Documentazione dell'infrastruttura Oracle Cloud

Criteri e autorizzazioni obbligatori

I gruppi di utenti che gestiscono il servizio HeatWave devono disporre dei criteri e delle autorizzazioni obbligatori per accedere e gestire le risorse.

Polizze obbligatorie

Definire i criteri obbligatori a livello di tenancy per ottenere l'accesso a varie risorse del sistema DB.

Tabella 20-1 Criteri obbligatori

Criteri descrizione;
Allow group <group_name> to {COMPARTMENT_INSPECT} in compartment <compartment_name> Concede l'autorizzazione COMPARTMENT_INSPECT ai membri di <group_name>. L'autorizzazione consente al gruppo di elencare e leggere i contenuti del compartimento specificato.
Allow group <group_name> to {VCN_READ, SUBNET_READ, SUBNET_ATTACH, SUBNET_DETACH} in compartment <compartment_name> Concede le autorizzazioni VCN_READ, SUBNET_READ, SUBNET_ATTACH e SUBNET_DETACH ai membri di <group_name>. Queste autorizzazioni consentono al gruppo di leggere, collegare e scollegare le subnet e leggere le VCN nel compartimento specificato. Questa istruzione di criterio è necessaria per collegare un sistema DB o una replica di lettura alla subnet di una VCN.
Allow group <group_name> to {VNIC_CREATE, VNIC_DELETE, VNIC_UPDATE, NETWORK_SECURITY_GROUP_UPDATE_MEMBERS, VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP} in compartment <compartment_name> (Per l'endpoint di lettura e il load balancer di replica di lettura) concede le autorizzazioni VNIC_CREATE, VNIC_DELETE, VNIC_UPDATE, NETWORK_SECURITY_GROUP_UPDATE_MEMBERS e VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP ai membri di <group_name>. Questa istruzione criterio è necessaria per creare automaticamente un load balancer di replica di lettura quando si crea la prima replica di lettura di un sistema DB o per creare un endpoint di lettura di un sistema DB.

Allow group <group_name> to {NETWORK_SECURITY_GROUP_READ, NETWORK_SECURITY_GROUP_UPDATE_MEMBERS} in compartment <NSG_compartment_name>

Allow group <group_name> to {VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP, VNIC_DISASSOCIATE_NETWORK_SECURITY_GROUP} in compartment <compartment_name>

Allow any-user to {NETWORK_SECURITY_GROUP_UPDATE_MEMBERS} in compartment <NSG_compartment_name> where all {request.principal.type='mysqldbsystem', request.resource.compartment.id='<DBsystem_compartment_OCID>'}

Allow any-user to {VNIC_CREATE, VNIC_UPDATE, VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP, VNIC_DISASSOCIATE_NETWORK_SECURITY_GROUP} in compartment <subnet_compartment_name> where all {request.principal.type='mysqldbsystem', request.resource.compartment.id='<DBsystem_compartment_OCID>'}		 (Per i gruppi di sicurezza di rete (NSG) nel sistema DB o nella replica di lettura)

Concede le autorizzazioni NETWORK_SECURITY_GROUP_READ e NETWORK_SECURITY_GROUP_UPDATE_MEMBERS per consentire al gruppo di leggere i gruppi NSG e aggiornare le risorse padre dei gruppi NSG nel compartimento specificato.

Concede le autorizzazioni VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP e VNIC_DISASSOCIATE_NETWORK_SECURITY_GROUP per consentire l'associazione e l'annullamento dell'associazione dei sistemi DB e della replica di lettura nel compartimento specificato ai gruppi NSG.

Si tratta di un principal risorsa che concede l'autorizzazione NETWORK_SECURITY_GROUP_UPDATE_MEMBERS sui gruppi di sicurezza di rete nel compartimento <NSG_compartment_name> ai sistemi DB nel compartimento con OCID <DBsystem_compartment_OCID>.

Si tratta di un principal risorsa che concede l'autorizzazione VNIC_CREATE, VNIC_UPDATE, VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP e VNIC_DISASSOCIATE_NETWORK_SECURITY_GROUP sulle VNIC nel compartimento <subnet_compartment_name> ai sistemi DB nel compartimento con OCID <DBsystem_compartment_OCID>.

Allow group <group_name> to read leaf-certificates in compartment <certificate_compartment_name>

Allow any-user to read leaf-certificate-family in compartment <certificate_compartment_name> where all {request.principal.type = 'mysqldbsystem', request.resource.compartment.id='<DBsystem_compartment_OCID>'}		 (Solo per certificato definito dall'utente o per portare il proprio certificato)

Concede le autorizzazioni di lettura del tipo di risorsa leaf-certificates ai membri di <group_name>. L'autorizzazione consente al gruppo di assegnare un certificato di sicurezza nel compartimento specificato a un sistema DB.

Si tratta di un principal risorsa che concede le autorizzazioni di lettura del tipo di risorsa aggregata leaf-certificate-family nel compartimento <certificate_compartment_name> ai sistemi DB nel compartimento con OCID <DBsystem_compartment_OCID>.
Allow service mysql_dp_auth to {AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT, DYNAMIC_GROUP_INSPECT} in tenancy (Solo per il plugin authentication_oci) Concede l'autorizzazione AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT e DYNAMIC_GROUP_INSPECT per mappare gli utenti MySQL nel sistema DB agli utenti e ai gruppi esistenti definiti nel servizio IAM. Vedere Autenticazione mediante il plugin authentication_oci.
Allow group <group_name> to read metrics in compartment <compartment_name> (Solo per le metriche di lettura) Concede l'accesso ai membri di <group_name> per leggere le metriche nella console. Oltre a questa politica, è necessario anche il seguente criterio per leggere le metriche:

Allow group <group name> to read mysql-family in compartment <compartment_name>

Tabella 20-2 Servizi associati

Servizio associato descrizione;
Certificati (Porta il tuo certificato)

È necessario definire criteri per assegnare certificati di sicurezza ai sistemi DB.

È necessario definire un principal risorsa per consentire ai sistemi DB di accedere ai certificati di sicurezza. Vedere Principali risorse.

Gestione database

È necessario definire i criteri per abilitare e utilizzare Gestione database. Vedere Autorizzazioni necessarie per utilizzare Gestione database.

Autorizzazioni obbligatorie

I gruppi di utenti del servizio HeatWave devono disporre delle autorizzazioni obbligatorie per leggere il contenuto dei compartimenti, utilizzare le reti cloud virtuali e gestire il servizio HeatWave.

Tabella 20-3 Autorizzazioni obbligatorie

Autorizzazioni descrizione;
COMPARTMENT_INSPECT Concede i diritti di lettura e visualizzazione del contenuto dei compartimenti.
VCN_READ, SUBNET_READ, SUBNET_ATTACH, SUBNET_DETACH Concede i diritti per leggere, collegare e scollegare le subnet e per leggere le VCN. Non è possibile collegare un sistema DB a una rete senza questi tipi di risorse.
NETWORK_SECURITY_GROUP_READ, NETWORK_SECURITY_GROUP_UPDATE_MEMBERS, VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP, VNIC_DISASSOCIATE_NETWORK_SECURITY_GROUP (Per i gruppi di sicurezza di rete) Concede i diritti per associare e annullare l'associazione dei gruppi di sicurezza di rete a un sistema DB o a una replica di lettura.
CERTIFICATE_READ (Per un certificato definito dall'utente o un certificato personale) Consente di leggere i certificati di sicurezza nel servizio Certificati. Non è possibile assegnare un certificato di sicurezza a un sistema DB senza questa autorizzazione.
AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT, DYNAMIC_GROUP_INSPECT (Per il plugin authentication_oci) Concede i diritti per mappare gli utenti MySQL nel sistema DB agli utenti e ai gruppi esistenti definiti nel servizio IAM.
VNIC_CREATE, VNIC_DELETE,VNIC_UPDATE, NETWORK_SECURITY_GROUP_UPDATE_MEMBERS,VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP (Per l'endpoint di lettura e il load balancer di replica di lettura) Concede i diritti per creare un endpoint di lettura o un load balancer di replica di lettura.

Tabella 20-4 Servizi associati

Autorizzazioni descrizione;
Certificati (Porta il tuo certificato)

È necessario disporre delle autorizzazioni per leggere i certificati di sicurezza.

I sistemi DB devono disporre delle autorizzazioni per accedere ai certificati di sicurezza. Vedere Principali risorse.

Gestione database

È necessario disporre delle autorizzazioni per abilitare e utilizzare Gestione database. Vedere Autorizzazioni necessarie per utilizzare Gestione database.