Para Conexões do Oracle Database
Exemplo de Políticas do Serviço Database Tools
Aqui estão cinco personas diferentes que podem usar o Database Tools. Cada pessoa pode ter um nível diferente de acesso de gerenciamento ao serviço do Oracle Cloud Infrastructure que o acompanha, conforme mostrado na tabela a seguir:
Tabela 7-1 Exemplos de Políticas
| Persona | Família de Redes Virtuais | Família de Banco de Dados ou de Autonomous Databases | Vaults | Chaves | Família de Segredos | Família do Serviço Database Tools | Conexão do Serviço Database Tools |
|---|---|---|---|---|---|---|---|
| Administrador do Serviço Database Tools | gerenciar | gerenciar | gerenciar | gerenciar | gerenciar | gerenciar | -- |
| Gerenciador do Serviço Database Tools | gerenciar | ler | usar | usar | gerenciar | gerenciar | -- |
| Gerente de Conexões do Serviço Database Tools | usar | ler | usar | usar | gerenciar | usar | gerenciar |
| Conexão do Serviço Database Tools com o Usuário Principal Autenticado | -- | ler | -- | -- | ler | ler | usar |
| Conexão do Serviço Database Tools com a Identidade de Runtime do Controlador de Recursos | -- | ler | -- | -- | -- | ler | usar |
Administrador do Serviço Database Tools
O administrador do serviço Database Tools pode gerenciar todos os aspectos do serviço. As políticas a seguir concedem a ele as permissões necessárias para gerenciar redes, vaults, chaves, segredos, bancos de dados e Database Tools em um compartimento específico.
Substitua os placeholders <group_name> e <compartment_name> por seus próprios valores.
Tabela 7-2 Políticas de Administrador do Database Tools
| Política | Nível de Acesso |
|---|---|
|
Para gerenciar redes virtuais na nuvem (VCNs), sub-redes, placas de interface de rede virtual, grupos de segurança de rede. |
|
Para gerenciar o Database Cloud Service (sistemas de BD de máquina virtual e bare metal, clusters de VMs do Exadata Cloud Service). |
|
Para ler Autonomous Databases na infraestrutura compartilhada e dedicada do Exadata. |
|
Para gerenciar vaults. |
|
Para gerenciar chaves. |
|
Para gerenciar segredos. |
|
Para gerenciar o serviço Database Tools. |
Gerente do Serviço Database Tools
O Gerente do serviço Database Tools pode gerenciar redes (incluindo pontos finais privados), segredos e conexões do serviço Database Tools, mas tem acesso limitado aos serviços Vault e Database do Oracle Cloud Infrastructure.
Substitua <group_name> e <compartment_name> por seus próprios valores.
Tabela 7-3 Políticas do Gerente do Database Tools
| Política | Nível de Acesso |
|---|---|
|
Para usar redes virtuais na nuvem (VCNs), sub-redes, placas de interface de rede virtual e grupos de segurança de rede. |
|
Para ler o Database Cloud Service (sistemas de BD de máquina virtual e bare metal, clusters de VMs do Exadata Cloud Service). |
|
Para ler Autonomous Databases na infraestrutura compartilhada e dedicada do Exadata. |
|
Para usar o vault (por exemplo, criar segredo). |
|
Para usar chaves (por exemplo, criar segredo). |
|
Para gerenciar segredos. |
|
Para gerenciar o serviço Database Tools. |
Gerente de Conexões do Serviço Database Tools
O Gerente de Conexões do Serviço Database Tools gerencia a criação de conexões com serviços de Banco de Dados e tem acesso somente para leitura nos outros serviços.
Substitua <group_name> e <compartment_name> por seus próprios valores.
Se estiver usando uma cláusula where na política para restringir o acesso com base no OCID da conexão, use o seguinte:
where target.resource.id = <connection-ocid>Para usar a Planilha SQL com uma conexão do serviço Database Tools, você deve conceder a um usuário a permissão inspect para todas as conexões do serviço Database Tools em um compartimento. Sem essa permissão, um usuário não poderá ver nenhuma conexão do serviço Database Tools na página Conexões nem selecionar nenhuma conexão na lista drop-down Planilha SQL. Por exemplo, a instrução de política a seguir restringe um grupo especificado a use somente ao OCID de conexão do serviço Database Tools especificado.
allow group <group-name> to use database-tools-connections in compartment <compartment-name> where all { target.resource.id = '<connection-ocid>' }Mesmo nesses cenários, você ainda deve fornecer a seguinte instrução de política incondicional para permitir que o grupo especificado liste as conexões do serviço Database Tools.
allow group <group-name> to inspect database-tools-connections in compartment <compartment-name>
Essa permissão inspect incondicional permite que os usuários vejam todas as conexões do serviço Database Tools no compartimento, incluindo aquelas para as quais eles não têm acesso use. Se você precisar conceder a diferentes grupos acesso a diferentes conjuntos de conexões sem expor todas as conexões, a Oracle recomenda criar compartimentos separados para cada conjunto de conexões do serviço Database Tools e, em seguida, conceder as permissões inspect e use no nível do compartimento, conforme apropriado.
Tabela 7-4 Políticas do Gerente de Conexões do Database Tools
| Política | Nível de Acesso |
|---|---|
|
Para usar redes virtuais na nuvem (VCNs), sub-redes, placas de interface de rede virtual e grupos de segurança de rede. |
|
Para ler o Database Cloud Service (sistemas de BD de máquina virtual e bare metal, clusters de VMs do Exadata Cloud Service). |
|
Para ler Autonomous Databases na infraestrutura compartilhada e dedicada do Exadata. |
|
Para usar o vault (por exemplo, criar segredo). |
|
Para usar chaves (por exemplo, criar segredo). |
|
Para gerenciar segredos. |
|
Para usar pontos finais privados do serviço Database Tools, serviços de ponto final. |
|
Para gerenciar conexões do serviço Database Tools. |
Conexão do Serviço Database Tools com Identidade de Runtime do Principal Autenticado
Essas políticas se aplicam às conexões do serviço Database Tools em que a identidade de runtime usa AUTHENTICATED_PRINCIPAL.
Se quiser impedir que os usuários leiam segredos, use a conexão do serviço Database Tools com o controlador de recursos. Consulte Conexão do Serviço Database Tools com a Identidade de Runtime do Controlador de Recursos.
A tabela a seguir lista políticas e níveis de acesso associados para conexão do serviço Database Tools com identidade de runtime principal autenticada.
Tabela 7-5 Políticas para Conexão do Serviço Database Tools com a Identidade de Runtime do Principal Autenticado
| Política | Nível de Acesso |
|---|---|
|
Para ler o Database Cloud Service (sistemas de BD de máquina virtual e bare metal, clusters de VMs do Exadata Cloud Service). |
|
Para ler Autonomous Databases na infraestrutura compartilhada e dedicada do Exadata. |
|
Para ler segredos. |
|
Para ler pontos finais privados do serviço Database Tools, serviços de ponto final. |
|
Para usar Conexões do serviço Database Tools. |
Substitua <group_name> e <compartment_name> por valores baseados no seu ambiente.
Conexão do Serviço Database Tools com a Identidade de Runtime do Controlador de Recursos
Essas políticas se aplicam às conexões do serviço Database Tools em que a identidade de runtime usa RESOURCE_PRINCIPAL.
Para impedir que os usuários leiam segredos, use a conexão do serviço Database Tools com a identidade de runtime do controlador de recursos. Um usuário da conexão do serviço Database Tools com a identidade de runtime do controlador de recursos só pode usar conexões de banco de dados pré-criadas que são criadas com o OCI Database Tools e o usuário não pode exibir valores secretos. Consulte Controlador de Recursos.
A tabela a seguir lista grupos dinâmicos e recursos incluídos para a conexão do serviço Database Tools com o controlador de recursos.
Tabela 7-6 Grupo Dinâmico para Conexão do Serviço Database Tools com o Controlador de Recursos
| Regra de correspondência do grupo dinâmico | Inclui |
|---|---|
|
Inclui todas as conexões da Ferramenta de Banco de Dados encontradas no compartimento. |
|
Inclui apenas a conexão especificada do Database Tools. |
Substitua <group_name>, <compartment_name>, <connection_ocid> e <dynamic_group_name> por valores baseados em seu ambiente.
A tabela a seguir lista políticas e níveis de acesso associados para conexão do serviço Database Tools com a identidade de runtime do controlador de recursos.
Tabela 7-7 Políticas para Conexão do Serviço Database Tools com a Identidade de Runtime do Controlador de Recursos
| Política | Nível de Acesso |
|---|---|
|
Para ler o Database Cloud Service (sistemas de BD de máquina virtual e bare metal, clusters de VMs do Exadata Cloud Service). |
|
Para ler Autonomous Databases na infraestrutura compartilhada e dedicada do Exadata. |
|
Para ler pontos finais privados, conexões e serviços de ponto finais do serviço Database Tools. |
|
Para usar as conexões do Database Tools. |
|
Para conceder aos membros do grupo dinâmico acesso para ler segredos |
Substitua <group_name>, <compartment_name>, <connection_ocid> e <dynamic_group_name> por valores baseados em seu ambiente.