Oracle Cloud Infrastructureドキュメント

前提条件

Oracle AI Database@Google Cloudでリソースを作成するための前提条件は次のとおりです。

公開キーおよび秘密キー

Exadata VMクラスタまたはベース・データベースの作成を開始する前に、SSH秘密キーおよび公開キーにアクセスする必要があります。SSHキーの作成方法の詳細は、SSHキーの作成を参照してください。

Oracle Database@Google Cloudロールの概要

IAMでは、Exadata DatabaseおよびAutonomous AI DatabaseサービスのOracle AI Database@Google Cloudリソースへのユーザーおよびグループ・アクセスを制御できます。ロールは、Google Cloudプロジェクト・レベルで定義されます。たとえば、Exadataインフラストラクチャ・インスタンスでユーザーにviewerアクセス権を付与すると、そのプロジェクト内のすべてのExadataインフラストラクチャ・インスタンスおよびExadata VMクラスタへのviewerアクセス権が付与されます。

IAMでアクセス制御を使用すると、各インスタンス、クラスタまたはデータベースを個別に変更せずに、ユーザーまたはグループに権限を付与できます。Oracle AI Database@Google Cloudには、アクセスを管理するための一連の事前定義済ロールが用意されています。事前定義済ロールまたは特定の権限を使用して、ユーザーにアクセス権を付与できます。Google CloudでのIAMの動作の詳細は、IAMドキュメンテーションを参照してください。

Oracle Database@Google Cloudの事前定義済ロール

事前定義済ロールには、Google Cloudプロジェクト・メンバーがOracle AI Database@Google Cloudリソースに対して特定のアクションを実行できるようにする権限が含まれます。プロジェクト・メンバーに付与するロールは、そのプロジェクトで実行できる処理を制御します。プロジェクト・メンバーは、個人、グループまたはサービス・アカウントです。複数のロールを同じプロジェクト・メンバーに付与でき、付与されたロールはいつでも変更できます。

幅広いロールには、より狭く定義されたロールが含まれます。たとえば、Cloud Exadata Infrastructure Adminロールには、Cloud Exadata Infrastructure Viewerロールのすべての権限と、Cloud Exadata Infrastructure Adminロールの追加権限が含まれます。

ロールベースのアクセス制御(RBAC)を使用して、Oracle AI Database@Google Cloudリソースへのユーザー・アクセスを管理します。

ロール

タスク クラウド ペルソナ 権限
  • ODBネットワークの作成
  • ODBネットワークの変更
  • ODBネットワークの削除
 Google Cloud ネットワークの管理者 
oracledatabase.entitlements.list
oracledatabase.locations.*
oracledatabase.locations.get
oracledatabase.locations.list
oracledatabase.odbSubnets.*
oracledatabase.odbSubnets.create
oracledatabase.odbSubnets.delete
oracledatabase.odbSubnets.get
oracledatabase.odbSubnets.list
oracledatabase.odbSubnets.use
oracledatabase.operations.*
oracledatabase.operations.cancel
oracledatabase.operations.delete
oracledatabase.operations.get
oracledatabase.operations.list
resourcemanager.projects.*
resourcemanager.projects.get
resourcemanager.projects.list
  • 共有VPCの作成
 Google Cloud ネットワークの管理者 
compute.globalOperations.get
compute.globalOperations.list
compute.organizations.disableXpnHost
compute.organizations.disableXpnResource
compute.organizations.enableXpnHost
compute.organizations.enableXpnResource
compute.projects.get
compute.subnetworks.get
IamPolicycompute.subnetworks.set
IamPolicyresourcemanager.projects.get
resourcemanager.projects.getIamPolicy
  • Exadataインフラストラクチャの作成
  • Exadataインフラストラクチャの変更
  • Exadataインフラストラクチャの削除
 Google Cloud インフラストラクチャ管理者 
oracledatabase.cloudExadataInfrastructures.*
oracledatabase.cloudExadataInfrastructures.create
oracledatabase.cloudExadataInfrastructures.delete
oracledatabase.cloudExadataInfrastructures.get
oracledatabase.cloudExadataInfrastructures.list
oracledatabase.cloudExadataInfrastructures.update
oracledatabase.dbServers.list
oracledatabase.dbSystemShapes.list
oracledatabase.entitlements.list
oracledatabase.giVersions.list
oracledatabase.locations.*
oracledatabase.locations.get
oracledatabase.locations.list
oracledatabase.operations.*
oracledatabase.operations.cancel
oracledatabase.operations.delete
oracledatabase.operations.get
oracledatabase.operations.list
resourcemanager.projects.*
resourcemanager.projects.get
resourcemanager.projects.list
  • Exadata VMクラスタの作成
  • Exadata VMクラスタの変更
  • Exadata VMクラスタの削除
 Google Cloud インフラストラクチャ管理者およびデータベース管理者 
oracledatabase.cloudExadataInfrastructures.*
oracledatabase.cloudExadataInfrastructures.list
oracledatabase.cloudExadataInfrastructures.use
oracledatabase.cloudVmClusters.*
oracledatabase.cloudVmClusters.create
oracledatabase.cloudVmClusters.delete
oracledatabase.cloudVmClusters.get
oracledatabase.cloudVmClusters.list
oracledatabase.cloudVmClusters.update
oracledatabase.dbNodes.list
oracledatabase.dbServers.list
oracledatabase.entitlements.list
oracledatabase.giVersions.list
oracledatabase.locations.*
oracledatabase.locations.get
oracledatabase.locations.list
oracledatabase.odbSubnets.*
oracledatabase.odbSubnets.get
oracledatabase.odbSubnets.list
oracledatabase.odbSubnets.use
oracledatabase.operations.*
oracledatabase.operations.cancel
oracledatabase.operations.delete
oracledatabase.operations.get
oracledatabase.operations.list
oracledatabase.systemVersions.list
resourcemanager.projects.*
resourcemanager.projects.get
resourcemanager.projects.list
  • Exadata Database (CDBおよびPDB)の作成
  • Exadata Database (CDBおよびPDB)の変更
  • Exadata Database (CDBおよびPDB)の削除
 Oracle Cloud Infrastructure データベース管理者 
oracledatabase.autonomousDatabaseBackups.*
oracledatabase.autonomousDatabaseBackups.get
oracledatabase.autonomousDatabaseBackups.list
oracledatabase.autonomousDatabaseCharacterSets.list
oracledatabase.autonomousDatabases.*
oracledatabase.autonomousDatabases.get
oracledatabase.autonomousDatabases.list
oracledatabase.autonomousDbVersions.list
oracledatabase.cloudExadataInfrastructures.*
oracledatabase.cloudExadataInfrastructures.get
oracledatabase.cloudExadataInfrastructures.list
oracledatabase.cloudVmClusters.*
oracledatabase.cloudVmClusters.get
oracledatabase.cloudVmClusters.list
oracledatabase.dbNodes.list
oracledatabase.dbServers.list
oracledatabase.dbSystemShapes.list
oracledatabase.entitlements.list
oracledatabase.giVersions.list
oracledatabase.locations.*
oracledatabase.locations.get
oracledatabase.locations.list
oracledatabase.odbNetworks.*
oracledatabase.odbNetworks.get
oracledatabase.odbNetworks.list
oracledatabase.odbSubnets.*
oracledatabase.odbSubnets.get
oracledatabase.odbSubnets.list
oracledatabase.operations.*
oracledatabase.operations.get
oracledatabase.operations.list
resourcemanager.projects.*
resourcemanager.projects.get
resourcemanager.projects.list
  • Exascale VMクラスタの作成
  • Exascale VMクラスタの変更
  • Exascale VMクラスタの削除
 Google Cloud インフラストラクチャ管理者およびデータベース管理者 
oracledatabase.dbNodes.list
oracledatabase.dbSystemShapes.list
oracledatabase.entitlements.list
oracledatabase.exadbVmClusters.*
oracledatabase.exadbVmClusters.create
oracledatabase.exadbVmClusters.delete
oracledatabase.exadbVmClusters.get
oracledatabase.exadbVmClusters.list
oracledatabase.exadbVmClusters.update
oracledatabase.giVersions.list
oracledatabase.locations.*
oracledatabase.locations.get
oracledatabase.locations.list
oracledatabase.operations.*
oracledatabase.operations.cancel
oracledatabase.operations.delete
oracledatabase.operations.get
oracledatabase.operations.list
resourcemanager.projects.*
resourcemanager.projects.get
resourcemanager.projects.list
  • Exascale Storage Vaultの作成
  • Exascale Storage Vaultの変更
  • Exascale Storage Vaultの削除
 Google Cloud インフラストラクチャ管理者およびデータベース管理者 
oracledatabase.dbNodes.list
oracledatabase.dbSystemShapes.list
oracledatabase.entitlements.list
oracledatabase.exascaleDbStorageVaults.*
oracledatabase.exascaleDbStorageVaults.create
oracledatabase.exascaleDbStorageVaults.delete
oracledatabase.exascaleDbStorageVaults.get
oracledatabase.exascaleDbStorageVaults.list
oracledatabase.giVersions.list
oracledatabase.locations.*
oracledatabase.locations.get
oracledatabase.locations.list
oracledatabase.operations.*
oracledatabase.operations.cancel
oracledatabase.operations.delete
oracledatabase.operations.get
oracledatabase.operations.list
resourcemanager.projects.*
resourcemanager.projects.get
resourcemanager.projects.list
  • Autonomous AI Databaseの作成
  • Autonomous AI Databaseの変更
  • 自律型AIデータベースの削除
 Oracle Cloud Infrastructure データベース管理者 
oracledatabase.autonomousDatabaseBackups.*
oracledatabase.autonomousDatabaseBackups.create
oracledatabase.autonomousDatabaseBackups.delete
oracledatabase.autonomousDatabaseBackups.get
oracledatabase.autonomousDatabaseBackups.list
oracledatabase.autonomousDatabaseCharacterSets.list
oracledatabase.autonomousDatabases.*
oracledatabase.autonomousDatabases.create
oracledatabase.autonomousDatabases.delete
oracledatabase.autonomousDatabases.generateWallet
oracledatabase.autonomousDatabases.get
oracledatabase.autonomousDatabases.list
oracledatabase.autonomousDatabases.restart
oracledatabase.autonomousDatabases.restore
oracledatabase.autonomousDatabases.start
oracledatabase.autonomousDatabases.stop
oracledatabase.autonomousDatabases.switchover
oracledatabase.autonomousDbVersions.list
oracledatabase.entitlements.list
oracledatabase.locations.*
oracledatabase.locations.get
oracledatabase.locations.list
oracledatabase.odbSubnets.*
oracledatabase.odbSubnets.get
oracledatabase.odbSubnets.list
oracledatabase.odbSubnets.use
oracledatabase.operations.*
oracledatabase.operations.cancel
oracledatabase.operations.delete
oracledatabase.operations.get
oracledatabase.operations.list
resourcemanager.projects.*
resourcemanager.projects.get
resourcemanager.projects.list
  • ベース・データベースの作成
  • ベース・データベースの変更
  • ベース・データベースの削除
 Google Cloud データベース管理者 
oracledatabase.databaseCharacterSets.list
oracledatabase.databases.*
oracledatabase.databases.get
oracledatabase.databases.list
oracledatabase.dbSystemInitialStorageSizes.list
oracledatabase.dbSystemShapes.list
oracledatabase.dbSystems.*
oracledatabase.dbSystems.create
oracledatabase.dbSystems.delete
oracledatabase.dbSystems.get
oracledatabase.dbSystems.list
oracledatabase.dbVersions.list
oracledatabase.entitlements.list
oracledatabase.locations.*
oracledatabase.locations.get
oracledatabase.locations.list
oracledatabase.operations.*
oracledatabase.operations.cancel
oracledatabase.operations.delete
oracledatabase.operations.get
oracledatabase.operations.list
resourcemanager.projects.*
resourcemanager.projects.get
resourcemanager.projects.list
  • ベース・データベースの表示
 Google Cloud データベース・ビューア 
oracledatabase.databaseCharacterSets.list
oracledatabase.databases.*
oracledatabase.databases.get
oracledatabase.databases.list
oracledatabase.dbSystemShapes.list
oracledatabase.dbSystems.*
oracledatabase.dbSystems.get
oracledatabase.dbSystems.list
oracledatabase.dbVersions.list
oracledatabase.entitlements.list
oracledatabase.locations.*
oracledatabase.locations.get
oracledatabase.locations.list
oracledatabase.operations.*
oracledatabase.operations.get
oracledatabase.operations.list
resourcemanager.projects.*
resourcemanager.projects.get
resourcemanager.projects.list
  • Oracle GoldenGateデプロイメントの作成
  • Oracle GoldenGateデプロイメントの変更
  • Oracle GoldenGateデプロイメントの削除
Oracle Cloud Infrastructure インフラストラクチャ管理者およびデータベース管理者 

Allow group <identity-domain>/<group-name> to manage goldengate-connections in tenancy

Allow group <identity-domain>/<group-name> to manage goldengate-connection-assignments in tenancy 

Allow group <identity-domain>/<group-name> to manage goldengate-deployments in tenancy

Allow group <identity-domain>/<group-name> to manage goldengate-deployment-backups in tenancy 

Allow group <identity-domain>/<group-name> to read goldengate-connections in tenancy

Allow group <identity-domain>/<group-name> to read goldengate-connection-assignments in tenancy 

Allow group <identity-domain>/<group-name> to read goldengate-deployments in tenancy

Allow group <identity-domain>/<group-name> to read goldengate-deployment-backups in tenancy

最小権限アクセスのOCIポリシーの設定

次のポリシーを使用すると、OCIでより厳格なコンパートメント・アクセス制御を保持できます。これらのポリシーを使用すると、データベース管理者は、ネットワーキング・コンパートメント内でデータベースを作成したり変更したりできなくなります。同様に、これらのポリシーは、ネットワーク管理者がデータベース・コンパートメント内のリソースにアクセスおよび変更することを制限します。これらのポリシーにより、セキュリティが強化され、コンパートメント全体で不正な変更のリスクが軽減されます。

odbg-network-administratorsロールのポリシーは次のとおりです。 
allow group 'Default'/'odbg-network-administrators' to manage virtual-network-family in compartment MulticloudLink_ODBG_Compartment:ProjectNumberCompartment
allow group 'Default'/'odbg-network-administrators' to inspect compartments in tenancy

必要な権限を付与する方法の詳細は、ロール・ベースのアクセス制御(RBAC)を使用して、Oracle AI Database@Google Cloudリソースへのユーザー・アクセスを制御します。