Oracle Cloud Infrastructureドキュメント

前提条件

このトピックでは、Oracle Database@AWSのプロビジョニングを開始するために必要な前提条件について説明します。プロビジョニング中は、実行するタスクの多くに特定の権限が必要です。次の表に、各タスクを完了するために必要な権限の詳細を示します。

ノート

次のノートは、OCI IAMに関するものです:
  • ユーザーがOCIテナンシ管理者の場合、次の表に示すステップには追加の権限は必要ありません。
  • ユーザーがOCIテナンシ管理者でない場合、ユーザーは、次の表に示す必要な権限を持つグループの一部である必要があります。
    • オンボーディング・プロセス中に、必要なポリシーを使用して一部のグループが自動的に作成され、ユーザーがタスクを実行できるように、それらのグループにユーザーを追加できます。
    • 別のグループにタスクの実行を許可する場合は、次のステップに従います。
      • デフォルト・ドメインに新規グループを作成するか、既存のグループを使用します。詳細は、新規グループの作成を参照してください。
      • 必要なポリシー・ステートメントを使用してOCIテナンシのルート・コンパートメントにポリシーを作成し、それをグループに追加します。詳細は、ポリシーの作成に関する項を参照してください。
      • グループにユーザーを追加します。詳細は、Add the userを参照してください。
ノート

次のノートは、AWS IAMに関するものです:
  • ユーザーがAWSテナンシ管理者の場合、次の表に示すステップには追加の権限は必要ありません。
  • ユーザーがAWSテナンシ管理者でない場合は、追加の権限が必要です。
  • 次の表に示すポリシーは、ステップの実行に必要なAWS IAMアクションの例を示しています。
  • JSONポリシーを作成してユーザーに追加するには、JSONエディタを使用したポリシーの作成およびIAMユーザーにポリシーを直接アタッチして権限を追加するにはを参照してください。
  • ユーザーがAWSテナンシ管理者の場合、Oracle Database@AWSのオンボーディングに必要な権限を付与するポリシーを作成する必要があります。
    • [policy_name]をポリシーの名前に置き換え、[actionX]を付与する権限に置き換える必要があります。 
      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "[policy_name]",
            "Effect": "Allow",
            "Action": [
                "[action1]",
                "[action2]",
                ...
            ],
            "Resource": "*"
        }
    ]
}
ノート

AWSのサービス・コントロール・ポリシー(SCP)と、組織レベルで設定された権限境界の両方が、このトピックで説明するように、ユーザー権限をオーバーライドできます。これにより、ユーザーが必要な権限を持っている場合でも、Oracle Database@AWSのオンボーディングおよびプロビジョニング操作が失敗する可能性があります。詳細は、サービス制御ポリシー(SCP)IAMエンティティの権限境界およびリソースベースのポリシーを使用したアイデンティティベースのポリシーの評価を参照してください。

表1-1タスク別のOracle Database@AWSリソース権限

タスク クラウド ペルソナ 権限
  • ODBネットワークの作成
  • ODBネットワークの変更
  • ODBネットワークの削除
  • ODBピアリング接続の作成
  • ODBピアリング接続の変更
  • ODBピアリング接続の削除
 AWS ネットワーキング管理者 AWS IAM: 
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "OdbNetworkOperations",
            "Effect": "Allow",
            "Action": [
                "odb:GetOciOnboardingStatus",
                "odb:CreateOdbNetwork",
                "odb:GetOdbNetwork",
                "odb:ListOdbNetworks",
                "odb:UpdateOdbNetwork",
                "odb:DeleteOdbNetwork",
                "odb:TagResource",
                "odb:UntagResource",
                "odb:ListTagsForResource",
                "odb:GetResourcePolicy",
                "odb:PutResourcePolicy",
                "odb:DeleteResourcePolicy",
                "odb:CreateOdbPeeringConnection",
                "odb:DeleteOdbPeeringConnection",
                "odb:GetOdbPeeringConnection",
                "odb:ListOdbPeeringConnections",
                "ec2:DescribeVpcs",
                "ec2:DescribeAvailabilityZones",
                "ec2:CreateOdbNetworkPeering",
                "ec2:DeleteOdbNetworkPeering",
                "ec2:ModifyOdbNetworkPeering",
                "ec2:DescribeVpcEndpointAssociations",
                "ec2:CreateVpcEndpoint",
                "ec2:DeleteVpcEndpoints",
                "ec2:DescribeVpcEndpoints",
                "ec2:CreateTags",
                "vpc-lattice:CreateServiceNetwork",
                "vpc-lattice:CreateServiceNetworkResourceAssociation",
                "vpc-lattice:GetServiceNetwork",
                "vpc-lattice:DeleteServiceNetwork",
                "vpc-lattice:DeleteServiceNetworkResourceAssociation",
                "vpc-lattice:GetServiceNetworkResourceAssociation",
                "vpc-lattice:CreateResourceGateway",
                "vpc-lattice:DeleteResourceGateway",
                "vpc-lattice:GetResourceGateway",
                "vpc-lattice:CreateServiceNetworkVpcEndpointAssociation",
                "vpc-lattice:GetServiceNetworkResourceAssociation"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowSLRActions",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": [
                        "odb.amazonaws.com",
                        "vpc-lattice.amazonaws.com"
                    ]
                }
            }
        }
    ]
}
  • Exadataインフラストラクチャの作成
  • Exadataインフラストラクチャの変更
  • Exadataインフラストラクチャの削除
 AWS インフラストラクチャ管理者 AWS IAM: 
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ExaInfraOperations",
            "Action": [
                "odb:GetOciOnboardingStatus",
                "odb:CreateCloudExadataInfrastructure",
                "odb:ListDbSystemshapes",
                "odb:ListDbServers",
                "odb:GetCloudExadataInfrastructure",
                "odb:ListCloudExadataInfrastructures",
                "odb:DeleteCloudExadataInfrastructure",
                "odb:ListCloudVmClusters",
                "odb:TagResource",
                "odb:UntagResource",
                "odb:ListTagsForResource",
                "ec2:DescribeAvailabilityZones",
                "iam:CreateServiceLinkedRole",
                "odb:UpdateCloudExadataInfrastructure",
                "odb:GetDbServer"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
  • リソース共有の作成
 AWS インフラストラクチャ管理者
所有者/信頼できるアカウント権限(組織を確認するため):
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "OrganizationPermissions",
      "Effect": "Allow",
      "Action": "organizations:DescribeOrganization",
      "Resource": "*"
    }
  ]
}
所有者アカウント権限(リソース共有を作成するには):
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "RamPermissions",
      "Effect": "Allow",
      "Action": [
        "odb:ListCloudExadataInfrastructures",
        "odb:ListOdbNetworks",
        "odb:PutResourcePolicy",
        "odb:GetResourcePolicy",
        "odb:DeleteResourcePolicy",
        "ram:CreateResourceShare",
        "ram:AssociateResourceShare",
        "ram:DisassociateResourceShare",
        "ram:UpdateResourceShare",
        "ram:DeleteResourceShare",
        "ram:TagResource",
        "ram:UntagResource",
        "ram:GetResourceShares",
        "ram:GetResourceShareAssociations",
        "ram:GetResourceShareInvitations",
        "ram:GetResourcePolicies",
        "ram:EnableSharingWithAwsOrganization",
        "ram:ListResources",
        "ram:ListPrincipals",
        "ram:ListResourceTypes",
        "ram:ListPermissionAssociations",
        "ram:AssociateResourceSharePermission",
        "ram:GetPermission",
        "ram:ListPermissions",
        "ram:DisassociateResourceSharePermission",
        "ram:ListResourceSharePermissions",
        "ram:ListPermissionVersions",
        "ram:ListPendingInvitationResources",
        "ram:ListReplacePermissionAssociationsWork"
      ],
      "Resource": "*"
    }
  ]
}
信頼できるアカウントの権限(Resource Access Manager (RAM)ポータルから共有リソースを表示し、Oracle Database@AWSからアカウントをアクティブ化するには):
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Sid": "RamPermissionsTrustedAccount",
      "Action": [
        "ram:GetResourceShares",
        "ram:GetResourcePolicies",
        "ram:ListResources",
        "ram:ListResourceSharePermissions",
        "ram:ListPrincipals",
        "ram:GetResourceShareInvitations",
        "odb:InitializeService",
        "iam:CreateServiceLinkedRole",
        "odb:GetOciOnboardingStatus"
      ],
      "Resource": "*"
    }
  ]
}
ノート:
  • AWS RAMのフル・アクセスの管理対象ポリシーについては、AWS RAMのAWS管理ポリシーを参照してください
  • 信頼できるアカウントからODBネットワーク、Exadataインフラストラクチャ、Exadata VMクラスタおよびAutonomous VMクラスタを管理するには、このページにリストされている各アクションについて、信頼できるアカウントからの権限の完全なリストへのアクセス権を付与する必要があります。
  • Exadata VMクラスタの作成
  • Exadata VMクラスタの変更
  • Exadata VMクラスタの削除
 AWS インフラストラクチャ管理者およびデータベース管理者 AWS IAM: 
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ExaVMClusterOperations",
            "Action": [
                "odb:GetOciOnboardingStatus",
                "odb:CreateCloudVmCluster",
                "odb:GetCloudVmCluster",
                "odb:ListCloudVmClusters",
                "odb:DeleteCloudVmCluster",
                "odb:ListCloudExadataInfrastructures",
                "odb:ListSystemVersions",
                "odb:ListGiVersions",
                "odb:ListDbServers",
                "odb:ListDbSystemshapes",
                "odb:ListDbNodes",
                "odb:ListOdbNetworks",
                "odb:TagResource",
                "odb:UntagResource",
                "odb:ListTagsForResource",
                "iam:CreateServiceLinkedRole",
                "odb:GetDbNode",
                "odb:StartDbNode",
                "odb:StopDbNode",
                "odb:RebootDbNode",
                "odb:CreateDbNode",
                "odb:DeleteDbNode"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
  • Exadata Database (CDBおよびPDB)の作成
  • Exadata Database (CDBおよびPDB)の変更
  • Exadata Database (CDBおよびPDB)の削除
OCI データベース管理者
OCI IAM: ユーザーがOCIテナンシ管理者でない場合は、次のものの一部である必要があります:
  • 次の事前作成済グループ:
    • aws-db-family-administrators
    • aws-exa-cdb-administrators
    • aws-exa-pdb-administrators
  • 次のポリシー・ステートメントを持つその他のグループ: 
    • Allow group <group-name> to manage db-homes in compartment id <MulticloudLink_AWS_timestamp_ocid>
    • Allow group <group-name> to manage databases in compartment id <MulticloudLink_AWS_timestamp_ocid>
    • Allow group <group-name> to manage pluggable-databases in compartment id <MulticloudLink_AWS_timestamp_ocid>
    • Allow group <group-name> to manage db-family in compartment id <MulticloudLink_AWS_timestamp_ocid>
  • Autonomous VMクラスタの作成
  • Autonomous VMクラスタの変更
  • Autonomous VMクラスタの削除
 AWS インフラストラクチャ管理者およびデータベース管理者 AWS: 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AutonomousVMClusterOperations",
            "Action": [
                "odb:ListAutonomousVirtualMachines",
                "odb:CreateCloudAutonomousVmCluster",
                "odb:DeleteCloudAutonomousVmCluster",
                "odb:GetCloudAutonomousVmCluster",
                "odb:ListCloudAutonomousVmClusters",
                "odb:GetCloudExadataInfrastructureUnallocatedResources",
                "odb:GetOciOnboardingStatus",
                "odb:ListCloudExadataInfrastructures",
                "odb:ListDbServers",
                "odb:TagResource",
                "odb:UntagResource",
                "odb:ListTagsForResource"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
  • Autonomous Databaseの作成
  • Autonomous Databaseの変更
  • Autonomous Databaseの削除
 OCI データベース管理者
OCI IAM: ユーザーがOCIテナンシ管理者でない場合は、次のものの一部である必要があります:
  • 次の事前作成済グループ:
    • aws-autonomous-cdb-administrators
  • 次のポリシー・ステートメントを持つその他のグループ: 
    • Allow group <group-name> to manage autonomous-databases in compartment id <MulticloudLink_AWS_timestamp_ocid>
    • Allow group <group-name> to manage autonomous-backups in compartment id <MulticloudLink_AWS_timestamp_ocid>
    • Allow group <group-name> to manage autonomous-container-databases in compartment id <MulticloudLink_AWS_timestamp_ocid>
必要な権限の付与方法の詳細は、次を参照してください。