機械翻訳について

IAMユーザーのIdentity and Access Management (IAM)グループおよびポリシーの作成

IAMグループのポリシー・ステートメントを記述して、IAMユーザーがOracle Cloud Infrastructureリソース(特にAutonomous AI Databaseインスタンス)にアクセスできるようにするステップについて説明します。

ポリシーは、特定のリソースにアクセスできるユーザーおよび方法を指定する文のグループです。 アクセスは、テナンシ全体、コンパートメント内のデータベースまたは個々のデータベースに対して付与できます。 つまり、特定のグループに特定のコンパートメント内の特定のタイプのリソースへのアクセス権を付与するポリシー・ステートメントを記述します。

ノート:

IAMトークンを使用してAutonomous AI Databaseにアクセスするには、ポリシーを定義する必要があります。 IAMデータベース・パスワードを使用してAutonomous AI Databaseにアクセスする場合、ポリシーは不要です。

Autonomous AI DatabaseでIAMユーザーがIAMトークンを使用してデータベースに接続できるようにするには:

  1. グループを作成し、グループにユーザーを追加して、Oracle Cloud Infrastructure Identity and Access Management前提条件を実行します。

    たとえば、グループsales_dbusersを作成します。

    詳細は、グループの管理を参照してください。

  2. Oracle Cloud Infrastructureリソースへのアクセスを有効にするポリシー・ステートメントを記述します。
    1. Oracle Cloud Infrastructureコンソールで、「アイデンティティ&セキュリティ」をクリックします。
    2. 「アイデンティティ&セキュリティ」で、「ポリシー」をクリックします。
    3. 書込みポリシーに対して、「ポリシーの作成」をクリックします。
    4. 「ポリシーの作成」ページで、名前と説明を入力します。
    5. 「ポリシーの作成」ページで「手動エディタの表示」を選択します。
    6. 「ポリシー・ビルダー」を使用してポリシーを作成します。

      たとえば、IAMグループDBUsersのユーザーがテナンシ内のAutonomous AI Databaseにアクセスできるようにするポリシーを作成するには: 

      Allow group DBUsers to use autonomous-database-family in tenancy
      たとえば、DBUsersグループのメンバーをコンパートメントtesting_compartment内のAutonomous AI Databaseにのみアクセスするように制限するポリシーを作成するには:
      allow group DBUsers to use autonomous-database-family in compartment testing_compartment
      たとえば、コンパートメント内の単一データベースへのグループ・アクセスを制限するポリシーを作成するには:
      allow group DBUsers to use autonomous-database-family in compartment testing_compartment 
               where target.id = 'ocid1.autonomousdatabase.oc1.iad.aaaabbbbcccc...b5678ca'

      データベースにアクセスするためのIAMポリシーの詳細は、「データベース・セキュリティ・ガイド」「トークンで認証するユーザーを認可するIAMポリシーの作成」を参照してください。

    7. 「作成」をクリックします。

      ポリシーの詳細は、「ポリシーの管理」を参照してください。

Autonomous AI DatabaseでIAMユーザーで使用するポリシーを作成するためのノート:

  • ポリシーにより、IAMユーザーは、テナンシ全体、コンパートメント内のAutonomous AI Databaseインスタンスにアクセスできるようにしたり、単一のAutonomous AI Databaseインスタンスへのアクセスを制限できます。

  • インスタンス・プリンシパルまたはリソース・プリンシパルのいずれかを使用して、データベース・トークンを取得し、アプリケーションからAutonomous AI Databaseインスタンスへの接続を確立できます。 インスタンス・プリンシパルまたはリソース・プリンシパルを使用している場合は、動的グループをマップする必要があります。 したがって、インスタンス・プリンシパルとリソース・プリンシパルを排他的にマップすることはできません。マップできるのは、共有マッピングを使用してのみであり、インスタンスまたはリソース・インスタンスをIAM動的グループに配置できます。

    Oracle Cloud Infrastructureにアクセスするために、作成するポリシーに動的グループを作成し、動的グループを参照できます。 詳細は、「リソースにアクセスするためのポリシーおよびロールの構成」および「動的グループの管理」を参照してください。

親トピック: Autonomous AI Databaseを使用したIdentity and Access Management (IAM)認証の使用