Oracle Exadata Database Service on Cloud@Customerのポリシー詳細
Oracle Exadata Database Service on Cloud@Customerリソースへのアクセスを制御するポリシーを記述する方法について学習します。
ノート:
ポリシーの詳細は、「ポリシーの仕組み」を参照してください。
サンプル・ポリシーについては、「データベース管理者によるOracle Exadata Database Service on Cloud@Customerインスタンスの管理」を参照してください。
- リソース・タイプについて
ポリシーで使用できるリソース・タイプについて学習します。 - Oracle Exadata Database Service on Cloud@Customerのリソース・タイプ
Oracle Exadata Database Service on Cloud@Customerに固有のリソース・タイプのリストを確認します。 - サポートされる変数
ポリシーに条件を追加するときに変数を使用します。 - 動詞とリソース・タイプの組合せの詳細
各動詞でカバーされる権限およびAPI操作のリストを確認します。 - 各API操作に必要な権限
Oracle Exadata Database Service on Cloud@CustomerリソースのAPI操作のリストを、リソース・タイプ別にグループ化して論理的な順序で確認します。
リソース・タイプについて
ポリシーで使用できるリソース・タイプについて学習します。
集約リソース・タイプは、直接たどる個々のリソース・タイプのリストを対象とします。
たとえば、database-family
へのアクセスをグループに許可するポリシーを記述することは、exadata-infrastructures
、
、vmcluster-networks
vmclusters
, backup-destinations
, db-nodes
, dbnode-console-connection
およびその他の個々のリソース・タイプへのアクセス権を付与するグループに8つの個別のポリシーを記述することと同じです。
たとえば、グループがautonomous-database-family
にアクセスできるようにするポリシーを1つ記述することは、autonomous-databases
, autonomous-backups
, autonomous-container-databases
およびcloud-autonomous-vmclusters
リソース・タイプへのアクセス権を付与するグループの4つの個別のポリシーを記述することと同じです。
詳細は、Resource-Typesを参照してください。
Oracle Exadata Database Service on Cloud@Customerのリソース・タイプ
Oracle Exadata Database Service on Cloud@Customerに固有のリソース・タイプのリストを確認します。
集計リソース・タイプ
database-family
個々のリソース-タイプ
exadata-infrastructures
vmclusters
backup-destinations
db-nodes
db-homes
databases
backups
database-software-images
exascale-db-storage-vaults
key-stores
dbnode-console-connection
dbnode-console-history
scheduling-policies
scheduling-windows
scheduling-plan
scheduling-action
execution-windows
execution-action
サポートされる変数
ポリシーに条件を追加するときに変数を使用します。
Exadata Database Service on Cloud@Customerでは、一般的な変数のみがサポートされています。 詳細は、「すべてのリクエストの一般変数」を参照してください。
動詞とリソース・タイプの組合せの詳細
各動詞でカバーされる権限およびAPI操作のリストを確認します。
詳細は、「権限」、「動詞」および「リソース・タイプ」を参照してください。
- database-familyリソース・タイプ
- Exadata Infrastructuresの権限およびAPI操作の詳細
- exascale-db-storage-vaultsの権限およびAPI操作の詳細
- VMクラスタNetworksの権限およびAPI操作の詳細
- VMクラスタの権限およびAPI操作の詳細
- バックアップ保存先の権限およびAPI操作の詳細
- DBノードの権限およびAPI操作の詳細
- DBホームの権限およびAPI操作の詳細
- データベースの権限およびAPI操作の詳細
- バックアップの権限およびAPI操作の詳細
- データベース・ソフトウェア・イメージの権限およびAPI操作の詳細
- キー・ストアの権限およびAPI操作の詳細
- プラガブル・データベース(PDB)の権限およびAPI操作の詳細
- DBサーバーの権限およびAPI操作の詳細
- DBノード・コンソール接続の権限およびAPI操作の詳細
- DBノード・コンソール履歴の権限およびAPI操作の詳細
- 暫定ソフトウェア更新の権限およびAPI操作の詳細
- スケジューリング・ポリシーの権限およびAPI操作の詳細
- Windowsのスケジューリングの権限およびAPI操作の詳細
- スケジューリング計画の権限およびAPI操作詳細
- スケジュール済アクションの権限およびAPI操作の詳細
- 実行Windowsの権限およびAPI操作の詳細
- 実行アクションの権限およびAPI操作の詳細
- Data Guardグループの権限およびAPI操作の詳細
関連トピック
データベース・ファミリのリソース・タイプ
アクセス・レベルは、inspect
>read
>use
>manage
の順に累積されます。 表のセル内のプラス記号(+)は、その上のセルと比較して増分アクセスを示しますが、「追加なし」は増分アクセスを示しません。
たとえば、vmclusters
リソース・タイプのread
動詞には、inspect
動詞と比較して追加の権限またはAPI操作は含まれません。 ただし、use
動詞には複数の権限が含まれており、複数の操作を完全にカバーし、別の追加操作を部分的にカバーします。
親トピック: 動詞とリソース・タイプの組合せの詳細
Exadata Infrastructuresの権限およびAPI操作の詳細
exadata-infrastructure
リソースに対する権限を付与すると、関連するvmcluster-network
リソースに対する権限が付与されます。
次の表に、exadata-infrastructures
の権限およびAPI操作を示します。
動詞 | 権限 | 完全に対象となっているAPI | 一部対象API |
---|---|---|---|
INSPECT |
|
|
|
READ |
INSPECT +
|
なし |
なし |
USE |
READ +
|
|
|
MANAGE |
USE +
|
|
なし |
親トピック: 動詞とリソース・タイプの組合せの詳細
exascale-db-storage-vaultsの権限およびAPI操作の詳細
exadata-infrastructure
リソースに対する権限を付与すると、関連するvmcluster-network
リソースに対する権限が付与されます。
次の表に、exadata-infrastructures
の権限およびAPI操作を示します。
動詞 | 権限 | 完全に対象となっているAPI | 一部対象API |
---|---|---|---|
INSPECT |
|
|
なし |
READ |
余分なし |
余分なし |
なし |
USE |
READ +
|
|
なし |
MANAGE |
USE +
|
|
なし |
親トピック: 動詞とリソース・タイプの組合せの詳細
VMクラスタNetworksの権限およびAPI操作の詳細
vmcluster-network
リソースは、それらが関連付けられているexadata-infrastructure
リソースから権限を継承します。 vmcluster-network
リソースに権限を明示的に付与することはできません。
次の表に、vmcluster-networks
の権限およびAPI操作を示します。
動詞 | 権限 | 完全に対象となっているAPI | 一部対象API |
---|---|---|---|
INSPECT |
|
|
なし |
READ |
INSPECT +
|
|
なし |
USE |
READ +
|
|
なし |
MANAGE |
USE +
|
なし |
なし |
親トピック: 動詞とリソース・タイプの組合せの詳細
VMクラスタの権限およびAPI操作の詳細
次の表に、vmclusters
の権限およびAPI操作を示します。
動詞 | 権限 | 完全に対象となっているAPI | 一部対象API |
---|---|---|---|
INSPECT |
|
|
なし |
READ |
追加なし |
追加なし |
追加なし |
USE |
READ +
|
ChangeVmClusterCompartment |
|
MANAGE |
USE +
|
追加なし |
|
ノート:
VM_CLUSTER_UPDATE_SSH_KEY
権限は、ユーザーがゲストVMのrootユーザーになり、dbaascli
を使用してゲストVMで他のクラスタ更新操作を実行できるようにする、高い権限を持つ権限です。
- 更新操作を許可するには:
allow group abc to use vmclusters in compartment comp1
- CPUのスケーリングのみを許可するには:
allow group abc to use vmclusters in compartment comp1 where request.permission = 'VM_CLUSTER_UPDATE_CPU'
- GI更新および任意のスケール操作を許可するには:
allow group abc to use vmclusters in compartment comp1 where any { request.permission = 'VM_CLUSTER_UPDATE_CPU', request.permission = 'VM_CLUSTER_UPDATE_EXADATA_STORAGE', request.permission = 'VM_CLUSTER_UPDATE_MEMORY', request.permission = 'VM_CLUSTER_UPDATE_LOCAL_STORAGE', request.permission = 'VM_CLUSTER_UPDATE_GI_SOFTWARE'}
- SSHキーの追加以外の操作を許可するには:
allow group abc to use vmclusters in compartment comp1 where all { request.permission != 'VM_CLUSTER_UPDATE_SSH_KEY' , request.permission != 'VM_CLUSTER_UPDATE' }
親トピック: 動詞とリソース・タイプの組合せの詳細
バックアップ保存先の権限およびAPI操作の詳細
次の表に、backup-destinations
の権限およびAPI操作を示します。
動詞 | 権限 | 完全に対象となっているAPI | 一部対象API |
---|---|---|---|
INSPECT |
|
|
なし |
READ |
余分なし |
なし |
なし |
USE |
READ +
|
|
なし |
MANAGE |
USE +
|
|
なし |
親トピック: 動詞とリソース・タイプの組合せの詳細
DBノードの権限およびAPI操作の詳細
次の表に、db-nodes
の権限およびAPI操作を示します。
動詞 | 権限 | 完全に対象となっているAPI | 一部対象API |
---|---|---|---|
INSPECT |
|
|
なし |
READ |
追加なし |
追加なし |
なし |
USE |
READ +
|
|
なし |
MANAGE |
USE +
|
|
なし |
親トピック: 動詞とリソース・タイプの組合せの詳細
DBホームの権限およびAPI操作の詳細
次の表に、db-homes
の権限およびAPI操作を示します。
動詞 | 権限 | 完全に対象となっているAPI | 一部対象API |
---|---|---|---|
INSPECT |
|
|
なし |
READ |
追加なし |
追加なし |
なし |
USE |
|
|
なし |
MANAGE |
USE +
|
追加なし |
|
親トピック: 動詞とリソース・タイプの組合せの詳細
データベースの権限およびAPI操作の詳細
次の表に、databases
の権限およびAPI操作を示します。
動詞 | 権限 | 完全に対象となっているAPI | 一部対象API |
---|---|---|---|
INSPECT |
|
|
|
READ |
追加なし |
追加なし |
なし |
USE |
READ +
|
|
自動バックアップを有効にする場合は、manage backups も必要です。
|
MANAGE |
USE +
|
追加なし |
|
親トピック: 動詞とリソース・タイプの組合せの詳細
バックアップの権限およびAPI操作の詳細
次の表に、backups
の権限およびAPI操作を示します。
動詞 | 権限 | 完全に対象となっているAPI | 一部対象API |
---|---|---|---|
INSPECT |
|
|
なし |
READ |
INSPECT +
|
なし |
RestoreDatabase (use databases も必要)
|
USE |
余分なし |
余分なし |
なし |
MANAGE |
USE +
|
余分なし |
なし |
親トピック: 動詞とリソース・タイプの組合せの詳細
データベース・ソフトウェア・イメージの権限およびAPI操作の詳細
次の表に、database-software-image
の権限およびAPI操作を示します。
動詞 | 権限 | 完全に対象となっているAPI | 一部対象API |
---|---|---|---|
INSPECT |
|
|
なし |
READ |
追加なし |
追加なし |
なし |
USE |
READ +
|
|
なし |
MANAGE |
USE +
|
|
なし |
親トピック: 動詞とリソース・タイプの組合せの詳細
キー・ストアの権限およびAPI操作の詳細
次の表に、key-stores
の権限およびAPI操作を示します。
動詞 | 権限 | 完全に対象となっているAPI | 一部対象API |
---|---|---|---|
INSPECT |
|
|
|
READ |
余分なし |
余分なし |
なし |
USE |
READ +
|
|
|
MANAGE |
USE + |
|
なし |
親トピック: 動詞とリソース・タイプの組合せの詳細
プラガブル・データベース(PDB)の権限およびAPI操作の詳細
次の表に、pluggable-databases
の権限およびAPI操作を示します。
動詞 | 権限 | 完全に対象となっているAPI | 一部対象API |
---|---|---|---|
inspect | PLUGGABLE_DATABASE_INSPECT |
|
|
|
no extra |
|
|
read |
INSPECT +
|
no extra |
|
use |
READ +
|
no extra |
|
|
no extra |
|
|
|
no extra |
|
|
manage |
USE +
|
no extra |
|
|
no extra |
|
親トピック: 動詞とリソース・タイプの組合せの詳細
DBサーバーの権限およびAPI操作の詳細
次の表に、dbServers
の権限およびAPI操作を示します。
動詞 | 権限 | 完全に対象となっているAPI | 一部対象API |
---|---|---|---|
INSPECT |
|
なし |
|
READ |
余分なし |
余分なし |
なし |
USE |
READ +
|
なし |
|
MANAGE |
追加なし |
追加なし |
なし |
親トピック: 動詞とリソース・タイプの組合せの詳細
DBノード・コンソール接続の権限およびAPI操作の詳細
次の表に、dbnode-console-connection
の権限およびAPI操作を示します。
動詞 | 権限 | 完全に対象となっているAPI | 一部対象API |
---|---|---|---|
inspect |
|
|
なし |
read | 余分なし | 余分なし | なし |
use |
READ +
|
|
なし |
manage |
USE +
|
|
なし |
親トピック: 動詞とリソース・タイプの組合せの詳細
DBノード・コンソール履歴の権限およびAPI操作の詳細
次の表に、dbnode-console-history
の権限およびAPI操作を示します。
動詞 | 権限 | 完全に対象となっているAPI | 一部対象API |
---|---|---|---|
inspect |
|
|
なし |
read |
INSPECT + DBNODE_CONSOLE_HISTORY_CONTENT_READ |
|
なし |
use |
READ +
|
|
なし |
manage |
USE +
|
|
なし |
親トピック: 動詞とリソース・タイプの組合せの詳細
暫定ソフトウェア更新の権限およびAPI操作の詳細
次の表に、oneoffPatch
の権限およびAPI操作を示します。
動詞 | 権限 | 完全に対象となっているAPI | 一部対象API |
---|---|---|---|
inspect | ONEOFF_PATCH_INSPECT |
|
|
read |
INSPECT +追加なし |
|
なし |
use |
READ +
|
なし |
|
manage |
USE +
|
なし |
|
関連トピック
親トピック: 動詞とリソース・タイプの組合せの詳細
スケジューリング・ポリシーの権限およびAPI操作の詳細
次の表に、scheduling-policies
の権限およびAPI操作を示します。
動詞 | 権限 | 完全に対象となっているAPI | 一部対象API |
---|---|---|---|
inspect | SCHEDULING_POLICY_INSPECT |
|
|
read |
INSPECT + 「追加なし」 |
追加なし |
なし |
use |
READ +
|
追加なし |
|
manage |
USE +
|
追加なし |
|
親トピック: 動詞とリソース・タイプの組合せの詳細
Windowsのスケジューリングの権限およびAPI操作の詳細
次の表に、scheduling-windows
の権限およびAPI操作を示します。
動詞 | 権限 | 完全に対象となっているAPI | 一部対象API |
---|---|---|---|
inspect | SCHEDULING_WINDOW_INSPECT |
|
|
read |
INSPECT + 「追加なし」 |
追加なし |
なし |
use |
READ +
|
追加なし |
|
manage |
USE +
|
追加なし |
|
親トピック: 動詞とリソース・タイプの組合せの詳細
スケジューリング計画の権限およびAPI操作詳細
scheduling-plan
リソースは、それらが関連付けられているexadata-infrastructure
リソースから権限を継承します。 scheduling-plan
リソースに権限を明示的に付与することはできません。
次の表に、scheduling-plan
の権限およびAPI操作を示します。
動詞 | 権限 | 完全に対象となっているAPI | 一部対象API |
---|---|---|---|
inspect | EXADATA_INFRASTRUCTURE_INSPECT |
|
|
read |
INSPECT + 「追加なし」 |
追加なし |
なし |
use |
READ + |
|
|
manage |
USE +
|
|
なし |
親トピック: 動詞とリソース・タイプの組合せの詳細
スケジュール済アクションの権限およびAPI操作の詳細
scheduled-action
リソースは、それらが関連付けられているexadata-infrastructure
リソースから権限を継承します。 scheduled-action
リソースに権限を明示的に付与することはできません。
次の表に、scheduled-action
の権限およびAPI操作を示します。
動詞 | 権限 | 完全に対象となっているAPI | 一部対象API |
---|---|---|---|
inspect | EXADATA_INFRASTRUCTURE_INSPECT |
|
|
read |
INSPECT + 「追加なし」 |
追加なし |
なし |
use |
READ + |
|
|
manage |
USE +
|
|
なし |
親トピック: 動詞とリソース・タイプの組合せの詳細
実行Windowsの権限およびAPI操作の詳細
execution-windows
リソースは、それらが関連付けられているexadata-infrastructure
リソースから権限を継承します。 execution-windows
リソースに権限を明示的に付与することはできません。
次の表に、execution-windows
の権限およびAPI操作を示します。
動詞 | 権限 | 完全に対象となっているAPI | 一部対象API |
---|---|---|---|
inspect | EXADATA_INFRASTRUCTURE_INSPECT |
|
|
read |
INSPECT + 「追加なし」 |
追加なし |
なし |
use |
READ + |
|
|
manage |
USE +
|
|
なし |
親トピック: 動詞とリソース・タイプの組合せの詳細
実行アクションの権限およびAPI操作の詳細
execution-action
リソースは、それらが関連付けられているexadata-infrastructure
リソースから権限を継承します。 execution-action
リソースに権限を明示的に付与することはできません。
次の表に、execution-action
の権限およびAPI操作を示します。
動詞 | 権限 | 完全に対象となっているAPI | 一部対象API |
---|---|---|---|
inspect | EXADATA_INFRASTRUCTURE_INSPECT |
|
|
read |
INSPECT + 「追加なし」 |
追加なし |
なし |
use |
READ + |
|
|
manage |
USE +
|
|
なし |
親トピック: 動詞とリソース・タイプの組合せの詳細
Data Guardグループの権限およびAPI操作の詳細
次の表に、Dataguardgroup
の権限およびAPI操作を示します。
動詞 | 権限 | 完全に対象となっているAPI | 一部対象API |
---|---|---|---|
inspect |
|
|
|
read |
追加なし |
追加なし |
なし |
use |
READ+ スタンバイ: プライマリ: |
|
|
manage |
USE +
|
|
なし |
親トピック: 動詞とリソース・タイプの組合せの詳細
API操作ごとに必要な権限
Oracle Exadata Database Service on Cloud@CustomerリソースのAPI操作のリストを、リソース・タイプ別にグループ化して論理的な順序で確認します。
権限の詳細は、「権限」を参照してください。
表7-26 データベースAPI操作
API操作 | 操作の使用に必要な権限 |
---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
データベースの自動バックアップを有効にするには、 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
自動バックアップを有効にするには、 |
|
|
|
|
|
|
|
|
|
(権限は必要ありません。すべてのユーザーが使用できます) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
関連トピック