前提条件
このトピックでは、Oracle Database@AWSでのオンボーディングを開始するために必要な前提条件について説明します。
前提条件リスト
1: オンボーディングおよびプロビジョニングの権限
Oracle Database@AWSのオンボーディング中に実行するタスクの多くは、AWSまたはOCIクラウドの権限が必要です。この項の「Oracle Database@AWSのユーザー・ペルソナ別権限」を展開して、オンボーディング・プロセスの各タスクに必要な権限、およびオンボーディング後のプロビジョニング操作の詳細を示す表を表示します。オンボーディングを開始する前に、次の項の権限を持つ組織内の個人を識別し、このトピックの「Oracle Database@AWSのユーザー・ペルソナによる権限」表の対応するステップを完了するために使用できることを確認します。
Oracle DatabaseのOCI IAM権限の付与@AWS
OCIテナンシの場合、テナンシ管理者であるユーザーは、このトピックの表に示すタスクに対する追加の権限を必要としません。テナンシ管理者ではないユーザーは、表内のポリシー・ステートメントが割り当てられているグループの一部である必要があります。ユーザーに必要な権限を付与するには:
- デフォルト・ドメインに新しいグループを作成するか、既存のグループを使用します。詳細は、「グループの作成」を参照してください。
- ポリシー・ステートメントで前のステップで作成したグループを指定して、必要なポリシー・ステートメントを使用してルート・コンパートメントにポリシーを作成します。詳細は、ポリシーの作成を参照してください。
- グループにユーザーを追加します。詳細は、グループへのユーザーの追加を参照してください。
AWS IAM権限
AWSアカウント権限の場合、ユーザーがAWSアカウント管理者である場合、このトピックの表で説明するステップに追加の権限は必要ありません。ユーザーがAWSアカウント管理者でない場合、ユーザーには追加の権限が必要です。次の表で説明するポリシーは、ステップの実行に必要なAWS IAMアクションを含む例です。JSONエディタを使用してポリシーを作成し、ユーザーにポリシーを割り当てる手順は、AWSドキュメントの次のトピックを参照してください。
AWSサービス制御ポリシー(SCP)と、組織レベルで設定されたAWS権限境界は、このトピックで説明するように、ユーザーに付与された権限をオーバーライドできます。これが発生すると、Oracle Database@AWSに必要な権限がユーザーにある場合でも、オンボーディングおよびプロビジョニング操作は失敗する可能性があります。このようなプロビジョニングの失敗を解決するには、組織レベルのAWS管理者と協力してSCPまたは権限境界を変更し、ユーザーが必要なアクションを実行できるようにします。
詳細は、AWSドキュメントの次のトピックを参照してください:
- サービス制御ポリシー(SCP) (AWSユーザーガイド)
- IAMエンティティの権限境界 (AWSユーザー・ガイド)
- リソースベースのポリシーによるアイデンティティベースのポリシーの評価 (AWSユーザー・ガイド)
Oracle Database@AWSオンボーディング権限のJSONポリシーの作成
管理者ではないユーザーには、Oracle Database@AWSでのオンボーディングに必要な権限を割り当てるポリシーを作成します。権限を割り当てるためのJSONポリシーは、次のように構造化されています。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "<policy_name>",
"Effect": "Allow",
"Action": [
"<action_1>",
"<action_2>"
],
"Resource": "*"
}
]
}{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AcceptOffer",
"Effect": "Allow",
"Action": [
"aws-marketplace:ViewSubscriptions",
"aws-marketplace:Subscribe",
"aws-marketplace:ListPrivateListings",
"aws-marketplace:ListAgreementCharges",
"aws-marketplace:AcceptAgreementRequest",
"odb:AcceptMarketplaceRegistration",
"odb:GetOciOnboardingStatus"
],
"Resource": "*"
}
]
}| タスク | クラウド | ペルソナ | 権限 |
|---|---|---|---|
| タスク2: プライベート・オファーの要求 | AWS | AWS管理者 | このタスクに必要な権限はありません |
| タスク3: 購入オファー - プライベート・オファー | AWS | AWS管理者 |
AWS IAM:ユーザーが管理者でない場合は、「購買オファーの権限の例」に示す権限を割り当てます。 AWS権限:
|
| タスク4: OCIアカウントのリンク | OCI |
OCI管理者 |
OCI IAM:ユーザーがOCIテナンシ管理者でない場合、ユーザーは次のポリシー・ステートメントを含むグループに所属している必要があります: <group_name>グループにテナンシ内のすべてのリソースの管理を許可します オンボーディング中に新しいテナンシを作成すると、オンボーディングを実行しているユーザーがOCIテナンシ管理者になります。 |
| タスク5: OCIでのサブスクリプション、制限およびコンパートメントの検証 | OCI | OCI管理者 |
OCI IAM:ユーザーがOCIテナンシ管理者でない場合は、次のポリシー・ステートメントが付与されているグループの一部である必要があります:
|
| タスク6: My Oracle Cloud Supportへの登録 | OCI | OCI管理者 | OCIサポート所有者 |
Exadataサービスをプロビジョニングする場合は、Exadataプロビジョニングに必要な権限の詳細は、このドキュメントのExadata Services for AWSの項のタスク1: AWSの前提条件を参照してください。
2: AWSアカウント
プライベート・オファーを受諾する場合は、必ずデータベース・リソースをプロビジョニングするAWSアカウントを選択してください。Oracle Database@AWSとのオンボーディング用に選択したAWSアカウントは、Oracle Database@AWSサブスクリプションの請求アカウントを受け取ります。
AWSアカウントは、Oracle Database@AWSリソースがプロビジョニングされるAWSリージョンにサブスクライブする必要があります。サポートされているリージョンについては、リージョンの可用性を参照してください。同様に、OCIテナンシは、AWSリージョンとペアになっているOCIリージョンにサブスクライブする必要があります。
Oracle Database@AWSのプライベート・オファーを受け取るには、OracleでAWSアカウントIDが必要です。データベース・リソースをプロビジョニングする予定の特定のAWSアカウントのIDを指定します。
3: Oracle Cloud Infrastructure (OCI)アカウント
プライベート・オファー購入の場合、既存のOracle Cloud Infrastructure (OCI)アカウントがある場合は、オンボーディング・プロセスでOracle Database@AWSに接続できます。それ以外の場合は、新しいOCIアカウントを作成して、プロセスの後半にリンクできます。OCIテナンシは、リソースがプロビジョニングされるAWSリージョンとペアになっているOCIリージョンにサブスクライブする必要があります。
たとえば、AWSリージョンのUS East (N)でOracle Database@AWSリソースをプロビジョニングする場合です。バージニア州では、OCIテナンシが、米国東部(N)と組み合されたOCIの米国東部(アッシュバーン)リージョンにサブスクライブされている必要があります。バージニア)
サポートされているリージョンについては、リージョンの可用性を参照してください。
4.Oracle Database@AWSへのマーケットプレイス・アクセス
Oracle Database@AWSのプライベート・マーケットプレイスへの追加に関するこの前提条件は、製品購入をプライベートAWSマーケットプレイスに制限する組織にのみ適用されます。公共のAWS Marketplaceにアクセスできる場合、この前提条件のために何もする必要はありません。
自社がプライベートマーケットプレイスで購入を行う必要がある場合、自社またはAWSアカウント管理者は、製品がまだ追加されていない場合は、Oracle Database@AWSをプライベートマーケットプレイスに追加する必要があります。詳細については、AWSドキュメントの次のトピックを参照してください。