ベース・データベース・サービスのポリシー詳細

この記事では、Oracle Base Database Serviceリソースへのアクセスを制御するOracle Cloud Infrastructure Identity and Access Management (IAM)ポリシーの記述について詳しく説明します。

ヒント:

サンプル・ポリシーについては、「データベース管理者がOracle Cloudデータベース・システムを管理できるようにします」を参照してください。

Resource-Types

集約リソース・タイプは、直接たどる個々のリソース・タイプのリストを対象とします。たとえば、グループにdatabase-familyへのアクセスを許可するポリシーを1つ記述することは、db-systems, db-nodes, db-homes, databases, database-software-imageおよびdb-backupsリソース・タイプへのアクセス権を付与するグループに個別のポリシーを記述することと同じです。詳細は、「ポリシーの仕組み」のResource-Typesを参照してください。

集計リソース・タイプ

database-family

個々のリソース-タイプ

db-systems
db-nodes
db-homes
databases
pluggable databases
db-backups

サポートされる変数

一般的な変数のみがサポートされています。詳細は、「ポリシー参照」の「すべてのリクエストの一般的な変数」を参照してください。

動詞とリソース・タイプの組合せの詳細

次の表は、各動詞でカバーされる権限およびAPI操作を示しています。アクセス・レベルは、inspect > read > use > manageからの実行に伴い累積されます。表のセル内のプラス記号(+)は、その上のセルと比較して増分アクセスを示しますが、「追加なし」は増分アクセスを示しません。

たとえば、db-systemsリソース・タイプのreadおよびuse動詞は、inspect動詞と比較して追加の権限またはAPI操作に対応しません。ただし、manage動詞にはさらに2つの権限が含まれ、部分的にさらに2つのAPI操作が含まれます。

db-systems

動詞	権限	完全に対象となっているAPI	一部対象API
inspect	DB_SYSTEM_INSPECT	`ListDbSystems` `GetDbSystem` `ListDbSystemPatches` `ListDbSystemPatchHistoryEntries` `GetDbSystemPatch` `GetDbSystemPatchHistoryEntry`	none
read	追加なし	追加なし	none
use	DB_SYSTEM_UPDATE	追加なし	`ChangeDbSystemCompartment` (`use db-homes`、`use databases`および`inspect db-backups`も必要)
manage	USE + DB_SYSTEM_CREATE DB_SYSTEM_DELETE	`UpdateDBSystem`	`LaunchDBSystem`、`TerminateDbSystem` (両方とも`manage db-homes`, `manage databases`, `use vnics`および`use subnets`が必要)

db-nodes

動詞	権限	完全に対象となっているAPI	一部対象API
inspect	DB_NODE_INSPECT DB_NODE_QUERY	`GetDbNode`	none
read	追加なし	追加なし	none
use	追加なし	追加なし	none
manage	USE + DB_NODE_POWER_ACTIONS	`DbNodeAction`	none

db-homes

動詞	権限	完全に対象となっているAPI	一部対象API
inspect	DB_HOME_INSPECT	`ListDBHome` `GetDBHome` `ListDbHomePatches` `ListDbHomePatchHistoryEntries` `GetDbHomePatch` `GetDbHomePatchHistoryEntry`	none
read	追加なし	追加なし	none
use	DB_HOME_UPDATE	`UpdateDBHome`	`ChangeDbSystemCompartment` (`use db-systems`、`use databases`および`inspect db-backups`も必要)
manage	USE + DB_HOME_CREATE DB_HOME_DELETE	追加なし	`LaunchDBSystem`、`TerminateDbSystem` (両方とも`manage db-systems`, `manage databases`, `use vnics`および`use subnets`が必要です)。自動バックアップがデフォルト・データベースで有効になっている場合は、`manage db-backups`も必要です。 `CreateDbHome` (`use db-systems`および`manage databases`も必要)。バックアップからリストアしてデータベース・ホームを作成する場合は、`read db-backups`も必要です。 `DeleteDbHome` (`use db-systems`および`manage databases`も必要)。自動バックアップがデフォルト・データベースで有効になっている場合は、`manage db-backups`も必要です。 `performFinalBackup`オプションが選択されている場合は、`manage db-backups`と`read databases`も必要です。

データベース

動詞	権限	完全に対象となっているAPI	一部対象API
inspect	DATABASE_INSPECT	`ListDatabases` `GetDatabase` `ListDataGuardAssociations` `GetDataGuardAssociation`	none
read	追加なし DATABASE_CONTENT_READ	追加なし	none
use	READ + DATABASE_CONTENT_WRITE DATABASE_UPDATE	`UpdateDatabase` `SwitchoverDataGuardAssociation` `FailoverDataGuardAssociation` `ReinstateDataGuardAssociation` `RotateVaultKey` `MigrateVaultKey`	`CreateDataGuardAssociation` `ChangeDbSystemCompartment` (`use db-systems`、`use db-homes`および`inspect db-backups`も必要)
manage	USE + DATABASE_CREATE DATABASE_DELETE	追加なし	`LaunchDBSystem`、`TerminateDbSystem` (両方とも`manage db-systems`, `manage db-homes`, `use vnics`および`use subnets`が必要)

プラガブル・データベース

動詞	権限	完全に対象となっているAPI	一部対象API
inspect	PLUGGABLE_DATABASE_INSPECT	`ListPluggableDatabases` `GetPluggableDatabase`	none
read	INSPECT + PLUGGABLE_DATABASE_CONTENT_READ	追加なし	none
use	READ + PLUGGABLE_DATABASE_CONTENT_WRITE PLUGGABLE_DATABASE_UPDATE	`UpdatePluggableDatabases` `StartPluggableDatabase` `StopPluggableDatabase`	none
manage	USE + PLUGGABLE_DATABASE_CREATE PLUGGABLE_DATABASE_DELETE	追加なし	`CreatePluggableDatabase`, `DeletePluggableDatabase`, `LocalClonePluggableDatabase`, `RemoteClonePluggableDatabase` (すべて`use databases`も必要)

db-backups

動詞	権限	完全に対象となっているAPI	一部対象API
inspect	DB_BACKUP_INSPECT	`GetBackup` `ListBackups`	`ChangeDbSystemCompartment` (`use db-systems`、`use db-homes`および`use databases`も必要)
read	INSPECT + DB_BACKUP_CONTENT_READ	none	`RestoreDatabase` (`use databases`も必要)
use	追加なし	追加なし	none
manage	USE + DB_BACKUP_CREATE DB_BACKUP_DELETE	`DeleteBackup`	`CreateBackup` (`read databases`も必要)

権限および動詞の詳細は、「高度なポリシー機能」を参照してください。

API操作ごとに必要な権限

次の表に、DBシステムおよびプラガブル・データベースのAPI操作をリソース・タイプ別にグループ化して論理的な順序でリストします。

データベースAPI操作

API操作	操作の使用に必要な権限
`ListDbSystems`	DB_SYSTEM_INSPECT
`GetDbSystem`	DB_SYSTEM_INSPECT
`LaunchDbSystem`	DB_SYSTEM_CREATE、DB_HOME_CREATE、DATABASE_CREATE、VNIC_CREATE、VNIC_ATTACHおよびSUBNET_ATTACH 初期データベースの自動バックアップを有効にするには、DB_BACKUP_CREATEおよびDATABASE_CONTENT_READも必要です
`UpdateDbSystem`	DB_SYSTEM_INSPECTおよびDB_SYSTEM_UPDATE
`ChangeDbSystemCompartment`	DB_SYSTEM_UPDATE、DB_HOME_UPDATE、DATABASE_UPDATEおよびDB_BACKUP_INSPECT
`ListDbSystemPatches`	DB_SYSTEM_INSPECT
`ListDbSystemPatchHistoryEntries`	DB_SYSTEM_INSPECT
`GetDbSystemPatch`	DB_SYSTEM_INSPECT
`GetDbSystemPatchHistoryEntry`	DB_SYSTEM_INSPECT
`TerminateDbSystem`	DB_SYSTEM_DELETE、DB_HOME_DELETE、DATABASE_DELETE、VNIC_DETACH、VNIC_DELETEおよびSUBNET_DETACH DB Systemのいずれかのデータベースに対して自動バックアップが有効になっている場合、DB_BACKUP_DELETEも必要です
`GetDbNode`	DB_NODE_INSPECT
`DbNodeAction`	DB_NODE_POWER_ACTIONS
`ListDbHomes`	DB_HOME_INSPECT
`GetDbHome`	DB_HOME_INSPECT
`ListDbHomePatches`	DB_HOME_INSPECT
`ListDbHomePatchHistoryEntries`	DB_HOME_INSPECT
`GetDbHomePatch`	DB_HOME_INSPECT
`GetDbHomePatchHistoryEntry`	DB_HOME_INSPECT
`CreateDbHome`	DB_SYSTEM_INSPECT、DB_SYSTEM_UPDATE、DB_HOME_CREATEおよびDATABASE_CREATE データベースの自動バックアップを有効にするには、DB_BACKUP_CREATEおよびDATABASE_CONTENT_READも必要
`UpdateDbHome`	DB_HOME_UPDATE
`DeleteDbHome`	DB_SYSTEM_UPDATE、DB_HOME_DELETEおよびDATABASE_DELETE 自動バックアップが有効な場合、DB_BACKUP_DELETEも必要です終了時に最終バックアップを実行する場合は、DB_BACKUP_CREATEおよびDATABASE_CONTENT_READも必要です
`ListDatabases`	DATABASE_INSPECT
`GetDatabase`	DATABASE_INSPECT
`UpdateDatabase`	DATABASE_UPDATE 自動バックアップを有効にするには、DB_BACKUP_CREATEおよびDATABASE_CONTENT_READも必要
`ListDbSystemShapes`	(権限は必要ありません。すべてのユーザーが使用できます)
`ListDbVersions`	(権限は必要ありません。すべてのユーザーが使用できます)
`GetDataGuardAssociation`	DATABASE_INSPECT
`ListDataGuardAssociations`	DATABASE_INSPECT
`CreateDataGuardAssociation`	DB_SYSTEM_UPDATE、DB_HOME_CREATE、DB_HOME_UPDATEおよびDATABASE_CREATEおよびDATABASE_UPDATE
`SwitchoverDataGuardAssociation`	DATABASE_UPDATE
`FailoverDataGuardAssociation`	DATABASE_UPDATE
`ReinstateDataGuardAssociation`	DATABASE_UPDATE
`MigrateVaultKey`	DATABASE_UPDATE
`RotateVaultKey`	DATABASE_UPDATE
`GetBackup`	DB_BACKUP_INSPECT
`ListBackups`	DB_BACKUP_INSPECT
`CreateBackup`	DB_BACKUP_CREATEおよびDATABASE_CONTENT_READ
`DeleteBackup`	DB_BACKUP_DELETEおよびDB_BACKUP_INSPECT
`RestoreDatabase`	DB_BACKUP_INSPECT、DB_BACKUP_CONTENT_READおよびDATABASE_CONTENT_WRITE

プラガブル・データベースAPI操作

API操作	操作の使用に必要な権限
`ListPluggableDatabase`	PLUGGABLE_DATABASE_INSPECT
`GetPluggableDatabase`	PLUGGABLE_DATABASE_INSPECT
`CreatePluggableDatabase`	DATABASE_INSPECT* DATABASE_UPDATE* PLUGGABLE_DATABASE_CREATE CDBで自動バックアップが有効になっており、このPDBが含まれている場合は、追加の権限が必要です: PLUGGABLE_DATABASE_CONTENT_READ
`UpdatePluggableDatabase`	PLUGGABLE_DATABASE_INSPECTおよび PLUGGABLE_DATABASE_UPDATE CDBで自動バックアップが有効になっており、このPDBが含まれている場合は、追加の権限が必要です: PLUGGABLE_DATABASE_CONTENT_READ
`StartPluggableDatabase`	PLUGGABLE_DATABASE_INSPECTおよび PLUGGABLE_DATABASE_UPDATE
`StopPluggableDatabase`	PLUGGABLE_DATABASE_INSPECTおよび PLUGGABLE_DATABASE_UPDATE
`DeletePluggableDatabase`	DATABASE_INSPECT (exists) DATABASE_UPDATE (exists) PLUGGABLE_DATABASE_DELETE
`LocalClonePluggableDatabase`	DATABASE_INSPECT* DATABASE_UPDATE* PLUGGABLE_DATABASE_INSPECT PLUGGABLE_DATABASE_UPDATE PLUGGABLE_DATABASE_CONTENT_READ PLUGGABLE_DATABASE_CREATE PLUGGABLE_DATABASE_CONTENT_WRITE
`RemoteClonePluggableDatabase`	DATABASE_INSPECT* DATABASE_UPDATE* PLUGGABLE_DATABASE_INSPECT PLUGGABLE_DATABASE_UPDATE PLUGGABLE_DATABASE_CONTENT_READ PLUGGABLE_DATABASE_CREATE PLUGGABLE_DATABASE_CONTENT_WRITE

権限および動詞の詳細は、「高度なポリシー機能」を参照してください。

タイトルおよび著作権情報

Oracle and/or its affiliates.