Políticas e Permissões Obrigatórias
Os grupos de usuários que gerenciam o MySQL HeatWave Service devem ter as políticas e permissões obrigatórias para acessar e gerenciar os recursos.
Políticas Obrigatórias
Defina as políticas obrigatórias no nível da tenancy para obter acesso aos vários recursos do sistema de banco de dados.
Tabela 20-1 Políticas Obrigatórias
| Política | Descrição |
|---|---|
Allow group <group_name> to {COMPARTMENT_INSPECT} in compartment <compartment_name> |
Concede a permissão COMPARTMENT_INSPECT aos membros da <group_name>. A permissão permite que o grupo liste e leia o conteúdo do compartimento especificado.
|
Allow group <group_name> to {VCN_READ, SUBNET_READ, SUBNET_ATTACH, SUBNET_DETACH} in compartment <compartment_name> |
Concede as permissões VCN_READ, SUBNET_READ, SUBNET_ATTACH e SUBNET_DETACH aos membros da <group_name>. Essas permissões permitem que o grupo leia, anexe e desanexe sub-redes e leia VCNs no compartimento especificado. Você precisa desta instrução de política para anexar um sistema de banco de dados ou uma réplica de leitura à sub-rede de uma VCN.
|
Allow group <group_name> to {VNIC_CREATE, VNIC_DELETE, VNIC_UPDATE, NETWORK_SECURITY_GROUP_UPDATE_MEMBERS, VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP} in compartment <compartment_name> |
(Para balanceador de carga de ponto final de leitura e réplica de leitura) Concede as permissões VNIC_CREATE, VNIC_DELETE, VNIC_UPDATE, NETWORK_SECURITY_GROUP_UPDATE_MEMBERS e VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP aos membros do <group_name>. Você precisa desta instrução de política para criar automaticamente um balanceador de carga de réplica de leitura ao criar a primeira réplica de leitura de um sistema de BD ou para criar um ponto final de leitura de um sistema de BD.
|
|
Allow any-user to {VNIC_CREATE, VNIC_UPDATE, VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP, VNIC_DISASSOCIATE_NETWORK_SECURITY_GROUP} in compartment <subnet_compartment_name> where all {request.principal.type='mysqldbsystem', request.resource.compartment.id='<DBsystem_compartment_OCID>'} |
(Para NSGs (Grupos de Segurança de Rede) no sistema de BD ou réplica de leitura)
Concede as permissões Concede as permissões Este é um controlador de recursos que concede a permissão Este é um controlador de recursos que concede as permissões |
Allow any-user to {SECURITY_ATTRIBUTE_NAMESPACE_USE, VNIC_UPDATE, VNIC_CREATE} in compartment <subnet_compartment_name> where all {request.principal.type='mysqldbsystem', request.resource.compartment.id='<DBsystem_compartment_OCID>'} |
(Para designar atributos de segurança a sistemas de banco de dados)
Este é um controlador de recursos que concede as permissões |
|
Allow any-user to read leaf-certificate-family in compartment <certificate_compartment_name> where all {request.principal.type = 'mysqldbsystem', request.resource.compartment.id='<DBsystem_compartment_OCID>'} |
(Somente para certificado definido pelo usuário ou trazer seu próprio certificado)
Concede as permissões de leitura do tipo de recurso leaf-certificate-family no compartimento <certificate_compartment_name> aos sistemas de BD no compartimento com o OCID <DBsystem_compartment_OCID>.
|
|
|
(Para chave de criptografia gerenciada pelo usuário ou trazer apenas sua própria chave)
Concede acesso aos membros do Concede acesso aos membros do <group_name> para ler vaults no compartimento <key_compartment_name>. Este é um controlador de recursos que concede aos sistemas de BD no compartimento com o OCID <DBsystem_compartment_OCID> para delegar o uso de chaves de criptografia no compartimento <key_compartment_name> a outros serviços. Uma política complementar é necessária para que o outro serviço use as chaves de criptografia. Concede ao serviço de volume em blocos e ao serviço de armazenamento de objetos na região <region> para usar a chave de criptografia com o valor do OCID igual a <key_OCID> no compartimento <key_compartment_name>. Este é um controlador de recursos que endossa ou permite aos sistemas de BD nesta tenancy as permissões listadas para quaisquer tenancies que forneçam permissões Este é um controlador de recursos que endossa ou permite que os sistemas de Banco de Dados nesta tenancy associem ou usem as chaves desta tenancy com Este é um controlador de recursos que endossa ou permite que os sistemas de Banco de Dados nesta tenancy associem ou usem as chaves desta tenancy com Este é um controlador de recursos que endossa ou permite que os sistemas de Banco de Dados nesta tenancy associem ou usem as chaves desta tenancy com |
Obsoleto na versão 9.4.0: Allow service mysql_dp_auth to {AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT, DYNAMIC_GROUP_INSPECT} in tenancyPara a versão 9.4.0 ou posterior: |
(Somente no plug-in authentication_oci) Concede a permissão AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT e DYNAMIC_GROUP_INSPECT para mapear usuários MySQL no sistema de BD para usuários e grupos existentes definidos no serviço IAM. Consulte Autenticando com o Plug-in authentication_oci.
|
Allow group <group_name> to read metrics in compartment <compartment_name> |
(Somente para leitura de métricas) Concede acesso aos membros do <group_name> para ler métricas na Console. Além dessa política, você também precisa da seguinte política para ler métricas:
|
Tabela 20-2 Serviços Associados
| Serviço Associado | Descrição |
|---|---|
| Certificados (Traga seu próprio certificado) |
Você precisa definir políticas para designar certificados de segurança a sistemas de banco de dados. Você precisa definir um controlador de recursos para permitir que os sistemas de banco de dados acessem certificados de segurança. Consulte Controlador de Recursos. |
| Gerenciamento de Banco de Dados |
Você precisa definir políticas para ativar e usar o Database Management. Consulte Permissões Necessárias para Usar o Serviço Database Management. |
Tópicos Relacionados
Permissões Obrigatórias
Os grupos de usuários do MySQL HeatWave Service devem ter as permissões obrigatórias para ler o conteúdo de compartimentos, usar Redes Virtuais na Nuvem e gerenciar o MySQL HeatWave Service.
Tabela 20-3 Permissões Obrigatórias
| Permissão | Descrição |
|---|---|
COMPARTMENT_INSPECT |
Concede os direitos para ler e exibir o conteúdo dos compartimentos. |
VCN_READ, SUBNET_READ, SUBNET_ATTACH, SUBNET_DETACH |
Concede os direitos para ler, anexar e desanexar sub-redes e ler VCNs. Não é possível anexar um sistema de banco de dados a uma rede sem esses tipos de recursos. |
NETWORK_SECURITY_GROUP_READ, NETWORK_SECURITY_GROUP_UPDATE_MEMBERS, VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP, VNIC_DISASSOCIATE_NETWORK_SECURITY_GROUP |
(Para Grupos de Segurança de Rede) Concede direitos para associar e desassociar grupos de segurança de rede a um sistema de BD ou réplica de leitura. |
CERTIFICATE_READ |
(Para certificado definido pelo usuário ou trazer seu próprio certificado) Concede o direito de ler certificados de segurança no Serviço de Certificados. Você não pode designar um certificado de segurança a um sistema de banco de dados sem essa permissão. |
AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT, DYNAMIC_GROUP_INSPECT |
(Para o plug-in authentication_oci) Concede os direitos para mapear usuários MySQL no sistema de BD para usuários e grupos existentes definidos no serviço IAM.
|
VNIC_CREATE, VNIC_DELETE,VNIC_UPDATE, NETWORK_SECURITY_GROUP_UPDATE_MEMBERS,VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP |
(Para balanceador de carga de ponto final de leitura e réplica de leitura) Concede os direitos para criar um ponto final de leitura ou um balanceador de carga de réplica de leitura. |
Tabela 20-4 Serviços Associados
| Permissões | Descrição |
|---|---|
| Certificados (Traga seu próprio certificado) |
Você precisa de permissões para ler os certificados de segurança. Os sistemas de banco de dados precisam de permissões para acessar os certificados de segurança. Consulte Controlador de Recursos. |
| Gerenciamento de Banco de Dados |
Você precisa de permissões para ativar e usar o Database Management. Consulte Permissões Obrigatórias para Usar o Serviço Database Management. |