Documentação do Oracle Cloud Infrastructure

Políticas do Sistema de BD do MySQL HeatWave

Mostra como permitir que o DR (Recuperação de Desastre) gerencie o Sistema de BD MySQL que faz parte da pilha do aplicativo.

Políticas para configurar usando o controlador de recursos


Allow dynamic-group <Dynamic_group_Name> to manage mysql-family in comparment <>

Políticas para configurar usando autenticação de usuário:

Políticas do Sistema do Banco de Dados MySQL

Configure políticas para permitir que o DR (Recuperação de Desastre) gerencie a família de recursos MySQL.
Allow group <group name> to manage mysql-family in compartment
    <compartment_name>
Políticas para Vault-Secret

Configure políticas do serviço IAM para conceder acesso de leitura ao segredo do vault usado nas operações de DR (recuperação de desastre) do Sistema de BD MySQL, permitindo que os controladores de recursos autorizados recuperem o segredo conforme necessário.

Criar um Grupo Dinâmico

Antes de criar a política, certifique-se de ter definido um grupo dinâmico para os recursos que exigem acesso ao segredo do Vault. Por exemplo, para conceder a todas as instâncias dentro de um compartimento específico acesso ao segredo, você pode usar a seguinte sintaxe de política:

ALL {resource.type='computecontainerinstance', resource.compartment.id =
      'ocid1.compartment.oc1..<compartment_ocid>'}

Substitua <compartment_ocid> pelo OCID real do seu compartimento.

Políticas do Object Storage

Definir a Política

Crie uma política que conceda ao grupo dinâmico permissão para read segredos do Vault e faça upload de logs para o Bucket do Object Storage durante a execução. Use o verbo read com o tipo de recurso secret-family. A sintaxe da política é: 

Allow dynamic-group <dynamic-group-name> to manage object-family in compartment
      <compartment-name>

Allow dynamic-group <dynamic-group-name> to read secret-family in compartment <compartment-name>

No exemplo anterior:

<dynamic-group-name>: The name of your dynamic group.
<compartment-name>: The name of the compartment where the secret resides.

Política de Exemplo

Se o seu grupo dinâmico for nomeado InstanceSecretReaders e os seus segredos forem armazenados no compartimento MySecretsCompartment, a instrução de política será: 

Allow dynamic-group InstanceSecretReaders to read secret-family in compartment MySecretsCompartment

Essa política permite que qualquer recurso que seja membro do grupo dinâmico InstanceSecretReaders leia os segredos armazenados no compartimento MySecretsCompartment por meio do OCI Vault.