée le droit d'accéder aux clés secrètes de mot de passe utilisateur de base de données et aux clés secrètes de portefeuille de base de données (si le protocole TCPS a été utilisé pour se connecter à la base de données) :
Allow any-user to read secret-family in compartment ABC where ALL {request.principal.type = dbmgmtmanageddatabase}Pour autoriser l'accès à une clé secrète spécifique, mettez à jour la stratégie comme suit :
Allow any-user to read secret-family in compartment ABC where ALL {target.secret.id = <Secret OCID>,request.principal.type = dbmgmtmanageddatabase}Pour plus d'informations sur les types de ressource et les droits d'accès du service Vault, reportez-vous à Détails du service Vault.