Oracle Cloud Infrastructureドキュメント

ロールベースのアクセス制御

Oracle Database@Google Cloudリソースへのユーザー・アクセスを制御するには、ロールベースのアクセス制御(RBAC)を使用します。

Oracle Autonomous DatabaseとOracle Exadata Database Serviceの両方にGoogle Cloud RBACを使用して、ユーザー・アクセスを制御します。

次の点に注意してください。

  • Pay as you go(パブリック・オファー)のお客様は、Autonomous Databaseの指示を完了するだけで済みます。
  • Oracle Autonomous DatabaseとExadata Database Serviceの両方をプロビジョニングするプライベート・オファーのお客様は、このトピックの手順の両方を完了する必要があります。それ以外の場合は、使用する予定のデータベース・サービスと一致する一連の指示を完了します。

Oracle Autonomous Databaseのロールベースのアクセス制御の構成

グループ、提示Eメール・アドレスおよびロール割当

次の表に、Autonomous DatabaseのGoogle Cloudグループおよびロールの詳細を示します。表に指定されているGoogle Cloud Groupの電子メール値は推奨値です。ただし、必要に応じて他のグループの電子メール名を使用できます。<email_domain>文字列は、組織の電子メール・ドメインに置き換える必要があります。例: odbg-adbs-db-administrators@example.com

Google Cloudグループ名 Google Cloud Groupの電子メール Google Cloudロール割当 目的
odbg-adbs-db-administrators odbg-adbs-db-administrators@<email_domain> Oracle Database@Google Cloud Autonomous Database管理 このグループは、Google CloudのすべてのOracle Autonomous Databaseリソースを管理する必要がある管理者を対象としています。
odbg-adbs-db-readers odbg-adbs-db-readers@<email_domain> Oracle Database@Google Cloud Autonomous Databaseビューア このグループは、Google CloudのすべてのOracle Autonomous Databaseリソースを表示する必要があるビューア用です。
odbg-db-family-administrators odbg-db-family-administrators@<email_domain> Oracle Database@Google Cloud管理者

このグループは、OCIのすべてのOracle Database Serviceリソースを管理する必要がある管理者を対象としています。

このグループは、オプションのアイデンティティ・フェデレーション・プロセス中にOCIでレプリケートされます。
odbg-db-family-readers odbg-db-family-readers@<email_domain> Oracle Database@Google Cloudビューア

このグループは、OCIのすべてのOracle Databaseリソースを表示する必要があるリーダーを対象としています。

このグループは、オプションのアイデンティティ・フェデレーション・プロセス中にOCIでレプリケートされます。
odbgネットワーク管理者 odbg-network-administrators@<email_domain> 適用不可

このグループは、OCI内のすべてのネットワーク・リソースを管理する必要がある管理者を対象としています。

このグループは、オプションのアイデンティティ・フェデレーション・プロセス中にOCIでレプリケートされます。
odbg-costmgmt- 管理者 odbg-costmgmt-administrators@<email_domain> 適用不可

このグループは、OCIでコストおよび請求リソースを管理する必要がある管理者を対象としています。

このグループは、オプションのアイデンティティ・フェデレーション・プロセス中にOCIでレプリケートされます。
ステップ
  1. URL https://admin.google.com/ac/groupsを使用してGoogle Cloud管理コンソールにサインインします。
    「グループ」リスト・ビュー・ページが表示されます。
  2. 「グループ」リスト・ビュー・ページで、「グループの作成」を選択します。
    IAMグループ・インタフェースを示すGoogle Cloud管理コンソールのイメージです。
  3. 「グループ情報」タブで、作成するグループの次の詳細を入力します。

    このトピックの表の各行について、このタスクのステップを使用してグループを作成します。1つのグループのタスクのステップに従ってそのグループを作成し、表にリストされている追加グループのステップを繰り返します。

    • グループ名:前述の表の「Google Cloudグループ名」の値を使用します。たとえば: odbg-adbs-db-administrators
    • グループEメール:前述の表の「Google CloudグループのEメール」値を使用するか、必要に応じて独自の値を作成できます。例: odbg-adbs-db-administrators@example.com
    • グループの説明:前述の表の「目的」列にある説明を使用できます。たとえば、「このグループは、Google CloudですべてのOracle Autonomous Databaseリソースを管理する必要がある管理者を対象としています」などです。

    情報を入力する前に:

    Google Cloud管理コンソールの「グループの作成」フォームのイメージです。

    情報を入力した後:

    Google Cloud管理コンソールの「グループの作成」フォームのイメージです。
  4. これらの値を入力したら、「次へ」を選択します。
  5. 「グループ設定」タブで、会社のセキュリティのベスト・プラクティスに基づいてアクセス設定を更新し、「CREATE GROUP」を選択します。
    Google Cloud管理コンソールの「グループの作成」ダイアログの「グループ設定」タブのイメージです。
  6. 「別のグループの作成」を選択して、このトピックのグループの表で次のグループの作成を開始します。
    グループが正常に作成された後の「グループの作成」ダイアログのイメージです。
  7. ステップ3から6を繰り返して残りの必要なグループを作成した後、「完了」を選択します。
  8. IAMおよび管理で作成したGoogle Cloudグループにロールを割り当てます: Google Cloudコンソールで「IAMと管理」を検索し、検索結果を選択して、コンソールでこのサービスに移動します。
    Google Cloudコンソールでの「IAMおよび管理」の検索のイメージです。
  9. 「IAMおよび管理」ナビゲーション・メニューで、「IAM」を選択し、「アクセス権の付与」を選択します。
    Google Cloudコンソールの「IAM」セクションの「アクセス権限の付与」画面のイメージです。
  10. 「アクセス権の付与」ダイアログで、このタスクのステップ2から6で作成したグループにロールを割り当てます。

    次のように入力し、「保存」を選択して、このトピックの最初にある表にリストされているすべてのグループにロールを割り当てるまで、このステップを繰り返します。

    • プリンシパルの追加: 「新規プリンシパル」フィールドに、ロールを割り当てるグループのGoogle Cloudグループの電子メールを入力します。前述の表で、グループEメール名の推奨ネーミング・パターンを確認できます。例: odbg-adbs-db-administrators@example.com
    • ロールの割当て: 「ロール」フィールドで、「新規プリンシパル」フィールドに入力したグループEメールに対応する、前述の表に示したGoogleグループのロール割当てを選択します。例: "Oracle Database@Google Cloud Autonomous Database Admin"
    Google Cloud IAMの「アクセスの付与」ダイアログのイメージです。

Oracle Exadata Database Serviceのロールベースのアクセス制御の構成

グループ、提示Eメール・アドレスおよびロール割当

次の表の情報を使用して、Exadata Database Serviceの新しいGoogle Cloudグループおよびロールを作成します。表に指定されているGoogle Cloud Groupの電子メール値は推奨値です。ただし、必要に応じて他のグループの電子メール名を使用できます。<email_domain>文字列は、組織の電子メール・ドメインに置き換える必要があります。たとえば: odbg-adbs-db-administrators@example.com

Google Cloudグループ名 Google Cloud Groupの電子メール Google Cloudロール割当 目的
odbg-exa-infra管理者 odbg-exa-infra-administrators@<email_domain> Oracle Database@Google Cloud Exadataインフラストラクチャ管理 このグループは、Google CloudのすべてのOracle Exadata Database Serviceリソースを管理する必要がある管理者を対象としています。
odbg-exa-infra-readers odbg-exa-infra-readers@<email_domain> Oracle Database@Google Cloud Exadataインフラストラクチャ・ビューア このグループは、Google CloudのすべてのOracle Exadata Database Serviceリソースを表示する必要がある参照者を対象としています
odbg-vm- クラスタ管理者 odbg-vm-cluster-administrators@<email_domain> Oracle Database@Google Cloud VMクラスタ管理 このグループは、Google CloudでVMクラスタ・リソースを管理する必要がある管理者を対象としています。
odbg-vm-cluster-readers odbg-vm-cluster-readers@<email_domain> Oracle Database@Google Cloud VMクラスタ・ビューア このグループは、Google CloudでVMクラスタ・リソースを表示する必要があるビューア用です
odbg-db-family-administrators odbg-db-family-administrators@<email_domain> Oracle Database@Google Cloud管理者

このグループは、OCIのすべてのOracle Database Serviceリソースを管理する必要がある管理者を対象としています。

このグループは、オプションのアイデンティティ・フェデレーション・プロセス中にOCIでレプリケートされます。
odbg-db-family-readers odbg-db-family-readers@<email_domain> Oracle Database@Google Cloudビューア

このグループは、OCIのすべてのOracle Databaseリソースを表示する必要があるリーダーを対象としています。

このグループは、オプションのアイデンティティ・フェデレーション・プロセス中にOCIでレプリケートされます。
odbg-exa-cdb管理者 odbg-exa-cdb-administrators@<email_domain> なし

このグループは、OCI内のすべてのCDBリソースを管理する必要がある管理者を対象としています。

このグループは、オプションのアイデンティティ・フェデレーション・プロセス中にOCIでレプリケートされます。
odbg-exa-pdb管理者 odbg-exa-pdb-administrators@<email_domain> なし

このグループは、OCI内のすべてのPDBリソースを管理する必要がある管理者を対象としています。

このグループは、オプションのアイデンティティ・フェデレーション・プロセス中にOCIでレプリケートされます。
odbgネットワーク管理者 odbg-network-administrators@<email_domain> なし

このグループは、OCI内のすべてのネットワーク・リソースを管理する必要がある管理者を対象としています。

このグループは、オプションのアイデンティティ・フェデレーション・プロセス中にOCIでレプリケートされます。
odbg-costmgmt- 管理者 odbg-costmgmt-administrators@<email_domain> なし

このグループは、OCIでコストおよび請求リソースを管理する必要がある管理者を対象としています。

このグループは、オプションのアイデンティティ・フェデレーション・プロセス中にOCIでレプリケートされます。
ステップ
  1. URL https://admin.google.com/ac/groupsを使用してGoogle Cloud管理コンソールにサインインします。
    「グループ」リスト・ビュー・ページが表示されます。
  2. 「グループ」リスト・ビュー・ページで、「グループの作成」を選択します。
    IAMグループ・インタフェースを示すGoogle Cloud管理コンソールのイメージです。
  3. 「グループ情報」タブで、作成するグループの次の詳細を入力します。

    このトピックの表の各行について、このタスクのステップを使用してグループを作成します。1つのグループのタスクのステップに従ってそのグループを作成し、表にリストされている追加グループのステップを繰り返します。

    • グループ名:前述の表の「Google Cloudグループ名」の値を使用します。たとえば: odbg-exa-infra-administrators
    • グループEメール:前述の表の「Google CloudグループのEメール」値を使用するか、必要に応じて独自の値を作成できます。例: odbg-exa-infra-administrators@example.com
    • グループの説明:前述の表の「目的」列にある説明を使用できます。たとえば、「このグループは、Google CloudのすべてのOracle Exadata Database Serviceリソースを管理する必要がある管理者を対象としています。」などです。

    情報を入力する前に:

    Google Cloud管理コンソールの「グループの作成」フォームのイメージです。

    情報を入力した後:

    Google Cloud管理コンソールの「グループの作成」フォームのイメージです。
  4. これらの値を入力したら、「次へ」を選択します。
  5. 「グループ設定」タブで、会社のセキュリティのベスト・プラクティスに基づいてアクセス設定を更新し、「CREATE GROUP」を選択します。
    Google Cloud管理コンソールの「グループの作成」ダイアログの「グループ設定」タブのイメージです。
  6. 「別のグループの作成」を選択して、このトピックのグループの表で次のグループの作成を開始します。
    グループが正常に作成された後の「グループの作成」ダイアログのイメージです。
  7. ステップ3から6を繰り返して残りの必要なグループを作成した後、「完了」を選択します。
  8. IAMおよび管理で作成したGoogle Cloudグループにロールを割り当てます: Google Cloudコンソールで「IAMと管理」を検索し、検索結果を選択して、コンソールでこのサービスに移動します。
    Google Cloudコンソールでの「IAMおよび管理」の検索のイメージです。
  9. 「IAMおよび管理」ナビゲーション・メニューで、「IAM」を選択し、「アクセス権の付与」を選択します。
    Google Cloudコンソールの「IAM」セクションの「アクセス権限の付与」画面のイメージです。
  10. 「アクセス権の付与」ダイアログで、このタスクのステップ2から6で作成したグループにロールを割り当てます。

    次のように入力し、「保存」を選択して、このトピックの最初にある表にリストされているすべてのグループにロールを割り当てるまで、このステップを繰り返します。

    • プリンシパルの追加: 「新規プリンシパル」フィールドに、ロールを割り当てるグループのGoogle Cloudグループの電子メールを入力します。前述の表で、グループEメール名の推奨ネーミング・パターンを確認できます。例: odbg-adbs-db-administrators@example.com
    • ロールの割当て: 「ロール」フィールドで、「新規プリンシパル」フィールドに入力したグループEメールに対応する、前述の表に示したGoogleグループのロール割当てを選択します。例: "Oracle Database@Google Cloud Autonomous Database Admin"
    Google Cloud IAMの「アクセスの付与」ダイアログのイメージです。