Documentação do Oracle Cloud Infrastructure

Permissões

As permissões de serviço do Oracle Cloud Infrastructure a seguir são necessárias para ativar o Ops Insights para Bancos de Dados do Oracle Cloud e, adicionalmente, para sistemas Exadata Cloud Service.

Observação

Quando políticas obsoletas forem detectadas, o Policy Advisor exibirá um banner que exige uma atualização de política para o novo formato CRISP. Para atualizar, clique no botão Atualizar políticas de pré-requisitos. Para obter mais informações sobre políticas obsoletas, consulte: Remoção de Política do Principal de Serviço.Aviso do consultor de políticas
  • Permissões do Exadata Cloud Service e dos sistemas de banco de dados bare metal e de máquina virtual: Para ativar o Ops Insights para Bancos de Dados do Oracle Cloud, você deve ter os sistemas de banco de dados Bare Metal e de máquina virtual necessários e as permissões do Exadata Cloud Service.
    Observação

    Para usar o Exadata Insights, ative o destino do Exadata e não o banco de dados diretamente.
    Veja um exemplo de política que concede ao grupo de usuários opsi-admins a permissão para ativar o Ops Insights para os Bancos de Dados do Oracle Cloud na tenancy:
    Observação

    Essas políticas também podem ter escopo no compartimento. 
    allow group opsi-admins to read database-family in tenancy
    Para o Exadata, as seguintes políticas também são necessárias:
    Observação

    Essas políticas também podem ter escopo no compartimento. 
    allow group opsi-admins to read cloud-exadata-infrastructures in tenancy
    allow group opsi-admins to read cloud-vmclusters in tenancy

    Para obter mais informações sobre sistemas de BD Bare Metal e Máquina Virtual específicos e os tipos de recursos e permissões do serviço Exadata Cloud, consulte Detalhes da Política do Base Database Service e Detalhes para Instâncias do Exadata Cloud Service.

  • Permissões do serviço Networking: Para trabalhar com o ponto final privado do Ops Insights e ativar a comunicação entre o Ops Insights e o Banco de Dados do Oracle Cloud, você deve ter a permissão manage no tipo de recurso vnics e a permissão use no tipo de recurso subnets e ambos o tipo de recurso network-security-groups ou security-lists (Você pode abrir o acesso à rede por meio de um grupo de segurança de rede (o banco de dados deve ter sido configurado para usar o mesmo) ou a sub-rede precisa ter as listas de segurança apropriadas (a sub-rede na qual o banco de dados reside)).

    Veja a seguir exemplos de políticas individuais que concedem ao grupo de usuários opsi-admins as permissões necessárias: 

    allow group opsi-admins to manage vnics in tenancy
allow group opsi-admins to use subnets in tenancy
allow group opsi-admins to use network-security-groups in tenancy
    
allow group opsi-admins to use security-lists in tenancy

    Ou uma política única que usa o tipo de recurso agregado do Serviço Networking concede ao grupo de usuários opsi-admins as mesmas permissões detalhadas no parágrafo anterior: 

    allow group opsi-admins to manage virtual-network-family in tenancy

    Para obter mais informações sobre os tipos de recursos e permissões do serviço Networking, consulte a seção Networking em Detalhes dos Principais Serviços.

  • Permissões do serviço Vault:

    As credenciais do banco de dados na nuvem são adicionadas ao serviço OCI Vault; portanto, você terá que gravar uma política para permitir que o Ops Insights as leia para coletas de dados de métricas. Para criar novos segredos ou usar segredos existentes ao especificar as credenciais do banco de dados para ativar o Ops Insights para Bancos de Dados do Oracle Cloud, você deve ter a permissão manage no tipo de recurso agregado secret-family.

    Veja um exemplo da política que concede ao grupo de usuários opsi-admins a permissão para criar e usar segredos na tenancy: 

    allow group opsi-admins to manage secret-family in tenancy

    Além da política de grupo de usuários do serviço Vault, a seguinte política de serviço é necessária para conceder ao Ops Insights a permissão para ler segredos de senha do banco de dados em um vault específico:

    allow any-user to read secret-family in tenancy where 
ALL{request.principal.type='opsidatabaseinsight', target.vault.id =  'Vault OCID'}
    Observação

    O Compartimento ABC é o compartimento do vault. Este compartimento não é necessário para corresponder ao compartimento do banco de dados.

    Para obter mais informações sobre os tipos de recursos e permissões do serviço Vault, consulte Detalhes do Serviço Vault.