1. Exascaleユーザーズ・ガイド
  2. Oracle Exadata Exascaleの概要
  3. Exascaleのコンポーネントおよび概念
  4. ユーザー権限

1.2.15 ユーザー権限

ユーザー権限は、Exascaleユーザーが実行するアクションを制御します。

Exascaleユーザーは、ユーザーが実行できるアクションを制御する一連のユーザー権限の対象となります。

ユーザー権限は、ESCLI mkuserまたはchuserコマンドを使用してユーザーに割り当てられます。

Exascaleユーザー権限には4つのタイプがあり、どのユーザーも複数の権限タイプにおいて権限を保持できます。権限タイプと使用可能なユーザー権限の説明を次に示します:

  • クラスタ・レベルのストレージ権限は、Exascaleクラスタ内のストレージ・リソースに対して受取りユーザーが実行できる管理アクションを主に制御します。通常、クラスタ・レベルのストレージ権限は、Exascaleクラスタを管理するユーザーにのみ割り当てられます。ユーザーは、次のクラスタ・レベルのストレージ権限をゼロまたは1つ保持できます:

    • cl_monitor: 受取りユーザーが、ESCLIおよびCellCLIを使用してリスト操作を実行することでExascaleクラスタをモニタリングできるようにします。

    • cl_operator: 受取りユーザーが次を実行できるようにします:

      • ESCLIおよびCellCLIを使用してリスト操作を実行することでExascaleクラスタをモニタリングする。

      • プール・ディスクを管理する(作成、削除、オンライン、オフライン)。

      • ソフトウェア・サービスを管理する(リスト、開始、停止、再開、削除)。

      • トラスト・ストアを管理する。

    • cl_admin: すべてのcl_monitorおよびcl_operator権限と、その他の権限タイプのすべての権限を含むシステム管理者権限のセット。つまり:

      • すべてのクラスタ・レベルのユーザー権限: user_createsystem_restoreおよびon_behalf_of

      • vlt_manageで指定されたすべてのボールトの最上位レベルの権限。

      • すべてのサービス権限: cellsrvegserssysedsusredsbsmおよびbsw

      また、この権限により、受取りユーザーは次を実行できるようになります:

      • 任意のユーザーに権限を付与する。

      • 任意のユーザーのキーをリセットする。

      • ストレージ・プールを作成および削除する。

      • エクステント・マップ情報を表示する。

  • クラスタ・レベルのユーザー権限は、Exascaleクラスタに対して受取りユーザーが実行できる管理アクションを制御します。通常、クラスタ・レベルのユーザー権限は、Exascaleクラスタを管理するユーザーにのみ割り当てられます。ユーザーは、次のクラスタ・レベルの権限をゼロ以上保持できます:

    • user_create: 受取りユーザーがクラスタ内に新しいユーザーを作成できるようにします。
    • system_restore: 受取りユーザーがExascaleバックアップをリストアできるようにします。

    • on_behalf_of: 受取りユーザーが別のユーザーのかわりにExascale制御サービス(ERS)にリクエストを送信できるようにする特別な権限。

      たとえば、別のExascaleサービスによって実行する必要があるアクションが含まれるリクエストをERSに送信するユーザーについて考えてみます。この場合、ERSはこの権限を使用して、元のエンド・ユーザーのかわりに他のExascaleサービスにアクションを転送します。

      通常、この権限は、各Exascaleノードに存在する内部管理アカウントにのみ割り当てられます。

  • ボールトの最上位レベルの権限は、受取りユーザーがすべてのボールトおよびファイルに対して実行できるアクションを制御します。通常、ボールトの最上位レベルの権限は、Exascaleボールト内のファイルを使用および管理するユーザーに割り当てられます。ユーザーは、次のボールトの最上位レベルの権限をゼロまたは1つ保持できます:

    • vlt_inspect: 受取りユーザーが新しいボールトを作成できるようにします。受取りユーザーは、それらのボールト内に作成されたファイルを完全に制御することもできます。この権限は、デフォルトでは新しいユーザーに割り当てられます。

    • vlt_read: vlt_inspect権限が含まれており、受取りユーザーが、すべての既存のボールトのリスト、任意のボールトの属性の表示、任意のボールト内でのファイルの作成、任意のボールト内のファイルのリストおよび任意のファイルの属性の表示もできるようにします。

    • vlt_use: vlt_read権限が含まれており、受取りユーザーが読取りのために任意のファイルを開くこともできるようにします。

    • vlt_manage: vlt_use権限が含まれており、受取りユーザーが、読取り/書込みのために任意のファイルを開くこと、ボールトまたはファイルの変更、ボールトおよびファイルの削除もできるようにします。

    ボールトの最上位レベルの権限は、アクセス制御リスト(ACL)に加えて機能します。ボールトまたはファイルに対してアクションを実行するには、適切なボールトの最上位レベルの権限または適切なACL権限が必要です。「ボールトおよびファイルのアクセス制御」を参照してください。

  • サービス権限は、受取りユーザーが実行できるExascaleソフトウェア・サービスを制御します。通常、サービス権限は、各Exascaleノードに存在するノード固有の内部管理アカウントにのみ割り当てられます。ユーザーは、次のサービス権限をゼロ以上保持できます:

    • cellsrv: 受取りユーザーがコアExadataセル・サービスを実行できるようにします。

    • egs: 受取りユーザーがExascaleクラスタ・サービス(Exascaleグローバル・サービスとも呼ばれる)を実行できるようにします。

    • ers: 受取りユーザーがExascale制御サービス(Exascale RESTfulサービスとも呼ばれる)を実行できるようにします。

    • syseds: 受取りユーザーがシステム・ボールト・マネージャ・サービスを実行できるようにします。

    • usreds: 受取りユーザーがユーザー・ボールト・マネージャ・サービスを実行できるようにします。

    • bsm: 受取りユーザーがブロック・ストレージ・マネージャ・サービスを実行できるようにします。

    • bsw: 受取りユーザーがブロック・ストレージ・ワーカー・サービスを実行できるようにします。

    • edv: 受取りユーザーがExascaleダイレクト・ボリューム・サービスを実行できるようにします。

また、no_privilegeは、受取りユーザーからすべての権限を削除する特別な権限です。ユーザーに割り当てる際、no_privilegeは他の権限と組み合せることはできません。

関連トピック

親トピック: Exascaleのコンポーネントおよび概念