外部MySQL DBシステムの登録およびデータベース管理の有効化に必要な権限
DBシステムを表すリソースを作成して外部MySQL DBシステムを登録し、DBシステムに接続し、データベース管理を有効にするには、次の権限が必要です:
データベース管理の権限
外部MySQL DBシステムを表すOracle Cloud Infrastructureリソースを作成し、コネクタ・リソースを使用して接続し、データベース管理を有効にするには、次のデータベース管理リソース・タイプに必要な権限を持つテナンシのユーザー・グループに属している必要があります:
dbmgmt-external-mysql-databases
: このリソース・タイプにより、ユーザー・グループは外部MySQL DBシステムを表すリソースを作成および管理し、外部MySQL DBシステムのデータベース管理を有効にできます。dbmgmt-external-mysql-database-connectors
: このリソース・タイプにより、ユーザー・グループは、外部MySQL DBシステムへの接続に必要な接続詳細を含むコネクタ・リソースを作成および管理できます。dbmgmt-work-requests
: このリソース・タイプを使用すると、ユーザー・グループは、外部MySQL DBシステム登録プロセス中に生成された作業リクエストをモニターできます。dbmgmt-mysql-family
: この集約リソース・タイプには、HeatWaveおよび外部MySQLの個々のデータベース管理リソース・タイプが含まれ、ユーザー・グループがデータベース管理を有効にして使用できるようにします。
次に、外部MySQL DBシステム・リソースを作成する権限をDB-MGMT-MYSQL-ADMIN
ユーザー・グループに付与し、外部MySQL DBシステムに接続するためのコネクタを作成し、データベース管理を有効にし、プロセス中に生成された作業リクエストをモニターするポリシーの例を示します:
Allow group DB-MGMT-MYSQL-ADMIN to manage dbmgmt-external-mysql-databases in tenancy
Allow group DB-MGMT-MYSQL-ADMIN to manage dbmgmt-external-mysql-database-connectors in tenancy
Allow group DB-MGMT-MYSQL-ADMIN to read dbmgmt-work-requests in tenancy
あるいは、HeatWaveおよび外部MySQLの集計リソース・タイプのデータベース管理を使用する単一のポリシーによって、前の段落で説明したのと同じ権限をDB-MGMT-MYSQL-ADMIN
ユーザー・グループに付与することもできます:
Allow group DB-MGMT-MYSQL-ADMIN to manage dbmgmt-mysql-family in tenancy
データベース管理のリソース・タイプおよび権限の詳細は、データベース管理のポリシー詳細を参照してください。
その他のOracle Cloud Infrastructureサービス権限
外部MySQL DBシステムを登録してデータベース管理を有効にするには、データベース管理権限に加えて、次のOracle Cloud Infrastructureサービス権限が必要です。
- 管理エージェント権限: 管理エージェントを使用して外部MySQL DBシステムのインスタンスとの接続を作成し、データを収集するには、
management-agents
集約リソース・タイプに対するmanage
権限が必要です。ここでは、テナンシ内の管理エージェントを操作する権限を
DB-MGMT-MYSQL-ADMIN
ユーザー・グループに付与するポリシーの例を示します:Allow group DB-MGMT-MYSQL-ADMIN to manage management-agents in tenancy
データベース管理(
dpd
)に必要なプラグインをコンパートメントの管理エージェントにデプロイする権限を付与するには、次のサービス・ポリシーが必要です:Allow service dpd to manage management-agents in compartment ABC
また、外部MySQL DBシステムで使用されるすべての管理エージェントに対して動的グループを作成する必要があります。これは、外部MySQL DBシステムが様々なOracle Cloud Infrastructureサービス・エンドポイントと対話できるようにするために必要です。たとえば、動的グループを使用すると、管理エージェントがメトリック・データをOracle Cloud Infrastructure Monitoringサービスにアップロードするポリシーを作成できます。動的グループの作成時に、コンパートメントまたはテナンシの管理エージェントを動的グループに追加するルールを定義できます。これにより、このステップが1回かぎりの設定ステップであり、インストールされる新しい管理エージェントが動的グループに自動的に属することが保証されます。
次に例を示します:
- 管理エージェントを含むデフォルト・ドメインに動的グループ(
agent-dynamic-group
)を作成し、次の一致ルールを入力して動的グループを定義します。ALL {resource.type='managementagent', resource.compartment.id='ocid1.compartment.oc1.examplecompartmentid'}
特定のコンパートメントのみでなく、テナンシのすべてのコンパートメントのエージェントをカバーするには、次の一致ルールを使用します:
ALL {resource.type='managementagent'}
動的グループの作成方法の詳細は、「動的グループを作成するには」を参照してください。
- 動的グループ(
agent-dynamic-group
)を使用してポリシーを作成し、様々なOracle Cloud Infrastructureサービスと対話します。たとえば:Allow dynamic-group agent-dynamic-group to manage management-agents in tenancy
Allow dynamic-group agent-dynamic-group to use metrics in tenancy
Allow dynamic-group agent-dynamic-group to use tag-namespaces in tenancy
詳細は次の項を参照してください。
- 管理エージェント・サービスのリソース・タイプおよび権限。管理エージェントの詳細を参照してください。
- 動的グループについては、Managing Dynamic Groupsを参照してください。
- 管理エージェントを含むデフォルト・ドメインに動的グループ(
- Vaultサービス権限: データベース管理を有効にするときに新しいシークレットを作成するか既存のシークレットを使用するには、
secret-family
集約リソース・タイプに対するmanage
権限が必要です。ここでは、テナンシでシークレットを作成および使用する権限を
DB-MGMT-MYSQL-ADMIN
ユーザー・グループに付与するポリシーの例を示します:Allow group DB-MGMT-MYSQL-ADMIN to manage secret-family in tenancy
Vaultサービスのリソース・タイプおよび権限の詳細は、Vaultサービスの詳細を参照してください。