Documentação do Oracle Cloud Infrastructure

Permissões do Serviço Database Management

Para usar os recursos de Diagnóstico e Gerenciamento para Bancos de Dados Oracle, você deve pertencer a um grupo de usuários em sua tenancy com as permissões necessárias nos tipos de recursos do Database Management a seguir.

Observação

Além das permissões do serviço Database Management, são necessárias outras permissões de serviços Oracle Cloud Infrastructure para usar os recursos de Diagnóstico e Gerenciamento para Bancos de Dados Oracle. Para obter informações, consulte Permissões Adicionais Necessárias para Usar Diagnóstico e Gerenciamento.
  • dbmgmt-managed-database-groups: Este tipo de recurso permite que um grupo de usuários use os recursos de Grupos de Bancos de Dados.
  • dbmgmt-managed-databases: Este tipo de recurso permite que um grupo de usuários use os recursos do Banco de Dados Gerenciado.
  • dbmgmt-jobs: Este tipo de recurso permite que um grupo de usuários use os recursos de Jobs.
  • dbmgmt-named-credentials: Este tipo de recurso permite que um grupo de usuários crie e gerencie credenciais nomeadas.
  • dbmgmt-family: Este tipo de recurso agregado inclui todos os tipos de recursos individuais do Database Management e permite que um grupo de usuários ative e use todos os recursos do Database Management.

Aqui estão alguns exemplos das políticas que concedem aos grupos de usuários as permissões necessárias para usar vários recursos de Diagnóstico e Gerenciamento:

  • Para conceder ao grupo de usuários do DB-MGMT-USER a permissão para usar Diagnósticos e Gerenciamento e outros recursos do serviço Database Management nos Bancos de Dados Gerenciados na tenancy:
    Allow group DB-MGMT-USER to manage dbmgmt-family in tenancy
  • Para conceder ao grupo de usuários MGD-DB-USER a permissão para exibir o número de Bancos de Dados Oracle para os quais o Diagnostics & Management está ativado (no compartimento ABC) no mosaico Bancos de dados Oracle na página Visão Geral do Database Management:
    Allow group MGD-DB-USER to inspect dbmgmt-managed-databases in compartment ABC
  • Para conceder ao grupo de usuários MGD-DB-USER a permissão para monitorar e gerenciar Managed Databases no compartimento ABC:
    Allow group MGD-DB-USER to manage dbmgmt-managed-databases in compartment ABC
  • Para conceder ao grupo de usuários MGD-DB-USER a permissão para monitorar os gráficos de métricas dos bancos de dados principal e stand-by no compartimento ABC:
    Allow group MGD-DB-USER to read dbmgmt-managed-databases in compartment ABC
  • Para conceder ao grupo de usuários DB-JOBS-USER a permissão para trabalhar com Jobs no compartimento ABC:
    Allow group DB-JOBS-USER to manage dbmgmt-jobs in compartment ABC
  • Para conceder ao grupo de usuários DB-NC-ADMIN a permissão para criar e gerenciar credenciais nomeadas no compartimento ABC:
    Allow group DB-NC-ADMIN to manage dbmgmt-named-credentials in compartment ABC
    Allow group DB-NC-ADMIN to use dbmgmt-managed-databases in compartment ABC
  • Para conceder ao grupo de usuários DB-NC-USER a permissão para usar credenciais nomeadas no compartimento ABC para executar várias tarefas de Diagnóstico e Gerenciamento:
    Allow group DB-MGMT-USER to read dbmgmt-named-credentials in compartment ABC
    Observação

    A política que concede a permissão para usar credenciais nomeadas para executar várias tarefas de Diagnóstico e Gerenciamento é necessária, além das outras políticas necessárias para monitorar e gerenciar Bancos de Dados Gerenciados.
  • Para conceder ao grupo de usuários DB-GRPS-USER a permissão para trabalhar com Grupos de Bancos de Dados no compartimento ABC:
    Allow group DB-GRPS-USER to manage dbmgmt-managed-database-groups in compartment ABC

Para obter mais informações sobre os tipos de recursos e permissões do serviço Database Management, consulte Detalhes da Política do Serviço Database Management.

Políticas do Serviço Database Management com Condições

Você pode criar políticas granulares especificando as condições que devem ser atendidas para que o acesso seja concedido a um grupo de usuários. Ao usar condições em políticas do serviço Database Management, as variáveis request.operation e request.permission podem ser adicionadas para restringir o acesso a operações e permissões de API específicas. Veja exemplos de políticas do serviço Database Management com condições:

  • Para conceder ao grupo de usuários PERF-HUB-USER a permissão para acessar apenas o Hub de Desempenho limitando as outras tarefas que podem ser executadas nos Bancos de Dados Gerenciados no compartimento ABC, é necessário criar duas políticas. A primeira política é uma política ampla que usa o verbo inspect e a segunda política usa o verbo read e uma condição com a variável request.operation que garante que o grupo de usuários só possa executar a operação da API RetrieveDatabasePerformanceData:
    Allow group PERF-HUB-USER to inspect dbmgmt-family in compartment ABC
    Allow group PERF-HUB-USER to read dbmgmt-family in compartment ABC where any { request.operation = 'RetrieveDatabasePerformanceData', request.operation = 'GetManagedDatabase' }
  • Para conceder ao grupo de usuários DB-USERS a permissão para executar todas as tarefas, exceto aquelas para as quais a permissão DBMGMT_MANAGED_DB_CONTENT_WRITE é necessária, uma política com a variável request.permission deve ser criada:
    Allow group DB-USERS to manage dbmgmt-family in compartment ABC where request.permission != 'DBMGMT_MANAGED_DB_CONTENT_WRITE'

Para obter informações sobre outros tipos de políticas com condições, consulte Condições.