Pour les connexions de base de données Oracle
Exemples de stratégies pour Database Tools
Voici cinq personas différents qui peuvent utiliser Database Tools. Chaque identité utilisateur peut avoir un niveau d'accès en gestion au service Oracle Cloud Infrastructure associé différent, comme indiqué dans le tableau suivant :
Tableau 7-1 Exemples de stratégie
| Identité utilisateur | Famille de fonctions de réseau virtuel | Famille de bases de données ou de bases de données autonomes | Coffres | Clés | Famille de clés secrètes | Famille Database Tools | Connexion Database Tools |
|---|---|---|---|---|---|---|---|
| Administrateur Database Tools | manage | manage | manage | manage | manage | manage | -- |
| Gestionnaire Database Tools | manage | read | use | use | manage | manage | -- |
| Gestionnaire de connexions Database Tools | use | read | use | use | manage | use | manage |
| Connexion Database Tools avec l'utilisateur principal authentifié | -- | read | -- | -- | read | read | use |
| Connexion Database Tools à l'identité d'exécution du principal de ressource | -- | read | -- | -- | -- | read | use |
Administrateur Database Tools
L'administrateur Database Tools peut gérer tous les aspects du service. Les stratégies suivantes lui accordent les droits d'accès requis pour gérer les fonctions de réseau, les coffres, les clés, les clés secrètes, les bases de données et Database Tools dans un compartiment donné.
Remplacez les espaces réservés <group_name> et <compartment_name> par vos propres valeurs.
Tableau 7-2 Stratégies d'administrateur Database Tools
| Stratégie | Niveau d'accès |
|---|---|
|
Permet gérer les réseaux cloud virtuels, les sous-réseaux, les cartes d'interface réseau virtuelles et les groupes de sécurité réseau. |
|
Permet de gérer Database Cloud Service (systèmes de base de données Bare Metal et de machine virtuelle, clusters de machines virtuelles Exadata Cloud Service). |
|
Permet de lire les bases de données autonomes sur des infrastructures Exadata partagées et dédiées. |
|
Permet de gérer les coffres. |
|
Permet de gérer les clés. |
|
Permet de gérer les clés secrètes. |
|
Permet de gérer Database Tools. |
Gestionnaire Database Tools
Le gestionnaire Database Tools peut gérer les fonctions de réseau (y compris les adresses privées), les clés secrètes et les connexions Database Tools, mais dispose d'un accès limité aux services Oracle Cloud Infrastructure Vault et Database.
Remplacez <group_name> et <compartment_name> par vos propres valeurs.
Tableau 7-3 Stratégies de gestionnaire Database Tools
| Stratégie | Niveau d'accès |
|---|---|
|
Permet d'utiliser les réseaux cloud virtuels, les sous-réseaux, les cartes d'interface réseau virtuelles et les groupes de sécurité réseau. |
|
Permet de lire Database Cloud Service (systèmes de base de données Bare Metal et de machine virtuelle, clusters de machines virtuelles Exadata Cloud Service). |
|
Permet de lire les bases de données autonomes sur des infrastructures Exadata partagées et dédiées. |
|
Permet d'utiliser les coffres (par exemple, pour créer une clé secrète). |
|
Permet d'utiliser les clés (par exemple, pour créer une clé secrète). |
|
Permet de gérer les clés secrètes. |
|
Permet de gérer Database Tools. |
Gestionnaire de connexions Database Tools
Le gestionnaire de connexions Database Tools gère la création de connexions aux services Database et dispose d'un accès en lecture seule aux autres services.
Remplacez <group_name> et <compartment_name> par vos propres valeurs.
Si vous utilisez une clause WHERE dans la stratégie pour restreindre l'accès en fonction de l'OCID de connexion, utilisez les éléments suivants :
where target.resource.id = <connection-ocid>Pour utiliser SQL Worksheet avec une connexion Database Tools, vous devez accorder à un utilisateur le droit d'accès inspect pour toutes les connexions Database Tools d'un compartiment. Sans cette autorisation, un utilisateur ne peut pas voir de connexion Database Tools sur la page Connexions ni sélectionner de connexion dans la liste déroulante SQL Worksheet. Par exemple, l'instruction de stratégie suivante limite un groupe indiqué à use uniquement l'OCID de connexion Database Tools indiqué.
allow group <group-name> to use database-tools-connections in compartment <compartment-name> where all { target.resource.id = '<connection-ocid>' }Même dans de tels scénarios, vous devez toujours fournir l'instruction de stratégie inconditionnelle suivante pour permettre au groupe indiqué de répertorier les connexions Database Tools.
allow group <group-name> to inspect database-tools-connections in compartment <compartment-name>
Ce droit d'accès inspect inconditionnel permet aux utilisateurs de voir toutes les connexions Database Tools dans le compartiment, y compris celles pour lesquelles ils n'ont pas d'accès use. Si vous devez accorder à différents groupes l'accès à différents ensembles de connexions sans exposer toutes les connexions, Oracle recommande de créer des compartiments distincts pour chaque ensemble de connexions Database Tools, puis d'accorder les droits d'accès inspect et use au niveau du compartiment, le cas échéant.
Tableau 7-4 Stratégies de gestionnaire de connexions Database Tools
| Stratégie | Niveau d'accès |
|---|---|
|
Permet d'utiliser les réseaux cloud virtuels, les sous-réseaux, les cartes d'interface réseau virtuelles et les groupes de sécurité réseau. |
|
Permet de lire Database Cloud Service (systèmes de base de données Bare Metal et de machine virtuelle, clusters de machines virtuelles Exadata Cloud Service). |
|
Permet de lire les bases de données autonomes sur des infrastructures Exadata partagées et dédiées. |
|
Permet d'utiliser les coffres (par exemple, pour créer une clé secrète). |
|
Permet d'utiliser les clés (par exemple, pour créer une clé secrète). |
|
Permet de gérer les clés secrètes. |
|
Permet d'utiliser les adresses privées et les services d'adresse Database Tools. |
|
Permet de gérer les connexions Database Tools. |
Connexion Database Tools avec identité d'exécution de principal authentifiée
Ces stratégies s'appliquent aux connexions Database Tools dans lesquelles l'identité d'exécution utilise AUTHENTICATED_PRINCIPAL.
Si vous voulez empêcher les utilisateurs de lire les clés secrètes, utilisez plutôt la connexion Database Tools avec le principal de ressource. Reportez-vous à Connexion Database Tools avec l'identité d'exécution du principal de ressource.
Le tableau suivant répertorie les stratégies et les niveaux d'accès associés pour la connexion Database Tools avec l'identité d'exécution du principal authentifié.
Tableau 7-5 Stratégies pour la connexion Database Tools avec l'identité d'exécution principale authentifiée
| Stratégie | Niveau d'accès |
|---|---|
|
Permet de lire Database Cloud Service (systèmes de base de données Bare Metal et de machine virtuelle, clusters de machines virtuelles Exadata Cloud Service). |
|
Permet de lire les bases de données autonomes sur des infrastructures Exadata partagées et dédiées. |
|
Permet de lire les clés secrètes. |
|
Permet de lire les adresses privées et les services d'adresse Database Tools. |
|
Permet d'utiliser les connexions Database Tools. |
Remplacez <group_name> et <compartment_name> par des valeurs basées sur votre environnement.
Connexion Database Tools à l'identité d'exécution du principal de ressource
Ces stratégies s'appliquent aux connexions Database Tools dans lesquelles l'identité d'exécution utilise RESOURCE_PRINCIPAL.
Pour empêcher les utilisateurs de lire les clés secrètes, utilisez la connexion Database Tools avec l'identité d'exécution du principal de ressource. Un utilisateur de la connexion Database Tools avec l'identité d'exécution de principal de ressource peut uniquement utiliser des connexions de base de données pré-créées qui sont créées avec OCI Database Tools et l'utilisateur ne peut pas visualiser les valeurs de clé secrète. Reportez-vous à Principal de ressource.
Le tableau suivant répertorie les groupes dynamiques et les ressources incluses pour la connexion à Database Tools avec le principal de ressource.
Tableau 7-6 Groupe dynamique pour la connexion Database Tools avec le principal de ressource
| Règle de correspondance de groupe dynamique | Inclusions |
|---|---|
|
Inclut toutes les connexions Database Tool trouvées dans le compartiment. |
|
Inclut uniquement la connexion Database Tools indiquée. |
Remplacez <group_name>, <compartment_name>, <connection_ocid> et <dynamic_group_name> par des valeurs basées sur votre environnement.
Le tableau suivant répertorie les stratégies et les niveaux d'accès associés pour la connexion Database Tools avec l'identité d'exécution du principal de ressource.
Tableau 7-7 Stratégies de connexion Database Tools avec l'identité d'exécution du principal de ressource
| Stratégie | Niveau d'accès |
|---|---|
|
Permet de lire Database Cloud Service (systèmes de base de données Bare Metal et de machine virtuelle, clusters de machines virtuelles Exadata Cloud Service). |
|
Permet de lire les bases de données autonomes sur des infrastructures Exadata partagées et dédiées. |
|
Pour lire des adresses privées, des connexions et des services d'adresse Database Tools. |
|
Pour utiliser des connexions Database Tools. |
|
Permettre aux membres du groupe dynamique d'accéder à la lecture des clés secrètes |
Remplacez <group_name>, <compartment_name>, <connection_ocid> et <dynamic_group_name> par des valeurs basées sur votre environnement.