| Oracle® Enterprise Manager Cloud Controlセキュリティ・ガイド 12c リリース5 (12.1.0.5) E49736-06 |
|
 前 |
 次 |
この付録では、即時利用可能なロールおよびSYSDBA権限がない場合のデータベース・ターゲットへのユーザー・アクセスを示します。
次の表には、Enterprise Managerで即時利用可能な事前定義済ロールが示されています。
表A-1 あらかじめ用意されているロール
| ロール | 説明 |
|---|---|
|
EM_ALL_ADMINISTRATOR |
ロールは、Enterprise Managerの管理操作を行うための権限を持ちます。すべてのセキュアなリソース(ターゲットを含む)に対するフル権限が提供されます。 |
|
EM_ALL_DESIGNER |
ロールは、Enterprise Managerの操作エンティティ(監視テンプレートなど)を設計するための権限を持ちます。 |
|
EM_ALL_OPERATOR |
ロールは、Enterprise Managerの操作を管理するための権限を持ちます。 |
|
EM_ALL_VIEWER |
ロールは、Enterprise Managerの操作を表示するための権限を持ちます。 |
|
EM_CBA_ADMIN |
ロールにはチャージバック・オブジェクトを管理するための権限があります。チャージバック・プランとチャージバック・コンシューマの作成と表示、チャージバック使用量の割当て、およびCaTターゲットの表示を可能にします。 |
|
EM_CLOUD_ADMINISTRATOR |
インフラストラクチャ・クラウドの設定と管理を行うためのEnterprise Managerユーザー。このロールは、クラウド・インフラストラクチャ(サーバー、プール、ゾーン)のデプロイと、パフォーマンスや構成を管理するためのインフラストラクチャ・クラウド操作を担う場合があります。 |
|
EM_COMPLIANCE_DESIGNER |
ロールは、コンプライアンス・エンティティを作成、変更および削除するための権限を持ちます。 |
|
EM_COMPLIANCE_OFFICER |
ロールは、コンプライアンス・フレームワーク定義および結果を表示するための権限を持ちます。 |
|
EM_CPA_ADMIN |
統合オブジェクトを管理するためのロール。統合プランと統合プロジェクトの作成と表示、およびCaTターゲットの表示を可能にします。 |
|
EM_HOST_DISCOVERY_OPERATOR |
ロールは、ホストの検出を行うための権限を持ちます |
|
EM_INFRASTRUCTURE_ADMIN |
ロールは、プラグイン・ライフサイクルの管理や自己更新の管理などのEnterprise Managerインフラストラクチャを管理するための権限を持ちます。 |
|
EM_PATCH_ADMINISTRATOR |
パッチ計画用の権限の作成、編集、デプロイ、削除および付与を行うためのロール。 |
|
EM_PATCH_DESIGNER |
パッチ計画の作成および表示を行うためのロール |
|
EM_PATCH_OPERATOR |
パッチ計画をデプロイするためのロール |
|
EM_PLUGIN_AGENT_ADMIN |
管理エージェントでプラグイン・ライフサイクルをサポートするためのロール |
|
EM_PLUGIN_OMS_ADMIN |
管理サーバーでプラグイン・ライフサイクルをサポートするためのロール |
|
EM_PLUGIN_USER |
プラグイン・コンソールの表示をサポートするためのロール |
|
EM_PROVISIONING_DESIGNER |
ロールは、プロビジョニング・デザイナ用の権限を持ちます。 |
|
EM_PROVISIONING_OPERATOR |
ロールは、プロビジョニング・オペレータ用の権限を持ちます。 |
|
EM_SSA_ADMINISTRATOR |
セルフ・サービス・ポータルを設定する権限を持つEnterprise Managerユーザー。このロールは、セルフ・サービス・ユーザーに対して割当てと制約を定義したり、アクセス権を付与できます。 |
|
EM_SSA_USER |
このロールはEnterprise Managerユーザーにセルフ・サービス・ポータルにアクセスする権限を付与します。 |
|
EM_TARGET_DISCOVERY_OPERATOR |
ロールは、ターゲットの検出を行うための権限を持ちます。 |
|
EM_TC_DESIGNER |
ロールは、テンプレート・コレクションを作成するための権限を持ちます。 |
|
EM_USER |
ロールは、Enterprise Managerアプリケーションにアクセスするための権限を持ちます。 |
|
PUBLIC |
PUBLICロールは、すべての管理者に付与されます。このロールは、すべての管理者に付与する必要のある権限をグループ化するようサイト・レベルでカスタマイズできます。 |
ユーザーは、データベース・ターゲットに対して次のような操作を実行する必要がある場合があります。
パフォーマンス・ページの監視
AWRの確認および管理
SQLアクセス・アドバイザの使用
SQLチューニングの使用
ユーザーがEnterprise Managerでデータベース・モニタリングおよびデータベース管理機能にアクセスする必要があるにもかかわらず、データベース・ターゲットに対する完全なSYSDBAアクセス権が付与されていない場合には、Enterprise Manager管理者を作成して、EM_USERロールおよびPUBLICロールと、管理者がアクセスするデータベース・ターゲットに対する「表示可能な任意のターゲットに接続」権限を付与できます。
次の手順では、(特定のターゲット・インスタンスをリストするのではなく)すべてのターゲットに「表示可能な任意のターゲットに接続」が付与されます。使用されている認証モデルのタイプに応じて、管理者の詳細は、Cloud ControlリポジトリまたはLDAPなどの外部ストアのいずれかに格納されます。
「設定」メニューから、「セキュリティ」、「管理者」の順に選択します。
「作成」をクリックします。
管理者の作成: プロパティ・ページから、セキュリティ・チームによって強制されるパスワード・プロファイルを含む、必要なすべての情報を入力します。次に示す図では、このユーザーが一時パスワードでログインした場合、パスワードのリセットが強制されるように、「パスワード即期限切れ」が選択されています。
必要な情報を入力したら、「次へ」をクリックします。
管理者の作成: ロール・ページから、デフォルト・ロールを選択して、「次へ」をクリックします。
管理者の作成: ターゲット権限ページから、「表示可能な任意のターゲットに接続」ターゲット権限を選択します。これにより管理者は、コンソール内の表示可能なすべてのターゲットに接続できるようになります。
「次へ」をクリックします。
リソース・ページから、「次へ」をクリックします。これにより、デフォルトの設定が受け入れられます。
確認ページで設定を確認します。「終了」をクリックします。 
有効なユーザーがターゲット・インスタンスに存在する必要があります。
DBターゲット・ホストでsysdbaとしてログインし、<dbmonitor_admin>ユーザーを作成して、適切な権限を付与します。
SQL> create user <dbmonitor_admin> identified by <password>; SQL> grant select any dictionary to <dbmonitor_admin>; SQL> grant create session to <dbmonitor_admin>;
Cloud Controlコンソールに<gc_user>ユーザー(例では、JANEMURRY)としてログインします。
「ターゲット」→「Database」→「ORADB」→「パフォーマンス」
<dbmonitor_admin>ユーザーのログインおよびパスワードを入力します。
パフォーマンス・ページが表示されます。次のユーザーは、「その他のモニタリング・リンク」セクションの下のすべてのページにアクセスできるようになります。
DBターゲット・ホストでsysdbaとしてログインし、<awr_admin>ユーザーを作成して、適切な権限を付与します。
SQL> create user <awr_admin> identified by <password>; SQL> grant select any dictionary to <awr_admin>; SQL> grant create session to <awr_admin>; SQL> grant execute on dbms_workload_repository to <awr_admin>;
Cloud Controlコンソールに<gc_user>ユーザー(例では、JANEMURRY)としてログインします。
「ターゲット」→「Database」→「ORADB」→「関連リンク: アドバイザ・セントラル」
<awr_admin>ユーザーのログインおよびパスワードを入力します。
AWRまたはADDMレポートを生成するには、次のようにクリックします。
「ADDM」→「OK」
DBターゲット・ホストでsysdbaとしてログインし、<sqlaccess_admin>ユーザーを作成して、適切な権限を付与します。
SQL> create user <sqlaccess_admin> identified by <password>; SQL> grant select any dictionary to <sqlaccess_admin>; SQL> grant create session to <sqlaccess_admin>; SQL> grant oem_advisor to <sqlaccess_admin>;
Cloud Controlコンソールに<gc_user>ユーザー(例では、JANEMURRY)としてログインします。
「ターゲット」→「Database」→「ORADB」→「関連リンク: アドバイザ・セントラル」→「SQLアクセス・アドバイザ」 <sqlaccess_admin>ユーザーのログインおよびパスワードを入力します。
SQLアクセス・タスクを実行するには、ウィザードで手順を完了します。
DBターゲット・ホストでsysdbaとしてログインし、<sqltune_admin>ユーザーを作成して、適切な権限を付与します。
SQL> create user <sqltune_admin> identified by <password>; SQL> grant select any dictionary to <sqltune_admin>; SQL> grant create session to <sqltune_admin>; SQL> grant oem_advisor to <sqltune_admin>;
Cloud Controlコンソールに<gc_user>ユーザー(例では、JANEMURRY)としてログインします。
「ターゲット」→「Database」→「ORADB」→「関連リンク: アドバイザ・セントラル」→「SQLチューニング・アドバイザ」 <sqltune_admin>ユーザーのログインおよびパスワードを入力します。
SQLチューニング・タスクを実行できます。たとえば、「トップ・アクティビティ」→「ASHレポートの実行」をクリックします。
