タスク5: ロール・ベースのアクセス制御の設定
ロール・ベースのアクセス制御(RBAC)を使用して、Oracle Database@Google Cloudリソースへのユーザー・アクセスを制御します。
Oracle Autonomous DatabaseとOracle Exadata Database Serviceの両方にGoogle Cloud RBACを使用して、ユーザー・アクセスを制御します。
次に注意してください:
- Pay as You Goのお客様は、Autonomous Databaseの指示を完了するだけで済みます。
- Oracle Autonomous DatabaseとExadata Database Serviceの両方をプロビジョニングするプライベート・オファーのお客様は、このトピックの両方の手順を完了する必要があります。それ以外の場合は、使用する予定のデータベース・サービスと一致する一連の手順を実行します。
次の表に、Autonomous DatabaseのGoogle Cloudグループおよびロールの詳細を示します。表に指定されているGoogle Cloud Group email値は推奨値ですが、必要に応じて他のグループ電子メール名を使用できます。<email_domain>文字列は、組織の電子メール・ドメインに置き換える必要があることに注意してください。たとえば: odbg-adbs-db-administrators@example.com
| Google Cloudグループ名 | Google Cloud Groupのメール | Google Cloudロールの割当て | 目的 |
|---|---|---|---|
| odbg-adbs-db-administrators | odbg-adbs-db-administrators@<email_domain> |
Oracle Database@Google Cloud Autonomous Database管理 |
このグループは、Google CloudですべてのOracle Autonomous Databaseリソースを管理する必要がある管理者用です。 |
| odbg-adbs-db-readers | odbg-adbs-db-readers@<email_domain> | Oracle Database@Google Cloud Autonomous Databaseビューア | このグループは、Google CloudのすべてのOracle Autonomous Databaseリソースを表示する必要があるビューア用です。 |
| odbg-db-family-administrators | odbg-db-family-administrators@<email_domain> | Oracle Database@Google Cloud管理 |
このグループは、OCIのすべてのOracle Database Serviceリソースを管理する必要がある管理者を対象としています。 このグループは、オプションのアイデンティティ・フェデレーション・プロセス中にOCIにレプリケートされます。 |
| odbaa-db-family-readers | odbaa-db-family-readers@<email_domain> | Oracle Database@Google Cloudビューア |
このグループは、OCIのすべてのOracle Databaseリソースを表示する必要がある読者を対象としています。 このグループは、オプションのアイデンティティ・フェデレーション・プロセス中にOCIにレプリケートされます。 |
| odbg-network-administrators | odbg-network-administrators@<email_domain> | 適用されません |
このグループは、OCIのすべてのネットワーク・リソースを管理する必要がある管理者を対象としています。 このグループは、オプションのアイデンティティ・フェデレーション・プロセス中にOCIにレプリケートされます。 |
| odbg-costmgmt-administrators | odbg-costmgmt-administrators@<email_domain> | 適用されません |
このグループは、OCIでコストおよび請求リソースを管理する必要がある管理者を対象としています。 このグループは、オプションのアイデンティティ・フェデレーション・プロセス中にOCIにレプリケートされます。 |
Google CloudコンソールでOracle Autonomous Databaseのロール・ベースのアクセス制御を構成するには
-
URL https://admin.google.com/ac/groupsを使用してGoogle Cloud管理コンソールにサインインします。「グループ」リスト・ビュー・ページが表示されます。
-
「グループ」リスト・ビュー・ページで、「グループの作成」をクリックします。
-
「グループ情報」タブで、作成するグループについて次の詳細を入力します。このトピックの表内の各行について、このタスクのステップを使用してグループを作成する必要があります。1つのグループのタスクのステップに従ってそのグループを作成し、表にリストされている追加のグループに対してステップを繰り返します。
- グループ名:このトピックの表にある「Google Cloud Group name」の値を使用します。たとえば:
odbg-adbs-db-administrators。 - グループ電子メール:このトピックの表でGoogle Cloud Groupの電子メール値を使用するか、必要に応じて独自の値を作成できます。例:
odbg-adbs-db-administrators@example.com - グループの説明:このトピックの表にある「目的」列にある説明を使用できます。たとえば、「このグループは、Google CloudですべてのOracle Autonomous Databaseリソースを管理する必要がある管理者用です。」などです。
情報を入力する前に:
情報入力後:
これらの値を入力した後、「次へ」をクリックします。
- グループ名:このトピックの表にある「Google Cloud Group name」の値を使用します。たとえば:
-
「グループ設定」タブで、会社のセキュリティのベスト・プラクティスに基づいてアクセス設定を更新し、「グループの作成」をクリックします。
-
「別のグループの作成」をクリックして、このトピックのグループの表に次のグループの作成を開始します。
- ステップ3から5を繰り返して残りの必要なグループを作成した後、「完了」をクリックします。
-
IAMおよび管理で作成したGoogle Cloudグループにロールを割り当てます。Google Cloudコンソールで「IAM & Admin」を検索し、検索結果をクリックしてコンソールでこのサービスに移動します。
-
IAMおよび管理ナビゲーション・メニューで、「IAM」をクリックし、「アクセス権の付与」を選択します。
-
「アクセス権の付与」ダイアログで、このタスクのステップ2から5で作成したグループにロールを割り当てます。
次を入力し、「保存」をクリックして、このトピックの最初に表に示されているすべてのグループにロールを割り当てるまで、このステップを繰り返します。
- プリンシパルの追加: 「新規プリンシパル」フィールドに、ロールを割り当てるグループのGoogle Cloudグループの電子メールを入力します。このトピックの最初にある表では、グループEメール名の推奨ネーミング・パターンを確認できます。例:
odbg-adbs-db-administrators@example.com - ロールの割当て: 「ロール」フィールドで、このトピックの最初にある表にリストされている、「新規プリンシパル」フィールドに入力したグループ電子メールに対応するGoogleグループ・ロール割当てを選択します。例: "Oracle Database@Google Cloud Autonomous Database Admin"
- プリンシパルの追加: 「新規プリンシパル」フィールドに、ロールを割り当てるグループのGoogle Cloudグループの電子メールを入力します。このトピックの最初にある表では、グループEメール名の推奨ネーミング・パターンを確認できます。例:
次の表の情報を使用して、Exadata Database Serviceの新しいGoogle Cloudグループおよびロールを作成します。表に指定されているGoogle Cloud Group email値は推奨値ですが、必要に応じて他のグループ電子メール名を使用できます。<email_domain>文字列は、組織の電子メール・ドメインに置き換える必要があることに注意してください。たとえば: odbg-adbs-db-administrators@example.com
| Google Cloudグループ名 | Google Cloud Groupのメール | Google Cloudロールの割当て | 目的 |
|---|---|---|---|
|
odbg-exa-infra管理者 |
odbg-exa-infra-administrators@<email_domain> |
Oracle Database@Google Cloud Exadataインフラストラクチャ管理 |
このグループは、Google CloudですべてのOracle Exadata Database Serviceリソースを管理する必要がある管理者用です。 |
|
odbg-exa-infra-readers |
odbg-exa-infra-readers@<email_domain> |
Oracle Database@Google Cloud Exadataインフラストラクチャ・ビューア |
このグループは、Google CloudのすべてのOracle Exadata Database Serviceリソースを表示する必要があるビューア用です |
|
odbg-vm-cluster-administrators |
odbg-vm-cluster-administrators@<email_domain> |
Oracle Database@Google Cloud VMクラスタ管理 |
このグループは、Google CloudでVMクラスタ・リソースを管理する必要がある管理者用です。 |
|
odbg-vm-cluster-readers |
odbg-vm-cluster-readers@<email_domain> |
Oracle Database@Google Cloud VMクラスタ・ビューア |
このグループは、Google CloudでVMクラスタ・リソースを表示する必要があるビューア用です |
|
odbg-db-family-administrators |
odbg-db-family-administrators@<email_domain> |
Oracle Database@Google Cloud管理 |
このグループは、OCIのすべてのOracle Database Serviceリソースを管理する必要がある管理者を対象としています。 このグループは、オプションのアイデンティティ・フェデレーション・プロセス中にOCIにレプリケートされます。 |
|
odbaa-db-family-readers |
odbaa-db-family-readers@<email_domain> |
Oracle Database@Google Cloudビューア |
このグループは、OCIのすべてのOracle Databaseリソースを表示する必要がある読者を対象としています。 このグループは、オプションのアイデンティティ・フェデレーション・プロセス中にOCIにレプリケートされます。 |
|
odbg-exa-cdb-administrators |
odbg-exa-cdb-administrators@<email_domain> |
なし |
このグループは、OCI内のすべてのCDBリソースを管理する必要がある管理者用です。 このグループは、オプションのアイデンティティ・フェデレーション・プロセス中にOCIにレプリケートされます。 |
|
odbg-exa-pdb-administrators |
odbg-exa-pdb-administrators@<email_domain> |
なし |
このグループは、OCI内のすべてのPDBリソースを管理する必要がある管理者用です。 このグループは、オプションのアイデンティティ・フェデレーション・プロセス中にOCIにレプリケートされます。 |
|
odbg-network-administrators |
odbg-network-administrators@<email_domain> |
なし |
このグループは、OCIのすべてのネットワーク・リソースを管理する必要がある管理者を対象としています。 このグループは、オプションのアイデンティティ・フェデレーション・プロセス中にOCIにレプリケートされます。 |
|
odbg-costmgmt-administrators |
odbg-costmgmt-administrators@<email_domain> |
なし |
このグループは、OCIでコストおよび請求リソースを管理する必要がある管理者を対象としています。 このグループは、オプションのアイデンティティ・フェデレーション・プロセス中にOCIにレプリケートされます。 |
Google CloudコンソールでExadata Database Serviceのロール・ベースのアクセス制御を構成するには
-
URL https://admin.google.com/ac/groupsを使用してGoogle Cloud管理コンソールにサインインします。「グループ」リスト・ビュー・ページが表示されます。
-
「グループ」リスト・ビュー・ページで、「グループの作成」をクリックします。
-
「グループ情報」タブで、作成するグループについて次の詳細を入力します。このトピックの表内の各行について、このタスクのステップを使用してグループを作成する必要があります。1つのグループのタスクのステップに従ってそのグループを作成し、表にリストされている追加のグループに対してステップを繰り返します。
- グループ名:このトピックの表にある「Google Cloud Group name」の値を使用します。たとえば:
odbg-exa-infra-administrators。 - グループ電子メール:このトピックの表でGoogle Cloud Groupの電子メール値を使用するか、必要に応じて独自の値を作成できます。例:
odbg-exa-infra-administrators@example.com - グループの説明:このトピックの表にある「目的」列にある説明を使用できます。例: 「このグループは、Google CloudですべてのOracle Exadata Database Serviceリソースを管理する必要がある管理者用です。」
情報を入力する前に:
情報入力後:
これらの値を入力した後、「次へ」をクリックします。
- グループ名:このトピックの表にある「Google Cloud Group name」の値を使用します。たとえば:
-
「グループ設定」タブで、会社のセキュリティのベスト・プラクティスに基づいてアクセス設定を更新し、「グループの作成」をクリックします。
-
「別のグループの作成」をクリックして、このトピックのグループの表に次のグループの作成を開始します。
- ステップ3から5を繰り返して残りの必要なグループを作成した後、「完了」をクリックします。
-
IAMおよび管理で作成したGoogle Cloudグループにロールを割り当てます。Google Cloudコンソールで「IAM & Admin」を検索し、検索結果をクリックしてコンソールでこのサービスに移動します。
-
IAMおよび管理ナビゲーション・メニューで、「IAM」をクリックし、「アクセス権の付与」を選択します。
-
「アクセス権の付与」ダイアログで、このタスクのステップ2から5で作成したグループにロールを割り当てます。
次を入力し、「保存」をクリックして、このトピックの最初に表に示されているすべてのグループにロールを割り当てるまで、このステップを繰り返します。
- プリンシパルの追加: 「新規プリンシパル」フィールドに、ロールを割り当てるグループのGoogle Cloudグループの電子メールを入力します。このトピックの最初にある表では、グループEメール名の推奨ネーミング・パターンを確認できます。例:
odbg-adbs-db-administrators@example.com - ロールの割当て: 「ロール」フィールドで、このトピックの最初にある表にリストされている、「新規プリンシパル」フィールドに入力したグループ電子メールに対応するGoogleグループ・ロール割当てを選択します。例: "Oracle Database@Google Cloud Autonomous Database Admin"
- プリンシパルの追加: 「新規プリンシパル」フィールドに、ロールを割り当てるグループのGoogle Cloudグループの電子メールを入力します。このトピックの最初にある表では、グループEメール名の推奨ネーミング・パターンを確認できます。例:
次の手順?
Oracle Database@Google Cloudを使用する準備ができました。次を実行できます。
- Oracle Database@Google Cloudのアイデンティティ・フェデレーションを設定します(オプション)。フェデレーションを使用すると、ユーザーはGoogle Cloudの資格証明を使用して、サービスに関連付けられたOCIテナンシにサインインできます。詳細は、タスク6: Identity Federationの設定(オプション)を参照してください。
- アイデンティティ・フェデレーションを使用しない場合は、OCIコンソールでユーザーを追加できます。詳細は、IAMの概要およびユーザーの管理を参照してください。オプションで、My Oracle Supportにユーザーを登録して、サービス・リクエストをオープンできます。
- 「オンボーディング後の次」で提案をレビューします