Oracle Cloud Infrastructureドキュメント

Autonomous AI DatabaseのIAMポリシー

Autonomous AI DatabaseでのAPI操作に必要なIAMポリシーに関する情報を提供します。

Oracle Autonomous AI Databaseは、IAM (Identity and Access Management)サービスを利用してクラウド・ユーザーを認証し、Oracle Cloud Infrastructureインタフェース(コンソール、REST API、CLIまたはSDK)を使用する操作を実行する権限を付与します。

バックアップとリカバリ、キー管理、ライフサイクル操作(停止、開始、スケーリングなど)など、ユーザーが実行できる特定のデータベース・アクティビティに基づいて、ユーザーにロールを割り当てることができます。

IAMサービスでは、グループコンパートメントおよびポリシーを使用してどのクラウド・ユーザーがどのリソースにアクセスできるかを制御します。

Autonomous AI Databaseのポリシー詳細

このトピックでは、自律型AIデータベース・リソースへのアクセスを制御するためのポリシーの記述の詳細を説明します。

ポリシーは、個々のコンパートメント内の特定のリソースに対してユーザーのグループが持つアクセスの種類を定義します。詳細は、ポリシーの開始を参照してください。

リソース・タイプ

集約リソース・タイプは、すぐ後に続く個別リソース・タイプのリストをカバーします。たとえば、グループでautonomous-database-familyにアクセスできるようにするポリシーを1つ記述することは、autonomous-databasesautonomous-backupsリソース・タイプへのアクセスを付与するグループの4つの個別のポリシーを作成することと同じです。詳細は、リソース・タイプを参照してください。

Autonomous AI Databaseのリソース・タイプ

集約リソース・タイプ:

autonomous-database-family

個々のリソース・タイプ:

autonomous-databases

autonomous-backups

動詞+リソース・タイプの組合せの詳細

アクセス・レベルは、inspect > read > use > manageの順に累積します。表のセルのプラス記号(+)は、そのすぐ上のセルと比較して増分アクセスを示しますが、「追加なし」は増分アクセスを示していません。

たとえば、autonomous-databasesリソース・タイプに対するread動詞には、inspect動詞と同じ権限およびAPI操作に加えてAUTONOMOUS_DATABASE_CONTENT_READ権限が含まれます。read動詞はCreateAutonomousDatabaseBackup操作を部分的にカバーしているため、autonomous-backupsに対する管理権限も必要です。

次の表は、各動詞でカバーされるアクセス権およびAPI操作を示しています。権限の詳細は、権限を参照してください。

ノート

ノート: autonomous-database-familyでカバーされるリソース・ファミリを使用すると、すべてのAutonomous AI Databaseワークロード・タイプに関連付けられたデータベース・リソースへのアクセス権を付与できます。

autonomous-databasesリソース・タイプ

動詞 権限 完全に対象となるAPI 一部カバーされたAPI
inspect AUTONOMOUS_DATABASE_INSPECT GetAutonomousDatabase, GetAutonomousDatabaseBackupConfig, GetAutonomousDatabaseCapability, ListAutonomousDatabases, ListAutonomousDatabaseClones, ListAutonomousDatabasePeers, ListAutonomousDatabaseRefreshableClones, ResourcePoolShapes なし
読取り

INSPECT +

AUTONOMOUS_DATABASE_CONTENT_READ

 GenerateAutonomousDatabasePerformanceData, GenerateAutonomousDatabaseWallet, GetAutonomousDatabaseRegionalWallet, GetAutonomousDatabaseWallet, RetrieveDatabasePerformanceBulkData CreateAutonomousDatabaseBackup (manage autonomous-backupsも必要)
使用

READ +

AUTONOMOUS_DATABASE_CONTENT_WRITE

AUTONOMOUS_DATABASE_UPDATE

 AutonomousDatabaseManualRefresh, CancelAutonomousDatabaseSession, ChangeDisasterRecoveryConfiguration, ConfigureAutonomousDatabaseVaultKey, DeregisterAutonomousDatabaseDataSafe, DisableAutonomousDatabaseOperationsInsights, DisableDatabaseManagement, EnableAutonomousDatabaseOperationsInsights, EnableDatabaseManagement, FailOverAutonomousDatabase, GetAutonomousDatabaseConsoleToken, RegisterAutonomousDatabaseDataSafe, RestartAutonomousDatabase, RotateAutonomousDatabaseEncryptionKey, ShrinkAutonomousDatabase, StartAutonomousDatabase, StopAutonomousDatabase, SwitchOverAutonomousDatabase, UpdateAutonomousDatabaseRegionalWallet, UpdateAutonomousDatabase

RestoreAutonomousDatabase (read autonomous-backupsも必要

ChangeAutonomousDatabaseCompartment (read autonomous-backupsも必要

管理

USE +

AUTONOMOUS_DATABASE_CREATE

AUTONOMOUS_DATABASE_DELETE

NETWORK_SECURITY_GROUP_UPDATE_MEMBERS

 CreateAutonomousDatabase, DeleteAutonomousDatabase なし

Autonomous AI Databaseインスタンスを管理するための操作および必要なIAMポリシーのリスト

工程 必要なIAMポリシー
ピア・データベースの追加 use autonomous-databases
セキュリティ属性の追加 use autonomous-databases
コンピュート・モデルの変更 use autonomous-databases
データベース・モードの変更 use autonomous-databases
ネットワークの変更 use autonomous-databases
ワークロード・タイプの変更 use autonomous-databases
Autonomous AI Databaseのクローニング

manage autonomous-databases

Autonomous AI Databaseに対する追加のクローニング権限については、Autonomous AI DatabaseのIAM権限およびAPI操作を参照してください。

Autonomous AI Databaseの作成

manage autonomous-databases

read autonomous-databases
データベース・ツール構成の編集 use autonomous-databases
開始/停止スケジュールの編集 use autonomous-databases
エラスティック・プールの有効化 use autonomous-databases
Autonomous AI Databaseの自動スケーリングの有効化または無効化 use autonomous-databases
エラスティック・プールの結合 use autonomous-databases
顧客連絡先の管理 use autonomous-databases
暗号化キーの管理 use autonomous-databases
別のコンパートメントへのAutonomous AI Databaseの移動

データベースの現在のコンパートメントおよび移動先のコンパートメントのuse autonomous-databases

read autonomous-backups
自律型AIデータベースの名前変更 use autonomous-databases
Autonomous AI Databaseの再起動 use autonomous-databases
Autonomous AI Databaseのリストア

use autonomous-databases

read autonomous-backups
自律型AIデータベースのECPU数またはストレージのスケーリング use autonomous-databases
ADMINユーザー・パスワードの設定 use autonomous-databases
Autonomous AI Databaseの停止または起動 use autonomous-databases
スイッチオーバー use autonomous-databases
Autonomous AI Databaseの終了 manage autonomous-databases
ディザスタ・リカバリの更新 use autonomous-databases
表示名の更新 use autonomous-databases
ライセンスとOracle AI Database Editionの更新 use autonomous-databases
ACLのネットワーク・アクセスの更新 use autonomous-databases
プライベート・エンドポイントのネットワーク・アクセスの更新 use autonomous-databases
自律型AIデータベースのリストの表示 inspect autonomous-databases
Autonomous AI Databaseの詳細の表示 inspect autonomous-databases

自律バックアップ

動詞 権限 完全に対象となるAPI 一部カバーされたAPI
inspect AUTONOMOUS_DB_BACKUP_INSPECT ListAutonomousDatabaseBackups, GetAutonomousDatabaseBackup なし
管理

USE +

AUTONOMOUS_DB_BACKUP_CREATE

AUTONOMOUS_DB_BACKUP_DELETE

 DeleteAutonomousDatabaseBackup CreateAutonomousDatabaseBackup (read autonomous-databasesも必要)
読取り

INSPECT +

AUTONOMOUS_DB_BACKUP_CONTENT_READ

 追加はありません

RestoreAutonomousDatabase (use autonomous-databasesも必要)

ChangeAutonomousDatabaseCompartment (use autonomous-databasesも必要)

使用

READ +

追加はありません

 追加はありません なし

サポートされる変数

すべての一般的なOCI Identity and Access Management変数がサポートされています。詳細は、すべてのリクエストの一般的な変数を参照してください。

また、次の表に示すように、target.id変数をデータベースのOCIDとともに使用し、target.workloadType変数を値とともに使用できます。

target.workloadType値 摘要
OLTP トランザクション処理ワークロードがある自律型AIデータベースに使用されるオンライン・トランザクション処理。
LH Lakehouseは、分析およびデータ・プラットフォーム・ワークロードを備えた自律型AIデータベースに使用されます。
DW データ・ウェアハウス。データ・ウェアハウス・ワークロードを使用する自律型AIデータベースに使用されます。
AJD JSONワークロードを使用した自律型AIデータベースに使用されるAutonomous JSON Database。
APEX Autonomous AI Database APEX Serviceに使用されるAPEXサービス。

target.id変数を使用したポリシーの例:

Allow group ADB-Admins to manage autonomous-databases in tenancy where target.id = 'OCID'

target.workloadType変数を使用したポリシーの例:

Allow group ADB-Admins to manage autonomous-databases in tenancy where target.workloadType = 'AJD'

request.operation.actiontype変数を使用すると、updateAutonomousDatabasecreateAutonomousDatabaseなどの操作内でリクエストされる特定のサブ操作または構成の変更を識別できます。ポリシーでこれらのアクション・タイプを制御するには、request.operation.actiontypeパラメータを使用します。これにより、アクションを詳細に制御でき、ロールに必要なアクセス権があることを確認できます。

request.operation.actiontype変数を使用するポリシーの例:

ポリシーがrequest.operation.actiontypeを使用して特定のアクション・タイプへのアクセス権を付与する場合、ユーザーはそのサブ操作に制限され、ポリシーに明示的に含まれないかぎり、他の更新アクションを実行できません。次に例を示します。

allow group MyGroup to manage autonomous-database-family where request.operation.actiontype =
      'adminPassword'

前述のポリシーは、ADMINパスワードを変更する権限をグループに付与しますが、コンピュート、ストレージ、ネットワーク構成などの他の属性は変更しません。

同様に、次のような他の操作を許可しながら、機密性の高い操作を除外できます。

allow group MyGroup to manage autonomous-database-family where request.operation.actiontype
      != 'adminPassword'

次の表に、ActionType変数を示します。各変数は、CreateAutonomousDatabaseまたはUpdateAutonomousDatabaseで使用できる特定のサブ操作を表します。

ActionType 工程
adminPassword 管理パスワードを設定するか、ボールトのsecretIDを設定します。
scheduledOperations 長期バックアップのスケジュールを設定します。
customerContacts 運用上の通知、お知らせおよび計画外保守に関する顧客担当者情報を管理します。
dbToolsConfigure データベース・ツールを有効化または無効化します。
licenseModel BYOLのBring Your Own License (BYOL)オプションおよびECPU数を更新します。
updateElasticPool エラスティック・プール・オプションを更新します。
upgradeToPaid 開発者または無料バージョンから有料バージョンへのアップグレードを許可します。
displayName 表示名の更新
joinElasticPool エラスティック・プールをメンバーとして参加します。
disasterRecoveryType 障害時リカバリのためにAutonomous Data Guardに更新します。
manageEncryptionKeys 暗号化キーを管理します(Oracle管理または顧客管理)。
openMode データベース操作モードを読取りまたは書込みと読取り専用で変更します。
whitelistedIps Autonomous AI Databaseアクセス制御リストで許可されたIPを変更して、ネットワーク・アクセスを制御します。
networkConfig パブリック・オプションまたはプライベート・オプションを含むネットワーク構成を更新します。
dbName データベース名の変更
computeCount コンピュート制限をスケーリングします。
autoScalingConfig コンピュート自動スケーリングを有効または無効にします。
dataStorageSize ストレージの制限をスケーリングします。
autoScalingForStorageConfig 自動スケーリング・オプションを有効または無効にします。
dbWorkload ワークロード・タイプを変更します。
scheduleDbVersionUpgrade 計画されたデータベース・バージョン・アップグレードについて、特定の日付または最も早いスケジュールを設定します。
vanityUrl バニティURLを設定するか、バニティURLの詳細を変更します。
maintenanceScheduleType earlyメンテナンス・ウィンドウとregularメンテナンス・ウィンドウ間でパッチ適用スケジュールを切り替えます。

Autonomous AI DatabaseのIAM権限およびAPI操作

このトピックでは、Autonomous AI Databaseでの操作に使用可能なIAM権限について説明します。

これらの操作は、通常のロールがこれらの操作を実行できるように、権限にグループ化されます。より詳細な権限が必要な場合は、これらの権限をサブ操作およびアクション・タイプと組み合せることができます。UpdateAutonomousDatabaseにはいくつかの操作が含まれていますが、前の項で説明したアクション・タイプに基づいて制限できます。

Autonomous AI DatabaseのIAM権限を次に示します:

  • AUTONOMOUS_DATABASE_CONTENT_READ

  • AUTONOMOUS_DATABASE_CONTENT_WRITE

  • AUTONOMOUS_DATABASE_CREATE

    追加のクローニングの制限については、クローニング権限を参照してください。

  • AUTONOMOUS_DATABASE_DELETE

  • AUTONOMOUS_DATABASE_INSPECT

  • AUTONOMOUS_DATABASE_UPDATE

  • AUTONOMOUS_DB_BACKUP_CONTENT_READ

  • AUTONOMOUS_DB_BACKUP_CREATE

  • AUTONOMOUS_DB_BACKUP_INSPECT

  • NETWORK_SECURITY_GROUP_UPDATE_MEMBERS

  • VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP

グループがコンパートメントにOracle Autonomous AI Databaseを作成する権限を持っている場合のポリシーの例:

Allow group group-name to manage autonomous-database in compartment id compartment-ocid
    where all{request.permission = 'AUTONOMOUS_DATABASE_UPDATE'}

| API操作|操作の使用に必要な権限| | | - | | |

GenerateAutonomousDatabaseWallet

GetAutonomousDatabaseRegionalWallet

GetAutonomousDatabaseWallet

RetrieveDatabasePerformanceBulkData

| AUTONOMOUS_DATABASE_CONTENT_READ | | CreateAutonomousDatabase | AUTONOMOUS_DATABASE_CREATE | | DeleteAutonomousDatabase | AUTONOMOUS_DATABASE_DELETE | |

GetAutonomousDatabase

ListAutonomousDatabaseClones

ListAutonomousDatabasePeers

ListAutonomousDatabaseRefreshableClones

ListAutonomousDatabases

ResourcePoolShapes

| AUTONOMOUS_DATABASE_INSPECT | |

AutonomousDatabaseManualRefresh

ConfigureAutonomousDatabaseVaultKey

DeregisterAutonomousDatabaseDataSafe

DisableAutonomousDatabaseOperationsInsights

DisableDatabaseManagement

EnableAutonomousDatabaseOperationsInsights

EnableDatabaseManagement

FailOverAutonomousDatabase

RegisterAutonomousDatabaseDataSafe

RestartAutonomousDatabase

RotateAutonomousDatabaseEncryptionKey

ShrinkAutonomousDatabase

StartAutonomousDatabase

StopAutonomousDatabase

SwitchOverAutonomousDatabase

UpdateAutonomousDatabaseWallet

UpdateAutonomousDatabaseRegionalWallet

| AUTONOMOUS_DATABASE_UPDATE | |

GetAutonomousDatabaseBackup

ListAutonomousDatabaseBackups

| AUTONOMOUS_DB_BACKUP_INSPECT | | UpdateAutonomousDatabaseBackup | AUTONOMOUS_DB_BACKUP_UPDATE | | CreateAutonomousDatabaseBackup | AUTONOMOUS_DB_BACKUP_CREATE{::nomarkdown}<p>AUTONOMOUS_DATABASE_CONTENT_READ</p>{:/} | | DeleteAutonomousDatabaseBackup | AUTONOMOUS_DB_BACKUP_INSPECT{::nomarkdown}<p>AUTONOMOUS_DB_BACKUP_DELETE</p>{:/} | | RestoreAutonomousDatabase | {::nomarkdown}<p><code class="codeph">AUTONOMOUS_DB_BACKUP_INSPECT</code></p><p><code class="codeph"> AUTONOMOUS_DB_BACKUP_CONTENT_READ</code></p><p><code class="codeph">AUTONOMOUS_DATABASE_CONTENT_WRITE</code></p> {:/} | | ChangeAutonomousDatabaseCompartment | {::nomarkdown}<p>Required on the source and the target compartment:</p><p><code class="codeph">AUTONOMOUS_DATABASE_UPDATE</code></p><p><code class="codeph">AUTONOMOUS_DB_BACKUP_INSPECT</code></p><p><code class="codeph">AUTONOMOUS_DB_BACKU_CREATE</code></p><p><code class="codeph">AUTONOMOUS_DATABASE_CONTENT_WRITE</code></p><p>Required in both the source and the target compartment when Private Endpoint is enabled:</p><p> <code class="codeph">WNIC_ASSOCIATE_NETOWRK_SECURITY_GROUP</code></p><p> <code class="codeph">NETWORK_SECURITY_GROUP_UPDATE_MEMBERS</code></p> {:/} | | {::nomarkdown}<p><code class="codeph">UpdateAutonomousDatabase</code>: Use this API for changes or updates for any of the following operations:</p><p><b>Note: </b>For more granular permissions use these suboperations as an <code class="codeph">actiontype</code> when defining a policy for the user. </p><ul> <li>set admin password (<code class="codeph">adminPassword</code>)</li><li>auto start/stop schedule (<code class="codeph">scheduledOperations</code>)</li><li>manage customer contacts (<code class="codeph">customerContacts</code>)</li><li>edit tool configuration (<code class="codeph">dbToolsDetails</code>)</li><li>update BYOL license options (<code class="codeph">licenseModel</code> and <code class="codeph">byolComputeCountLimit</code>)</li><li>update display name (<code class="codeph">displayName</code>)</li><li>join an elastic pool</li><li>update elastic pool options</li><li>manage encryption keys</li><li>update to autonomous data guard for disaster recovery (<code class="codeph">isLocalDataGuardEnabled</code> and <code class="codeph">disasterRecoveryType</code>)</li><li>change database operation modes between read or write and read-only (<code class="codeph">openMode</code>)</li><li>modify whitelisted IPs in Autonomous AI Database access control lists to control network access (<code class="codeph">whitelistedIps</code>)</li><li>update network access with private endpoint (<code class="codeph">privateEndpointLabel</code>)</li><li>rename database (<code class="codeph">dbName</code>)</li><li>scale compute limits (<code class="codeph">computeCount</code>)</li><li>manage compute auto scaling option (<code class="codeph">isAutoScalingEnabled</code>)</li><li>scale storage limits ( <code class="codeph">dataStorageSizeInTBs</code>)</li><li>manage storage auto scaling options (<code class="codeph">isAutoScalingForStorageEnabled</code>)</li><li>change workload type (<code class="codeph">dbWorkload</code>) </li> </ul> {:/} | {::nomarkdown}<p>Three possible cases:</p><ul> <li>If Workload is <code class="codeph">NULL</code>: <code class="codeph">AUTONOMOUS_DATABASE_UPDATE</code></li><li>If Workload is not <code class="codeph">NULL</code>: <p><code class="codeph">AUTONOMOUS_DATABASE_CREATE</code></p><p><code class="codeph">AUTONOMOUS_DATABASE_UPDATE</code></p></li><li>If Tagging is enabled: <p><code class="codeph">AUTONOMOUS_DATABASE_UPDATE</code></p><p><code class="codeph">AUTONOMOUS_DATABASE_INSPECT</code></p></li> </ul> {:/} | | ChangeAutonomousDatabaseSubscription | requires changeAutonomousDatabaseSubscription | | SaasAdminUserStatus | requires getSaasAdminUser | | {::nomarkdown}<p><code class="codeph">ConfigureSaasAdminUser</code></p><p><code class="codeph">ListAutonomousDatabaseCharacterSets</code></p><p><code class="codeph">ListAutonomousDatabaseMaintenanceWindows</code></p> {:/} | requires updateSaasAdminUser` |

クローニング権限

Autonomous AI Databaseでは、一般的なIAM権限がサポートされています。また、次の表に示すように、サポートされている権限値とともにtarget.autonomous-database.cloneTypeを使用してアクセス・レベルを制御できます。

target.autonomous-database.cloneType値 摘要
CLONE-FULL フル・クローンのみを許可します。
CLONE-METADATA メタデータ・クローンのみを許可します。
CLONE-REFRESHABLE リフレッシュ可能クローンのみを許可します。
/CLONE*/ 任意の種類のクローンを許可します。

サポートされているtarget.autonomous-database.cloneType権限値を含むポリシーの例:

Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-FULL'}
Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-METADATA'}
Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-REFRESHABLE'}
Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = /CLONE*/}

詳細は、Permissionsを参照してください。

Autonomous AI Databaseを管理するためのIAMポリシーでの特定の権限の提供

認可動詞で使用できるIAMポリシーと、より詳細な操作をグループに付与する条件をリストします。

たとえば、グループMyGroupStartAutonomousDatabase APIを使用してAutonomous AIデータベースを起動できるようにするには:

Allow MyGroup to manage autonomous-databases where request.operation = 'StartAutonomousDatabase'

詳細は、動詞および条件を参照してください。

承認動詞リスト
autonomousDatabaseManualRefresh
changeAutonomousDatabaseCompartment
changeAutonomousDatabaseSubscription
changeDisasterRecoveryConfiguration
configureAutonomousDatabaseVaultKey
configureSaasAdminUser
createAutonomousDatabase
createAutonomousDatabaseBackup
deleteAutonomousDatabase
deleteAutonomousDatabaseBackup
deregisterAutonomousDatabaseDataSafe
disableAutonomousDatabaseManagement
disableAutonomousDatabaseOperationsInsights
enableAutonomousDatabaseManagement
enableAutonomousDatabaseOperationsInsights
failOverAutonomousDatabase
generateAutonomousDatabaseWallet
getAutonomousDatabase
getAutonomousDatabaseBackup
getAutonomousDatabaseRegionalWallet
getAutonomousDatabaseWallet
listAutonomousDatabaseBackups
listAutonomousDatabaseCharacterSets
listAutonomousDatabaseClones
listAutonomousDatabaseMaintenanceWindows
listAutonomousDatabasePeers
listAutonomousDatabaseRefreshableClones
listAutonomousDatabases
registerAutonomousDatabaseDataSafe
resourcePoolShapes
restartAutonomousDatabase
restoreAutonomousDatabase
rotateAutonomousDatabaseEncryptionKey
SaasAdminUserStatus
shrinkAutonomousDatabase
startAutonomousDatabase
stopAutonomousDatabase
switchoverAutonomousDatabase
updateAutonomousDatabase
updateAutonomousDatabaseBackup
updateAutonomousDatabaseRegionalWallet
updateAutonomousDatabaseWallet

認可動詞updateAutonomousDatabaseは、複数のAPI操作を使用するための権限をグループ化します。

工程
DeregisterAutonomousDatabaseDataSafe
DisableAutonomousDatabaseOperationsInsights
DisableDatabaseManagement
EnableAutonomousDatabaseOperationsInsights
RegisterAutonomousDatabaseDataSafe

たとえば:

Allow MyGroup to manage autonomous-databases where request.operation =  'updateAutonomousDatabase'