IAMデータベース・パスワード

概要

IAMデータベース・パスワードは、コンソール・パスワードとは異なるパスワードです。IAMデータベース・パスワードを設定すると、認可されたIAMユーザーは、テナンシ内の1つ以上のAutonomous Databaseにサインインできます。

IAMでユーザー・アカウント管理を一元化することで、セキュリティが向上し、組織に対して参加、移動および脱退するユーザーを管理する(ユーザー・ライフサイクル管理とも呼ばれる)必要のあるデータベース管理者を大幅に削減できます。ユーザーは、IAMでデータベース・パスワードを設定し、そのパスワードを使用して、テナンシで適切に構成されたOracle Databaseにログインするときに認証できます。

使用が容易

データベース・エンド・ユーザーは、サポートされている既存のデータベース・クライアントおよびツールを引き続き使用して、データベースにアクセスできます。ただし、ローカル・データベースのユーザー名とパスワードを使用するかわりに、IAMユーザー名とIAMデータベース・パスワードを使用します。OCIプロファイルで管理するデータベース・パスワードにアクセスできるのは、OCIに対する認証に成功した後にかぎります。つまり、管理者は、ユーザーがデータベース・パスワードにアクセスするか管理する前に、追加の保護レイヤーを作成できます。FIDO認証プロバイダなどを使用してコンソール・パスワードでマルチファクタ認証を強制したり、認証プロバイダ・アプリケーションを使用して通知をプッシュしたりできます。

サポートされている機能

IAMデータベース・パスワードでは、データベース・パスワードをIAMユーザーに直接関連付けることができます。IAMでデータベース・パスワードを設定した後、IAMデータベースにアクセスする権限があれば、それを使用してテナンシのIAMデータベースにサインインできます。データベースにアクセスする権限を付与されるには、グローバル・データベース・スキーマにマップされている必要があります。IAMユーザーおよびグループへのグローバル・データベース・ユーザーのマッピングの詳細は、Oracle Databaseセキュリティ・ガイドのOracle DBaaSデータベースのIAMユーザーの認証および認可を参照してください。

パスワード・セキュリティ

IAM管理者は、ユーザーがIAMのデータベース・パスワードにアクセスする前にマルチファクタ認可を有効にすることで、セキュリティ・アクセス・レイヤーを追加できます。IAMユーザーがOCIデータベースに対して認証および認可する方法の詳細は、Oracle Databaseセキュリティ・ガイドのOracle DBaaSデータベースに対するIAMユーザーの認証および認可を参照してください。