Políticas obrigatórias

Veja a seguir o conjunto necessário de políticas para o serviço Database Migration. O administrador da tenancy pode provisionar facilmente essas políticas usando os modelos disponíveis no Policy Builder.
Observação

Esta política permite que você execute todas as ações do serviço Database Migration, como criar conexões, gerenciar conexões etc., dependendo do seu uso.
Observação

A Oracle recomenda o uso do primeiro grupo de políticas Para permitir que os usuários gerenciem conexões, migrações, jobs e redes, pois ele tem as políticas necessárias para ir de ponta a ponta.
Para permitir que os usuários gerenciem conexões, migrações, jobs e redes:
Allow group {group name} to manage odms-connection in  {location}
Allow group {group name} to manage odms-migration in {location}
Allow group {group name} to manage odms-job in {location}
Allow group {group name} to manage goldengate-connections in {location}
Allow group {group name} to manage virtual-network-family in {location}
Allow group  {group name} to manage tag-namespaces in {location}
Allow group {group name}  to manage vaults in {location}
Allow group {group name}  to manage keys in {location}
Allow group {group name} to manage secret-family in {location}
Allow group {group name} to manage object-family in {location}

Para concluir uma migração de ponta a ponta, o administrador da tenancy precisa provisionar determinadas políticas, nas quais você precisa criar, atualizar e usar os recursos (altere o nível ou a permissão, dependendo do seu caso de uso):
Allow group {group name} to manage virtual-network-family in compartment {compartment name}
Allow group {group name} to manage vaults in compartment {compartment name}
Allow group {group name} to manage keys in compartment {compartment name}
Allow group {group name} to manage secret-family in compartment {compartment name}
Allow group {group name} to manage object-family in compartment {compartment name}
Allow group {group name} to manage odms-connection in compartment {compartment name} 
Allow group {group name} to manage odms-migration in compartment {compartment name} Allow group {group name} to manage odms-job in compartment {compartment name}

Para cenários em que Gerenciar família de redes virtuais não pode ser atribuído, ele pode ser substituído por:

Allow group {group name}  to inspect vcns in compartment {compartment name}
Allow group {group name}  to use subnets in compartment {compartment name}
Allow group {group name}  to manage vnic in compartment {compartment name}

Dependendo de se você pretende ou não usar os serviços a seguir, será necessário adicionar políticas para permitir o acesso a esses serviços também:

  • Oracle Autonomous Databases para seus bancos de dados de destino:
    Allow group {group name} to manage autonomous-database-family in compartment {compartment name} →Aggregate resource type
  • Banco de dados base para sua origem ou destino:
    Allow group {group name} to manage database-family in compartment {compartment name} → Aggregate resource type
  • Se você precisar acessar as conexões criadas pelo serviço integrado GoldenGate:
    Allow group {group name} to manage GoldenGate-connections in compartment {compartment name}
  • Se você precisar implantar sua própria instância do GoldenGate Marketplace e usá-la como uma opção de replicação avançada:
    Allow group {group name} to manage instance-family in compartment {compartment name}
    Allow group {group name} to manage volume-family in compartment {compartment name}
    Allow group {group name} to manage public-ips in compartment {compartment name}
    Allow group {group name} to use tag-namespaces in tenancy
    Allow group {group name} to inspect compartments in tenancy
    Allow group {group name} to manage orm-family in compartment {compartment name}
    Allow group {group name} to manage app-catalog-listing in compartment {compartment name}→ Required to launch the GG marketplace stack
  • Para acessar os dados do cluster HeatWave ao criar uma conexão HeatWave usando o Serviço Database Migration:
    Allow group {group name} to manage mysql-heatwave in compartment {compartment name} → Aggregate resource type

As políticas definem quais ações os membros de um grupo podem executar e em quais compartimentos. Você cria políticas usando a Console do Oracle Cloud. No menu de navegação da Console do Oracle Cloud, em Identidade e Segurança e, em Identidade, clique em Políticas. As políticas são escritas na seguinte sintaxe:

Allow group <group-name> to <verb> <resource-type> in <location> where <condition>
  • <group-name>: O nome do grupo de usuários ao qual você está concedendo permissões
  • <verb>: Dá ao grupo um determinado nível de acesso a um resource-type. À medida que os verbos vão de inspect a read a use a manage, o nível de acesso aumenta e as permissões concedidas são cumulativas.
  • <resource-type>: O tipo de recurso ao qual você está dando a um grupo permissão para trabalhar, como odms-agent, odms-connection, odms-job e odms-migration.

    Para obter mais informações, consulte resource-types.

  • <location>: Anexa a política a um compartimento ou tenancy. Você pode especificar um único compartimento ou caminho de compartimento por nome ou OCID ou especificar tenancy para abranger toda a tenancy.
  • <condition>: Opcional. Uma ou mais condições às quais essa política será aplicada.

Criando uma Política de Recursos de Rede

O serviço Database Migration exige que você forneça informações de VCN e sub-rede ao criar migrações e registros de banco de dados. Para fornecer essas informações, você precisa ter a capacidade de exibir informações da rede na nuvem. A instrução a seguir fornece a permissão de grupo inspect para inspecionar os recursos de rede no compartimento e selecioná-los ao criar recursos do serviço Database Migration:

allow group <group-name> to inspect virtual-network-family in compartment <compartment-name>

Criando uma Política de Tag

A instrução a seguir fornece uma permissão de grupo para gerenciar namespaces de tag e tags para espaços de trabalho:

allow group <group-name> to manage tag-namespaces in compartment <compartment-name>

Para adicionar uma tag definida, você deverá ter permissões para usar o namespace de tag.