Documentação do Oracle Cloud Infrastructure

Definir Credenciais Preferenciais

Você pode definir credenciais preferenciais para estabelecer conexão com o Banco de Dados Gerenciado e executar tarefas específicas.

As credenciais preferenciais simplificam o acesso ao Banco de Dados Gerenciado usando as credenciais do banco de dados armazenadas em um segredo de serviço do Oracle Cloud Infrastructure Vault. As credenciais preferenciais podem ser usadas para fornecer conectividade padrão ao banco de dados com base nas atribuições do usuário e nas tarefas a serem executadas, permitindo assim a separação de responsabilidades para diferentes grupos de usuários e fornecendo outra camada de segurança. Em Diagnóstico e Gerenciamento de Gerenciamento de Banco de Dados, você pode definir as seguintes credenciais preferenciais para usuários para que eles possam se conectar ao Banco de Dados Gerenciado e executar o conjunto de tarefas associado:

  • Monitoramento Básico: Privilégios mínimos para coletar métricas e exibir o resumo de frota de bancos de dados e detalhes de Bancos de Dados Gerenciados. A credencial de monitoramento Básica é definida automaticamente para o usuário de monitoramento quando Diagnósticos e Gerenciamento é ativado.

  • Diagnósticos avançados: Privilégios avançados para usar ferramentas de diagnóstico, como Hub de Desempenho e AWR Explorer. Se a credencial de diagnóstico Avançado for definida para um Banco de Dados Gerenciado, ela poderá ser usada para usar automaticamente recursos de diagnóstico e para as operações de leitura no Banco de Dados Gerenciado.

  • Administração: Privilégios de gerenciamento para executar tarefas administrativas, como criar tablespaces e editar parâmetros do banco de dados. Se a credencial de Administração estiver definida para um Banco de Dados Gerenciado, ela poderá ser usada para preencher automaticamente as credenciais do banco de dados para executar as operações de gravação no Banco de Dados Gerenciado.

Observação

Para Oracle Cloud Databases e Autonomous Databases, as credenciais preferenciais em Diagnóstico e Gerenciamento só estão disponíveis para usuários que têm permissão para ler o segredo que armazena o usuário do banco de dados. Para obter mais informações sobre permissões, consulte Executar Tarefas de Pré-requisito e Obter Permissões Necessárias.

Para obter informações sobre:

Executar Tarefas de Pré-requisito e Obter Permissões Necessárias

Veja uma lista de tarefas típicas que devem ser executadas antes de configurar credenciais preferenciais.

  1. O Administrador do Banco de Dados cria os usuários do banco de dados para os quais as credenciais preferenciais serão definidas:
    • Usuário de monitoramento
      Observação

      • Para Bancos de Dados Externos e Bancos de Dados do Oracle Cloud, você pode usar o usuário DBSNMP como o usuário de monitoramento. Essa é uma opção conveniente, pois o usuário DBSNMP é incorporado ao Oracle Database e tem os privilégios necessários para monitorar bancos de dados no Oracle Cloud Infrastructure. No lugar do usuário DBSNMP, você também tem a opção de usar um script SQL para criar um novo usuário do banco de dados com o conjunto mínimo de privilégios necessários para monitorar Bancos de Dados Gerenciados. Para obter informações sobre o script SQL, consulte Criando as Credenciais de Monitoramento do Oracle Database para o Database Management (KB57458) no My Oracle Support.
      • Para Autonomous Databases, você pode usar o usuário ADBSNMP como o usuário de monitoramento, no entanto, observe que o usuário ADBSNMP não tem os privilégios necessários para executar determinadas tarefas avançadas de monitoramento e gerenciamento.
    • Usuário de diagnóstico Avançado
      Observação

      • Ao criar o usuário de diagnóstico Avançado para executar tarefas do Hub de Desempenho, você deve garantir que o usuário receba os privilégios necessários para usar o Hub de Desempenho. Para obter informações sobre os privilégios necessários, consulte OCI: Pré-requisitos para o Hub de Desempenho (KB59684) no My Oracle Support.
      • Para Autonomous Databases, a credencial preferencial de diagnóstico Avançado deve ser definida para usar o usuário ADMIN para usar recursos avançados do Hub de Desempenho, ou seja, Atividade Principal Lite, Histórico de Sessões de Atividade e relatórios AWR no nível da Instância, execuções de tarefas do ADDM sob demanda e ajuste SQL.
    • Usuário Administrador

    Para Bancos de Dados Externos e Bancos de Dados do Oracle Cloud, você tem a opção de usar um script SQL para criar um novo usuário de banco de dados com o conjunto de privilégios necessários para executar diagnósticos avançados e tarefas administrativas. Para obter informações sobre o script SQL, consulte Criando o Usuário de Diagnóstico Avançado do Oracle Database Management e o Usuário de Administração (KB84103) no My Oracle Support.

    Para obter informações sobre como criar contas de usuário, consulte Creating User Accounts no Oracle Database Security Guide.

  2. Um usuário do Oracle Cloud Infrastructure com as permissões necessárias cria os seguintes segredos do serviço Vault para senhas de usuário do banco de dados:
    • Segredo para armazenar a senha do usuário de monitoramento
    • Segredo para armazenar a senha do usuário de diagnóstico Avançado
    • Segredo para armazenar a senha de usuário Administrador

    Esses segredos podem ser criados em compartimentos distintos ou no mesmo compartimento com uma chave de vault diferente ou igual.

    Veja um exemplo da política que concede a um grupo de usuários a permissão para criar segredos:

    Allow group DB-MGMT-USER to manage secret-family in compartment ABC

    Para obter informações sobre como criar um segredo, consulte Criando um Segredo em um Vault.

Ao executar as tarefas de pré-requisito, um usuário com as seguintes permissões pode definir a credencial preferencial no serviço Diagnostics & Management:

  • Permissão DBMGMT_MANAGED_DB_UPDATE para definir credenciais preferenciais. Você pode conceder a permissão mínima DBMGMT_MANAGED_DB_UPDATE a um grupo de usuários ou conceder permissões de nível amplo usando os verbos use ou manage e o tipo de recurso dbmgmt-managed-databases.

    Veja um exemplo de política com a permissão mínima para definir credenciais preferenciais:

    Allow group DB-MGMT-USER to {DBMGMT_MANAGED_DB_UPDATE} in compartment ABC

    Este é um exemplo de uma política ampla que concede a um grupo de usuários a permissão para definir credenciais preferenciais:

    Allow group DB-MGMT-USER to use dbmgmt-managed-databases in compartment ABC

    Para obter mais informações sobre os tipos de recursos e permissões do serviço Database Management, consulte Detalhes da Política do Serviço Database Management.

  • Permissão para acessar o segredo que armazena a senha do usuário do banco de dados. Veja um exemplo da política que concede a um grupo de usuários a permissão para criar segredos:

    Allow group DB-MGMT-USER to read secret-family in compartment ABC

    Se quiser conceder a permissão para acessar segredos somente de um vault específico, atualize a política para:

    Allow group DB-MGMT-USER to read secret-family in compartment ABC where target.vault.id = <Vault OCID>

    Para obter mais informações sobre as permissões do serviço Vault necessárias para acessar e usar os segredos, consulte Permissões Adicionais Necessárias para Usar Diagnóstico e Gerenciamento.

Definir Credenciais Preferenciais em Diagnósticos e Gerenciamento

Você pode definir a credencial preferencial de Diagnóstico e Administração Avançados em Diagnósticos e Gerenciamento.

Observação

A credencial de monitoramento Básico é definida quando Diagnóstico e Gerenciamento estão ativados; no entanto, você pode atualizar a credencial de monitoramento Básico. Para atualizar a credencial de monitoramento Básico para:
  • Bancos de Dados Externos: Atualize as credenciais do banco de dados especificadas ao criar a conexão com o Banco de Dados Externo. Para obter informações, consulte Atualizar as Credenciais de Conexão de uma Conexão de Banco de Dados Externo.
  • Oracle Cloud Databases e Autonomous Databases: Atualize as credenciais do banco de dados especificadas ao ativar o Diagnóstico e o Gerenciamento do Oracle Cloud Database:
    1. Vá para a página Administração Bancos de dados gerenciados do serviço Database Management.
    2. No painel esquerdo, selecione o compartimento no qual o banco de dados reside e o tipo de implantação do banco de dados.
    3. Clique no ícone Ações (Ações) do banco de dados e clique em Editar Diagnósticos e Gerenciamento.
    4. No painel Editar Diagnóstico e Gerenciamento, atualize as credenciais do banco de dados especificadas para a conexão com o Oracle Cloud Database ou Autonomous Database selecionado.

Para definir as credenciais preferenciais de Diagnóstico Avançado e Administração no Diagnostics & Management:

  1. Vá para a página Detalhes do banco de dados gerenciado e, no painel esquerdo em Recursos, clique em Credenciais.
    A guia Credenciais preferenciais é exibida e você pode definir as credenciais preferenciais e exibir detalhes como o status das credenciais preferenciais, se o acesso está ativado ou não, o nome de usuário e a atribuição definidos nas credenciais preferenciais e a credencial nomeada associada, se houver.
  2. Clique no ícone Ações (Ações) da credencial preferencial que você deseja definir e clique em Editar.
  3. No painel Editar credencial preferencial, selecione uma das seguintes opções na lista drop-down Tipo de credencial para definir a credencial preferencial:
    • Credencial nomeada: Selecione esta opção para associar a credencial preferencial a uma credencial nomeada existente:
      Observação

      Se uma credencial nomeada estiver em uso (ativa) e for definida como a credencial de sessão para o Banco de Dados Gerenciado, o nome da credencial nomeada será exibido ao lado de Ativo.
      1. Escopo: Selecione o escopo da credencial com nome:
        • Recurso: Uma credencial nomeada com o escopo Recurso pode ser usada para acessar, monitorar e gerenciar um único Banco de Dados Gerenciado.
        • Global: Uma credencial com nome com o escopo Global pode ser usada para acessar, monitorar e gerenciar todos os Bancos de Dados Gerenciados no serviço Diagnostics & Management.
      2. Credencial nomeada: Selecione a credencial nomeada. Se o compartimento no qual a credencial com nome reside for diferente do compartimento exibido, clique em Alterar compartimento e selecione outro compartimento.
    • Nova credencial: Selecione esta opção para criar uma nova credencial:
      1. Nome do usuário: Especifique o nome do usuário do banco de dados para conexão com o Banco de Dados Gerenciado.
      2. Segredo da senha do usuário: Selecione na lista drop-down o segredo que contém a senha do usuário do banco de dados. Observe que a senha do usuário não pode ser armazenada diretamente na credencial preferencial e deve ser armazenada primeiro em um segredo do serviço Vault. Se o compartimento no qual o segredo reside for diferente do compartimento exibido, clique em Alterar compartimento e selecione outro compartimento.

        Se não houver um segredo existente com a senha do usuário do banco de dados disponível, selecione Criar novo segredo... na lista drop-down. Para obter informações sobre a permissão necessária para criar um segredo e como criar um segredo, consulte Executar Tarefas de Pré-requisito e Obter Permissões Necessárias.

      3. Atribuição: Selecione a atribuição entre as opções disponíveis.
      4. Salvar como nova credencial nomeada: Opcionalmente, marque essa caixa de seleção e especifique um nome para a credencial nomeada e uma das seguintes opções de modo de acesso de senha para salvar a nova credencial como uma credencial nomeada.
        • Usuário: A permissão para acessar o segredo da senha é definida para um usuário na política.
        • Recurso: A permissão para acessar o segredo da senha é definida para o tipo de recurso (para o qual a credencial nomeada é criada) na política.

    Para obter informações sobre credenciais nomeadas, consulte Criar e Gerenciar Credenciais Nomeadas.

  4. Opcionalmente, clique em Testar para verificar se a conexão com o Banco de Dados Gerenciado foi estabelecida com sucesso usando as credenciais.
  5. Clique em Salvar para salvar as credenciais.
Na guia Credenciais preferenciais, você pode clicar no nome da credencial para exibir detalhes como o nome do usuário e o segredo da senha, se a credencial estiver definida. Você também pode clicar no ícone Ações (Ações) de uma credencial preferencial para editar, exibir ou remover a credencial preferencial.
Observação

  • Se a credencial preferencial Administração estiver definida, ela será preenchida automaticamente quando você executar tarefas como criar um job ou tablespace e tiver a opção de usar a credencial preferencial Administração ou fornecer novas credenciais. No entanto, se a credencial preferencial de Administração estiver definida para a tarefa ADDM on-demand de execução ou para a tarefa de encerramento de sessões no Hub de Desempenho, a credencial preferencial de Administração será selecionada automaticamente.
  • Se uma credencial de sessão for definida e uma credencial preferencial também for definida usando credenciais de usuário diferentes, a credencial de sessão terá precedência sobre as credenciais preferenciais e será selecionada automaticamente quando você executar tarefas e tiver a opção de usar a credencial de sessão, selecionar a credencial preferencial ou fornecer novas credenciais. Se uma credencial de sessão for definida, ela será usada para executar a tarefa do ADDM sob demanda ou para encerrar sessões no Hub de Desempenho. Para obter informações sobre credenciais de sessão, consulte Definir Credenciais de Sessão.
  • Se as credenciais preferenciais não estiverem definidas:
    • O usuário de monitoramento é usado para monitoramento básico.
    • A credencial da sessão pode ser definida para ser usada em uma sessão específica.
    • As credenciais do banco de dados devem ser especificadas ao executar operações de gravação.

Permissões Obrigatórias para Usar Credenciais Preferenciais para Executar Tarefas

Aqui estão alguns exemplos de cenários que listam as políticas do IAM, que concedem as permissões necessárias para usar credenciais preferenciais. Nos cenários, supõe-se que:

  • As credenciais preferenciais foram definidas por um usuário do Oracle Cloud Infrastructure com as permissões necessárias.
  • As credenciais preferenciais foram definidas para os usuários do banco de dados a seguir e esses usuários devem ter as permissões do Oracle Cloud Infrastructure para exibir a credencial preferencial e executar o conjunto associado de tarefas de Diagnóstico e Gerenciamento.
    • Usuário de diagnóstico Avançado
    • Usuário Administrativo

    Para obter informações sobre as tarefas de pré-requisito e as permissões necessárias para definir credenciais preferenciais, consulte Executar Tarefas de Pré-requisito e Obter Permissões Necessárias.

Cenário 1: Se a credencial preferencial de diagnóstico Avançado for definida para o usuário de diagnóstico Avançado, esse usuário terá que ter as seguintes permissões para exibir a credencial preferencial e executar o conjunto associado de tarefas:

  • Permissão de Gerenciamento de Banco de Dados para executar a tarefa Diagnóstico e Gerenciamento. Por exemplo, para exibir tablespaces, o usuário de diagnóstico Avançado terá que ter a permissão DBMGMT_MANAGED_DB_READ.

    Veja um exemplo da política que concede a um grupo de usuários a permissão para exibir tablespaces:

    Allow group DB-MGMT-USER to read dbmgmt-managed-databases in compartment ABC
  • Permissão do serviço Vault para ler o segredo que contém a senha do usuário de diagnóstico Avançado.

    Veja um exemplo da política que concede a um grupo de usuários a permissão para ler segredos:

    Allow group DB-MGMT-USER to read secrets in compartment ABC

Cenário 2: Se a credencial preferencial Administração estiver definida para o usuário Administrador, esse usuário exigirá as seguintes permissões para exibir a credencial preferencial e executar o conjunto associado de tarefas:

  • Permissão de Gerenciamento de Banco de Dados para executar a tarefa Diagnóstico e Gerenciamento. Por exemplo, para criar tablespaces, o usuário Administrador terá que ter a permissão DBMGMT_MANAGED_DB_CONTENT_WRITE.

    Veja um exemplo da política que concede a um grupo de usuários a permissão para criar tablespaces:

    Allow group DB-MGMT-USER to use dbmgmt-managed-databases in compartment ABC
  • Permissão do serviço Vault para ler o segredo que contém a senha do usuário Administrador.

    Veja um exemplo da política que concede a um grupo de usuários a permissão para ler segredos:

    Allow group DB-MGMT-USER to read secrets in compartment ABC

Para obter informações sobre as permissões do serviço Database Management necessárias para executar cada tarefa, consulte Detalhes da Política do Serviço Database Management.

Informações adicionais sobre Credenciais Preferenciais

Esta é uma tabela que lista algumas das tarefas de Diagnóstico e Gerenciamento que podem ser executadas com as credenciais preferenciais de Diagnóstico Avançado e Administração.

Observação

Se uma credencial de sessão for definida e uma credencial preferencial também for definida usando credenciais de usuário diferentes, a credencial de sessão terá precedência sobre as credenciais preferenciais e será selecionada automaticamente quando você executar tarefas e tiver a opção de usar a credencial de sessão, selecionar a credencial preferencial ou fornecer novas credenciais. Se uma credencial de sessão for definida, ela será usada para executar a tarefa do ADDM sob demanda ou para encerrar sessões no Hub de Desempenho. Para obter informações sobre credenciais de sessão, consulte Definir Credenciais de Sessão.
Credencial Preferencial Tarefas
Diagnóstico avançado Execute todas as tarefas no Hub de Desempenho, exceto executar o ADDM sob demanda e encerrar sessões, que exigem a credencial preferencial de Administração.

Para obter informações, consulte Recursos do Hub de Desempenho.

Execute todas as tarefas no ADDM Spotlight, exceto executar o SQL Tuning Advisor e editar parâmetros de banco de dados, que exigem a credencial preferencial de Administração.

Para obter informações, consulte Monitorar e Gerenciar um Banco de Dados Gerenciado Específico.

Executar todas as tarefas relacionadas ao AWR Explorer.

Para obter informações, consulte Usar o AWR Explorer para Analisar o Desempenho do Banco de Dados.

Exibir logs de alerta e logs de atenção.

Para obter informações, consulte Exibir Logs de Alerta.

Executar todas as tarefas de ajuste SQL somente para leitura, como exibir tarefas de ajuste SQL, conjuntos de ajuste SQL e descobertas e recomendações do SQL Tuning Advisor.

Para obter informações, consulte Analisar SQL com o SQL Tuning Advisor.

Liste os conjuntos de ajuste SQL e exiba os detalhes do conjunto de ajuste SQL.

Para obter informações, consulte Gerenciar Conjuntos de Ajuste SQL.

Execute todas as tarefas SPM somente para leitura, como exibir linhas de base do plano SQL, detalhes de configuração da linha de base do plano SQL e os jobs submetidos para carregar linhas de base do plano SQL.

Para obter informações, consulte Usar o SPM para Gerenciar Planos de Execução de SQL.

Pesquisar SQLs.

Para obter informações, consulte Pesquisar SQLs.

Pesquisar sessões.

Para obter informações, consulte Pesquisar Sessões.

Exibir resumo e tarefas de estatísticas do otimizador e resumo e tarefas do Optimizer Statistics Advisor.

Para obter informações, consulte Monitorar e Analisar Estatísticas do Otimizador.

Monitore backups.

Para obter informações, consulte Monitorar Backups de um Banco de Dados Gerenciado Específico.

Exibir tablespaces.

Para obter informações, consulte Monitorar e Gerenciar Tablespaces e Arquivos de Dados.

Exibir usuários e detalhes de usuários.

Para obter informações, consulte Exibir Usuários.

Exibir parâmetros do banco de dados.

Para obter informações, consulte Exibir e Editar Parâmetros do Banco de Dados.

Administração Encerre sessões no Hub de Desempenho ou na seção Pesquisar sessões na página Detalhes do banco de dados gerenciado.

Consulte:
Executar tarefas do ADDM sob demanda no Hub de Desempenho.

Para obter informações, consulte Executar uma Tarefa do ADDM.

Use definições do AWR para coleta de snapshots no Hub de Desempenho.

Para obter informações, consulte Definições do AWR.

Execute o SQL Tuning Advisor no ADDM Spotlight.

Para obter informações, consulte Monitorar e Gerenciar um Banco de Dados Gerenciado Específico.

Edite os parâmetros do banco de dados no ADDM Spotlight.

Para obter informações, consulte Monitorar e Gerenciar um Banco de Dados Gerenciado Específico.

Execute o SQL Tuning Advisor e implemente recomendações.

Para obter informações, consulte Analisar SQL com o SQL Tuning Advisor.

Criar, carregar e excluir conjuntos de ajustes SQL.

Para obter informações, consulte Gerenciar Conjuntos de Ajuste SQL.

Implementar recomendações do Optimizer Statistics Advisor.

Para obter informações, consulte Monitorar e Analisar Estatísticas do Otimizador.

Execute tarefas de configuração do SPM e outras tarefas, como carregar linhas de base do plano SQL.

Para obter informações, consulte Usar o SPM para Gerenciar Planos de Execução de SQL.

Criar, editar e excluir tablespaces e arquivos de dados.

Para obter informações, consulte Monitorar e Gerenciar Tablespaces e Arquivos de Dados.

Editar parâmetros do banco de dados.

Para obter informações, consulte Exibir e Editar Parâmetros do Banco de Dados.

Criar jobs.

Para obter informações, consulte Criar um Job.