Stratégies et droits d'accès obligatoires

Les groupes d'utilisateurs qui gèrent le service HeatWave doivent disposer des droits d'accès et des stratégies obligatoires pour accéder aux ressources et les gérer.

Stratégies obligatoires

Définissez les stratégies obligatoires au niveau de la location pour accéder aux différentes ressources du système de base de données.

Tableau 20-1 Politiques obligatoires

Stratégie Description :
Allow group <group_name> to {COMPARTMENT_INSPECT} in compartment <compartment_name> Accorde le droit d'accès COMPARTMENT_INSPECT aux membres de <group_name>. Le droit d'accès permet au groupe de répertorier et de lire le contenu du compartiment indiqué.
Allow group <group_name> to {VCN_READ, SUBNET_READ, SUBNET_ATTACH, SUBNET_DETACH} in compartment <compartment_name> Accorde les droits d'accès VCN_READ, SUBNET_READ, SUBNET_ATTACH et SUBNET_DETACH aux membres de <group_name>. Ces droits d'accès permettent au groupe de lire, d'attacher et de détacher des sous-réseaux et de lire des réseaux cloud virtuels dans le compartiment indiqué. Vous avez besoin de cette instruction de stratégie pour attacher un système de base de données ou une réplique de lecture au sous-réseau d'un VCN.
Allow group <group_name> to {VNIC_CREATE, VNIC_DELETE, VNIC_UPDATE, NETWORK_SECURITY_GROUP_UPDATE_MEMBERS, VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP} in compartment <compartment_name> (Pour l'adresse de lecture et l'équilibreur de charge de réplique de lecture) Octroie les droits d'accès VNIC_CREATE, VNIC_DELETE, VNIC_UPDATE, NETWORK_SECURITY_GROUP_UPDATE_MEMBERS et VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP aux membres de <group_name>. Vous avez besoin de cette instruction de stratégie pour créer automatiquement un équilibreur de charge de réplique de lecture lors de la création de la première réplique de lecture d'un système de base de données ou pour créer une adresse de lecture d'un système de base de données.

Allow group <group_name> to {NETWORK_SECURITY_GROUP_READ, NETWORK_SECURITY_GROUP_UPDATE_MEMBERS} in compartment <NSG_compartment_name>

Allow group <group_name> to {VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP, VNIC_DISASSOCIATE_NETWORK_SECURITY_GROUP} in compartment <compartment_name>

Allow any-user to {NETWORK_SECURITY_GROUP_UPDATE_MEMBERS} in compartment <NSG_compartment_name> where all {request.principal.type='mysqldbsystem', request.resource.compartment.id='<DBsystem_compartment_OCID>'}

Allow any-user to {VNIC_CREATE, VNIC_UPDATE, VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP, VNIC_DISASSOCIATE_NETWORK_SECURITY_GROUP} in compartment <subnet_compartment_name> where all {request.principal.type='mysqldbsystem', request.resource.compartment.id='<DBsystem_compartment_OCID>'}
(Pour les groupes de sécurité réseau dans le système de base de données ou la réplique de lecture)

Accorde les droits d'accès NETWORK_SECURITY_GROUP_READ et NETWORK_SECURITY_GROUP_UPDATE_MEMBERS pour autoriser le groupe à lire les groupes de sécurité réseau et à mettre à jour les ressources parent des groupes de sécurité réseau dans le compartiment indiqué.

Accorde les droits d'accès VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP et VNIC_DISASSOCIATE_NETWORK_SECURITY_GROUP pour autoriser l'association et la dissociation des systèmes de base de données et de la réplique de lecture dans le compartiment indiqué avec les groupes de sécurité réseau.

Il s'agit d'un principal de ressource qui octroie le droit d'accès NETWORK_SECURITY_GROUP_UPDATE_MEMBERS sur les groupes de sécurité réseau du compartiment <NSG_compartment_name> aux systèmes de base de données du compartiment avec l'OCID <DBsystem_compartment_OCID>.

Principal de ressource qui accorde le droit d'accès VNIC_CREATE, VNIC_UPDATE, VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP et VNIC_DISASSOCIATE_NETWORK_SECURITY_GROUP sur les cartes d'interface réseau virtuelles du compartiment <subnet_compartment_name> aux systèmes de base de données du compartiment avec l'OCID <DBsystem_compartment_OCID>.

Allow group <group_name> to read leaf-certificates in compartment <certificate_compartment_name>

Allow any-user to read leaf-certificate-family in compartment <certificate_compartment_name> where all {request.principal.type = 'mysqldbsystem', request.resource.compartment.id='<DBsystem_compartment_OCID>'}
(Pour un certificat défini par l'utilisateur ou utilisez votre propre certificat uniquement)

Accorde les droits d'accès en lecture du type de ressource leaf-certificates aux membres de <group_name>. Le droit d'accès autorise le groupe à affecter un certificat de sécurité dans le compartiment indiqué à un système de base de données.

Principal de ressource qui octroie les droits d'accès en lecture du type agrégé de ressource leaf-certificate-family dans le compartiment <certificate_compartment_name> aux systèmes de base de données du compartiment avec l'OCID <DBsystem_compartment_OCID>.

Allow group <group_name> to read vaults in compartment <vault_compartment_name>

Allow group <group_name> to read keys in compartment <key_compartment_name>

Allow any-user to use key-delegate in compartment <key_compartment_name> where all {request.principal.type = 'mysqldbsystem', request.resource.compartment.id='<DBsystem_compartment_OCID>'}

Allow service blockstorage, objectstorage-<region> to use keys in compartment <key_compartment_name> where target.key.id='<key_OCID>'

Endorse any-user to {VOLUME_UPDATE, VOLUME_INSPECT, VOLUME_CREATE, VOLUME_BACKUP_READ, VOLUME_BACKUP_UPDATE, BUCKET_UPDATE, VOLUME_GROUP_BACKUP_CREATE, VOLUME_BACKUP_COPY, VOLUME_BACKUP_CREATE, TAG_NAMESPACE_INSPECT, TAG_NAMESPACE_USE} in any-tenancy where request.principal.type = 'mysqldbsystem'

Endorse any-user TO associate keys in tenancy with volumes in any-tenancy where request.principal.type = 'mysqldbsystem'

Endorse any-user to associate keys in tenancy with volume-backups in any-tenancy where request.principal.type = 'mysqldbsystem'

Endorse any-user to associate keys in tenancy with buckets in any-tenancy where request.principal.type = 'mysqldbsystem'

(Pour la clé de cryptage gérée par l'utilisateur ou utilisez votre propre clé uniquement)

Permet d'accéder aux membres de <group_name> pour lire les coffres dans le compartiment <vault_compartment_name>.

Permet d'accéder aux membres de <group_name> pour lire les coffres dans le compartiment <key_compartment_name>.

Il s'agit d'un principal de ressource qui octroie aux systèmes de base de données du compartiment dont l'OCID est <DBsystem_compartment_OCID> l'autorisation de déléguer l'utilisation des clés de cryptage dans le compartiment <key_compartment_name> à d'autres services. Une stratégie complémentaire est requise pour que l'autre service utilise les clés de cryptage.

Accorde au service de volume de blocs et au service Object Storage de la région <region> le droit d'utiliser une clé de cryptage avec la valeur d'OCID égale à <key_OCID> dans le compartiment <key_compartment_name>.

Il s'agit d'un principal de ressource qui approuve ou autorise les systèmes de base de données de cette location à disposer des droits d'accès répertoriés aux locations qui fournissent des droits d'accès ADMIT équivalents sur cette location.

Principal de ressource qui approuve ou autorise les systèmes de base de données de cette location à associer ou à utiliser les clés de cette location avec volumes dans toutes les locations.

Principal de ressource qui approuve ou autorise les systèmes de base de données de cette location à associer ou à utiliser les clés de cette location avec volume-backups dans toutes les locations.

Principal de ressource qui approuve ou autorise les systèmes de base de données de cette location à associer ou à utiliser les clés de cette location avec buckets dans toutes les locations.

Obsolète dans la version 9.4.0 : Allow service mysql_dp_auth to {AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT, DYNAMIC_GROUP_INSPECT} in tenancy

Pour la version 9.4.0 ou supérieure : Allow any-user to {AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT, DYNAMIC_GROUP_INSPECT} in tenancy where request.principal.type = 'mysqldbsystem'

(Pour le module d'extension authentication_oci uniquement), il octroie les droits d'accès AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT et DYNAMIC_GROUP_INSPECT pour mettre en correspondance des utilisateurs MySQL du système de base de données avec des utilisateurs et des groupes existants définis dans le service IAM. Reportez-vous à Authentification à l'aide du module d'extension authentication_oci.
Allow group <group_name> to read metrics in compartment <compartment_name> (Pour la lecture des mesures uniquement) Donne accès aux membres de <group_name> pour lire les mesures dans la console. En dehors de cette stratégie, vous avez également besoin de la stratégie suivante pour lire les mesures :

Allow group <group name> to read mysql-family in compartment <compartment_name>

Tableau 20-2 Services associés

Service associé Description :
Certificats (Utilisation de votre propre certificat)

Vous devez définir des stratégies pour affecter des certificats de sécurité aux systèmes de base de données.

Vous devez définir un principal de ressource pour autoriser les systèmes de base de données à accéder aux certificats de sécurité. Reportez-vous à Principaux de ressource.

Gestion de base de données

Vous devez définir des stratégies pour activer et utiliser Database Management. Reportez-vous à Autorisations requises pour utiliser Database Management.

Droits d'accès obligatoires

Les groupes d'utilisateurs du service HeatWave doivent disposer des droits d'accès obligatoires pour lire le contenu des compartiments, utiliser des réseaux cloud virtuels et gérer le service HeatWave.

Tableau 20-3 Autorisations obligatoires

Droit Description :
COMPARTMENT_INSPECT Permet de lire et d'afficher le contenu des compartiments.
VCN_READ, SUBNET_READ, SUBNET_ATTACH, SUBNET_DETACH Permet de lire, d'attacher et de détacher des sous-réseaux, ainsi que de lire des réseaux cloud virtuels. Vous ne pouvez pas attacher un système de base de données à un réseau sans ces types de ressource.
NETWORK_SECURITY_GROUP_READ, NETWORK_SECURITY_GROUP_UPDATE_MEMBERS, VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP, VNIC_DISASSOCIATE_NETWORK_SECURITY_GROUP (Pour les groupes de sécurité réseau) Accorde des droits d'association et de dissociation de groupes de sécurité réseau à un système de base de données ou à une réplique de lecture.
CERTIFICATE_READ (Pour un certificat défini par l'utilisateur ou apportez votre propre certificat) Donne le droit de lire les certificats de sécurité dans le service Certificates. Vous ne pouvez pas affecter de certificat de sécurité à un système de base de données sans ce droit d'accès.
AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT, DYNAMIC_GROUP_INSPECT (Pour le module d'extension authentication_oci) Permet de mettre en correspondance des utilisateurs MySQL du système de base de données avec des utilisateurs et des groupes existants définis dans le service IAM.
VNIC_CREATE, VNIC_DELETE,VNIC_UPDATE, NETWORK_SECURITY_GROUP_UPDATE_MEMBERS,VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP (Pour une adresse de lecture et un équilibreur de charge de réplique de lecture) Octroie les droits de création d'une adresse de lecture ou d'un équilibreur de charge de réplique de lecture.

Tableau 20-4 Services associés

Droits d'accès Description :
Certificats (Utilisation de votre propre certificat)

Vous devez disposer des autorisations nécessaires pour lire les certificats de sécurité.

Les systèmes de base de données doivent disposer de droits d'accès pour accéder aux certificats de sécurité. Reportez-vous à Principaux de ressource.

Gestion de base de données

Vous devez disposer de droits d'accès pour activer et utiliser Database Management. Reportez-vous à Autorisations requises pour utiliser Database Management.