Oracle Database@Azureへのアクセスの管理
Oracle Database@Azureへのアクセスの管理に使用されるポリシー、グループおよびロールについて学習します。これらのグループおよびロールを使用すると、割り当てられたユーザーにサービスを操作するための適切な権限が付与されます。
Azureのグループとロール
Azureアカウントで次のグループを使用します。
Exadataのグループおよびロール
| Azureグループ名 | Azureロール割当て | 目的 |
|---|---|---|
| odbaa-exa-infra管理者 | Oracle.Database Exadataインフラストラクチャ管理者 | このグループは、AzureのすべてのExadata Database Serviceリソースを管理する必要がある管理者用です。このロールを持つユーザーには、「odbaa-vm-cluster-administrators」によって付与されるすべての権限があります。 |
| odbaa-vm-cluster-administrators | Oracle.Database VmCluster管理者 | このグループは、AzureでVMクラスタ・リソースを管理する必要がある管理者用です。 |
| odbaa-db-family-administrators | NONE |
このグループは、オプションのアイデンティティ・フェデレーション・プロセス中にOCIにレプリケートされます。 このグループは、OCIのすべてのOracle Database Serviceリソースを管理する必要がある管理者を対象としています。 |
| odbaa-db-family-readers | Oracle.Databaseリーダー |
このグループは、オプションのアイデンティティ・フェデレーション・プロセス中にOCIにレプリケートされます。 このグループは、OCIのすべてのOracle Databaseリソースを表示する必要がある読者を対象としています。 |
| odbaa-exa-cdb-administrators | NONE |
このグループは、オプションのアイデンティティ・フェデレーション・プロセス中にOCIにレプリケートされます。 このグループは、OCI内のすべてのCDBリソースを管理する必要がある管理者用です。 |
| odbaa-exa-pdb- 管理者 | NONE |
このグループは、オプションのアイデンティティ・フェデレーション・プロセス中にOCIにレプリケートされます。 このグループは、OCI内のすべてのPDBリソースを管理する必要がある管理者用です。 |
| odbaa-network-administrators | NONE |
このグループは、オプションのアイデンティティ・フェデレーション・プロセス中にOCIにレプリケートされます。 このグループは、OCIのすべてのネットワーク・リソースを管理する必要がある管理者を対象としています。 |
| odbaa-costmgmt- 管理者 | NONE |
このグループは、オプションのアイデンティティ・フェデレーション・プロセス中にOCIにレプリケートされます。 このグループは、OCIでコストおよび請求リソースを管理する必要がある管理者を対象としています。 |
Autonomous Databaseのグループおよびロール
| Azureグループ名 | Azureロール割当て | 目的 |
|---|---|---|
| odbaa-adbs-db-administrators |
Oracle.Database Autonomous Database管理者 |
このグループは、AzureのすべてのOracle Autonomous Databaseリソースを管理する必要がある管理者を対象としています。 |
| odbaa-db-family-administrators | NONE |
このグループは、オプションのアイデンティティ・フェデレーション・プロセス中にOCIにレプリケートされます。 このグループは、OCIのすべてのOracle Database Serviceリソースを管理する必要がある管理者を対象としています。 |
| odbaa-db-family-readers | Oracle.Databaseリーダー |
このグループは、オプションのアイデンティティ・フェデレーション・プロセス中にOCIにレプリケートされます。 このグループは、OCIのすべてのOracle Databaseリソースを表示する必要がある読者を対象としています。 |
| odbaa-network-administrators | NONE |
このグループは、オプションのアイデンティティ・フェデレーション・プロセス中にOCIにレプリケートされます。 このグループは、OCIのすべてのネットワーク・リソースを管理する必要がある管理者を対象としています。 |
| odbaa-costmgmt- 管理者 | NONE |
このグループは、オプションのアイデンティティ・フェデレーション・プロセス中にOCIにレプリケートされます。 このグループは、OCIでコストおよび請求リソースを管理する必要がある管理者を対象としています。 |
Oracle Cloud Infrastructure内のグループ
Oracle Cloud Infrastructure (OCI)テナンシで次のグループを使用します。
| グループ名 | 内容 |
|---|---|
|
odbaa-db-family-administrators |
DBファミリ処理を管理するグループ |
|
odbaa-db-family-readers |
DBファミリ・アクションを読み取るグループ |
|
odbaa-exa-cdb-administrators |
Oracle Container Database (CDB)アクションを管理するためのグループ |
|
odbaa-exa-pdb- 管理者 |
Oracleプラガブル・データベース(PDB)アクションを管理するためのグループ |
詳細は次のトピックを参照してください:
必須OCI IAMポリシー
Oracle Database@Azureのユーザーまたはグループには、次のIAMポリシーが必要です:
Allow any-user to use tag-namespaces in tenancy where request.principal.type = 'multicloudlink'
Allow any-user to manage tag-defaults in tenancy where request.principal.type = 'multicloudlink'ポリシーの操作の詳細は、ポリシーの開始を参照してください。
オンボーディング中にOCIで自動的に作成されるポリシー
オンボーディング・プロセスでは、マルチクラウド・サービスと認可されたユーザー・グループが特定のアクションを実行できる一連のポリシーがOCIに自動的に作成されます。これらのポリシーに関する情報は参照目的のみです。
これらのポリシーは変更または削除しないでください。これらは、マルチクラウド環境での運用上の問題を回避するために必要です。
ポリシーは、マルチクラウド・サービスのルート・コンパートメントとベース・コンパートメントの2つのコンパートメントに作成されます。ベース・コンパートメントは、オンボーディング中にOCIテナンシに自動的に作成されます。ベース・コンパートメントの名前はMulticloudLink_ODBAA_<YYYYMMDDHHMMSS>です(YYYYMMDDHHMMSSはコンパートメント作成タイムスタンプです)。
次の表に、オンボーディング中に自動的に作成されるポリシーを示します。
| コンパートメント | ポリシー一意名 | 目的 |
|---|---|---|
| ベース | MulticloudLink_Management_Policy |
mutlicloudサービスがベースコンパートメント内のすべてのマルチクラウドリソースを管理できるようにします。 |
| root | <UNIQUE_ID>_Authorization_Policies |
マルチクラウド・サービスと認可されたユーザー・グループがシステム・リソースにタグ付けし、システム・ネットワーキング・リソースをアタッチできます。 |
| root | <UNIQUE_ID>_OCI_MCS_Policy |
権限のあるユーザー・グループが、ベース・コンパートメント内のすべてのマルチクラウド・リソースを管理できるようにします。 |
| root | <UNIQUE_ID>-ODBAADbFamilyPolicy |
認可されたユーザー・グループがデータベース操作を実行できます。 |
| root | <UNIQUE_ID>_Observability_Policy |
マルチクラウド・サービスで可観測性操作を実行できます。 |