Pour les connexions de base de données MySQL
Exemples de stratégies pour Database Tools
Voici cinq personas différents qui peuvent utiliser Database Tools. Chaque identité utilisateur peut avoir un niveau d'accès en gestion au service Oracle Cloud Infrastructure associé différent, comme indiqué dans le tableau suivant :
Tableau 7-8 Exemples de stratégie
| Identité utilisateur | Famille de fonctions de réseau virtuel | Famille de bases de données MySQL | Coffres | Clés | Famille de clés secrètes | Famille Database Tools | Connexion Database Tools |
|---|---|---|---|---|---|---|---|
| Administrateur Database Tools | manage | manage | manage | manage | manage | manage | -- |
| Gestionnaire Database Tools | manage | read | use | use | manage | manage | -- |
| Gestionnaire de connexions Database Tools | use | read | use | use | manage | use | manage |
| Connexion Database Tools avec l'utilisateur principal authentifié | -- | read | -- | -- | read | read | use |
| Connexion Database Tools à l'identité d'exécution du principal de ressource | -- | read | -- | -- | -- | read | use |
Administrateur Database Tools
L'administrateur Database Tools peut gérer tous les aspects du service. Les stratégies suivantes lui accordent les droits d'accès requis pour gérer les fonctions de réseau, les coffres, les clés, les clés secrètes, les bases de données et Database Tools dans un compartiment donné.
Remplacez <group_name> et <compartment_name> par vos propres valeurs.
Tableau 7-9 Stratégies d'administrateur Database Tools
| Stratégie | Niveau d'accès |
|---|---|
|
Permet gérer les réseaux cloud virtuels, les sous-réseaux, les cartes d'interface réseau virtuelles et les groupes de sécurité réseau. |
|
Permet de gérer les services MySQL Database. |
|
Permet de gérer les coffres. |
|
Permet de gérer les clés. |
|
Permet de gérer les clés secrètes. |
|
Permet de gérer Database Tools. |
Gestionnaire Database Tools
Le gestionnaire Database Tools peut gérer les fonctions de réseau (y compris les adresses privées), les clés secrètes et les connexions Database Tools, mais dispose d'un accès limité aux services Oracle Cloud Infrastructure Vault et Database.
Remplacez <group_name> et <compartment_name> par vos propres valeurs.
Tableau 7-10 Stratégies de gestionnaire Database Tools
| Stratégie | Niveau d'accès |
|---|---|
|
Permet d'utiliser les réseaux cloud virtuels, les sous-réseaux, les cartes d'interface réseau virtuelles et les groupes de sécurité réseau. |
|
Permet de lire les services MySQL Database. |
|
Permet d'utiliser les coffres (par exemple, pour créer une clé secrète). |
|
Permet d'utiliser les clés (par exemple, pour créer une clé secrète). |
|
Permet de gérer les clés secrètes. |
|
Permet de gérer Database Tools. |
Gestionnaire de connexions Database Tools
Le gestionnaire de connexions Database Tools gère la création de connexions aux services Database et dispose d'un accès en lecture seule aux autres services.
Remplacez <group_name> et <compartment_name> par vos propres valeurs.
Si vous utilisez une clause WHERE dans la stratégie pour restreindre l'accès en fonction de l'OCID de connexion, utilisez les éléments suivants :
where target.resource.id != <connection-ocid>Tableau 7-11 Stratégies de gestionnaire de connexions Database Tools
| Stratégie | Niveau d'accès |
|---|---|
|
Permet d'utiliser les réseaux cloud virtuels, les sous-réseaux, les cartes d'interface réseau virtuelles et les groupes de sécurité réseau. |
|
Permet de lire les services MySQL Database. |
|
Permet d'utiliser les coffres (par exemple, pour créer une clé secrète). |
|
Permet d'utiliser les clés (par exemple, pour créer une clé secrète). |
|
Permet de gérer les clés secrètes. |
|
Permet d'utiliser les adresses privées et les services d'adresse Database Tools. |
|
Permet de gérer les connexions Database Tools. |
Connexion Database Tools avec l'utilisateur principal authentifié
Ces stratégies s'appliquent aux connexions Database Tools dans lesquelles l'identité d'exécution utilise AUTHENTICATED_PRINCIPAL.
Si vous voulez empêcher les utilisateurs de lire les clés secrètes, utilisez plutôt la connexion Database Tools avec l'identité d'exécution du principal de ressource. Reportez-vous à Connexion Database Tools avec l'identité d'exécution du principal de ressource.
Le tableau suivant répertorie les stratégies et les niveaux d'accès associés pour la connexion Database Tools avec l'identité d'exécution du principal authentifié.
Tableau 7-12 Stratégies pour la connexion Database Tools avec l'identité d'exécution principale authentifiée
| Stratégie | Niveau d'accès |
|---|---|
|
Permet de lire Database Cloud Service (systèmes de base de données Bare Metal et de machine virtuelle, clusters de machines virtuelles Exadata Cloud Service). |
|
Permet de lire les clés secrètes. |
|
Permet de lire les adresses privées et les services d'adresse Database Tools. |
|
Permet d'utiliser les connexions Database Tools. |
Remplacez <group_name> et <compartment_name> par des valeurs basées sur votre environnement.
Connexion Database Tools à l'identité d'exécution du principal de ressource
Ces stratégies s'appliquent aux connexions Database Tools dans lesquelles l'identité d'exécution utilise RESOURCE_PRINCIPAL.
Pour empêcher les utilisateurs de lire les clés secrètes, utilisez la connexion Database Tools avec l'identité d'exécution du principal de ressource. Un utilisateur de la connexion Database Tools avec l'identité d'exécution de principal de ressource peut uniquement utiliser des connexions de base de données pré-créées qui sont créées avec OCI Database Tools et l'utilisateur ne peut pas visualiser les valeurs de clé secrète. Reportez-vous à Principal de ressource.
Le tableau suivant répertorie les stratégies et les niveaux d'accès associés pour la connexion Database Tools avec l'identité d'exécution du principal de ressource.
Tableau 7-13 Stratégies de connexion Database Tools avec l'identité d'exécution du principal de ressource
| Stratégie | Niveau d'accès |
|---|---|
|
Permet de lire Database Cloud Service (systèmes de base de données Bare Metal et de machine virtuelle, clusters de machines virtuelles Exadata Cloud Service). |
|
Permet de lire les bases de données autonomes sur des infrastructures Exadata partagées et dédiées. |
|
Pour lire des adresses privées, des connexions et des services d'adresse Database Tools. |
|
Pour utiliser des connexions Database Tools. |
|
Permettre aux membres du groupe dynamique d'accéder à la lecture des clés secrètes |
Remplacez <group_name>, <compartment_name>, <connection_ocid> et <dynamic_group_name> par vos propres valeurs.