前提条件

ノート

次のノートは、OCI IAMに関するものです:

ユーザーがOCIテナンシ管理者の場合、次の表に示すステップには追加の権限は必要ありません。
ユーザーがOCIテナンシ管理者でない場合、ユーザーは、次の表に示す必要な権限を持つグループの一部である必要があります。
- オンボーディング・プロセス中に、必要なポリシーを使用して一部のグループが自動的に作成され、ユーザーがタスクを実行できるように、それらのグループにユーザーを追加できます。
- 別のグループにタスクの実行を許可する場合は、次のステップに従います。
  - デフォルト・ドメインに新規グループを作成するか、既存のグループを使用します。詳細は、新規グループの作成を参照してください。
  - 必要なポリシー・ステートメントを使用してOCIテナンシのルート・コンパートメントにポリシーを作成し、それをグループに追加します。詳細は、ポリシーの作成に関する項を参照してください。
  - グループにユーザーを追加します。詳細は、Add the userを参照してください。

ノート

次のノートは、AWS IAMに関するものです:

ユーザーがAWSテナンシ管理者の場合、次の表に示すステップには追加の権限は必要ありません。
ユーザーがAWSテナンシ管理者でない場合は、追加の権限が必要です。
次の表に示すポリシーは、ステップの実行に必要なAWS IAMアクションの例を示しています。
JSONポリシーを作成してユーザーに追加するには、JSONエディタを使用したポリシーの作成およびIAMユーザーにポリシーを直接アタッチして権限を追加するにはを参照してください。
ユーザーがAWSテナンシ管理者であるが、Oracle AI Database@AWSのプロビジョニングが失敗する原因となっている組織レベルでサービス制御ポリシー(SCP)が設定されている場合は、許可ポリシーを作成する必要があります。
- [policy_name]をポリシーの名前に置き換え、[actionX]を付与する権限に置き換える必要があります。
```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "[policy_name]",
            "Effect": "Allow",
            "Action": [
                "[action1]",
                "[action2]",
                ...
            ],
            "Resource": "*"
        }
    ]
}
```

ノート

AWSのサービス・コントロール・ポリシー(SCP)と組織レベルで設定された権限境界は、このトピックで説明するように、ユーザー権限をオーバーライドできます。これにより、ユーザーが必要な権限を持っている場合でも、Oracle AI Database@AWSのオンボーディングおよびプロビジョニング操作が失敗する可能性があります。詳細は、サービス制御ポリシー(SCP)、IAMエンティティの権限境界およびリソースベースのポリシーによるアイデンティティベースのポリシーの評価を参照してください。

表1-1タスク別のOracle AI Database@AWSリソース権限

タスク	クラウド	ペルソナ	権限
ODBネットワークの作成 ODBネットワークの変更 ODBネットワークの削除 ODBピアリング接続の作成 ODBピアリング接続の変更 ODBピアリング接続の削除	AWS	ネットワーキング管理者	AWS IAM: { "Version": "2012-10-17", "Statement": [ { "Sid": "OdbNetworkOperations", "Effect": "Allow", "Action": [ "odb:GetOciOnboardingStatus", "odb:CreateOdbNetwork", "odb:GetOdbNetwork", "odb:ListOdbNetworks", "odb:UpdateOdbNetwork", "odb:DeleteOdbNetwork", "odb:TagResource", "odb:UntagResource", "odb:ListTagsForResource", "odb:GetResourcePolicy", "odb:PutResourcePolicy", "odb:DeleteResourcePolicy", "odb:CreateOdbPeeringConnection", "odb:DeleteOdbPeeringConnection", "odb:GetOdbPeeringConnection", "odb:ListOdbPeeringConnections", "ec2:DescribeVpcs", "ec2:DescribeAvailabilityZones", "ec2:CreateOdbNetworkPeering", "ec2:DeleteOdbNetworkPeering", "ec2:ModifyOdbNetworkPeering", "ec2:DescribeVpcEndpointAssociations", "ec2:CreateVpcEndpoint", "ec2:DeleteVpcEndpoints", "ec2:DescribeVpcEndpoints", "ec2:CreateTags", "ec2:CreatePlacementGroup", "ec2:DeletePlacementGroup", "ec2:AttachResourcesToPlacementGroup", "ec2:DetachResourcesFromPlacementGroup", "vpc-lattice:CreateServiceNetwork", "vpc-lattice:CreateServiceNetworkResourceAssociation", "vpc-lattice:GetServiceNetwork", "vpc-lattice:DeleteServiceNetwork", "vpc-lattice:DeleteServiceNetworkResourceAssociation", "vpc-lattice:GetServiceNetworkResourceAssociation", "vpc-lattice:CreateResourceGateway", "vpc-lattice:DeleteResourceGateway", "vpc-lattice:GetResourceGateway", "vpc-lattice:CreateServiceNetworkVpcEndpointAssociation", "vpc-lattice:GetServiceNetworkResourceAssociation" ], "Resource": "" }, { "Sid": "AllowSLRActions", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "odb.amazonaws.com", "vpc-lattice.amazonaws.com" ] } } } ] }
Exadataインフラストラクチャの作成 Exadataインフラストラクチャの変更 Exadataインフラストラクチャの削除	AWS	インフラストラクチャ管理者	AWS IAM: { "Version": "2012-10-17", "Statement": [ { "Sid": "ExaInfraOperations", "Action": [ "odb:GetOciOnboardingStatus", "odb:CreateCloudExadataInfrastructure", "odb:ListDbSystemshapes", "odb:ListDbServers", "odb:GetCloudExadataInfrastructure", "odb:ListCloudExadataInfrastructures", "odb:DeleteCloudExadataInfrastructure", "odb:ListCloudVmClusters", "odb:TagResource", "odb:UntagResource", "odb:ListTagsForResource", "ec2:DescribeAvailabilityZones", "iam:CreateServiceLinkedRole", "odb:UpdateCloudExadataInfrastructure", "odb:GetDbServer" ], "Effect": "Allow", "Resource": "*" } ] }
リソース共有の作成	AWS	インフラストラクチャ管理者	所有者/信頼できるアカウント権限(組織を確認するため): `{ "Version": "2012-10-17", "Statement": [ { "Sid": "OrganizationPermissions", "Effect": "Allow", "Action": "organizations:DescribeOrganization", "Resource": "" } ] }` 所有者アカウント権限(リソース共有を作成するには): { "Version": "2012-10-17", "Statement": [ { "Sid": "RamPermissions", "Effect": "Allow", "Action": [ "odb:ListCloudExadataInfrastructures", "odb:ListOdbNetworks", "odb:PutResourcePolicy", "odb:GetResourcePolicy", "odb:DeleteResourcePolicy", "ram:CreateResourceShare", "ram:AssociateResourceShare", "ram:DisassociateResourceShare", "ram:UpdateResourceShare", "ram:DeleteResourceShare", "ram:TagResource", "ram:UntagResource", "ram:GetResourceShares", "ram:GetResourceShareAssociations", "ram:GetResourceShareInvitations", "ram:GetResourcePolicies", "ram:EnableSharingWithAwsOrganization", "ram:ListResources", "ram:ListPrincipals", "ram:ListResourceTypes", "ram:ListPermissionAssociations", "ram:AssociateResourceSharePermission", "ram:GetPermission", "ram:ListPermissions", "ram:DisassociateResourceSharePermission", "ram:ListResourceSharePermissions", "ram:ListPermissionVersions", "ram:ListPendingInvitationResources", "ram:ListReplacePermissionAssociationsWork" ], "Resource": "" } ] } 信頼できるアカウント権限(リソース・アクセス・マネージャ(RAM)ポータルから共有リソースを表示し、Oracle AI Database@AWSからアカウントをアクティブ化): `{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Sid": "RamPermissionsTrustedAccount", "Action": [ "ram:GetResourceShares", "ram:GetResourcePolicies", "ram:ListResources", "ram:ListResourceSharePermissions", "ram:ListPrincipals", "ram:GetResourceShareInvitations", "odb:InitializeService", "iam:CreateServiceLinkedRole", "odb:GetOciOnboardingStatus" ], "Resource": "" } ] }` ノート:* AWS RAMのフル・アクセスの管理対象ポリシーについては、AWS RAMのAWS管理ポリシーを参照してください信頼できるアカウントからODBネットワーク、Exadataインフラストラクチャ、Exadata VMクラスタおよびAutonomous VMクラスタを管理するには、このページにリストされている各アクションについて、信頼できるアカウントからの権限の完全なリストへのアクセス権を付与する必要があります。
Exadata VMクラスタの作成 Exadata VMクラスタの変更 Exadata VMクラスタの削除	AWS	インフラストラクチャ管理者およびデータベース管理者	AWS IAM: { "Version": "2012-10-17", "Statement": [ { "Sid": "ExaVMClusterOperations", "Action": [ "odb:GetOciOnboardingStatus", "odb:CreateCloudVmCluster", "odb:GetCloudVmCluster", "odb:ListCloudVmClusters", "odb:DeleteCloudVmCluster", "odb:ListCloudExadataInfrastructures", "odb:ListSystemVersions", "odb:ListGiVersions", "odb:ListDbServers", "odb:ListDbSystemshapes", "odb:ListDbNodes", "odb:ListOdbNetworks", "odb:TagResource", "odb:UntagResource", "odb:ListTagsForResource", "iam:CreateServiceLinkedRole", "odb:GetDbNode", "odb:StartDbNode", "odb:StopDbNode", "odb:RebootDbNode", "odb:CreateDbNode", "odb:DeleteDbNode" ], "Effect": "Allow", "Resource": "*" } ] }
Exadata Database (CDBおよびPDB)の作成 Exadata Database (CDBおよびPDB)の変更 Exadata Database (CDBおよびPDB)の削除	OCI	データベース管理者	OCI IAM: ユーザーがOCIテナンシ管理者でない場合は、次のものの一部である必要があります: 次の事前作成済グループ: `aws-db-family-administrators` `aws-exa-cdb-administrators` `aws-exa-pdb-administrators` 次のポリシー・ステートメントを持つその他のグループ: `Allow group <group-name> to manage db-homes in compartment id <MulticloudLink_AWS_timestamp_ocid>` `Allow group <group-name> to manage databases in compartment id <MulticloudLink_AWS_timestamp_ocid>` `Allow group <group-name> to manage pluggable-databases in compartment id <MulticloudLink_AWS_timestamp_ocid>` `Allow group <group-name> to manage db-family in compartment id <MulticloudLink_AWS_timestamp_ocid>`
Autonomous VMクラスタの作成 Autonomous VMクラスタの変更 Autonomous VMクラスタの削除	AWS	インフラストラクチャ管理者およびデータベース管理者	AWS: { "Version": "2012-10-17", "Statement": [ { "Sid": "AutonomousVMClusterOperations", "Action": [ "odb:ListAutonomousVirtualMachines", "odb:CreateCloudAutonomousVmCluster", "odb:DeleteCloudAutonomousVmCluster", "odb:GetCloudAutonomousVmCluster", "odb:ListCloudAutonomousVmClusters", "odb:GetCloudExadataInfrastructureUnallocatedResources", "odb:GetOciOnboardingStatus", "odb:ListCloudExadataInfrastructures", "odb:ListDbServers", "odb:TagResource", "odb:UntagResource", "odb:ListTagsForResource" ], "Effect": "Allow", "Resource": "*" } ] }
Autonomous AI Databaseの作成(サーバーレス) Autonomous AI Databaseの変更(サーバーレス) Autonomous AI Databaseの削除(サーバーレス)	AWS	インフラストラクチャ管理者およびデータベース管理者	AWS IAM: { "Version": "2012-10-17", "Statement": [ { "Sid": "AutonomousDatabaseOperations", "Effect": "Allow", "Action": [ "odb:CreateAutonomousDatabase", "odb:GetAutonomousDatabase", "odb:UpdateAutonomousDatabase", "odb:DeleteAutonomousDatabase", "odb:ListAutonomousDatabases", "odb:StartAutonomousDatabase", "odb:StopAutonomousDatabase", "odb:RebootAutonomousDatabase", "odb:ShrinkAutonomousDatabase", "odb:RestoreAutonomousDatabase", "odb:SwitchoverAutonomousDatabase", "odb:FailoverAutonomousDatabase", "odb:ListAutonomousDatabaseClones", "odb:ListAutonomousDatabasePeers", "odb:CreateAutonomousDatabaseWallet", "odb:GetAutonomousDatabaseWalletDetails", "odb:CreateAutonomousDatabaseBackup", "odb:GetAutonomousDatabaseBackup", "odb:UpdateAutonomousDatabaseBackup", "odb:DeleteAutonomousDatabaseBackup", "odb:ListAutonomousDatabaseBackups", "odb:ListAutonomousDatabaseVersions", "odb:ListAutonomousDatabaseCharacterSets", "odb:TagResource", "odb:UntagResource", "odb:ListTagsForResource" ], "Resource": "" }, { "Sid": "UpdateEncryptionKey", "Effect": "Allow", "Action": [ "iam:PassRole", "kms:DescribeKey", "vpc-lattice:GetServiceNetworkResourceAssociation" ], "Resource": "" } ] }
Autonomous AI Databaseの作成(専用) Autonomous AI Databaseの変更(専用) Autonomous AI Databaseの削除(専用)	OCI	データベース管理者	OCI IAM: ユーザーがOCIテナンシ管理者でない場合は、次のものの一部である必要があります: 次の事前作成済グループ: `aws-autonomous-cdb-administrators` 次のポリシー・ステートメントを持つその他のグループ: `Allow group <group-name> to manage autonomous-databases in compartment id <MulticloudLink_AWS_timestamp_ocid>` `Allow group <group-name> to manage autonomous-backups in compartment id <MulticloudLink_AWS_timestamp_ocid>` `Allow group <group-name> to manage autonomous-container-databases in compartment id <MulticloudLink_AWS_timestamp_ocid>`

必要な権限の付与方法の詳細は、次を参照してください。

Oracle Cloud Infrastructureドキュメント

前提条件