このトピックでは、Exadata Cloud at Customerリソースへのアクセスを制御する「ポリシー」の書込みの詳細を説明します。
サンプル・ポリシーについては、「データベース管理者によるExadata Cloud at Customerインスタンスの管理を許可」を参照してください。
Resource-Types
集約リソース・タイプには、直接使用される個々のリソース・タイプのリストが含まれます。 たとえば、グループにdatabase-familyへのアクセスを許可するように1つのポリシーを記述することは、exadata-infrastructures、vmcluster-networks vmclusters、backups-destinations、db-nodesおよび個々のリソース・タイプの残りの部分にアクセス権を付与するグループに対して、8つの別個のポリシーを作成することと同じです。 詳細は、「リソース・タイプ」を参照してください。
Exadata Cloud at Customerのリソース・タイプ
集約リソース・タイプ
database-family
個々のリソース・タイプ:
exadata-infrastructures
vmcluster-networks
vmclusters
backups-destinations
db-nodes
db-homes
databases
backups
サポートされる変数
一般的な変数だけがサポートされています(「すべてのリクエストの一般変数」を参照)。
動詞+リソース・タイプの組み合わせの詳細
次の表は、各動詞が扱うpermissionsおよびAPI操作を示しています。 アクセス・レベルは、inspect > read > use > manageから行くにつれて累積されます。 表のセルのプラス記号(+)は、そのすぐ上のセルと比較してインクリメンタルなアクセスを示しますが、「追加なし」は増分アクセスを示していません。
たとえば、vmclustersリソース・タイプのread verbには、inspect verbと比較して、追加の許可またはAPI操作は含まれていません。 ただし、use動詞には1つ以上の権限が含まれ、さらに1つの操作については完全にカバーされ、別の追加操作についても部分的にカバーされます。
データベース・ファミリのリソース型
ノート
exadata-infrastructureリソースに対する権限を付与すると、関連するvmcluster-networkリソースに対する権限が付与されます。 詳細については、vmcluster-networksを参照してください。
inspect
権限
EXADATA_INFRASTRUCTURE_INSPECT
完全にカバーされたAPI
ListExadataInfrastructures
GetExadataInfrastructure
GenerateRecommendedNetworkDetails
部分的にカバーされたAPI
なし
read
権限
INSPECT +
EXADATA_INFRASTRUCTURE_CONTENT_READ
完全にカバーされたAPI
DownloadExadataInfrastructureConfigFile
部分的にカバーされたAPI
なし
use
権限
READ +
EXADATA_INFRASTRUCTURE_UPDATE
完全にカバーされたAPI
ActivateExadataInfrastructure
UpdateExadataInfrastructure
ChangeExadataInfrastructureCompartment
部分的にカバーされたAPI
CreateVmCluster (manage vmclustersも必要)
UpdateVmCluster (use vmclustersも必要)
管理
権限
USE +
EXADATA_INFRASTRUCTURE_CREATE
EXADATA_INFRASTRUCTURE_DELETE
完全にカバーされたAPI
CreateExadataInfrastructure
DeleteExadataInfrastructure
部分的にカバーされたAPI
なし
ノート
vmcluster-networkリソースは、関連付けられているexadata-infrastructureリソースから権限を継承します。 mmcluster-networkリソースに明示的に権限を付与することはできません。
inspect
権限
EXADATA_INFRASTRUCTURE_INSPECT
完全にカバーされたAPI
ListVmClusterNetworks
GetVmClusterNetwork
ValidateVmClusterNetwork
部分的にカバーされたAPI
なし
read
権限
INSPECT +
EXADATA_INFRASTRUCTURE_CONTENT_READ
完全にカバーされたAPI
DownloadVmClusterNetworkConfigFile
部分的にカバーされたAPI
なし
use
権限
READ +
EXADATA_INFRASTRUCTURE_UPDATE
完全にカバーされたAPI
CreateVmClusterNetwork
UpdateVmClusterNetwork
DeleteVmClusterNetwork
部分的にカバーされたAPI
なし
管理
権限
USE +
EXADATA_INFRASTRUCTURE_CREATE
EXADATA_INFRASTRUCTURE_DELETE
完全にカバーされたAPI
なし
部分的にカバーされたAPI
なし
inspect
権限
VM_CLUSTER_INSPECT
完全にカバーされたAPI
ListVmClusters
GetVmCluster
部分的にカバーされたAPI
なし
read
権限
追加なし
完全にカバーされたAPI
追加なし
部分的にカバーされたAPI
なし
use
権限
READ +
VM_CLUSTER_UPDATE
完全にカバーされたAPI
ChangeVmClusterCompartment
部分的にカバーされたAPI
UpdateVmCluster (use exadata-infrastructuresも必要)
CreateDbHome (manage db-homesおよびmanage databasesも必要です)。 自動バックアップがデフォルト・データベースで有効になっている場合、manage backupsも必要です
DeleteDbHome (manage db-homesおよびmanage databasesも必要です)。 自動バックアップがデフォルト・データベースで有効になっている場合、manage backupsも必要です
管理
権限
USE +
VM_CLUSTER_CREATE
VM_CLUSTER_DELETE
完全にカバーされたAPI
追加なし
部分的にカバーされたAPI
CreateVmCluster (use exadata-infrastructuresも必要)
DeleteVmCluster (use exadata-infrastructuresも必要)
inspect
権限
BACKUP_DESTINATION_INSPECT
完全にカバーされたAPI
ListBackupDestinations
GetBackupDestination
部分的にカバーされたAPI
なし
read
権限
追加なし
完全にカバーされたAPI
追加なし
部分的にカバーされたAPI
なし
use
権限
READ +
BACKUP_DESTINATION_UPDATE
完全にカバーされたAPI
UpdateBackupDestination
ChangeBackupDestinationCompartment
部分的にカバーされたAPI
なし
管理
権限
USE +
BACKUP_DESTINATION_CREATE
BACKUP_DESTINATION_DELETE
完全にカバーされたAPI
CreateBackupDestination
DeleteBackupDestination
部分的にカバーされたAPI
なし
inspect
権限
DB_NODE_INSPECT
DB_NODE_QUERY
完全にカバーされたAPI
GetDbNode
部分的にカバーされたAPI
なし
read
権限
追加なし
完全にカバーされたAPI
追加なし
部分的にカバーされたAPI
なし
use
権限
追加なし
完全にカバーされたAPI
追加なし
部分的にカバーされたAPI
なし
管理
権限
USE +
DB_NODE_POWER_ACTIONS
完全にカバーされたAPI
DbNodeAction
部分的にカバーされたAPI
なし
inspect
権限
DB_HOME_INSPECT
完全にカバーされたAPI
ListDBHome
GetDBHome
部分的にカバーされたAPI
なし
read
権限
追加なし
完全にカバーされたAPI
追加なし
部分的にカバーされたAPI
なし
use
権限
DB_HOME_UPDATE
完全にカバーされたAPI
UpdateDBHome
部分的にカバーされたAPI
なし
管理
権限
USE +
DB_HOME_CREATE
DB_HOME_DELETE
完全にカバーされたAPI
追加なし
部分的にカバーされたAPI
CreateDbHome (use vmclustersおよびmanage databasesも必要です)。 自動バックアップがデフォルト・データベースで有効になっている場合、manage backupsも必要です
DeleteDbHome (use vmclustersおよびmanage databasesも必要です)。 自動バックアップがデフォルト・データベースで有効になっている場合は、manage backupsも必要です。
inspect
権限
DATABASE_INSPECT
完全にカバーされたAPI
ListDatabases
GetDatabase
部分的にカバーされたAPI
なし
read
権限
追加なし
完全にカバーされたAPI
追加なし
部分的にカバーされたAPI
なし
use
権限
READ +
DATABASE_UPDATE
完全にカバーされたAPI
UpdateDatabase
部分的にカバーされたAPI
自動バックアップを有効にする場合、manage backupsも必要です
管理
権限
USE +
DATABASE_CREATE
DATABASE_DELETE
完全にカバーされたAPI
追加なし
部分的にカバーされたAPI
CreateDbHome (use vmclustersおよびmanage db-homesも必要です)。 自動バックアップがデフォルト・データベースで有効になっている場合、manage backupsも必要です
DeleteDbHome (use vmclustersおよびmanage db-homesも必要です)。 自動バックアップがデフォルト・データベースで有効になっている場合、manage backupsも必要です
inspect
権限
DB_BACKUP_INSPECT
完全にカバーされたAPI
GetBackup
ListBackups
部分的にカバーされたAPI
なし
read
権限
INSPECT +
DB_BACKUP_CONTENT_READ
完全にカバーされたAPI
なし
部分的にカバーされたAPI
RestoreDatabase (use databasesも必要)
use
権限
追加なし
完全にカバーされたAPI
追加なし
部分的にカバーされたAPI
なし
管理
権限
USE +
DB_BACKUP_CREATE
DB_BACKUP_DELETE
完全にカバーされたAPI
追加なし
部分的にカバーされたAPI
なし
各API操作に必要なアクセス許可
次の表に、Exadata Cloud at CustomerリソースのAPI操作をリソース・タイプ別にグループ化して論理的順序で示します。
権限については、「アクセス許可」を参照してください。
データベースAPI操作
| API操作 | 操作を使用するために必要な権限 |
|---|---|
ListExadataInfrastructures
|
EXADATA_INFRASTRUCTURE_INSPECT |
GetExadataInfrastructure
|
EXADATA_INFRASTRUCTURE_INSPECT |
CreateExadataInfrastructure
|
EXADATA_INFRASTRUCTURE_CREATE |
UpdateExadataInfrastructure
|
EXADATA_INFRASTRUCTURE_UPDATE |
ChangeExadataInfrastructureCompartment
|
EXADATA_INFRASTRUCTURE_INSPECTとEXADATA_INFRASTRUCTURE_UPDATE |
DeleteExadataInfrastructure
|
EXADATA_INFRASTRUCTURE_DELETE |
DownloadExadataInfrastructureConfigFile
|
EXADATA_INFRASTRUCTURE_CONTENT_READ |
ActivateExadataInfrastructure
|
EXADATA_INFRASTRUCTURE_UPDATE |
GenerateRecommendedNetworkDetails
|
EXADATA_INFRASTRUCTURE_INSPECT |
ListVmClusterNetworks
|
EXADATA_INFRASTRUCTURE_INSPECT |
GetVmClusterNetwork
|
EXADATA_INFRASTRUCTURE_INSPECT |
CreateVmClusterNetwork
|
EXADATA_INFRASTRUCTURE_INSPECTとEXADATA_INFRASTRUCTURE_UPDATE |
UpdateVmClusterNetwork
|
EXADATA_INFRASTRUCTURE_INSPECTとEXADATA_INFRASTRUCTURE_UPDATE |
DeleteVmClusterNetwork
|
EXADATA_INFRASTRUCTURE_UPDATE |
DownloadVmClusterNetworkConfigFile
|
EXADATA_INFRASTRUCTURE_INSPECTとEXADATA_INFRASTRUCTURE_CONTENT_READ |
ValidateVmClusterNetwork
|
EXADATA_INFRASTRUCTURE_INSPECT |
ListVmClusters
|
VM_CLUSTER_INSPECT |
GetVmCluster
|
VM_CLUSTER_INSPECT |
CreateVmCluster
|
EXADATA_INFRASTRUCTURE_INSPECT、EXADATA_INFRASTRUCTURE_UPDATEおよびVM_CLUSTER_CREATE |
UpdateVmCluster
|
EXADATA_INFRASTRUCTURE_INSPECT、EXADATA_INFRASTRUCTURE_UPDATEおよびVM_CLUSTER_UPDATE |
ChangeVmClusterCompartment
|
VM_CLUSTER_INSPECTとVM_CLUSTER_UPDATE |
DeleteVmCluster
|
VM_CLUSTER_DELETE |
ListBackupDestinations
|
BACKUP_DESTINATION_INSPECT |
GetBackupDestination
|
BACKUP_DESTINATION_INSPECT |
CreateBackupDestination
|
BACKUP_DESTINATION_CREATE |
UpdateBackupDestination
|
BACKUP_DESTINATION_UPDATE |
DeleteBackupDestination
|
BACKUP_DESTINATION_DELETE |
ChangeBackupDestinationCompartment
|
BACKUP_DESTINATION_INSPECTとBACKUP_DESTINATION_UPDATE |
GetDbNode
|
DB_NODE_INSPECT |
DbNodeAction
|
DB_NODE_POWER_ACTIONS |
ListDbHomes
|
DB_HOME_INSPECT |
GetDbHome
|
DB_HOME_INSPECT |
CreateDbHome
|
VM_CLUSTER_INSPECT、VM_CLUSTER_UPDATEおよびDB_HOME_CREATEとDATABASE_CREATE データベースの自動バックアップを有効にするには、DB_BACKUP_CREATEとDATABASE_CONTENT_READも必要です。 |
UpdateDbHome
|
DB_HOME_UPDATE |
DeleteDbHome
|
VM_CLUSTER_UPDATE、DB_HOME_UPDATEおよびDATABASE_DELETE |
ListDatabases
|
DATABASE_INSPECT |
GetDatabase
|
DATABASE_INSPECT |
UpdateDatabase
|
DATABASE_UPDATE 自動バックアップを有効にするには、DB_BACKUP_CREATEとDATABASE_CONTENT_READも必要です。 |
ListDbVersions
|
(権限は必要ありません、誰にでも利用可能です) |
GetBackup
|
DB_BACKUP_INSPECT |