Per le connessioni Oracle Database
Criteri di esempio per gli strumenti di database
Ecco cinque diverse figure che possono utilizzare gli strumenti di database. Ogni persona può avere un diverso livello di accesso di gestione al servizio Oracle Cloud Infrastructure di accompagnamento, come mostrato nella tabella seguente:
Tabella 7-1 Criteri di esempio
| Utente tipo | Famiglia di reti virtuali | Database o famiglia di Autonomous Database | Vault | Tasti | Famiglia segreta | Famiglia di strumenti del database | Connessione strumenti database |
|---|---|---|---|---|---|---|---|
| Amministratore strumenti database | gestisci | gestisci | gestisci | gestisci | gestisci | gestisci | -- |
| Gestione strumenti di database | gestisci | letto | utilizzare | utilizzare | gestisci | gestisci | -- |
| Gestione connessioni strumenti database | utilizzare | letto | utilizzare | utilizzare | gestisci | utilizzare | gestisci |
| Connessione agli strumenti di database con l'utente principal autenticato | -- | letto | -- | -- | letto | letto | utilizzare |
| Connessione agli strumenti di database con identità di runtime principal risorsa | -- | letto | -- | -- | -- | letto | usa |
Amministratore strumenti database
L'amministratore di Database Tools può gestire tutti gli aspetti del servizio. I criteri riportati di seguito concedono loro le autorizzazioni necessarie per gestire networking, vault, chiavi, segreti, database e strumenti di database in un compartimento specifico.
Sostituire i segnaposto <group_name> e <compartment_name> con valori personalizzati.
Tabella 7-2 Criteri dell'amministratore degli strumenti di database
| Criteri | Livello di accesso |
|---|---|
|
Per gestire le reti cloud virtuali (VCN), le subnet, le schede di interfaccia di rete virtuale e i gruppi di sicurezza di rete. |
|
Per gestire Database Cloud Service (sistemi DB Virtual Machine e Bare Metal, cluster VM Exadata Cloud Service). |
|
Per leggere Autonomous Database su un'infrastruttura Exadata condivisa e dedicata. |
|
Per gestire i vault. |
|
Per gestire le chiavi. |
|
Per gestire i segreti. |
|
Per gestire gli strumenti di database. |
Gestione strumenti di database
Database Tools Manager può gestire networking (inclusi endpoint privati), segreti e connessioni agli strumenti di database, ma ha accesso limitato ai servizi Oracle Cloud Infrastructure Vault e Database.
Sostituire <group_name> e <compartment_name> con valori personalizzati.
Tabella 7-3 Criteri di Database Tools Manager
| Criteri | Livello di accesso |
|---|---|
|
Per utilizzare le reti cloud virtuali (VCN), le subnet, le schede di interfaccia di rete virtuale e i gruppi di sicurezza di rete. |
|
Per leggere Database Cloud Service (sistemi DB Virtual Machine e Bare Metal, cluster VM Exadata Cloud Service). |
|
Per leggere Autonomous Database su un'infrastruttura Exadata condivisa e dedicata. |
|
Per utilizzare il vault (ad esempio, crea segreto). |
|
Utilizzare le chiavi (ad esempio, create secret). |
|
Per gestire i segreti. |
|
Per gestire gli strumenti di database. |
Gestione connessioni strumenti database
Database Tools Connection Manager gestisce la creazione di connessioni ai servizi del database e dispone dell'accesso in sola lettura sugli altri servizi.
Sostituire <group_name> e <compartment_name> con valori personalizzati.
Se si utilizza una clausola WHERE nel criterio per limitare l'accesso in base all'OCID di connessione, utilizzare quanto riportato di seguito.
where target.resource.id = <connection-ocid>Per utilizzare SQL Worksheet con una connessione Database Tools, è necessario concedere a un utente l'autorizzazione inspect per tutte le connessioni Database Tools in un compartimento. Senza questa autorizzazione, un utente non può visualizzare alcuna connessione agli strumenti di database nella pagina Connessioni o selezionare alcuna connessione nell'elenco a discesa Foglio di lavoro SQL. Ad esempio, l'istruzione dei criteri riportata di seguito limita un gruppo specificato a use solo l'OCID di connessione degli strumenti di database specificato.
allow group <group-name> to use database-tools-connections in compartment <compartment-name> where all { target.resource.id = '<connection-ocid>' }Anche in tali scenari, è comunque necessario fornire la seguente istruzione dei criteri incondizionata per consentire al gruppo specificato di elencare le connessioni degli strumenti di database.
allow group <group-name> to inspect database-tools-connections in compartment <compartment-name>
Questa autorizzazione inspect incondizionata consente agli utenti di visualizzare tutte le connessioni agli strumenti di database nel compartimento, incluse quelle per le quali non dispongono dell'accesso use. Se è necessario concedere a gruppi diversi l'accesso a set di connessioni diversi senza esporre tutte le connessioni, Oracle consiglia di creare compartimenti separati per ogni set di connessioni di Database Tools e quindi concedere le autorizzazioni inspect e use a livello di compartimento, a seconda dei casi.
Tabella 7-4 Strumenti di database - Criteri di Connection Manager
| Criteri | Livello di accesso |
|---|---|
|
Per utilizzare le reti cloud virtuali (VCN), le subnet, le schede di interfaccia di rete virtuale e i gruppi di sicurezza di rete. |
|
Per leggere Database Cloud Service (sistemi DB Virtual Machine e Bare Metal, cluster VM Exadata Cloud Service). |
|
Per leggere Autonomous Database su un'infrastruttura Exadata condivisa e dedicata. |
|
Per utilizzare il vault (ad esempio, crea segreto). |
|
Utilizzare le chiavi (ad esempio, create secret). |
|
Per gestire i segreti. |
|
Per utilizzare gli endpoint privati Strumenti di database, i servizi endpoint. |
|
Per gestire le connessioni agli strumenti di database. |
Connessione agli strumenti di database con identità di runtime del principal autenticato
Questi criteri si applicano alle connessioni agli strumenti di database in cui l'identità di runtime utilizza AUTHENTICATED_PRINCIPAL.
Se si desidera impedire agli utenti di leggere i segreti, utilizzare la connessione agli strumenti di database con il principal risorsa. Vedere Database Tools Connection with Resource Principal Runtime Identity.
Nella tabella riportata di seguito sono elencati i criteri e i livelli di accesso associati per la connessione degli strumenti di database all'identità runtime del principal autenticata.
Tabella 7-5 Criteri per la connessione degli strumenti di database con l'identità di runtime del principal autenticato
| Criteri | Livello di accesso |
|---|---|
|
Per leggere Database Cloud Service (sistemi DB Virtual Machine e Bare Metal, cluster VM Exadata Cloud Service). |
|
Per leggere Autonomous Database su un'infrastruttura Exadata condivisa e dedicata. |
|
Leggere dei segreti. |
|
Per leggere gli endpoint privati degli strumenti di database, i servizi endpoint. |
|
Per utilizzare le connessioni degli strumenti del database. |
Sostituire <group_name> e <compartment_name> con valori basati sull'ambiente in uso.
Connessione agli strumenti di database con identità di runtime principal risorsa
Questi criteri si applicano alle connessioni agli strumenti di database in cui l'identità di runtime utilizza RESOURCE_PRINCIPAL.
Per impedire agli utenti di leggere i segreti, utilizzare la connessione degli strumenti di database con l'identità runtime del principal risorsa. Un utente della connessione di Database Tools all'identità di runtime del principal risorsa può utilizzare solo connessioni al database create in precedenza con OCI Database Tools e l'utente non può visualizzare i valori del segreto. Vedere Principal risorsa.
Nella tabella seguente sono elencati i gruppi dinamici e le risorse incluse per la connessione degli strumenti di database al principal risorsa.
Tabella 7-6 Gruppo dinamico per la connessione degli strumenti di database al principal risorsa
| Regola di confronto gruppo dinamico | Inclusioni |
|---|---|
|
Include tutte le connessioni a Database Tool trovate nel compartimento. |
|
Include solo la connessione agli strumenti di database specificata. |
Sostituire <group_name>, <compartment_name>, <connection_ocid> e <dynamic_group_name> con valori basati sull'ambiente in uso.
Nella tabella seguente sono elencati i criteri e i livelli di accesso associati per la connessione degli strumenti di database all'identità runtime del principal risorsa.
Tabella 7-7 Criteri per la connessione degli strumenti di database con l'identità di runtime del principal risorsa
| Criterio | Livello di accesso |
|---|---|
|
Per leggere Database Cloud Service (sistemi DB virtual machine e Bare Metal, cluster VM Exadata Cloud Service). |
|
Per leggere gli Autonomous Database su un'infrastruttura Exadata condivisa e dedicata. |
|
Per leggere gli endpoint privati, le connessioni e i servizi endpoint di Database Tools. |
|
Per utilizzare le connessioni agli strumenti di database. |
|
Per concedere ai membri del gruppo dinamico l'accesso per leggere i segreti |
Sostituire <group_name>, <compartment_name>, <connection_ocid> e <dynamic_group_name> con valori basati sull'ambiente in uso.