1.2.17 クラスタ・レベルの権限
クラスタ・レベルの権限は、Exascaleユーザーによって実行される様々なアクションを制御する高レベルの権限です。
クラスタ・レベルの権限は、ESCLI mkuserまたはchuserコマンドを使用して割り当てられます。
Exascaleクラスタ・レベルの権限には4つのタイプがあり、どのユーザーも複数の権限タイプにおいて権限を保持できます。権限タイプと使用可能な権限の説明を次に示します:
-
クラスタ・レベルのストレージ権限は通常、Exascaleクラスタを管理するユーザー用に予約される強力な権限です。ユーザーは、次のクラスタ・レベルのストレージ権限をゼロまたは1つ保持できます:
-
cl_monitor: 受取りユーザーが、Exascaleコマンドライン・インタフェース(ESCLI)を使用してリスト操作を実行することでExascaleクラスタをモニタリングできるようにします。 -
cl_operator: 受取りユーザーが次を実行できるようにします:-
ESCLIを使用してリスト操作を実行することでExascaleクラスタをモニタリングする。
-
プール・ディスクを管理する(作成、削除、オンライン、オフライン)。
-
ソフトウェア・サービスを管理する(リスト、開始、停止、再開、削除)。
-
トラスト・ストアを管理する。
-
-
cl_admin: すべてのcl_monitorおよびcl_operator権限と、その他の権限タイプのすべての権限を含むシステム管理者権限のセット。つまり:-
vlt_manageで指定されたすべてのクラスタ・レベルのボールト権限。 -
すべてのクラスタ・レベルのユーザー権限:
rest_vault_client、rest_volume_client、user_create、system_restoreおよびon_behalf_of。 -
すべてのサービス権限:
cellsrv、egs、ers、syseds、usreds、bsmおよびbsw。
また、この権限により、受取りユーザーは次を実行できるようになります:
-
任意のユーザーに権限を付与する。
-
任意のユーザーのキーをリセットする。
-
ストレージ・プールを作成、変更および削除する。
-
エクステント・マップ情報を表示する。
-
Exascaleボリュームおよび関連リソース(ボリューム・アタッチメント、ボリューム・グループ、ボリューム・バックアップ、ボリューム・スナップショット、Exascale管理ACFSファイル・システムなど)を作成、変更および削除します。
-
-
-
クラスタ・レベルのボールト権限は、受取りユーザーがすべてのボールトおよびファイルに対して実行できるアクションを制御する強力なデータ・アクセス権限です。通常、クラスタ・レベルのボールト権限は、Exascaleボールト内のファイルを管理する管理ユーザーに割り当てられます。
クラスタ・レベルのボールト権限は、アクセス制御リスト(ACL)に加えて機能します。ボールトまたはファイルに対してアクションを実行するには、適切なクラスタ・レベルのボールト権限または適切なACL権限が必要です。「ボールトおよびファイルのアクセス制御」を参照してください。
ユーザーは、次のクラスタ・レベルのボールト権限をゼロまたは1つ保持できます:
-
vlt_inspect: 受取りユーザーが新しいボールトを作成できるようにします。受取りユーザーは、それらのボールト内に作成されたファイルを完全に制御することもできます。この権限は、デフォルトでは新しいユーザーに割り当てられます。ただし、可能なかぎり、この権限を削除し、かわりに特定のACL権限を使用することを検討してください。
-
vlt_read:vlt_inspect権限が含まれており、受取りユーザーが、すべての既存のボールトのリスト、任意のボールトの属性の表示、任意のボールト内でのファイルの作成、任意のボールト内のファイルのリストおよび任意のファイルの属性の表示もできるようにします。 -
vlt_use:vlt_read権限が含まれており、受取りユーザーが読取りのために任意のファイルを開くこともできるようにします。 -
vlt_manage:vlt_use権限が含まれており、受取りユーザーが、読取り/書込みのために任意のファイルを開くこと、ボールトまたはファイルの変更、ボールトおよびファイルの削除もできるようにします。
-
-
クラスタ・レベルのユーザー権限は、Exascaleクラスタに対して受取りユーザーが実行できるアクションを制御します。ユーザーは、次のクラスタ・レベルの権限をゼロ以上保持できます:
-
rest_vault_client: 受取りユーザーが、ボールト、ファイル(ファイル・クローンおよびスナップショットを含む)、その他の関連リソースを操作するESCLIコマンドを実行できるようにします。これらのリソースには、テンプレート、拡張属性、データセット、アクセス制御リスト(ACL)およびリソース・プロファイルが含まれます。この権限により、RESTfulリクエストをExascale制御サービス(ERS)に送信してボールトおよびファイル関連リソースを操作するESCLIコマンドへのプライマリ・アクセスが可能になります。ただし、特定の操作やリソースの表示には、追加の権限が必要になる場合があります。たとえば、この権限を持つユーザーはESCLIの
lsコマンドを実行できますが、表示される特定のボールトおよびファイルは最終的に他のクラスタ・レベルの権限およびACLによって制御されます。この権限は、Oracle Exadata System Softwareリリース25.2.3 (2025年10月)で初めて導入されました。
-
rest_volume_client: 受取りユーザーが、Exascaleボリュームおよび関連リソース(ボリューム・アタッチメント、ボリューム・グループ、ボリューム・バックアップ、ボリューム・スナップショット、Exascale管理ACFSファイル・システムなど)を操作するESCLIコマンドを実行できるようにします。この権限により、RESTfulリクエストをExascale制御サービス(ERS)に送信してボリューム関連リソースを操作するESCLIコマンドへのプライマリ・アクセスが可能になります。ただし、特定の操作やリソースの表示には、追加の権限が必要になる場合があります。たとえば、この権限を持つユーザーはESCLIの
lsvolumeコマンドを実行できますが、表示される特定のボリュームは最終的にボリュームの所有権および他のクラスタ・レベルの権限によって制御されます。この権限は、Oracle Exadata System Softwareリリース25.2.3 (2025年10月)で初めて導入されました。
-
user_create: 受取りユーザーがクラスタ内に新しいユーザーを作成できるようにします。この権限は、ユーザー管理を実行する専任の担当者に割り当てることができます。
-
system_restore: 受取りユーザーがExascaleシステムをリストアできるようにします。この権限は、どのExascaleユーザーにも割り当てないでください。この権限とそれに付随する操作は内部的で、通常の状況では使用されません。
-
on_behalf_of: 受取りユーザーが別のユーザーのかわりにExascale制御サービス(ERS)にリクエストを送信できるようにする特別な権限。この権限は、どのExascaleユーザーにも割り当てないでください。通常、この権限は、各Exascaleノードに存在する内部管理アカウントにのみ割り当てられます。
-
-
サービス権限は、受取りユーザーが実行できるExascaleソフトウェア・サービスを制御します。通常、サービス権限は、各Exascaleノードに存在するノード固有の内部管理アカウントにのみ割り当てられます。ユーザーは、次のサービス権限をゼロ以上保持できます:
-
cellsrv: 受取りユーザーがコアExadataセル・サービスを実行できるようにします。 -
egs: 受取りユーザーがExascaleクラスタ・サービス(Exascaleグローバル・サービスとも呼ばれる)を実行できるようにします。 -
ers: 受取りユーザーがExascale制御サービス(Exascale RESTfulサービスとも呼ばれる)を実行できるようにします。 -
syseds: 受取りユーザーがシステム・ボールト・マネージャ・サービスを実行できるようにします。 -
usreds: 受取りユーザーがユーザー・ボールト・マネージャ・サービスを実行できるようにします。 -
bsm: 受取りユーザーがブロック・ストレージ・マネージャ・サービスを実行できるようにします。 -
bsw: 受取りユーザーがブロック・ストレージ・ワーカー・サービスを実行できるようにします。 -
ms: Exascale RESTfulサービス(ERS)とExadata管理サーバー(MS)間のテレメトリ情報の転送を容易にします。
-
また、no_privilegeは、受取りユーザーからすべての権限を削除する特別な権限です。ユーザーに割り当てる際、no_privilegeは他の権限と組み合せることはできません。
関連トピック
親トピック: Exascaleのコンポーネントおよび概念