Per connessioni a MySQL Database
Criteri di esempio per gli strumenti di database
Ecco cinque diverse figure che possono utilizzare gli strumenti di database. Ogni persona può avere un diverso livello di accesso di gestione al servizio Oracle Cloud Infrastructure di accompagnamento, come mostrato nella tabella seguente:
Tabella 7-8 Criteri di esempio
| Utente tipo | Famiglia di reti virtuali | Famiglia MySQL Database | Vault | Tasti | Famiglia segreta | Famiglia di strumenti del database | Connessione strumenti database |
|---|---|---|---|---|---|---|---|
| Amministratore strumenti database | gestisci | gestisci | gestisci | gestisci | gestisci | gestisci | -- |
| Gestione strumenti di database | gestisci | letto | utilizzare | utilizzare | gestisci | gestisci | -- |
| Gestione connessioni strumenti database | utilizzare | letto | utilizzare | utilizzare | gestisci | utilizzare | gestisci |
| Connessione agli strumenti di database con l'utente principal autenticato | -- | letto | -- | -- | letto | letto | utilizzare |
| Connessione agli strumenti di database con identità di runtime principal risorsa | -- | letto | -- | -- | -- | letto | usa |
Amministratore strumenti database
L'amministratore di Database Tools può gestire tutti gli aspetti del servizio. I criteri riportati di seguito concedono loro le autorizzazioni necessarie per gestire networking, vault, chiavi, segreti, database e strumenti di database in un compartimento specifico.
Sostituire <group_name> e <compartment_name> con valori personalizzati.
Tabella 7-9 Criteri dell'amministratore degli strumenti di database
| Criteri | Livello di accesso |
|---|---|
|
Per gestire le reti cloud virtuali (VCN), le subnet, le schede di interfaccia di rete virtuale e i gruppi di sicurezza di rete. |
|
Per gestire MySQL Database Services. |
|
Per gestire i vault. |
|
Per gestire le chiavi. |
|
Per gestire i segreti. |
|
Per gestire gli strumenti di database. |
Gestione strumenti di database
Database Tools Manager può gestire networking (inclusi endpoint privati), segreti e connessioni agli strumenti di database, ma ha accesso limitato ai servizi Oracle Cloud Infrastructure Vault e Database.
Sostituire <group_name> e <compartment_name> con valori personalizzati.
Tabella 7-10 Criteri di Database Tools Manager
| Criteri | Livello di accesso |
|---|---|
|
Per utilizzare le reti cloud virtuali (VCN), le subnet, le schede di interfaccia di rete virtuale e i gruppi di sicurezza di rete. |
|
Per leggere MySQL Database Services. |
|
Per utilizzare il vault (ad esempio, crea segreto). |
|
Utilizzare le chiavi (ad esempio, create secret). |
|
Per gestire i segreti. |
|
Per gestire gli strumenti di database. |
Gestione connessioni strumenti database
Database Tools Connection Manager gestisce la creazione di connessioni ai servizi del database e dispone dell'accesso in sola lettura sugli altri servizi.
Sostituire <group_name> e <compartment_name> con valori personalizzati.
Se si utilizza una clausola WHERE nel criterio per limitare l'accesso in base all'OCID di connessione, utilizzare quanto riportato di seguito.
where target.resource.id != <connection-ocid>Tabella 7-11 Strumenti di database - Criteri di Connection Manager
| Criteri | Livello di accesso |
|---|---|
|
Per utilizzare le reti cloud virtuali (VCN), le subnet, le schede di interfaccia di rete virtuale e i gruppi di sicurezza di rete. |
|
Per leggere MySQL Database Services. |
|
Per utilizzare il vault (ad esempio, crea segreto). |
|
Utilizzare le chiavi (ad esempio, create secret). |
|
Per gestire i segreti. |
|
Per utilizzare gli endpoint privati Strumenti di database, i servizi endpoint. |
|
Per gestire le connessioni agli strumenti di database. |
Connessione agli strumenti di database con l'utente principal autenticato
Questi criteri si applicano alle connessioni agli strumenti di database in cui l'identità di runtime utilizza AUTHENTICATED_PRINCIPAL.
Se si desidera impedire agli utenti di leggere i segreti, utilizzare invece la connessione degli strumenti di database con l'identità di runtime del principal risorsa. Vedere Database Tools Connection with Resource Principal Runtime Identity.
Nella tabella riportata di seguito sono elencati i criteri e i livelli di accesso associati per la connessione degli strumenti di database all'identità runtime del principal autenticata.
Tabella 7-12 Criteri per la connessione degli strumenti di database con l'identità di runtime del principal autenticato
| Criteri | Livello di accesso |
|---|---|
|
Per leggere Database Cloud Service (sistemi DB Virtual Machine e Bare Metal, cluster VM Exadata Cloud Service). |
|
Leggere dei segreti. |
|
Per leggere gli endpoint privati degli strumenti di database, i servizi endpoint. |
|
Per utilizzare le connessioni degli strumenti del database. |
Sostituire <group_name> e <compartment_name> con valori basati sull'ambiente in uso.
Connessione agli strumenti di database con identità di runtime principal risorsa
Questi criteri si applicano alle connessioni agli strumenti di database in cui l'identità di runtime utilizza RESOURCE_PRINCIPAL.
Se si desidera impedire agli utenti di leggere i segreti, utilizzare la connessione degli strumenti di database con l'identità di runtime del principal risorsa. Un utente della connessione di Database Tools all'identità di runtime del principal risorsa può utilizzare solo connessioni al database create in precedenza con OCI Database Tools e l'utente non può visualizzare i valori del segreto. Vedere Principal risorsa.
Nella tabella seguente sono elencati i criteri e i livelli di accesso associati per la connessione degli strumenti di database all'identità runtime del principal risorsa.
Tabella 7-13 Criteri per la connessione degli strumenti di database con l'identità di runtime del principal risorsa
| Criterio | Livello di accesso |
|---|---|
|
Per leggere Database Cloud Service (sistemi DB virtual machine e Bare Metal, cluster VM Exadata Cloud Service). |
|
Per leggere gli Autonomous Database su un'infrastruttura Exadata condivisa e dedicata. |
|
Per leggere gli endpoint privati, le connessioni e i servizi endpoint di Database Tools. |
|
Per utilizzare le connessioni agli strumenti di database. |
|
Per concedere ai membri del gruppo dinamico l'accesso per leggere i segreti |
Sostituire <group_name>, <compartment_name>, <connection_ocid> e <dynamic_group_name> con valori personalizzati.