Oracle Cloud Infrastructureドキュメント

役割ベースのアクセス制御

Oracle AI Database@AWSへのアクセスの管理に使用されるポリシー、グループおよびロールについて学習します。これらのグループおよびロールを使用すると、割り当てられたユーザーにサービスを操作するための適切な権限が付与されます。

Oracle Cloud Infrastructure IAM内のグループ

Oracle Cloud Infrastructure (OCI)テナンシで次のグループを使用します。

OCIグループ名 摘要
aws-db-family-administrators DBファミリ・アクションを管理するグループ
aws-network-administrators ネットワーク・アクションを管理するグループ
aws-db-family-readers DBファミリ・アクションを読み取るグループ
aws-network-readers ネットワーク・アクションの読取り権限を持つグループ
aws-exa-infra-administrators Exadataインフラストラクチャ・アクションを管理するためのグループ
aws-exadb-vm-cluster-administrators Oracle Database Homeアクションを管理するためのグループ
aws-exa-cdb-administrators Oracle Container Database (CDB)アクションを管理するためのグループ
aws-exa-pdb-administrators Oracle Pluggable Database (PDB)アクションを管理するためのグループ
aws-vm-cluster-administrators Exadata VMクラスタおよびOracle Database Homeアクションを管理するためのグループ
aws-costmgmt-administrators 使用状況レポートを管理するグループ
aws-metrics-readers メトリックを読み取るグループ
aws-dbmgmt-administrators データベース管理アクションのグループ
aws-autonomous-vm-cluster-administrators Autonomous VMクラスタ・アクションを管理するためのグループ

詳細は次のトピックを参照してください:

オンボーディング中にOCIでポリシーが自動的に作成される

Oracle AI Database@AWSを使用したオンボーディングでは、マルチクラウド・サービスおよび認可されたユーザー・グループが特定のアクションを実行できるように、OCIテナンシに一連のポリシーが自動的に作成されます。これらのポリシーに関する情報は参照専用です。

ノート

これらのポリシーは変更または削除しないでください。 マルチクラウド環境での運用上の問題を回避するために必要です。

ポリシーは、マルチクラウド・サービスのルート・コンパートメントベース・コンパートメントの2つのコンパートメントに作成されます。ベース・コンパートメントは、オンボーディング中にOCIテナンシに自動的に作成されます。ベース・コンパートメントの名前はMulticloudLink_AWS_<YYYYMMDDHHMMSS>です(YYYYMMDDHHMMSSはコンパートメント作成タイムスタンプです)。

次の表に、オンボーディング時に自動的に作成されるポリシーを示します。

コンパートメント ポリシーの一意の名前 目的
ベース MulticloudLink_AWS_Management マルチクラウド・サービスで、ベース・コンパートメント内のすべてのマルチクラウド・リソースを管理できます。
ルート MulticloudLink_AWS_<UNIQUE_ID>_User_Group_Policies 認可されたユーザー・グループがDBリソースに対して操作を実行できます。
ルート MulticloudLink_AWS_<UNIQUE_ID>_Observability マルチクラウド・サービスで可観測性操作を実行できます。
ルート MulticloudLink_AWS_<UNIQUE_ID>_Tenant_Level マルチクラウド・サービスでテナンシ・レベルの操作を実行できます。

OCIマルチクラウド・ポリシー

AWS環境をOracle AI Database@AWSにオンボーディングすると、OCIアカウント・リンク・プロセス中に、OCIによって、サービスに必要なマルチクラウド・コンパートメントとOCI Identity and Access Management (IAM)ポリシーが作成されます。これらのリソースは、Oracle AI Database@AWSのメンテナンスに不可欠です。OCI管理者は、これらの自動作成されたリソースを変更、移動または削除しないでください。

IAMポリシーおよびコンパートメントは、MulticloudLink接頭辞で識別できます。

OCIマルチクラウド・ポリシー
OCIマルチクラウド・コンパートメント

Identity and Access Management (IAM)の拒否ポリシー

OCI IAM Denyポリシーにより、管理者は不要なアクションを明示的にブロックし、セキュリティを強化し、アクセス制御を合理化できます。

OCI IAM Denyポリシーは権限を制限するための強力なツールですが、Oracle AI Database@AWS内では細心の注意を払って使用する必要があります。

先頭にMulticloudLinkが付いたIAMポリシーまたはコンパートメントをターゲットにしたり、影響を与える拒否ポリシーは適用しないでください

Oracle AI Database@AWSリソースにDenyポリシーを適用すると、ODBGサービスのOCIとの統合が中断され、重大な運用障害またはサービスの完全な不具合が発生します。

マルチクラウド関数をロックするテナンシ全体の拒否ポリシーからのリカバリ

Deny any-user to inspect all-resources in tenancyなどのテナンシ全体の拒否ポリシーは、すべてのユーザー・アクセスをブロックしたり、マルチクラウド統合をブロックしたりできます。

回復するには:

ノート

これらのステップでは、Oracle Cloudコンソールを使用します。または、OCI CLIを使用します。CLIコマンドの例:
oci iam policy update --policy-id <policy-id> --statements '["Deny group Interns to inspect all-resources in tenancy"]'
  1. デフォルトの管理者グループのメンバーとしてOracle Cloudコンソールにサインインします(拒否ポリシーを除く)。
  2. ナビゲーション・メニューを開き、「アイデンティティおよびセキュリティ」を選択します。「アイデンティティ」で、「ポリシー」を選択します。
  3. ルート・コンパートメントまたはサブ・コンパートメント(マルチクラウド・コンパートメントなど)の拒否アクションを含むポリシーを識別します。
  4. ポリシーの編集または削除。
    たとえば、問題の原因となっているDenyポリシーを削除します。
  5. ポリシーを更新した場合は、OCI IAMポリシー・シミュレータを使用してテストします。