Stratégies et droits d'accès obligatoires
Les groupes d'utilisateurs qui gèrent le service HeatWave doivent disposer des droits d'accès et des stratégies obligatoires pour accéder aux ressources et les gérer.
Stratégies obligatoires
Définissez les stratégies obligatoires au niveau de la location pour accéder aux différentes ressources du système de base de données.
Tableau 20-1 Politiques obligatoires
Stratégie | Description : |
---|---|
Allow group <group_name> to {COMPARTMENT_INSPECT} in compartment <compartment_name> |
Accorde le droit d'accès COMPARTMENT_INSPECT aux membres de <group_name> . Le droit d'accès permet au groupe de répertorier et de lire le contenu du compartiment indiqué.
|
Allow group <group_name> to {VCN_READ, SUBNET_READ, SUBNET_ATTACH, SUBNET_DETACH} in compartment <compartment_name> |
Accorde les droits d'accès VCN_READ , SUBNET_READ , SUBNET_ATTACH et SUBNET_DETACH aux membres de <group_name> . Ces droits d'accès permettent au groupe de lire, d'attacher et de détacher des sous-réseaux et de lire des réseaux cloud virtuels dans le compartiment indiqué. Vous avez besoin de cette instruction de stratégie pour attacher un système de base de données ou une réplique de lecture au sous-réseau d'un VCN.
|
Allow group <group_name> to {VNIC_CREATE, VNIC_DELETE, VNIC_UPDATE, NETWORK_SECURITY_GROUP_UPDATE_MEMBERS, VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP} in compartment <compartment_name> |
(Pour l'adresse de lecture et l'équilibreur de charge de réplique de lecture) Octroie les droits d'accès VNIC_CREATE , VNIC_DELETE , VNIC_UPDATE , NETWORK_SECURITY_GROUP_UPDATE_MEMBERS et VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP aux membres de <group_name> . Vous avez besoin de cette instruction de stratégie pour créer automatiquement un équilibreur de charge de réplique de lecture lors de la création de la première réplique de lecture d'un système de base de données ou pour créer une adresse de lecture d'un système de base de données.
|
Allow any-user to {VNIC_CREATE, VNIC_UPDATE, VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP, VNIC_DISASSOCIATE_NETWORK_SECURITY_GROUP} in compartment <subnet_compartment_name> where all {request.principal.type='mysqldbsystem', request.resource.compartment.id='<DBsystem_compartment_OCID>'} |
(Pour les groupes de sécurité réseau dans le système de base de données ou la réplique de lecture)
Accorde les droits d'accès Accorde les droits d'accès Il s'agit d'un principal de ressource qui octroie le droit d'accès Principal de ressource qui accorde le droit d'accès |
Allow any-user to read leaf-certificate-family in compartment <certificate_compartment_name> where all {request.principal.type = 'mysqldbsystem', request.resource.compartment.id='<DBsystem_compartment_OCID>'} |
(Pour un certificat défini par l'utilisateur ou utilisez votre propre certificat uniquement)
Accorde les droits d'accès en lecture du type de ressource leaf-certificate-family dans le compartiment <certificate_compartment_name> aux systèmes de base de données du compartiment avec l'OCID <DBsystem_compartment_OCID>.
|
|
(Pour la clé de cryptage gérée par l'utilisateur ou utilisez votre propre clé uniquement)
Permet d'accéder aux membres de Permet d'accéder aux membres de <group_name> pour lire les coffres dans le compartiment <key_compartment_name>. Il s'agit d'un principal de ressource qui octroie aux systèmes de base de données du compartiment dont l'OCID est <DBsystem_compartment_OCID> l'autorisation de déléguer l'utilisation des clés de cryptage dans le compartiment <key_compartment_name> à d'autres services. Une stratégie complémentaire est requise pour que l'autre service utilise les clés de cryptage. Accorde au service de volume de blocs et au service Object Storage de la région <region> le droit d'utiliser une clé de cryptage avec la valeur d'OCID égale à <key_OCID> dans le compartiment <key_compartment_name>. Il s'agit d'un principal de ressource qui approuve ou autorise les systèmes de base de données de cette location à disposer des droits d'accès répertoriés aux locations qui fournissent des droits d'accès Principal de ressource qui approuve ou autorise les systèmes de base de données de cette location à associer ou à utiliser les clés de cette location avec Principal de ressource qui approuve ou autorise les systèmes de base de données de cette location à associer ou à utiliser les clés de cette location avec Principal de ressource qui approuve ou autorise les systèmes de base de données de cette location à associer ou à utiliser les clés de cette location avec |
Obsolète dans la version 9.4.0 : Allow service mysql_dp_auth to {AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT, DYNAMIC_GROUP_INSPECT} in tenancy Pour la version 9.4.0 ou supérieure : |
(Pour le module d'extension authentication_oci uniquement), il octroie les droits d'accès AUTHENTICATION_INSPECT , GROUP_MEMBERSHIP_INSPECT et DYNAMIC_GROUP_INSPECT pour mettre en correspondance des utilisateurs MySQL du système de base de données avec des utilisateurs et des groupes existants définis dans le service IAM. Reportez-vous à Authentification à l'aide du module d'extension authentication_oci.
|
Allow group <group_name> to read metrics in compartment <compartment_name> |
(Pour la lecture des mesures uniquement) Donne accès aux membres de <group_name> pour lire les mesures dans la console. En dehors de cette stratégie, vous avez également besoin de la stratégie suivante pour lire les mesures :
|
Tableau 20-2 Services associés
Service associé | Description : |
---|---|
Certificats (Utilisation de votre propre certificat) |
Vous devez définir des stratégies pour affecter des certificats de sécurité aux systèmes de base de données. Vous devez définir un principal de ressource pour autoriser les systèmes de base de données à accéder aux certificats de sécurité. Reportez-vous à Principaux de ressource. |
Gestion de base de données |
Vous devez définir des stratégies pour activer et utiliser Database Management. Reportez-vous à Autorisations requises pour utiliser Database Management. |
Rubriques connexes
Droits d'accès obligatoires
Les groupes d'utilisateurs du service HeatWave doivent disposer des droits d'accès obligatoires pour lire le contenu des compartiments, utiliser des réseaux cloud virtuels et gérer le service HeatWave.
Tableau 20-3 Autorisations obligatoires
Droit | Description : |
---|---|
COMPARTMENT_INSPECT |
Permet de lire et d'afficher le contenu des compartiments. |
VCN_READ, SUBNET_READ, SUBNET_ATTACH, SUBNET_DETACH |
Permet de lire, d'attacher et de détacher des sous-réseaux, ainsi que de lire des réseaux cloud virtuels. Vous ne pouvez pas attacher un système de base de données à un réseau sans ces types de ressource. |
NETWORK_SECURITY_GROUP_READ, NETWORK_SECURITY_GROUP_UPDATE_MEMBERS, VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP, VNIC_DISASSOCIATE_NETWORK_SECURITY_GROUP |
(Pour les groupes de sécurité réseau) Accorde des droits d'association et de dissociation de groupes de sécurité réseau à un système de base de données ou à une réplique de lecture. |
CERTIFICATE_READ |
(Pour un certificat défini par l'utilisateur ou apportez votre propre certificat) Donne le droit de lire les certificats de sécurité dans le service Certificates. Vous ne pouvez pas affecter de certificat de sécurité à un système de base de données sans ce droit d'accès. |
AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT, DYNAMIC_GROUP_INSPECT |
(Pour le module d'extension authentication_oci ) Permet de mettre en correspondance des utilisateurs MySQL du système de base de données avec des utilisateurs et des groupes existants définis dans le service IAM.
|
VNIC_CREATE, VNIC_DELETE,VNIC_UPDATE, NETWORK_SECURITY_GROUP_UPDATE_MEMBERS,VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP |
(Pour une adresse de lecture et un équilibreur de charge de réplique de lecture) Octroie les droits de création d'une adresse de lecture ou d'un équilibreur de charge de réplique de lecture. |
Tableau 20-4 Services associés
Droits d'accès | Description : |
---|---|
Certificats (Utilisation de votre propre certificat) |
Vous devez disposer des autorisations nécessaires pour lire les certificats de sécurité. Les systèmes de base de données doivent disposer de droits d'accès pour accéder aux certificats de sécurité. Reportez-vous à Principaux de ressource. |
Gestion de base de données |
Vous devez disposer de droits d'accès pour activer et utiliser Database Management. Reportez-vous à Autorisations requises pour utiliser Database Management. |