メンテナンス・サイクルを管理するために必要なIAMポリシー
Oracle Exadata Database Service on Dedicated Infrastructure (ExaDB-D)またはOracle Exadata Database Service on Cloud@Customer (ExaDB-C@C)リソースのExadataフリート更新メンテナンス・サイクルおよびアクション・リソースの管理に必要なIAMポリシーを確認します。
Oracle Cloud Infrastructureを使用するには、IAMポリシーを使用する管理者によってセキュリティ・アクセス権が付与されている必要があります。 コンソールまたは(SDK、CLIまたはその他のツールを使用した) REST APIのどれを使用しているかにかかわらず、このアクセス権が必要です。 権限がない、または認可されていないというメッセージが表示された場合は、アクセス権のタイプと作業するコンパートメントを管理者に確認してください。 ポリシーを初めて使用する場合は、ポリシーの開始および共通ポリシーを参照してください。
また、一部の操作では、Exadataフリート更新リソースを他のリソースを処理できるプリンシパル・アクターとして認可する必要があります。
ステップ1: 動的グループの作成
動的グループの作成(名前の例): fsu-action-dyn-group)次のいずれかの一致ルールを使用します。 動的グループの詳細は、「動的グループの管理」および「動的グループを定義するための照合ルールの記述」を参照してください。 必要に応じて、Exadataフリート更新アクションが他のサービスに対してAPIコールを実行することを認可するには、この動的グループが必要です。 Exadataフリート更新アクションには、通常、Oracle Cloud Infrastructure Databaseサービス・リソースを使用する権限が必要です。
この照合ルールは、すべてのExadataフリート更新アクションをメンバーとして含む動的グループを定義します。
resource.type='fsuaction'ステップ2: 動的グループのポリシーの作成
動的グループを作成したら、動的グループのポリシーを作成します。 このタイプのポリシーはリソース・プリンシパル・ポリシーと呼ばれます。他のリソースを処理できるプリンシパル・アクターとしてリソースが認可されるためです。
次のポリシーは、動的グループのメンバーにfsu-action-dyn-group権限を付与して、データベース・ホームを作成、Oracle Exadata Database Service on Dedicated Infrastructure (ExaDB-D)でOracle DatabasesまたはCloudVmClustersを更新する権限を付与します。 これらのステートメントは、Exadataフリート更新メンテナンス・サイクルおよびアクションで管理タスクを完了するために必要な最小限のアクセス権を提供します。 アクセスは、指定されたサンプル・コンパートメント内のリソースに制限されます。
allow dynamic-group fsu-action-dyn-group to read db-nodes in compartment ABC
allow dynamic-group fsu-action-dyn-group to use database-software-images in compartment ABC
allow dynamic-group fsu-action-dyn-group to manage db-homes in compartment ABC where any {request.permission='DB_HOME_CREATE', request.permission='DB_HOME_UPDATE', request.permission='DB_HOME_INSPECT'}
allow dynamic-group fsu-action-dyn-group to manage databases in compartment ABC where any {request.permission='DATABASE_CREATE', request.permission='DATABASE_UPDATE', request.permission='DATABASE_INSPECT'}
allow dynamic-group fsu-action-dyn-group to use cloud-vmclusters in compartment ABC
allow dynamic-group fsu-action-dyn-group to use vcns in compartment ABC
allow dynamic-group fsu-action-dyn-group to use subnets in compartment ABC
allow dynamic-group fsu-action-dyn-group to use vnics in compartment ABC
allow dynamic-group fsu-action-dyn-group to use private-ips in compartment ABC
allow service fppcsprod to use cloud-vmclusters in compartment ABC次のポリシーは、動的グループのメンバーに、データベース・ホームを作成し、Oracle Exadata Database Service on Cloud@Customer (ExaDB-C@C)でOracle DatabasesまたはVmClustersを更新するfsu-action-dyn-group権限を付与します。 これらのステートメントは、Exadataフリート更新メンテナンス・サイクルおよびアクションで管理タスクを完了するために必要な最小限のアクセス権を提供します。 アクセスは、指定されたサンプル・コンパートメント内のリソースに制限されます。
allow dynamic-group fsu-action-dyn-group to read db-nodes in compartment ABC
allow dynamic-group fsu-action-dyn-group to inspect exadata-infrastructures in compartment ABC
allow dynamic-group fsu-action-dyn-group to use database-software-images in compartment ABC
allow dynamic-group fsu-action-dyn-group to manage db-homes in compartment ABC where any {request.permission='DB_HOME_CREATE', request.permission='DB_HOME_UPDATE', request.permission='DB_HOME_INSPECT'}
allow dynamic-group fsu-action-dyn-group to manage databases in compartment ABC where any {request.permission='DATABASE_CREATE', request.permission='DATABASE_UPDATE', request.permission='DATABASE_INSPECT'}
allow dynamic-group fsu-action-dyn-group to use vmclusters in compartment ABCallow dynamic-group fsu-action-dyn-group to manage db-homes in compartment ABC where request.permission='DB_HOME_DELETE'
allow dynamic-group fsu-action-dyn-group to manage databases in compartment ABC where request.permission='DATABASE_DELETE'ノート:
<dynamic_group_name>の前に<identity_domain_name>を含めない場合は、動的グループがデフォルトのアイデンティティ・ドメインに属しているかのようにポリシー・ステートメントが評価されます。
ステップ3: ユーザーのポリシーの追加
次のポリシーは、Exadataフリート更新メンテナンス・サイクルおよびアクション・リソースを管理するための権限をサンプル・グループCycleAdminsに付与します。
allow group CycleAdmins to use fleet-software-update-collections in compartment ABC
allow group CycleAdmins to manage fleet-software-update-cycles in compartment ABC
allow group CycleAdmins to manage fleet-software-update-actions in compartment ABC
allow group CycleAdmins to manage fleet-software-update-jobs in compartment ABC
allow group CycleAdmins to manage fleet-software-update-work-requests in compartment ABC
allow group CycleAdmins to use database-software-images in compartment ABC
allow group CycleAdmins to manage db-homes in compartment ABC
allow group CycleAdmins to use cloud-vmclusters in compartment ABC
allow group CycleAdmins to manage databases in compartment ABC where any {request.permission='DATABASE_CREATE', request.permission='DATABASE_UPDATE', request.permission='DATABASE_INSPECT'}
allow group CycleAdmins to use vmclusters in compartment ABC
allow group CycleAdmins to inspect exadata-infrastructures in compartment ABCノート:
<dynamic_group_name>の前に<identity_domain_name>を含めない場合は、動的グループがデフォルトのアイデンティティ・ドメインに属しているかのようにポリシー・ステートメントが評価されます。
親トピック: スタート・ガイド