Políticas e permissões obrigatórias
Os grupos de usuários que gerenciam o Serviço HeatWave devem ter as políticas e permissões obrigatórias para acessar e gerenciar os recursos.
Políticas Obrigatórias
Defina as políticas obrigatórias no nível da tenancy para obter acesso a vários recursos do sistema de banco de dados.
Tabela 20-1 Políticas Obrigatórias
Política | Descrição |
---|---|
Allow group <group_name> to {COMPARTMENT_INSPECT} in compartment <compartment_name> |
Concede a permissão COMPARTMENT_INSPECT aos membros de <group_name> . A permissão permite que o grupo liste e leia o conteúdo do compartimento especificado.
|
Allow group <group_name> to {VCN_READ, SUBNET_READ, SUBNET_ATTACH, SUBNET_DETACH} in compartment <compartment_name> |
Concede as permissões VCN_READ , SUBNET_READ , SUBNET_ATTACH e SUBNET_DETACH aos membros de <group_name> . Essas permissões permitem que o grupo leia, anexe e desanexe sub-redes e leia VCNs no compartimento especificado. Você precisa dessa instrução de política para anexar um sistema de BD ou uma réplica de leitura à sub-rede de uma VCN.
|
Allow group <group_name> to {VNIC_CREATE, VNIC_DELETE, VNIC_UPDATE, NETWORK_SECURITY_GROUP_UPDATE_MEMBERS, VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP} in compartment <compartment_name> |
(Para o balanceador de carga de réplica de leitura) Concede as permissões VNIC_CREATE , VNIC_DELETE , VNIC_UPDATE , NETWORK_SECURITY_GROUP_UPDATE_MEMBERS e VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP aos membros de <group_name> . Você precisa dessa instrução de política para criar automaticamente um balanceador de carga de réplica de leitura ao criar a primeira réplica de leitura de um sistema de banco de dados.
|
Allow dynamic-group <dynamic_group_name> to read leaf-certificate-family in compartment <certificate_compartment_name> |
(Para certificado definido pelo usuário ou trazer seu próprio certificado apenas)
Concede as permissões de leitura do tipo de recurso leaf-certificate-family ao grupo dinâmico especificado. Isso permite que os principais (sistemas de BD) no grupo dinâmico leiam certificados de segurança no compartimento especificado. Consulte Diretores de Recursos.
|
Allow service mysql_dp_auth to {AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT, DYNAMIC_GROUP_INSPECT} in tenancy |
(Somente para o plug-in authentication_oci ) concede a permissão AUTHENTICATION_INSPECT , GROUP_MEMBERSHIP_INSPECT e DYNAMIC_GROUP_INSPECT para mapear usuários MySQL no sistema de banco de dados para usuários e grupos existentes definidos no serviço IAM. Consulte Autenticando com o Plug-in authentication_oci.
|
Allow group <group_name> to read metrics in compartment <compartment_name> |
(Somente para leitura de métricas) Concede acesso aos membros de <group_name> para ler métricas na Console. Além dessa política, você também precisa da seguinte política para ler métricas:
|
Tabela 20-2 Serviços Associados
Serviço Associado | Descrição |
---|---|
Certificados (Traga seu próprio certificado) |
Você precisa definir políticas para designar certificados de segurança aos sistemas de BD. Você precisa definir um controlador de recursos para permitir que os sistemas de BD acessem certificados de segurança. Consulte Diretores de Recursos. |
Database Management |
Você precisa definir políticas para ativar e usar o Database Management. Consulte Permissões Necessárias para Usar o Serviço Database Management. |
Tópicos Relacionados
Permissões obrigatórias
Os grupos de usuários do HeatWave Service devem ter as permissões obrigatórias para ler o conteúdo dos compartimentos, usar Redes Virtuais na Nuvem e gerenciar o Serviço HeatWave.
Tabela 20-3 Permissões Obrigatórias
Permissão | Descrição |
---|---|
COMPARTMENT_INSPECT |
Concede os direitos para ler e exibir o conteúdo dos compartimentos. |
VCN_READ, SUBNET_READ, SUBNET_ATTACH, SUBNET_DETACH |
Concede os direitos para ler, anexar e desanexar sub-redes e ler VCNs. Não é possível anexar um sistema de banco de dados a uma rede sem esses tipos de recursos. |
CERTIFICATE_READ |
(Para certificado definido pelo usuário ou trazer seu próprio certificado) Concede o direito de ler certificados de segurança no Serviço Certificates. Não é possível designar um certificado de segurança a um sistema de BD sem essa permissão. |
AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT, DYNAMIC_GROUP_INSPECT |
(Para o plug-in authentication_oci ) Concede os direitos para mapear usuários MySQL no sistema de banco de dados para usuários e grupos existentes definidos no serviço IAM.
|
VNIC_CREATE, VNIC_DELETE,VNIC_UPDATE, NETWORK_SECURITY_GROUP_UPDATE_MEMBERS,VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP |
(Para balanceador de carga de réplica de leitura) Concede os direitos de criar um balanceador de carga de réplica de leitura automaticamente. |
Tabela 20-4 Serviços Associados
Permissões | Descrição |
---|---|
Certificados (Traga seu próprio certificado) |
Você precisa de permissões para ler os certificados de segurança. Os sistemas de banco de dados precisam de permissões para acessar os certificados de segurança. Consulte Diretores de Recursos. |
Gerenciamento de Banco de Dados |
Você precisa de permissões para ativar e usar o Database Management. Consulte Permissões Necessárias para Usar o Serviço Database Management. |