Criteri richiesti
Questo criterio consente di eseguire tutte le azioni per il servizio Migrazione database, ad esempio la creazione di connessioni, la gestione delle connessioni e così via, a seconda dell'uso.
Oracle consiglia di utilizzare il primo gruppo di criteri Per consentire agli utenti di gestire connessioni, migrazioni, job e reti in quanto dispone dei criteri necessari per terminare.
Allow group {group name} to manage odms-connection in {location}
Allow group {group name} to manage odms-migration in {location}
Allow group {group name} to manage odms-job in {location}
Allow group {group name} to manage goldengate-connections in {location}
Allow group {group name} to manage virtual-network-family in {location}
Allow group {group name} to manage tag-namespaces in {location}
Allow group {group name} to manage vaults in {location}
Allow group {group name} to manage keys in {location}
Allow group {group name} to manage secret-family in {location}
Allow group {group name} to manage object-family in {location}Allow group {group name} to manage virtual-network-family in compartment {compartment name}
Allow group {group name} to manage vaults in compartment {compartment name}
Allow group {group name} to manage keys in compartment {compartment name}
Allow group {group name} to manage secret-family in compartment {compartment name}
Allow group {group name} to manage object-family in compartment {compartment name}
Allow group {group name} to manage odms-connection in compartment {compartment name}
Allow group {group name} to manage odms-migration in compartment {compartment name} Allow group {group name} to manage odms-job in compartment {compartment name}Per gli scenari in cui non è possibile assegnare Manage virtual-network-family, può essere sostituito da:
Allow group {group name} to inspect vcns in compartment {compartment name}
Allow group {group name} to use subnets in compartment {compartment name}
Allow group {group name} to manage vnic in compartment {compartment name}A seconda che si intenda o meno utilizzare i seguenti servizi, sarà necessario aggiungere criteri per abilitare l'accesso anche a questi servizi:
- Oracle Autonomous Databases per i database di destinazione:
Allow group {group name} to manage autonomous-database-family in compartment {compartment name} →Aggregate resource type - Base database per l'origine o la destinazione:
Allow group {group name} to manage database-family in compartment {compartment name} → Aggregate resource type - Se è necessario accedere alle connessioni create dal servizio integrato GoldenGate:
Allow group {group name} to manage GoldenGate-connections in compartment {compartment name} - Se è necessario distribuire la propria istanza di GoldenGate Marketplace e utilizzarla come opzione di replica avanzata:
Allow group {group name} to manage instance-family in compartment {compartment name} Allow group {group name} to manage volume-family in compartment {compartment name} Allow group {group name} to manage public-ips in compartment {compartment name} Allow group {group name} to use tag-namespaces in tenancy Allow group {group name} to inspect compartments in tenancy Allow group {group name} to manage orm-family in compartment {compartment name} Allow group {group name} to manage app-catalog-listing in compartment {compartment name}→ Required to launch the GG marketplace stack - Per accedere ai dati del cluster HeatWave durante la creazione di una connessione HeatWave mediante Database Migration Service, effettuare le operazioni riportate di seguito.
Allow group {group name} to manage mysql-heatwave in compartment {compartment name} → Aggregate resource type
I criteri definiscono le azioni che i membri di un gruppo possono eseguire e in quali compartimenti. I criteri vengono creati utilizzando la console di Oracle Cloud. Nel menu di navigazione della console di Oracle Cloud, in Identità e sicurezza e quindi in Identità, fare clic su Criteri. I criteri vengono scritti nella sintassi seguente:
Allow group <group-name> to <verb> <resource-type> in <location> where <condition><group-name>: il nome del gruppo di utenti a cui si stanno concedendo le autorizzazioni<verb>: fornisce al gruppo un determinato livello di accesso a un tipo di risorsa. Man mano che i verbi passano dainspectareadauseamanage, il livello di accesso aumenta e le autorizzazioni concesse sono cumulative.<resource-type>: il tipo di risorsa con cui si concede a un gruppo l'autorizzazione a lavorare, ad esempioodms-agent,odms-connection,odms-jobeodms-migration.Per ulteriori informazioni, vedere resource-types.
<location>: collega il criterio a un compartimento o a una tenancy. È possibile specificare un singolo percorso di compartimento o compartimento in base al nome o all'OCID oppure specificaretenancyper coprire l'intera tenancy.<condition>: facoltativo. Una o più condizioni alle quali si applicherà questa politica.
Creazione di un criterio risorsa di rete
Migrazione del database richiede di fornire informazioni sulla VCN e sulla subnet durante la creazione delle migrazioni e delle registrazioni del database. Per fornire queste informazioni, è necessario avere la possibilità di visualizzare le informazioni sulla rete cloud. L'istruzione seguente concede al gruppo l'autorizzazione per le risorse di rete inspect nel compartimento e le seleziona durante la creazione delle risorse di migrazione del database:
allow group <group-name> to inspect virtual-network-family in compartment <compartment-name>Creazione di un criterio di applicazione tag
L'istruzione seguente consente a un gruppo di gestire gli spazi di nomi tag e le tag per le aree di lavoro:
allow group <group-name> to manage tag-namespaces in compartment <compartment-name>Per aggiungere una tag definita, è necessario disporre dell'autorizzazione per utilizzare lo spazio di nomi tag.
Argomenti correlati
Ulteriori informazioni su:
Argomento padre: Criteri