Documentation Oracle Cloud Infrastructure

Droits d'accès

Les droits d'accès au service Oracle Cloud Infrastructure suivants sont requis afin d'activer Ops Insights pour les bases de données Oracle Cloud et également pour les systèmes Exadata Cloud Service.

Remarque

Lorsque des stratégies en phase d'abandon sont détectées, Policy Advisor affiche une bannière nécessitant une mise à jour de stratégie vers le nouveau format CRISP. Pour mettre à jour, cliquez sur le bouton Mettre à jour les stratégies de prérequis. Pour plus d'informations sur les stratégies en phase d'abandon, reportez-vous à Suppression de la stratégie de principal de service.Avertissement relatif à Policy Advisor
  • Systèmes de base de données Bare Metal et de machine virtuelle et droits d'accès Exadata Cloud Service : afin d'activer Ops Insights pour les bases de données Oracle Cloud, vous devez disposer des droits d'accès Exadata Cloud Service et des systèmes de base de données Bare Metal et de machine virtuelle requis.
    Remarque

    Pour utiliser les analyses Exadata, vous devez activer la cible Exadata et non la base de données directement.
    Voici un exemple de stratégie qui accorde au groupe d'utilisateurs opsi-admins le droit d'activer les analyses Ops pour les bases de données Oracle Cloud dans la location :
    Remarque

    Ces stratégies peuvent également être de niveau compartiment. 
    allow group opsi-admins to read database-family in tenancy
    Pour Exadata, les stratégies suivantes sont également requises :
    Remarque

    Ces stratégies peuvent également être de niveau compartiment. 
    allow group opsi-admins to read cloud-exadata-infrastructures in tenancy
    allow group opsi-admins to read cloud-vmclusters in tenancy

    Pour plus d'informations sur des systèmes de base de données Bare Metal et de machine virtuelle spécifiques, ainsi que sur les types de ressource et les droits d'accès du service Exadata Cloud, reportez-vous à Détails de stratégie pour Base Database Service et à Détails des instances Exadata Cloud Service.

  • Droits d'accès du service Networking : pour utiliser l'adresse privée Ops Insights et permettre la communication entre Ops Insights et la base de données Oracle Cloud, vous devez disposer du droit d'accès manage sur le type de ressource vnics, et du droit d'accès use sur le type de ressource subnets, et le type de ressource network-security-groups ou security-lists (vous pouvez soit ouvrir l'accès réseau via un groupe de sécurité réseau (la base de données aurait dû être configurée pour l'utiliser), soit le sous-réseau doit disposer des listes de sécurité appropriées (le sous-réseau dans lequel réside la base de données)).

    Voici des exemples de stratégies individuelles qui accordent au groupe d'utilisateurs opsi-admins les droits d'accès requis : 

    allow group opsi-admins to manage vnics in tenancy
allow group opsi-admins to use subnets in tenancy
allow group opsi-admins to use network-security-groups in tenancy
    
allow group opsi-admins to use security-lists in tenancy

    Ou bien, une stratégie unique utilisant le type agrégé de ressource du service Networking accorde au groupe d'utilisateurs opsi-admins les mêmes droits d'accès que ceux décrits dans le paragraphe précédent : 

    allow group opsi-admins to manage virtual-network-family in tenancy

    Pour plus d'informations sur les types de ressource et les droits d'accès du service Networking, reportez-vous à la section Networking dans Détails des services de base.

  • Droits d'accès du service Vault :

    Les informations d'identification de base de données cloud sont ajoutées au service OCI Vault. Vous devez donc écrire une stratégie pour autoriser Ops Insights à les lire pour les collectes de données de mesure. Pour créer des clés secrètes ou utiliser des clés secrètes existantes lorsque vous indiquez les informations d'identification de base de données afin d'activer Ops Insights pour les bases de données Oracle Cloud, vous devez disposer du droit d'accès manage sur le type de ressource agrégé secret-family.

    Voici un exemple de stratégie qui accorde au groupe d'utilisateurs opsi-admins le droit d'accès permettant de créer et d'utiliser des clés secrètes dans la location : 

    allow group opsi-admins to manage secret-family in tenancy

    En plus de la stratégie de groupe d'utilisateurs pour le service Vault, la stratégie de service suivante est requise afin d'autoriser Ops Insights à lire les clés secrètes de mot de passe de base de données dans un coffre spécifique :

    allow any-user to read secret-family in tenancy where 
ALL{request.principal.type='opsidatabaseinsight', target.vault.id =  'Vault OCID'}
    Remarque

    Le compartiment ABC est le compartiment du coffre. Ce compartiment n'est pas requis pour correspondre au compartiment de la base de données.

    Pour plus d'informations sur les types de ressource et les droits d'accès du service Vault, reportez-vous à Détails du service Vault.