Documentação do Oracle Cloud Infrastructure

Políticas e permissões obrigatórias

Os grupos de usuários que gerenciam o Serviço HeatWave devem ter as políticas e permissões obrigatórias para acessar e gerenciar os recursos.

Políticas Obrigatórias

Defina as políticas obrigatórias no nível da tenancy para obter acesso a vários recursos do sistema de banco de dados.

Tabela 20-1 Políticas Obrigatórias

Política Descrição
Allow group <group_name> to {COMPARTMENT_INSPECT} in compartment <compartment_name> Concede a permissão COMPARTMENT_INSPECT aos membros de <group_name>. A permissão permite que o grupo liste e leia o conteúdo do compartimento especificado.
Allow group <group_name> to {VCN_READ, SUBNET_READ, SUBNET_ATTACH, SUBNET_DETACH} in compartment <compartment_name> Concede as permissões VCN_READ, SUBNET_READ, SUBNET_ATTACH e SUBNET_DETACH aos membros de <group_name>. Essas permissões permitem que o grupo leia, anexe e desanexe sub-redes e leia VCNs no compartimento especificado. Você precisa dessa instrução de política para anexar um sistema de BD ou uma réplica de leitura à sub-rede de uma VCN.
Allow group <group_name> to {VNIC_CREATE, VNIC_DELETE, VNIC_UPDATE, NETWORK_SECURITY_GROUP_UPDATE_MEMBERS, VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP} in compartment <compartment_name> (Para o balanceador de carga de réplica de leitura) Concede as permissões VNIC_CREATE, VNIC_DELETE, VNIC_UPDATE, NETWORK_SECURITY_GROUP_UPDATE_MEMBERS e VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP aos membros de <group_name>. Você precisa dessa instrução de política para criar automaticamente um balanceador de carga de réplica de leitura ao criar a primeira réplica de leitura de um sistema de banco de dados.

Allow group <group_name> to read leaf-certificates in compartment <certificate_compartment_name>

Allow dynamic-group <dynamic_group_name> to read leaf-certificate-family in compartment <certificate_compartment_name>		 (Para certificado definido pelo usuário ou trazer seu próprio certificado apenas)

Concede as permissões de leitura do tipo de recurso leaf-certificates aos membros de <group_name>. A permissão permite que o grupo designe um certificado de segurança no compartimento especificado a um sistema de banco de dados.

Concede as permissões de leitura do tipo de recurso agregado leaf-certificate-family ao grupo dinâmico especificado. Isso permite que os principais (sistemas de BD) no grupo dinâmico leiam certificados de segurança no compartimento especificado. Consulte Diretores de Recursos.
Allow service mysql_dp_auth to {AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT, DYNAMIC_GROUP_INSPECT} in tenancy (Somente para o plug-in authentication_oci) concede a permissão AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT e DYNAMIC_GROUP_INSPECT para mapear usuários MySQL no sistema de banco de dados para usuários e grupos existentes definidos no serviço IAM. Consulte Autenticando com o Plug-in authentication_oci.
Allow group <group_name> to read metrics in compartment <compartment_name> (Somente para leitura de métricas) Concede acesso aos membros de <group_name> para ler métricas na Console. Além dessa política, você também precisa da seguinte política para ler métricas:
Allow group <group name> to read mysql-family in compartment <compartment_name>

Tabela 20-2 Serviços Associados

Serviço Associado Descrição
Certificados (Traga seu próprio certificado)

Você precisa definir políticas para designar certificados de segurança aos sistemas de BD.

Você precisa definir um controlador de recursos para permitir que os sistemas de BD acessem certificados de segurança. Consulte Diretores de Recursos.

Database Management

Você precisa definir políticas para ativar e usar o Database Management. Consulte Permissões Necessárias para Usar o Serviço Database Management.

Permissões obrigatórias

Os grupos de usuários do HeatWave Service devem ter as permissões obrigatórias para ler o conteúdo dos compartimentos, usar Redes Virtuais na Nuvem e gerenciar o Serviço HeatWave.

Tabela 20-3 Permissões Obrigatórias

Permissão Descrição
COMPARTMENT_INSPECT Concede os direitos para ler e exibir o conteúdo dos compartimentos.
VCN_READ, SUBNET_READ, SUBNET_ATTACH, SUBNET_DETACH Concede os direitos para ler, anexar e desanexar sub-redes e ler VCNs. Não é possível anexar um sistema de banco de dados a uma rede sem esses tipos de recursos.
CERTIFICATE_READ (Para certificado definido pelo usuário ou trazer seu próprio certificado) Concede o direito de ler certificados de segurança no Serviço Certificates. Não é possível designar um certificado de segurança a um sistema de BD sem essa permissão.
AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT, DYNAMIC_GROUP_INSPECT (Para o plug-in authentication_oci) Concede os direitos para mapear usuários MySQL no sistema de banco de dados para usuários e grupos existentes definidos no serviço IAM.
VNIC_CREATE, VNIC_DELETE,VNIC_UPDATE, NETWORK_SECURITY_GROUP_UPDATE_MEMBERS,VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP (Para balanceador de carga de réplica de leitura) Concede os direitos de criar um balanceador de carga de réplica de leitura automaticamente.

Tabela 20-4 Serviços Associados

Permissões Descrição
Certificados (Traga seu próprio certificado)

Você precisa de permissões para ler os certificados de segurança.

Os sistemas de banco de dados precisam de permissões para acessar os certificados de segurança. Consulte Diretores de Recursos.

Gerenciamento de Banco de Dados

Você precisa de permissões para ativar e usar o Database Management. Consulte Permissões Necessárias para Usar o Serviço Database Management.