機械翻訳について

Autonomous DatabaseでのIAMロールの追加

オプションで、複数のIAMユーザーが同じ共有グローバル・ユーザーにマップされている場合に、IAMユーザーに追加のデータベース・ロールと権限を提供するグローバル・ロールを作成します。

グローバル・ロールの使用は、ユーザー(スキーマ)への排他IAMマッピングまたはAutonomous Databaseの共有ユーザー・マッピングのいずれかを使用する場合、オプションです。 たとえば、すべての権限とロールを共有スキーマに付与でき、共有スキーマにマップするすべてのIAMユーザーには、共有スキーマに割り当てられた権限とロールが付与されます。

グローバル・ロールを使用して、オプションで同じ共有スキーマを使用するユーザーを区別できます。 たとえば、ユーザーのセットはすべて同じ共有スキーマを持ち、共有スキーマにはCREATE SESSION権限を設定できます。 次に、グローバル・ロールを使用して、同じ共有スキーマを使用する様々なユーザー・グループに割り当てられた差別化された権限とロールを提供できます。

Autonomous DatabaseでIAMユーザーに追加のロールを付与するには、Autonomous Databaseグローバル・ロールをIAMグループにマッピングします。

Autonomous Databaseグローバル・ロールをIAMグループにマップするには:

1. IAMの使用が有効になっているデータベースにADMINユーザーとしてログインします(ADMINユーザーには、これらのステップに必要なCREATE USERおよびALTER USERシステム権限があります)。
2. CREATE ROLEまたはALTER ROLE文を使用してAutonomous Databaseロールのデータベース認可を設定し、IAMグループ名を指定してIDENTIFIED GLOBALLY AS句を含めます。

   グローバル・ロールをIAMグループにマップするには、次の構文を使用します:

   CREATE ROLE global_role IDENTIFIED GLOBALLY AS
       'IAM_GROUP_NAME=IAM_GROUP_of_WHICH_the_IAM_USER_IS_a_MEMBER';

   たとえば、ExporterGroupという名前のIAMグループをexport_roleという名前の共有データベース・グローバル・ロールにマップするには:

   CREATE ROLE export_role IDENTIFIED GLOBALLY AS
        'IAM_GROUP_NAME=ExporterGroup';
   

   次の例は、デフォルト以外のドメインsales_domainを指定してロールを作成する方法を示しています:

   CREATE ROLE export_role IDENTIFIED GLOBALLY AS
        'IAM_GROUP_NAME=sales_domain/ExporterGroup';
   

   sales_domainドメイン内のExporterGroupのすべてのメンバーは、データベースへのログイン時にデータベース・グローバル・ロールexport_roleで認可されます。

3. GRANT文を使用して、必要な権限または他のロールをグローバル・ロールに付与します。

   GRANT CREATE SESSION TO export_role;
   GRANT DWROLE TO export_role;

4. 既存のデータベース・ロールをIAMグループに関連付ける場合は、ALTER ROLE文を使用して既存のデータベース・ロールを変更し、ロールをIAMグループにマップします。 既存のデータベース・ロールを変更してIAMグループにマップするには、次の構文を使用します:

   ALTER ROLE existing_database_role 
      IDENTIFIED GLOBALLY AS 'IAM_GROUP_NAME=IAM_Group_Name';

他のIAMグループのグローバル・ロール・マッピングを追加する場合は、各IAMグループの次のステップに従います。