Documentation Oracle Cloud Infrastructure

Définition d'informations d'identification préférées

Vous pouvez définir des informations d'identification enregistrées pour vous connecter à la base de données gérée et effectuer des tâches spécifiques.

Les informations d'identification préférées simplifient l'accès à la base de données gérée en utilisant les informations d'identification de base de données stockées dans une clé secrète de service Oracle Cloud Infrastructure Vault. Les informations d'identification préférées peuvent être utilisées pour fournir la connectivité par défaut à la base de données en fonction des rôles utilisateur et des tâches à effectuer, ce qui permet de séparer les tâches des différents groupes d'utilisateurs et d'offrir une couche de sécurité supplémentaire. Dans Database Management Diagnostics & Management, vous pouvez définir les informations d'authentification préférées suivantes pour l'utilisateur afin qu'il puisse se connecter à la base de données gérée et effectuer l'ensemble de tâches associé :

  • Contrôle de base : privilèges minimaux permettant la collecte de mesures et la visualisation du récapitulatif de parc de bases de données et des détails de base de données gérée. Les informations d'identification Surveillance de base ont été définies automatiquement pour l'utilisateur de la surveillance lorsque Diagnostics et gestion est activé.

  • Diagnostics avancés : privilèges avancés permettant d'utiliser les outils de diagnostic tels que le hub de performances et l'explorateur AWR. Si les informations d'identification Diagnostics avancés sont définies pour une base de données gérée, elles peuvent être utilisées afin d'employer automatiquement les fonctionnalités de diagnostic et lors des opérations de lecture dans la base de données gérée.

  • Administration : privilèges de gestion permettant d'effectuer des tâches d'administration telles que la création de tablespaces et la modification des paramètres de base de données. Si les informations d'identification Administration sont définies pour une base de données gérée, elles peuvent être utilisées pour remplir automatiquement les informations d'identification de base de données afin d'effectuer les opérations d'écriture dans la base de données gérée.

Remarque

Pour des bases de données Oracle Cloud et des bases de données Autonomous AI, les informations d'authentification préférées dans Diagnostics & Management ne sont disponibles qu'aux utilisateurs disposant des droits d'autorisation de lire la clé secrète qui stocke le mot d'accès de l'utilisateur de base de données. Pour plus d'informations sur les droits d'accès, reportez-vous à la section Exécution des tâches de prérequis et obtention des droits d'accès requis.

Afin d'obtenir des informations sur les sujets suivants, reportez-vous aux rubriques indiquées :

Exécution des tâches de prérequis et obtention des droits d'accès requis

Voici la liste des tâches standard à effectuer avant de configurer des informations d'identification préférées.

  1. L'administrateur de base de données crée les utilisateurs de base de données pour lesquels les informations d'identification préférées seront définies :
    • Utilisateur de surveillance
      Remarque

      • Pour les bases de données externes et les bases de données Oracle Cloud, vous pouvez utiliser l'utilisateur DBSNMP en tant qu'utilisateur de surveillance. Cette option est pratique car l'utilisateur DBSNMP est intégré à Oracle Database et dispose des privilèges requis pour surveiller les bases de données dans Oracle Cloud Infrastructure. La place de l'utilisateur DBSNMP, vous avez également la possibilité d'utiliser un script SQL pour créer un utilisateur de base de données avec l'ensemble minimal de privilèges requis pour surveiller des bases de données gérées. Pour plus d'informations sur le script SQL, reportez-vous à Création des informations d'identification de surveillance Oracle Database pour Database Management (KB57458) dans My Oracle Support.
      • Pour les bases de données Autonomous AI, vous pouvez utiliser l'utilisateur ADBSNMP en tant qu'utilisateur de surveillance. Toutefois, l'utilisateur ADBSNMP ne dispose pas des privilèges requis pour effectuer certaines tâches de surveillance et de gestion avancées.
    • Utilisateur de diagnostics avancés
      Remarque

      • Lors de la création de l'utilisateur de diagnostics avancés pour effectuer des tâches de hub de performances, vous devez vous assurer que l'utilisateur dispose des privilèges requis pour utiliser le hub de performances. Pour plus d'informations sur les privilèges requis, reportez-vous à OCI : Conditions de prérequis pour le hub de performances (KB59684) dans My Oracle Support.
      • Pour les bases de données Autonomous AI, les informations d'identification préférées des diagnostics avancés doivent être définies pour utiliser l'utilisateur ADMIN afin d'utiliser les fonctionnalités avancées du hub de performances, à savoir Top Activity Lite, Activity Session History et les rapports AWR au niveau de l'instance, les exécutions de tâche ADDM à la demande et le réglage SQL.
    • Administrateur

    Pour les bases de données externes et les bases de données Oracle Cloud, vous pouvez utiliser un script SQL pour créer un utilisateur de base de données avec l'ensemble de privilèges requis pour effectuer des tâches de diagnostic et d'administration avancées. Pour plus d'informations sur le script SQL, reportez-vous à Création de l'utilisateur Oracle Database Management Advanced Diagnostics User and Administration User (KB84103) sur My Oracle Support.

    Pour plus d'information sur la création des comptes utilisateur, reportez-vous à la section Creating User Accounts in Oracle Database Security Guide.

  2. Un utilisateur Oracle Cloud Infrastructure disposant des droits d'accès requis crée les clés secrètes de service Vault suivantes pour les mots de passe d'utilisateur de base de données :
    • Clé secrète dans laquelle stocker le mot de passe de l'utilisateur de surveillance
    • Clé secrète dans laquelle stocker le mot de passe de l'utilisateur de diagnostics avancés
    • Clé secrète dans laquelle stocker le mot de passe de l'administrateur

    Ces clés secrètes peuvent être créées dans différents compartiments ou dans le même compartiment avec une clé de coffre différente ou identique.

    Voici un exemple de stratégie qui autorise un groupe d'utilisateurs à créer des clés secrètes :

    Allow group DB-MGMT-USER to manage secret-family in compartment ABC

    Pour plus d'information sur l'établissement d'une clé secrète, reportez-vous à Création d'une clé secrète dans un coffre.

Lors de l'exécution des tâches prérequises, un utilisateur possédant les droits d'accès suivants peut définir les informations d'identification préférées dans Diagnostics & Management :

  • Droit d'accès DBMGMT_MANAGED_DB_UPDATE permettant de définir des informations d'identification préférées. Vous pouvez accorder le droit d'accès DBMGMT_MANAGED_DB_UPDATE minimal à un groupe d'utilisateurs ou accorder des droits d'accès généraux à l'aide des verbes use ou manage et du type de ressource dbmgmt-managed-databases.

    Voici un exemple de stratégie avec le droit d'accès minimal permettant de définir des informations d'identification préférées :

    Allow group DB-MGMT-USER to {DBMGMT_MANAGED_DB_UPDATE} in compartment ABC

    Voici un exemple de stratégie générale qui autorise un groupe d'utilisateurs à définir des informations d'identification préférées :

    Allow group DB-MGMT-USER to use dbmgmt-managed-databases in compartment ABC

    Pour plus d'informations sur les types et droits d'accès de ressource Database Management, reportez-vous à la section Détails de stratégie pour Database Management.

  • Droit d'accès permettant d'accéder à la clé secrète qui stocke le mot du passe de l'utilisateur de base de donnée. Voici un exemple de stratégie qui autorise un groupe d'utilisateurs à créer des clés secrètes :

    Allow group DB-MGMT-USER to read secret-family in compartment ABC

    Pour autoriser l'accès aux clés secrètes d'un coffre précis seulement, mettez à jour la stratégie comme suit :

    Allow group DB-MGMT-USER to read secret-family in compartment ABC where target.vault.id = <Vault OCID>

    Pour plus d'informations sur les droits d'utilisateur requis du service Vault afin d'accéder aux clés secrètement et de les utiliser, reportez-vous à Droits d'accès supplémentaires requis pour utiliser Diagnostics & Management.

Définition des informations d'identification enregistrées dans Diagnostics et gestion

Vous pouvez définir les informations d'identité préférées Diagnostics avancés et Administration dans Diagnostics & Management.

Remarque

Les informations d'identification de surveillance de base sont définies lorsque Diagnostics et gestion sont activés. Toutefois, vous pouvez mettre à jour les informations d'identification de surveillance de base. Pour mettre à jour les informations d'identification de surveillance de base pour :
  • Bases de données externes : mettez à jour les informations d'identification de base de données indiquées lors de la création de la connexion à la base de données externe. Pour plus d'informations, reportez-vous à Mise à jour des informations d'identification de connexion d'une connexion de base de données externe.
  • Bases de données Oracle Cloud et bases de données Autonomous AI : mettez à jour les informations d'identification de base de données indiquées lors de l'activation des diagnostics et de la gestion pour la base de données Oracle Cloud :
    1. Accédez à la page Database Management Administration Bases de données gérées.
    2. Dans le panneau de gauche, sélectionnez le compartiment dans lequel réside la base de données et le type de déploiement de la base de données.
    3. Cliquez sur l'icône Actions (Actions) de la base de données, puis sur Modifier les diagnostics et la gestion.
    4. Dans le panneau Modifier les diagnostics et la gestion, mettez à jour les informations d'identification de base de données indiquées pour la connexion à la base de données Oracle Cloud ou à la base de données Autonomous AI sélectionnée.

Pour définir les informations d'identification et de connexion enregistrées Advanced Diagnostics and Administration dans Diagnostics & Management :

  1. Accédez à la page Détails de base de données gérée, puis cliquez sur Informations d'identification dans le panneau de gauche sous Ressources.
    L'onglet Informations d'identification préférées apparaît. Vous pouvez définir les informations d'identité préférées, et visualiser le statut des informations d'identification préférées, ainsi que le nom utilisateur et le nom utilisateur définis dans les informations d'identité préférées, et voir si l'accès est activé ou non, et les informations d'identité nommées associées, le cas échéant.
  2. Cliquez sur l'icône Actions (Actions) des informations d'identification préférées à définir, puis sur Modifier.
  3. Dans le panneau Modifier les informations d'identification enregistrées, sélectionnez l'une des options suivantes dans la liste déroulante Type d'informations d'identification pour définir les informations d'identification enregistrées :
    • Informations d'identification nommées : sélectionnez cette option pour associer les informations d'identification préférées à des informations d'identification nommées existantes :
      Remarque

      Si des informations d'identification nommées sont en cours d'utilisation (actives) et définies en tant qu'informations d'identification de session pour la base de données gérée, le nom des informations d'identification nommées est affiché en regard de Actif.
      1. Portée : sélectionnez la portée des informations d'identification nommées :
        • Ressource : des informations d'identification nommées avec la portée Ressource peuvent être utilisées pour accéder à une base de données gérée unique, la surveiller et la gérer.
        • Global : des informations d'identification nommées avec la portée Global peuvent être utilisées pour accéder à toutes les bases de données gérées dans Diagnostics & Management, les surveiller et les gérer.
      2. Informations d'identification nommées : sélectionnez les informations d'identification nommées. Si le compartiment dans lequel réside l'adresse d'identification nommée est différent du compartiment affiché, cliquez sur Modifier un compartiment et sélectionnez un autre compartiment.
    • Nouvelles informations d'identification : sélectionnez cette option pour créer des informations d'identification :
      1. Nom de l'utilisateur : indiquez le nom utilisateur de base de données pour se connecter à la base de données gérée.
      2. Clé secrète du mot de passe d'utilisateur : sélectionnez la clé secrète qui contient le mot du mot de passe de l'administrateur de base de donnée dans la liste déroulante. Le mot de passe de l'utilisateur ne peut pas être stocké directement dans les informations d'identification préférées et doit d'abord être stocké dans une clé secrète de service Vault. Si le compartiment dans lequel réside la clé secrète est différent du compartiment affiché, cliquez sur Modifier le compartiment et sélectionnez-en un autre.

        Si aucune clé secrète existante contenant le mot de passe de l'utilisateur de base de données n'est disponible, sélectionnez Créer une clé secrète... dans la liste déroulante. Pour plus d'informations sur les droits d'accès requis pour créer une clé secrète et sur la création d'une clé secrète, reportez-vous à Exécution des tâches de prérequis et obtention des droits d'accès requis.

      3. Rôle : sélectionnez le rôle dans la liste des options disponibles.
      4. Enregistrer en tant que nouvelles informations d'identification nommées : vous pouvez éventuellement cocher cette case et indiquer un nom pour les informations d'identification nommées et l'une des options de mode d'accès par mot de passe suivantes pour enregistrer les nouvelles informations d'identification en tant qu'informations d'identification nommées.
        • Utilisateur : le droit d'accès à la clé secrète de mot de passe est défini pour l'utilisateur dans la stratégie.
        • Ressource : le droit d'accès à la clé secrète de mot de passe est défini pour le type de ressource (pour laquelle les informations d'identification nommées sont créées) dans la stratégie.

    Pour plus d'informations sur les informations d'identification nommées, reportez-vous à Création et gestion des informations d'identification nommées.

  4. Vous pouvez éventuellement cliquer sur Tester pour vérifier si la connexion à la base de données gérée a été établie à l'aide des informations d'identification.
  5. Cliquez sur Enregistrer pour enregistrer les informations d'identification.
Dans l'onglet Informations d'identification préférées, vous pouvez cliquer sur le nom des informations d'information d'identification pour afficher des détails tels que le nom utilisateur et la clé secrète de mot de passe, si les informations d'identification sont définies. Vous pouvez également cliquer sur l'icône Actions (Actions) des informations d'identification préférées pour les modifier, les visualiser ou les effacer.
Remarque

  • Si les informations d'identité préférées Administration est définies, elles ont automatiquement été remplies lorsque vous effectuez des tâches telles que la création d'un travail ou d'un tablespace. Vous avez la possibilité d'utiliser les informations d'identité préférées Administration ou d'en fournir de nouvelles. Toutefois, si les informations d'identification préférées Administration est définies pour la tâche d'exécution ADDM à la demande ou pour la tâche d'interruption de sessions dans la plate-forme de performances, les informations d'identification préférées Administration est automatiquement sélectionnées.
  • Si des informations d'identification de session sont définies et que des informations d'identification enregistrées sont également définies à l'aide d'informations d'identification utilisateur différentes, les informations d'identification de session sont prioritaires sur les informations d'identification enregistrées et sont automatiquement sélectionnées lorsque vous effectuez des tâches. Vous avez la possibilité d'utiliser les informations d'identification de session, de sélectionner les informations d'identification enregistrées ou de fournir de nouvelles informations d'identification. Si des informations d'identification de session sont définies, elles sont utilisées pour exécuter la tâche ADDM à la demande ou pour mettre fin aux sessions dans le hub de performances. Pour plus d'informations sur les informations d'identification de session, reportez-vous à Définition des informations d'identification de session.
  • Si les informations d'identification enregistrées ne sont pas définies, procédez comme suit :
    • L'utilisateur de surveillance est utilisé pour la surveillance de base.
    • Les informations d'identification de session peuvent être définies pour être utilisées dans une session particulière.
    • Les informations d'identification de base de données doivent être indiquées lors de l'exécution des opérations d'écriture.

Droits d'accès requis afin d'utiliser les informations d'identification préférées pour exécuter des tâches

Voici quelques exemples de scénario répertoriant les stratégies IAM, qui accordent les droits d'accès requis pour utiliser les informations d'identification enregistrées. Dans les scénarios, nous partons du principe suivant :

  • Les informations d'identification préférées ont été définies par un utilisateur Oracle Cloud Infrastructure disposant des droits d'accès requis.
  • Les informations d'identité préférées ont été définies pour les utilisateurs de base de données suivants. Ces utilisateurs doivent disposer des droits d'accès Oracle Cloud Infrastructure permettant de visualiser les informations d'identification préférées et d'effectuer l'ensemble de tâche associé dans Diagnostics et gestion.
    • Utilisateur de diagnostics avancés
    • Administrateur

    Pour plus d'informations sur les tâches prérequises et les droits d'accès requis pour définir des informations d'identification préférées, reportez-vous à Exécution des tâches de prérequis et obtention des droits d'accès requis.

Scénario 1 : si les informations d'identification préférées Diagnostics avancés sont définies pour l'utilisateur de diagnostics avancés, ce dernier doit disposer des droits d'accès suivants qui permettent de visualiser les informations d'identification préférées et d'effectuer l'ensemble de tâches associé :

  • Droit d'accès Database Management permettant d'exécuter la tâche Diagnostics & Management. Par exemple, pour visualiser les tablespaces, l'utilisateur de diagnostics avancés doit disposer du droit d'accès DBMGMT_MANAGED_DB_READ.

    Voici un exemple de stratégie qui autorise un groupe d'utilisateurs à visualiser les tablespaces :

    Allow group DB-MGMT-USER to read dbmgmt-managed-databases in compartment ABC
  • Droit d'accès du service Vault permettant de lire la clé secrète qui contient le mot de passe de l'utilisateur de diagnostics avancés.

    Voici un exemple de stratégie qui autorise un groupe d'utilisateurs à lire les clés secrètes :

    Allow group DB-MGMT-USER to read secrets in compartment ABC

Scénario 2 : si les informations d'identification préférées Administration sont définies pour l'administrateur, ce dernier doit disposer des droits d'accès suivants qui permettent de visualiser les informations d'identification préférées et d'effectuer l'ensemble de tâches associé :

  • Droit d'accès Database Management permettant d'exécuter la tâche Diagnostics & Management. Par exemple, pour créer des tablespaces, l'administrateur doit disposer du droit d'accès DBMGMT_MANAGED_DB_CONTENT_WRITE.

    Voici un exemple de stratégie qui autorise un groupe d'utilisateurs à créer des tablespaces :

    Allow group DB-MGMT-USER to use dbmgmt-managed-databases in compartment ABC
  • Droit d'accès du service Vault permettant de lire la clé secrète qui contient le mot de passe de l'administrateur.

    Voici un exemple de stratégie qui autorise un groupe d'utilisateurs à lire les clés secrètes :

    Allow group DB-MGMT-USER to read secrets in compartment ABC

Pour plus d'information sur les droits d'accès Database Management requis pour exécuter chaque tâche, reportez-vous à la section Détails de stratégie pour Database Management.

Informations supplémentaires concernant les informations d'identification d'origine

Le tableau ci-dessous répertorie certaines des tâches de diagnostic et de gestion qui peuvent être exécutées avec les informations d'identification préférées Diagnostics avancés et Administration.

Remarque

Si des informations d'identification de session sont définies et qu'une information d'identification préférée est également définie à l'aide d'informations d'identification utilisateur différentes, les informations d'identification de session sont prioritaires sur les informations d'identification préférées et sont automatiquement sélectionnées lorsque vous effectuez des tâches. Vous pouvez également utiliser les informations d'identification de session, sélectionner les informations d'identification préférées ou fournir de nouvelles informations d'identification. Si des informations d'identification de session sont définies, elles sont utilisées pour exécuter la tâche ADDM à la demande ou pour mettre fin aux sessions dans le hub de performances. Pour plus d'informations sur les informations d'identification de session, reportez-vous à Définition des informations d'identification de session.
Informations d'identification préférées Tâches
Diagnostics avancés Effectuez toutes les tâches dans le hub de performances, à l'exception de l'exécution du moniteur ADDM à la demande et de la terminaison des sessions, qui nécessitent les informations d'identification préférées Administration.

Pour plus d'informations, reportez-vous à Caractéristiques du hub de performances.

Effectuez toutes les tâches dans ADDM Spotlight, à l'exception de l'exécution de SQL Tuning Advisor et de la modification des paramètres de base de données, qui nécessitent les informations d'identification préférées Administration.

Pour plus d'informations, reportez-vous à Surveillance et gestion d'une base de données gérée spécifique.

Exécution de toutes les tâches liées à l'explorateur du référentiel AWR.

Pour plus d'informations, reportez-vous à Utilisation de l'explorateur AWR pour analyser les performances de base de données.

Visualisation des journaux d'alertes et des journaux d'éléments nécessitant une attention particulière.

Pour plus d'informations, reportez-vous à la section relative à la visualisation des journaux d'alertes.

Exécution de toutes les tâches de réglage SQL en lecture seule, telles que l'affichage des tâches de réglage SQL, des ensembles de réglages SQL, et des résultats et des recommandations de SQL Tuning Advisor.

Pour plus d'informations, reportez-vous à Analyse d'instructions SQL avec SQL Tuning Advisor.

Répertoriez les ensembles de réglages SQL et affichez les détails de ces derniers.

Pour plus d'informations, reportez-vous à Gestion des ensembles de réglages SQL.

Effectuez toutes les tâches SPM en lecture seule, telles que l'affichage des SQL Plan Baselines, des détails de configuration des SQL Plan Baseline et des travaux soumis pour charger les SQL Plan Baselines.

Pour plus d'informations, reportez-vous à Utiliser SPM pour gérer les plans d'exécution SQL.

Rechercher des instructions SQL.

Pour plus d'informations, reportez-vous à Rechercher des instructions SQL.

Rechercher des sessions.

Pour plus d'informations, reportez-vous à Sessions de recherche.

Visualisation du récapitulatif et des tâches des statistiques de l'optimiseur, ainsi que du récapitulatif et des tâches de la fonction de conseil des statistiques de l'optimiseur.

Pour plus d'informations, reportez-vous à Surveillance et analyse des statistiques de l'optimiseur.

Surveiller les sauvegardes.

Pour plus d'informations, reportez-vous à Surveillance des sauvegardes pour une base de données gérée spécifique.

Visualisation des tablespaces.

Pour plus d'informations, reportez-vous à Surveillance et gestion des tablespaces et des fichiers de données.

Surveiller les utilisateurs, les rôles, les profils et les paramètres d'audit.

Pour plus d'informations, reportez-vous à Surveillance de la configuration de sécurité de la base de données.

Visualisation des paramètres de base de données.

Pour plus d'informations, reportez-vous à Visualisation et modification des paramètres de base de données.

Administration Mettez fin aux sessions dans le hub de performances ou dans la section Rechercher des sessions de la page Détails de la base de données gérée.

Pour obtenir des informations, reportez-vous aux sections suivantes :
Exécution de tâches ADDM à la demande dans le hub de performances.

Pour plus d'informations, reportez-vous à Exécuter une tâche ADDM.

Utilisez les paramètres AWR pour la collecte de clichés dans le hub de performances.

Pour plus d'informations, reportez-vous à Paramètres AWR.

Exécutez la fonction de conseil STA dans ADDM Spotlight.

Pour plus d'informations, reportez-vous à Surveillance et gestion d'une base de données gérée spécifique.

Modifiez les paramètres de base de données dans ADDM Spotlight.

Pour plus d'informations, reportez-vous à Surveillance et gestion d'une base de données gérée spécifique.

Exécuter SQL Tuning Advisor et implémenter des recommandations.

Pour plus d'informations, reportez-vous à Analyse d'instructions SQL avec SQL Tuning Advisor.

Créez, chargez et supprimez des ensembles de réglages SQL.

Pour plus d'informations, reportez-vous à Gestion des ensembles de réglages SQL.

Implémenter les recommandations de la fonction de conseil des statistiques de l'optimiseur.

Pour plus d'informations, reportez-vous à Surveillance et analyse des statistiques de l'optimiseur.

Effectuer des tâches de configuration SPM et d'autres tâches telles que le chargement de SQL Plan Baselines.

Pour plus d'informations, reportez-vous à Utiliser SPM pour gérer les plans d'exécution SQL.

Création, modification et suppression des tablespaces et des fichiers de données.

Pour plus d'informations, reportez-vous à Surveillance et gestion des tablespaces et des fichiers de données.

Modification des paramètres de base de données.

Pour plus d'informations, reportez-vous à Visualisation et modification des paramètres de base de données.

Créer des travaux.

Pour plus d'informations, reportez-vous à Création d'un travail.