Oracle Cloud Infrastructureドキュメント

タスク1: Oracle Database@AWSの前提条件

このトピックでは、Exadataサービスのプロビジョニングを開始するために必要な前提条件について説明します。

Exadataサービスのプロビジョニング中に実行するタスクの多くには、特定の権限が必要です。次の表に、各タスクに必要な権限の詳細を示します。

ノート

OCI IAMに関する次のノートがあります:
  • ユーザーがOCIテナンシ管理者の場合、次の表に示すステップに追加の権限は必要ありません。
  • ユーザーがOCIテナンシ管理者でない場合、ユーザーは、次の表に示す必要な権限を持つグループに属している必要があります。
    • オンボーディング・プロセス中に、一部のグループは必要なポリシーで自動的に作成され、ユーザーがタスクを実行できるようにユーザーをそれらのグループに追加できます。
    • 別のグループにタスクの実行を許可する場合は、次のステップに従います。
      • デフォルト・ドメインに新しいグループを作成するか、既存のグループを使用します。詳細は、新規グループの作成を参照してください。
      • 必要なポリシー・ステートメントを使用してOCIテナンシのルート・コンパートメントにポリシーを作成し、グループに追加します。詳細は、ポリシーの作成を参照してください。
      • グループにユーザーを追加します。詳細は、ユーザーの追加を参照してください。
ノート

AWS IAMに関する次のノートがあります:
  • ユーザーがAWSテナンシ管理者の場合、次の表に示すステップに追加の権限は必要ありません。
  • ユーザーがAWSテナンシ管理者でない場合は、ユーザーが追加の権限を持っている必要があります。
  • 次の表に示すポリシーは、ステップの実行に必要なAWS IAMアクションの例を示しています。
  • JSONポリシーを作成してユーザーに追加するには、JSONエディタを使用したポリシーの作成およびIAMユーザーにポリシーを直接アタッチして権限を追加するにはを参照してください。
  • ユーザーがAWSテナンシ管理者の場合、Oracle Database@AWSのオンボーディングに必要な権限を付与するには、ポリシーを作成する必要があります。
    • [policy_name]をポリシーの名前に置き換え、[actionX]を付与する権限に置き換える必要があります。 
      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "[policy_name]",
            "Effect": "Allow",
            "Action": [
                "[action1]",
                "[action2]",
                ...
            ],
            "Resource": "*"
        }
    ]
}
ノート

AWS サービス制御ポリシー(SCP)と組織レベルで設定された権限境界は、このトピックで説明するように、ユーザー権限を上書きできます。これにより、ユーザーが必要な権限を持っている場合でも、Oracle Database@AWSのオンボーディングおよびプロビジョニング操作が失敗することがあります。詳細は、サービス制御ポリシー(SCP)IAMエンティティの権限境界およびリソースベースのポリシーを使用したアイデンティティベースのポリシーの評価を参照してください。

表1-2タスク別のExadataサービス権限

タスク Cloud ペルソナ 権限
タスク2: Oracle Database@AWSのODBネットワークの作成 AWS ネットワーク管理者 AWS IAM: 
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "OdbNetworkOperations",
            "Effect": "Allow",
            "Action": [
                "odb:GetOciOnboardingStatus",
                "odb:CreateOdbNetwork",
                "odb:GetOdbNetwork",
                "odb:ListOdbNetworks",
                "odb:UpdateOdbNetwork",
                "odb:DeleteOdbNetwork",
                "odb:TagResource",
                "odb:UntagResource",
                "odb:ListTagsForResource",
                "ec2:CreateOdbNetworkPeering",
                "ec2:DeleteOdbNetworkPeering",
                "ec2:ModifyOdbNetworkPeering",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeVpcs",
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "*"
        }
    ]
}
タスク3: Oracle Database@AWSのExadataインフラストラクチャの作成 AWS インフラストラクチャ管理者 AWS IAM: 
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ExaInfraOperations",
            "Action": [
                "odb:GetOciOnboardingStatus",
                "odb:CreateCloudExadataInfrastructure",
                "odb:ListDbSystemshapes",
                "odb:ListDbServers",
                "odb:GetCloudExadataInfrastructure",
                "odb:ListCloudExadataInfrastructures",
                "odb:DeleteCloudExadataInfrastructure",
                "odb:ListCloudVmClusters",
                "odb:TagResource",
                "odb:UntagResource",
                "odb:ListTagsForResource",
                "ec2:DescribeAvailabilityZones",
                "iam:CreateServiceLinkedRole"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
タスク4: Oracle Database@AWS用のExadata VMクラスタの作成 AWS インフラストラクチャ管理者およびデータベース管理者 AWS IAM: 
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ExaVMClusterOperations",
            "Action": [
                "odb:GetOciOnboardingStatus",
                "odb:CreateCloudVmCluster",
                "odb:GetCloudVmCluster",
                "odb:ListCloudVmClusters",
                "odb:DeleteCloudVmCluster",
                "odb:ListCloudExadataInfrastructures",
                "odb:ListSystemVersions",
                "odb:ListGIVersions",
                "odb:ListDbServers",
                "odb:ListDbSystemshapes",
                "odb:ListDbNodes",
                "odb:ListOdbNetworks",
                "odb:TagResource",
                "odb:UntagResource",
                "odb:ListTagsForResource",
                "iam:CreateServiceLinkedRole",
                "odb:CreateDbNode",
                "odb:DeleteDbNode"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
タスク5: Exadata Databaseの作成およびOracle Databaseのデータの移行@AWS OCI データベース管理者 OCI IAM: ユーザーがOCIテナンシ管理者でない場合、ユーザーは次のいずれかである必要があります:
  • 次の事前作成グループ:
    • aws-exadb-vm-cluster-administrators
    • aws-exa-cdb-administrators
    • aws-exa-pdb-administrators
  • 次のポリシー・ステートメントを持つその他のグループ:
    • Allow group <group-name> to manage db-homes in tenancy
    • Allow group <group-name> to manage databases in tenancy
    • Allow group <group-name> to manage pluggable-databases in tenancy
タスク6: Oracle Database@AWS用のAWS VPCとODBネットワーク間の接続の構成 AWS  
プライベート・プレビューCLIビットをダウンロードするには、次の権限が必要です。 
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "S3Operations",
            "Action": [
                "s3:ListBucket",
                "s3:GetObject"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]}
アプリケーションVPCのルート表にルート・ルールを作成するには、次のEC2 IAM権限が必要です。
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateRoute",
            "Action": [
                "ec2:DescribeRouteTables",
                "ec2:CreateRoute",
                "ec2:DescribeVpcs",
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
ルート53でアウトバウンド・エンドポイントを作成するには、次のルート53リゾルバIAM権限が必要です。 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Route53Resolver",
            "Action": [
                "route53resolver:CreateResolverEndpoint",
                "route53resolver:CreateResolverRule",
                "route53resolver:AssociateResolverRule",
                "route53resolver:GetResolverEndpoint",
                "route53resolver:ListResolverEndpoints",
                "route53resolver:AssociateResolverEndpointIpAddress",
                "route53resolver:DisassociateResolverEndpointIpAddress",
                "route53resolver:TagResource",
                "route53resolver:UntagResource",
                "route53resolver:DisassociateResolverRule",
                "route53resolver:ListResolverRules",
                "route53resolver:ListResolverEndpointIpAddresses",
                "route53resolver:ListResolverRuleAssociations",
                "route53resolver:ListTagsForResource"

            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
EC2 IAM:
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Ec2Operations",
            "Action": [
                "ec2:CreateNetworkInterface",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DeleteNetworkInterface",
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:AssignPrivateIpAddresses",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:CreateTags",
                "ec2:DescribeAvailabilityZones",
                "ec2:GetSecurityGroupsForVpc"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
セキュリティ・グループでセキュリティ・ルールを構成するには、EC2 IAM権限が必要です。
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Ec2SecurityOperations",
            "Action": [
                "ec2:DescribeSecurityGroups",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:DescribeSecurityGroupRules"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
タスク7: Oracle Database@AWSの接続性、メトリックおよび請求の検証 AWS  
接続の場合:
  • AmazonVPCFullAccessに対する管理対象ポリシーで、VPC/サブネットを作成します。
  • EC2を作成するためにAmazonEC2FullAccessに対して管理されるポリシー。
可観測性:
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CloudWatchOperations",
            "Action": [
                "cloudwatch:GetMetricData",
                "cloudwatch:ListMetrics"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
請求および請求書の場合: 
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "BillingAndInvoices",
            "Action": [
                "ce:GetCostAndUsage",
                "ce:GetCostForecast",
                "billing:GetBillingData",
                "billing:GetBillingDetails",
                "billing:GetBillingNotifications",
                "account:GetAccountInformation",
                "ce:DescribeReport",
                "ce:GetDimensionValues",
                "ce:GetTags",
                "ce:ListCostAllocationTags",
                "ce:UpdateCostAllocationTagsStatus"

            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

支払および請求書を含む請求に関する読取り専用ポリシーについては、AWSBillingReadOnlyAccessを参照してください。

必要な権限を付与する方法の詳細は、次を参照してください。
次の手順?

タスク2: Oracle Database用のODBネットワークの作成@AWSでプロビジョニングを続行します。