Oracle Cloud Infrastructureドキュメント

SQLパフォーマンス・ウォッチの使用に必要な権限

ここでは、データベース管理SQLパフォーマンス・ウォッチの使用に必要な権限について説明します。

外部データベースでSQLパフォーマンス・ウォッチを使用するには、次のデータベース管理リソース・タイプに必要な権限を持つテナンシのユーザー・グループに属している必要があります。

  • dbmgmt-sqlwatch-fleet: このリソース・タイプにより、ユーザー・グループはSQLパフォーマンス・ウォッチの「サマリー」および「レポート」ページにアクセスして、SQLパフォーマンス・ウォッチ対応データベースのフリートを監視し、SQLパフォーマンス・アナライザの比較レポートを表示できます。
  • dbmgmt-sqlwatch-spa: このリソース・タイプにより、ユーザー・グループはSQLパフォーマンス・アナライザのタスク、試行、比較の作成などのタスクを実行できます。
  • dbmgmt-family: この集約リソース・タイプには、個々のデータベース管理リソース・タイプがすべて含まれます。これを使用すると、ユーザー・グループはすべてのデータベース管理機能を有効化して使用できます。

様々なSQLパフォーマンス・ウォッチ機能を使用するために必要な権限をユーザー・グループに付与するポリシーの例を次に示します:

  • DB-MGMT-USERユーザー・グループに、テナンシ内のデータベースに対するSQLパフォーマンス・ウォッチおよびその他のデータベース管理機能を使用する権限を付与するには:
    Allow group DB-MGMT-USER to manage dbmgmt-family in tenancy
  • MGD-DB-USERユーザー・グループに、SQLパフォーマンス・ウォッチの「サマリー」および「レポート」ページにアクセスする権限を付与し、SQLパフォーマンス・ウォッチ対応データベースのフリートを監視して、テナンシ内のSQLパフォーマンス・アナライザの比較レポートを表示するには:
    Allow group MGD-DB-USER to manage dbmgmt-sqlwatch-fleet in tenancy
  • MGD-DB-USERユーザー・グループに、テナンシでのSQLパフォーマンス・アナライザのタスク、試行および比較の作成などのタスクを実行する権限を付与するには:
    Allow group MGD-DB-USER to manage dbmgmt-sqlwatch-spa in tenancy

データベース管理のリソース・タイプおよび権限の詳細は、データベース管理のポリシー詳細を参照してください。

SQLパフォーマンス・ウォッチの使用に必要な追加権限

データベース管理SQLパフォーマンス・ウォッチを使用するには、データベース管理権限に加えて、次のOracle Cloud Infrastructureサービス権限が必要です。

管理エージェントの動的グループ・ポリシー

SQLパフォーマンス・ウォッチへのレスポンスのポストには、管理エージェントを含む動的グループが必要です。管理エージェントにこれを許可するには、次のステップを実行します。

  1. 管理エージェントを含むデフォルト・ドメインに動的グループ(agent-dynamic-group)を作成し、次の照合ルールを入力して動的グループを定義します:
    ALL {resource.type='managementagent'}

    動的グループの作成方法の詳細は、動的グループを作成するにはを参照してください。

  2. 動的グループ(agent-dynamic-group)を使用して、次のポリシーを作成します。
    Allow dynamic-group agent-dynamic-group to manage management-agents in tenancy
    Allow dynamic-group agent-dynamic-group to {DBMGMT_SPA_TASK_PUBLISH_SQL_RESULT} in tenancy

データベース管理サービス権限

拡張診断の優先資格証明を設定するには、データベース管理権限が必要です。

この権限を付与するには、Diagnostics & Managementリソース・タイプdbmgmt-managed-databasesまたはDatabase Management集約リソース・タイプdbmgmt-familyuse動詞を持つポリシーを作成する必要があります。ここでは、dbmgmt-family集約リソース・タイプが使用されている例を示します: 

Allow group MGD-DB-USER to use dbmgmt-family in compartment ABC

データベース管理のリソース・タイプおよび権限の詳細は、データベース管理のポリシー詳細を参照してください。

Vaultサービス権限

データベース・ユーザー・パスワードを格納するVaultサービス・シークレットを作成するには、Vaultサービス権限が必要です。これは、拡張診断の優先資格証明を設定するときに追加されます。

この権限を付与するには、Vaultサービスのリソース・タイプのmanage動詞を含むポリシーを作成する必要があります。ここでは、secret-family集約リソース・タイプが使用されている例を示します: 

Allow group MGD-DB-USER to manage secret-family in compartment ABC

拡張診断の優先資格証明を設定した後、別のユーザー・グループにシークレットにアクセスする権限を付与する場合は、Vaultサービスのリソース・タイプに対してread動詞を使用してポリシーを作成します。ここでは、secret-family集約リソース・タイプが使用されている例を示します: 

Allow group MGD-DB-USER-NEW to read secret-family in compartment ABC

Vaultサービスのリソース・タイプおよび権限の詳細は、Vaultサービスの詳細を参照してください。