Documentation Oracle Cloud Infrastructure

Stratégies pour le système de base de données MySQL HeatWave

Indique comment autoriser la récupération après sinistre à gérer le système de base de données MySQL faisant partie de la pile d'applications.

Stratégies pour le système de base de données MySQL

Configurez des stratégies pour autoriser la récupération après sinistre à gérer la famille de ressources MySQL.
Allow group <group name> to manage mysql-family in compartment
    <compartment_name>
Stratégies pour Vault-Secret

Configurez des stratégies IAM pour accorder un accès en lecture à la clé secrète de coffre utilisée dans les opérations de récupération après sinistre du système de base de données MySQL, ce qui permet aux principaux de ressource autorisés d'extraire la clé secrète si nécessaire.

Créer un groupe dynamique

Avant de créer la stratégie, assurez-vous que vous avez défini un groupe dynamique pour les ressources qui nécessitent l'accès à la clé secrète du coffre. Par exemple, pour accorder à toutes les instances d'un compartiment spécifique l'accès à la clé secrète, vous pouvez utiliser la syntaxe de stratégie suivante :

ALL {resource.type='computecontainerinstance', resource.compartment.id =
      'ocid1.compartment.oc1..<compartment_ocid>'}

Remplacez <compartment_ocid> par l'OCID réel du compartiment.

Stratégies pour Object Storage

Définissez la stratégie.

Créez une stratégie qui accorde au groupe dynamique le droit d'accès aux clés secrètes read à partir du coffre et téléchargez les journaux vers le bucket Object Storage lors de l'exécution. Utilisez le verbe read avec le type de ressource secret-family. La syntaxe de stratégie est la suivante : 

Allow dynamic-group <dynamic-group-name> to read object-family in compartment
      <compartment-name>

Allow dynamic-group <dynamic-group-name> to read secret-family in compartment <compartment-name>

Dans l'exemple ci-dessus :

<dynamic-group-name>: The name of your dynamic group.
<compartment-name>: The name of the compartment where the secret resides.

Exemple de règle

Si votre groupe dynamique est nommé InstanceSecretReaders et que vos clés secrètes sont stockées dans le compartiment MySecretsCompartment, l'instruction de stratégie serait la suivante : 

Allow dynamic-group InstanceSecretReaders to read secret-family in compartment MySecretsCompartment

Cette stratégie permet à toute ressource membre du groupe dynamique InstanceSecretReaders de lire les clés secrètes stockées dans le compartiment MySecretsCompartment via OCI Vault.