タスク7: Oracle Database@Azureのロール・ベースのアクセス制御の設定
ロール・ベースのアクセス制御(RBAC)を使用して、Oracle Database@Azureリソースへのユーザー・アクセスを制御します。
このタスクには、Oracle Autonomous DatabaseとOracle Exadata Database Serviceの両方にAzure RBACを設定する手順があります。次に注意してください:
- Pay as You Goのお客様は、Autonomous Databaseの指示を完了するだけで済みます。
- Autonomous DatabaseとExadata Database Serviceの両方をプロビジョニングするプライベート・オファーのお客様は、このトピックで説明する両方の手順を完了する必要があります。それ以外の場合は、使用する予定のデータベース・サービスと一致する一連の手順を実行します。
Autonomous Databaseのグループおよびロール
| Azureグループ名 | Azureロール割当て | 目的 |
|---|---|---|
| odbaa-adbs-db-administrators |
Oracle.Database Autonomous Database管理者 |
このグループは、AzureのすべてのOracle Autonomous Databaseリソースを管理する必要がある管理者を対象としています。 |
| odbaa-db-family-administrators | NONE |
このグループは、オプションのアイデンティティ・フェデレーション・プロセス中にOCIにレプリケートされます。 このグループは、OCIのすべてのOracle Database Serviceリソースを管理する必要がある管理者を対象としています。 |
| odbaa-db-family-readers | Oracle.Databaseリーダー |
このグループは、オプションのアイデンティティ・フェデレーション・プロセス中にOCIにレプリケートされます。 このグループは、OCIのすべてのOracle Databaseリソースを表示する必要がある読者を対象としています。 |
| odbaa-network-administrators | NONE |
このグループは、オプションのアイデンティティ・フェデレーション・プロセス中にOCIにレプリケートされます。 このグループは、OCIのすべてのネットワーク・リソースを管理する必要がある管理者を対象としています。 |
| odbaa-costmgmt- 管理者 | NONE |
このグループは、オプションのアイデンティティ・フェデレーション・プロセス中にOCIにレプリケートされます。 このグループは、OCIでコストおよび請求リソースを管理する必要がある管理者を対象としています。 |
Autonomous DatabaseのAzureポータルでロール・ベースのアクセス制御を構成するには
-
Azureポータル(https://portal.azure.com/)にサインインします。
-
Azure検索ツールで「EntraID」を検索し、検索結果で「Microsoft Entra ID」を選択して、EntraIDの「概要」ページにナビゲートします。
-
「グループ」を選択して、グループ・ページに移動します。次に、「すべてのグループ」を選択します。
-
「新規グループ」を選択し、次の情報を入力します。
- グループ・タイプ:セキュリティ
- グループ名:このトピックのAutonomous Databaseグループおよびロールの表からグループ名を入力します。この表は、Azureのグループおよびロール・リファレンスでも使用できます。
- グループの説明:後で識別するために役立つグループの説明を入力します。このトピックの最初に、表の「目的」列に示されている説明を使用できます。
「作成」を選択して、新規グループを作成します。
- 前のステップを繰り返して、このトピックの表に示されているすべてのAzureグループに新しいグループを作成します。
-
Azureポータルの「サブスクリプション」ページに移動し、ページでAzureサブスクリプションを検索します。サブスクリプションの名前をクリックして、サブスクリプションの詳細を表示します。詳細は、Azureドキュメントのすべてのサブスクリプションの表示を参照してください。
-
Azureサブスクリプションの詳細ページの「アクセス制御(IAM)」セクションで、+Addをクリックし、「ロール割当ての追加」オプションを選択します。
-
このトピックの表に示されているいずれかのAutonomous Databaseロールを検索します。たとえば、
Oracle.Database Readerです。ロールを選択し、「次へ」をクリックします。
-
「ロール割当ての追加」ワークフローの「メンバー」タブで、+Selectメンバーを選択します。
-
検索フィールドで「odbaa」を検索します。「odbaa」で始まるグループが表示されます。グループ名を選択して選択します。例: "odbaa-db-family-readers"。
-
「メンバー」タブで、「レビューおよび割当」を選択します。
- 表にロール割当てが指定されているAzure Autonomous Databaseグループごとに、ステップ7から11を繰り返します。
Exadataのグループおよびロール
| Azureグループ名 | Azureロール割当て | 目的 |
|---|---|---|
| odbaa-exa-infra管理者 | Oracle.Database Exadataインフラストラクチャ管理者 | このグループは、AzureのすべてのExadata Database Serviceリソースを管理する必要がある管理者用です。このロールを持つユーザーには、「odbaa-vm-cluster-administrators」によって付与されるすべての権限があります。 |
| odbaa-vm-cluster-administrators | Oracle.Database VmCluster管理者 | このグループは、AzureでVMクラスタ・リソースを管理する必要がある管理者用です。 |
| odbaa-db-family-administrators | NONE |
このグループは、オプションのアイデンティティ・フェデレーション・プロセス中にOCIにレプリケートされます。 このグループは、OCIのすべてのOracle Database Serviceリソースを管理する必要がある管理者を対象としています。 |
| odbaa-db-family-readers | Oracle.Databaseリーダー |
このグループは、オプションのアイデンティティ・フェデレーション・プロセス中にOCIにレプリケートされます。 このグループは、OCIのすべてのOracle Databaseリソースを表示する必要がある読者を対象としています。 |
| odbaa-exa-cdb-administrators | NONE |
このグループは、オプションのアイデンティティ・フェデレーション・プロセス中にOCIにレプリケートされます。 このグループは、OCI内のすべてのCDBリソースを管理する必要がある管理者用です。 |
| odbaa-exa-pdb- 管理者 | NONE |
このグループは、オプションのアイデンティティ・フェデレーション・プロセス中にOCIにレプリケートされます。 このグループは、OCI内のすべてのPDBリソースを管理する必要がある管理者用です。 |
| odbaa-network-administrators | NONE |
このグループは、オプションのアイデンティティ・フェデレーション・プロセス中にOCIにレプリケートされます。 このグループは、OCIのすべてのネットワーク・リソースを管理する必要がある管理者を対象としています。 |
| odbaa-costmgmt- 管理者 | NONE |
このグループは、オプションのアイデンティティ・フェデレーション・プロセス中にOCIにレプリケートされます。 このグループは、OCIでコストおよび請求リソースを管理する必要がある管理者を対象としています。 |
Exadata DatabaseのAzureポータルでロール・ベースのアクセス制御を構成するには
-
Azureポータル(https://portal.azure.com/)にサインインします。
-
Azure検索ツールで「EntraID」を検索し、検索結果で「Microsoft Entra ID」を選択して、EntraIDの「概要」ページにナビゲートします。
-
「グループ」を選択して、グループ・ページに移動します。次に、「すべてのグループ」を選択します。
-
「新規グループ」をクリックして、次の情報を入力します。
- グループ・タイプ:セキュリティ
- グループ名:このトピックの表Exadataグループおよびロールからグループ名を入力します。この表は、Azureのグループおよびロール・リファレンスでも使用できます。
- グループの説明:後で識別するために役立つグループの説明を入力します。Exadataグループおよびロールの表の「目的」列に示されている説明を使用できます。
「作成」をクリックして、新しいグループを作成します。
- 前のステップを繰り返して、このトピックの表に示されているすべてのAzureグループに新しいグループを作成します。
-
Azureポータルの「サブスクリプション」ページに移動し、ページでAzureサブスクリプションを検索します。サブスクリプションの名前をクリックして、サブスクリプションの詳細を表示します。詳細は、Azureドキュメントのすべてのサブスクリプションの表示を参照してください。
-
サブスクリプションの詳細ページで、「アクセス制御(IAM)」をクリックし、+Addをクリックして「ロール割当ての追加」オプションを選択します。
-
このトピックのExadataグループおよびロールの表にリストされているロールを検索します。たとえば、
Oracle.Database Readerです。ロールを選択し、「次へ」をクリックします。 -
「Add role assignment」ワークフローの「Members」タブで、+Select「Members」をクリックします。
-
検索フィールドで「odbaa」を検索します。「odbaa」で始まるグループが表示されます。グループ名をクリックして選択します。例: "odbaa-db-family-readers"。
-
「メンバー」タブで、「レビューおよび割当」をクリックします。
- 表にロール割当てが指定されているExadataグループおよびロールの表にリストされている各Azureグループについて、ステップ12から16を繰り返します。
次の手順?
Oracle Database@Azureはすぐに使用できます。次を実行できます。
- Oracle Database@Azureのアイデンティティ・フェデレーションを設定します(オプション)。フェデレーションにより、ユーザーはAzure Entra ID資格証明を使用して、サービスに関連付けられたOCIテナンシにサインインできます。詳細は、タスク8: Identity Federationの設定(オプション)を参照してください。
- アイデンティティ・フェデレーションを使用しない場合は、OCIコンソールでユーザーを追加できます。詳細は、IAMの概要およびユーザーの管理を参照してください。オプションで、My Oracle Supportにユーザーを登録して、サービス・リクエストをオープンできます。
- 「オンボーディング後の次」で提案をレビューします