Para usar o Diagnostics & Management para Bancos de Dados do Oracle Cloud, são necessárias as seguintes permissões de serviços Oracle Cloud Infrastructure, além das permissões do Database Management.

• Permissões Base Database Service, ExaDB-D, ExaDB-XS e ExaDB-C@C: A respectiva permissão de solução em nuvem do Oracle Database é necessária para exibir o número total de Bancos de Dados do Oracle Cloud no compartimento selecionado no mosaico bancos de dados Oracle na página Visão Geral do Serviço Database Management e para recuperar dados dos Bancos de Dados do Oracle Cloud e exibi-los no resumo da frota do Oracle Database e em outras páginas de Diagnóstico e Gerenciamento:

  Para conceder essa permissão, é necessário criar uma política com o verbo read e os tipos de recursos da solução em nuvem do Oracle Database. Como alternativa, uma única política que usa o tipo de recurso agregado para Bancos de Dados do Oracle Cloud, database-family, pode ser usada.

  Veja um exemplo em que o tipo de recurso agregado database-family é usado:

  Allow group DB-MGMT-USER to read database-family in compartment ABC

  Observação
  
  Como alternativa, você pode criar a política a seguir para conceder a um grupo de usuários a permissão para exibir o número total de Bancos de Dados Oracle, que incluem Bancos de Dados Oracle Cloud, Bancos de Dados Externos e Autonomous Databases no compartimento, no mosaico Bancos de dados Oracle.

  Allow group DB-MGMT-USER to {DATABASE_SERVICE_USAGE_INSPECT} in compartment ABC

  Para obter mais informações sobre:

  • Tipos de recursos e permissões do Base Database Service. Consulte Detalhes do Base Database Service.
  • Tipos de recursos e permissões ExaDB-D, consulte Detalhes do Serviço de Banco de Dados Exadata em Infraestrutura Dedicada.
  • ExaDB-Permissões e tipos de recursos XS, consulte Detalhes do Oracle Exadata Database Service na Infraestrutura do Exascale.
  • ExaDB-Tipos de recursos e permissões C@C, consulte Detalhes do Exadata Database Service on Cloud@Customer.
• Permissões do serviço Monitoring: São necessárias permissões do serviço Monitoring para:
  • Exibir métricas do banco de dados nas páginas Resumo da frota do Oracle Database e Detalhes do banco de dados gerenciado.
  • Exibir dados de desempenho do banco de dados em painéis de controle definidos pela Oracle e usar métricas do serviço Monitoring para criar widgets.
  • Exibir o resumo de execução do job na guia Execuções na seção Jobs da página Detalhes do banco de dados gerenciado.
  • Exiba alarmes de banco de dados abertos nas páginas Diagnóstico e Gerenciamento.
  • Execute tarefas relacionadas ao alarme na seção Definições de alarme da página Detalhes do banco de dados gerenciado.

  Estas são as informações sobre as políticas que fornecem as permissões necessárias para executar as tarefas fornecidas na lista anterior:

  • Para exibir dados de desempenho do banco de dados no Diagnostics & Management, usar métricas do serviço Monitoring para criar widgets e exibir o resumo da execução do job, é necessário criar uma política com o verbo read para o tipo de recurso metrics. Veja um exemplo:

    Allow group DB-MGMT-USER to read metrics in compartment ABC

  • Para exibir os alarmes do banco de dados abertos nas páginas Diagnóstico e Gerenciamento e as páginas Status do Alarme e Definições de Alarme do serviço Monitoring, é necessário criar uma política com o verbo read para o resource-type alarms (além de uma política com o verbo read para o resource-type metrics). Veja um exemplo:

    Allow group DB-MGMT-USER to read alarms in compartment ABC

  • Para executar tarefas relacionadas ao alarme na seção Definições de alarme da página Detalhes do banco de dados gerenciado, uma política com o verbo manage para o tipo de recurso alarms deve ser criada (além de uma política com o verbo read para o tipo de recurso metrics). Veja um exemplo:

    Allow group DB-MGMT-USER to manage alarms in compartment ABC

  Para criar consultas e alarmes para métricas de banco de dados usando o serviço Monitoring, outras permissões são necessárias. Para obter informações sobre:

  • Resource-types e permissões do serviço Monitoring, consulte Detalhes do Serviço Monitoring.

  • Políticas comuns do serviço Monitoring, consulte Políticas Comuns.

• Permissão do serviço Notifications: Uma permissão do serviço Notifications é necessária para usar ou criar tópicos e assinaturas ao criar alarmes na seção Definições de alarme da página Detalhes do banco de dados gerenciado.

  Para conceder essa permissão, uma política com o verbo use ou manage para o tipo de recurso ons-topics deve ser criada (além das permissões do serviço Monitoring). Veja um exemplo de política com o verbo manage que permite criar um novo tópico ao criar um alarme:

  Allow group DB-MGMT-USER to manage ons-topics in compartment ABC

  Para obter mais informações sobre os tipos de recursos e permissões do serviço Notifications, consulte Detalhes do Serviço Notifications.

• Permissões do serviço Vault: É necessária uma permissão do serviço Vault para usar segredos ao especificar credenciais do banco de dados para executar tarefas como criar um job e editar parâmetros do banco de dados em Diagnóstico e Gerenciamento. Se credenciais preferenciais e nomeadas forem definidas, essa permissão também será necessária para usar essas credenciais para acessar, gerenciar e monitorar Bancos de Dados Gerenciados.

  Para conceder essa permissão, é necessário criar uma política com o verbo read para os tipos de recursos do serviço Vault. Veja um exemplo em que o tipo de recurso agregado secret-family é usado:

  Allow group DB-MGMT-USER to read secret-family in compartment ABC

  Se quiser conceder a permissão para acessar segredos somente de um vault específico, atualize a política para:

  Allow group DB-MGMT-USER to read secret-family in compartment ABC where target.vault.id = <Vault OCID>

  Além da política de grupo de usuários do serviço Vault, a seguinte política de controlador de recursos pode ser necessária para conceder a permissão para acessar segredos ao criar um job programado:

  Allow any-user to read secret-family in compartment ABC where ALL {target.secret.id = <Secret OCID>,request.principal.type = dbmgmtmanageddatabase}

  Para obter mais informações sobre os tipos de recursos e permissões do serviço Vault, consulte Detalhes do Serviço Vault.

• Permissões do Management Dashboard: São necessárias permissões do Management Dashboard para usar painéis de controle para os Bancos de Dados do Oracle Cloud para os quais o Diagnostics & Management está ativado.

  Para executar tarefas como criar um painel de controle ou um widget, você deve ter as permissões necessárias nos resource-types do Management Dashboard:

  • management-dashboard: Este resource-type permite que um grupo de usuários use painéis de controle.
  • management-saved-search: Este recurso permite que um grupo de usuários use as pesquisas salvas em um painel de controle.

  Para obter mais informações sobre os resource-types, permissões, operações de API e exemplos de políticas, consulte Detalhes do Management Dashboard.

• Permissões do serviço Object Storage: São necessárias permissões do serviço Object Storage para usar o recurso Jobs no Diagnostics & Management.
  • Para permitir que um grupo de usuários leia os resultados do job do tipo Consulta armazenados em um bucket do serviço Object Storage, duas políticas devem ser criadas. Veja alguns exemplos:

    Allow group DB-MGMT-USER to read buckets in compartment ABC

    e

    Allow group DB-MGMT-USER to manage objects in compartment ABC

  • Além da política de grupo de usuários do serviço Object Storage, é necessária a seguinte política de controlador de recursos para conceder aos recursos do Banco de Dados Gerenciado a permissão para gravar resultados de jobs programados no serviço Object Storage:

    Allow any-user to manage objects in compartment ABC where ALL {target.bucket.name = <Bucket Name>,request.principal.type = dbmgmtmanageddatabase}

  Para obter mais informações sobre os tipos de recursos e permissões do serviço Object Storage, consulte Detalhes dos Serviços Object Storage, Archive Storage e Data Transfer.

• Permissões do serviço Events: É necessária uma permissão do serviço Events para criar e exibir regras de evento para monitorar recursos.

  Para conceder essa permissão, uma política com o verbo manage para o tipo de recurso cloudevents-rules deve ser criada. Veja um exemplo de política com o verbo manage que permite criar e exibir regras de evento:

  Allow group DB-MGMT-USER to manage cloudevents-rules in tenancy

  Além da permissão do serviço Events, você precisa de outras permissões do serviço Oracle Cloud Infrastructure para especificar um tipo de ação ao criar uma regra de evento. Para obter informações, consulte Eventos e Políticas do Serviço IAM.

  Para obter mais informações sobre o tipo de recurso e as permissões do serviço Events, consulte Detalhes do Serviço Events.

• Permissões do serviço Tagging: Para obter informações sobre as permissões necessárias para usar tags em Diagnóstico e Gerenciamento, consulte Autenticação e Autorização de Tag.