Autonomous AI DatabaseのIAMポリシー

Autonomous AI DatabaseでのAPI操作に必要なIAMポリシーに関する情報を提供します。

Oracle Autonomous AI Databaseは、IAM (Identity and Access Management)サービスを利用してクラウド・ユーザーを認証し、Oracle Cloud Infrastructureインタフェース(コンソール、REST API、CLIまたはSDK)を使用する操作を実行する権限を付与します。

バックアップとリカバリ、キー管理、ライフサイクル操作(停止、開始、スケーリングなど)など、ユーザーが実行できる特定のデータベース・アクティビティに基づいて、ユーザーにロールを割り当てることができます。

IAMサービスでは、グループ、コンパートメント,およびポリシーを使用して、どのクラウド・ユーザーがどのリソースにアクセスできるかを制御します。

自律型AIデータベースのポリシー詳細
このトピックでは、自律型AIデータベース・リソースへのアクセスを制御するポリシーの記述の詳細を説明します。
Autonomous AI DatabaseのIAM権限およびAPI操作
このトピックでは、Autonomous AI Databaseでの操作に使用できるIAM権限について説明します。
Autonomous AI Databaseを管理するためのIAMポリシーでの特定の権限の提供
認可動詞で使用できるIAMポリシーと、より詳細な操作をグループに付与する条件をリストします。

親トピック: セキュリティ

Autonomous AI Databaseのポリシー詳細

このトピックでは、自律型AIデータベース・リソースへのアクセスを制御するためのポリシーの記述の詳細を説明します。

ポリシーは、個々のコンパートメント内の特定のリソースに対するユーザーのグループのアクセスの種類を定義します。詳細は、ポリシーの開始を参照してください。

リソース・タイプ

集約リソース・タイプは、すぐ後に続く個別リソース・タイプのリストをカバーします。たとえば、グループでautonomous-database-familyにアクセスできるようにするポリシーを1つ記述することは、autonomous-databasesおよびautonomous-backupsリソース・タイプへのアクセスを付与するグループの4つの個別のポリシーを作成することと同じです。詳細は、リソース・タイプを参照してください。

Autonomous AI Databaseのリソース・タイプ

集約リソース・タイプ:

autonomous-database-family

個々のリソース・タイプ:

autonomous-databases

autonomous-backups

動詞+リソース・タイプの組合せの詳細

アクセス・レベルは、inspect > read > use > manageの順に累積します。表のセルのプラス記号(+)は、そのすぐ上のセルと比較して増分アクセスを示しますが、「追加なし」は増分アクセスを示しません。

たとえば、autonomous-databasesリソース・タイプに対するread動詞には、inspect動詞と同じ権限およびAPI操作に加えてAUTONOMOUS_DATABASE_CONTENT_READ権限もも含まれます。read動詞はCreateAutonomousDatabaseBackup操作を部分的にカバーしているため、autonomous-backupsに対する管理権限も必要です。

次の表に、各動詞の対象となるアクセス権およびAPI操作を示しています。権限の詳細は、権限を参照してください。

ノート

autonomous-database-familyでカバーされるリソース・ファミリを使用すると、すべてのAutonomous AI Databaseワークロード・タイプに関連付けられたデータベース・リソースへのアクセス権を付与できます。

autonomous-databasesリソース・タイプ

動詞	権限	完全に対象となるAPI	一部カバーされたAPI
inspect	`AUTONOMOUS_DATABASE_INSPECT`	`GetAutonomousDatabase, GetAutonomousDatabaseBackupConfig, GetAutonomousDatabaseCapability, ListAutonomousDatabases, ListAutonomousDatabaseClones, ListAutonomousDatabasePeers, ListAutonomousDatabaseRefreshableClones, ResourcePoolShapes`	なし
読取り	`INSPECT +` `AUTONOMOUS_DATABASE_CONTENT_READ`	`GenerateAutonomousDatabasePerformanceData, GenerateAutonomousDatabaseWallet, GetAutonomousDatabaseRegionalWallet, GetAutonomousDatabaseWallet, RetrieveDatabasePerformanceBulkData`	`CreateAutonomousDatabaseBackup` (`manage autonomous-backups`も必要)
使用	`READ +` `AUTONOMOUS_DATABASE_CONTENT_WRITE` `AUTONOMOUS_DATABASE_UPDATE`	AutonomousDatabaseManualRefresh, CancelAutonomousDatabaseSession, ChangeDisasterRecoveryConfiguration, ConfigureAutonomousDatabaseVaultKey, DeregisterAutonomousDatabaseDataSafe, DisableAutonomousDatabaseOperationsInsights, DisableDatabaseManagement, EnableAutonomousDatabaseOperationsInsights, EnableDatabaseManagement, FailOverAutonomousDatabase, GetAutonomousDatabaseConsoleToken, RegisterAutonomousDatabaseDataSafe, RestartAutonomousDatabase, RotateAutonomousDatabaseEncryptionKey, ShrinkAutonomousDatabase, StartAutonomousDatabase, StopAutonomousDatabase, SwitchOverAutonomousDatabase, UpdateAutonomousDatabaseRegionalWallet, UpdateAutonomousDatabase	`RestoreAutonomousDatabase` (`read autonomous-backups`も必要 `ChangeAutonomousDatabaseCompartment` (`read autonomous-backups`も必要
管理	`USE +` `AUTONOMOUS_DATABASE_CREATE` `AUTONOMOUS_DATABASE_DELETE` `NETWORK_SECURITY_GROUP_UPDATE_MEMBERS`	`CreateAutonomousDatabase, DeleteAutonomousDatabase`	なし

Autonomous AI Databaseインスタンスを管理するために必要な操作およびIAMポリシーのリスト

工程	必要なIAMポリシー
ピア・データベースの追加	`use autonomous-databases`
セキュリティ属性の追加	`use autonomous-databases`
コンピュート・モデルの変更	`use autonomous-databases`
データベース・モードの変更	`use autonomous-databases`
ネットワークの変更	`use autonomous-databases`
ワークロード・タイプの変更	`use autonomous-databases`
Autonomous AI Databaseのクローニング	`manage autonomous-databases` Autonomous AI Databaseに対する追加のクローニング権限については、Autonomous AI DatabaseのIAM権限およびAPI操作を参照してください。
Autonomous AI Databaseの作成	`manage autonomous-databases` `read autonomous-databases`
データベース・ツール構成の編集	`use autonomous-databases`
開始/停止スケジュールの編集	`use autonomous-databases`
エラスティック・プールの有効化	`use autonomous-databases`
Autonomous AI Databaseの自動スケーリングの有効化または無効化	`use autonomous-databases`
エラスティック・プールの結合	`use autonomous-databases`
顧客連絡先の管理	`use autonomous-databases`
暗号化キーの管理	`use autonomous-databases`
別のコンパートメントへのAutonomous AI Databaseの移動	データベースの現在のコンパートメントおよび移動先のコンパートメントの`use autonomous-databases` `read autonomous-backups`
自律型AIデータベースの名前変更	`use autonomous-databases`
Autonomous AI Databaseの再起動	`use autonomous-databases`
Autonomous AI Databaseのリストア	`use autonomous-databases` `read autonomous-backups`
自律型AIデータベースのECPU数またはストレージのスケーリング	`use autonomous-databases`
ADMINユーザー・パスワードの設定	`use autonomous-databases`
Autonomous AI Databaseの停止または起動	`use autonomous-databases`
スイッチオーバー	`use autonomous-databases`
Autonomous AI Databaseの終了	`manage autonomous-databases`
ディザスタ・リカバリの更新	`use autonomous-databases`
表示名の更新	`use autonomous-databases`
ライセンスとOracle Databaseエディションの更新	`use autonomous-databases`
ACLのネットワーク・アクセスの更新	`use autonomous-databases`
プライベート・エンドポイントのネットワーク・アクセスの更新	`use autonomous-databases`
自律型AIデータベースのリストの表示	`inspect autonomous-databases`
Autonomous AI Databaseの詳細の表示	`inspect autonomous-databases`

自律バックアップ

動詞	権限	完全に対象となるAPI	一部カバーされたAPI
inspect	`AUTONOMOUS_DB_BACKUP_INSPECT`	`ListAutonomousDatabaseBackups, GetAutonomousDatabaseBackup`	なし
管理	`USE +` `AUTONOMOUS_DB_BACKUP_CREATE` `AUTONOMOUS_DB_BACKUP_DELETE`	`DeleteAutonomousDatabaseBackup`	`CreateAutonomousDatabaseBackup` (`read autonomous-databases`も必要)
読取り	`INSPECT +` `AUTONOMOUS_DB_BACKUP_CONTENT_READ`	余分なし	`RestoreAutonomousDatabase` (`use autonomous-databases`も必要) `ChangeAutonomousDatabaseCompartment` (`use autonomous-databases`も必要)
使用	READ + 余分なし	余分なし	なし

サポートされる変数

OCI Identity and Access Managementの一般的な変数はすべてサポートされています。詳細は、すべてのリクエストの一般的な変数を参照してください。

また、次の表に示すように、データベースの作成後にtarget.id変数をデータベースのOCIDとともに使用し、target.workloadType変数を値とともに使用できます。

target.workloadType値	摘要
`OLTP`	トランザクション処理ワークロードがある自律型AIデータベースに使用されるオンライン・トランザクション処理。
`LH`	Lakehouseは、分析およびデータ・プラットフォーム・ワークロードを備えた自律型AIデータベースに使用されます。
`DW`	データ・ウェアハウス。データ・ウェアハウス・ワークロードを使用する自律型AIデータベースに使用されます。
`AJD`	JSONワークロードを使用した自律型AIデータベースに使用されるAutonomous JSON Database。
`APEX`	Autonomous AI Database APEX Serviceに使用されるAPEXサービス。

target.id変数を使用したポリシーの例:

Allow group ADB-Admins to manage autonomous-databases in tenancy where target.id = 'OCID'

target.workloadType変数を使用したポリシーの例:

Allow group ADB-Admins to manage autonomous-databases in tenancy where target.workloadType = 'AJD'

request.operation.actiontype変数を使用すると、updateAutonomousDatabaseやcreateAutonomousDatabaseなどの操作内でリクエストされる特定のサブ操作または構成の変更を識別できます。ポリシーでこれらのアクション・タイプを制御するには、request.operation.actiontypeパラメータを使用します。これにより、アクションを詳細に制御でき、ロールに必要なアクセス権があることを確認できます。

request.operation.actiontype変数を使用するポリシーの例:

ポリシーがrequest.operation.actiontypeを使用して特定のアクション・タイプへのアクセス権を付与する場合、そのサブ操作に制限され、ポリシーに明示的に含まれていないかぎり、他の更新アクションを実行できません。次に例を示します。

allow group MyGroup to manage autonomous-database-family where request.operation.actiontype =
      'adminPassword'

前述のポリシーは、ADMINパスワードを変更する権限をグループに付与しますが、コンピュート、ストレージ、ネットワーク構成などの他の属性は変更しません。

同様に、次のような他の操作を許可しながら、機密性の高い操作を除外できます。

allow group MyGroup to manage autonomous-database-family where request.operation.actiontype
      != 'adminPassword'

次の表に、ActionType変数を示します。各変数は、CreateAutonomousDatabaseまたはUpdateAutonomousDatabaseで使用できる特定のサブ操作を表します。

ActionType	工程
`adminPassword`	管理パスワードを設定するか、ボールトの`secretID`を設定します。
`scheduledOperations`	長期バックアップのスケジュールを設定します。
`customerContacts`	運用上の通知、お知らせおよび計画外保守に関する顧客担当者情報を管理します。
`dbToolsConfigure`	データベース・ツールを有効化または無効化します。
`licenseModel`	BYOLのBring Your Own License (BYOL)オプションおよびECPU数を更新します。
`updateElasticPool`	エラスティック・プール・オプションを更新します。
`upgradeToPaid`	開発者または無料バージョンから有料バージョンへのアップグレードを許可します。
`displayName`	表示名の更新
`joinElasticPool`	エラスティック・プールをメンバーとして参加します。
`disasterRecoveryType`	障害時リカバリのためにAutonomous Data Guardに更新します。
`manageEncryptionKeys`	暗号化キーを管理します(Oracle管理または顧客管理)。
`openMode`	データベース操作モードを読取りまたは書込みと読取り専用で変更します。
`whitelistedIps`	Autonomous AI Databaseアクセス制御リストで許可されたIPを変更して、ネットワーク・アクセスを制御します。
`networkConfig`	パブリック・オプションまたはプライベート・オプションを含むネットワーク構成を更新します。
`dbName`	データベース名の変更
`computeCount`	コンピュート制限をスケーリングします。
`autoScalingConfig`	コンピュート自動スケーリングを有効または無効にします。
`dataStorageSize`	ストレージの制限をスケーリングします。
`autoScalingForStorageConfig`	自動スケーリング・オプションを有効または無効にします。
`dbWorkload`	ワークロード・タイプを変更します。
`scheduleDbVersionUpgrade`	計画されたデータベース・バージョン・アップグレードについて、特定の日付または最も早いスケジュールを設定します。
`vanityUrl`	バニティURLを設定するか、バニティURLの詳細を変更します。
`maintenanceScheduleType`	`early`メンテナンス・ウィンドウと`regular`メンテナンス・ウィンドウ間でパッチ適用スケジュールを切り替えます。

親トピック: Autonomous AI DatabaseのIAMポリシー

Autonomous AI DatabaseのIAM権限およびAPI操作

このトピックでは、Autonomous AI Databaseでの操作に使用可能なIAM権限について説明します。

これらの操作は、通常のロールがこれらの操作を実行できるように、権限にグループ化されます。より詳細な権限が必要な場合は、これらの権限をサブ操作およびアクション・タイプと組み合せることができます。UpdateAutonomousDatabaseにはいくつかの操作が含まれていますが、前の項で説明したアクション・タイプに基づいて制限できます。

Autonomous AI DatabaseのIAM権限を次に示します:

AUTONOMOUS_DATABASE_CONTENT_READ
AUTONOMOUS_DATABASE_CONTENT_WRITE
AUTONOMOUS_DATABASE_CREATE

追加のクローニングの制限については、クローニング権限を参照してください。
AUTONOMOUS_DATABASE_DELETE
AUTONOMOUS_DATABASE_INSPECT
AUTONOMOUS_DATABASE_UPDATE
AUTONOMOUS_DB_BACKUP_CONTENT_READ
AUTONOMOUS_DB_BACKUP_CREATE
AUTONOMOUS_DB_BACKUP_INSPECT
NETWORK_SECURITY_GROUP_UPDATE_MEMBERS
VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP

コンパートメントにOracle Autonomous AI Databaseを作成する権限を持つグループのポリシーの例:

Allow group group-name to manage autonomous-database in compartment id compartment-ocid 
    where all{request.permission = 'AUTONOMOUS_DATABASE_UPDATE'}

API操作	工程の使用に必要な権限
`GenerateAutonomousDatabaseWallet` `GetAutonomousDatabaseRegionalWallet` `GetAutonomousDatabaseWallet` `RetrieveDatabasePerformanceBulkData`	`AUTONOMOUS_DATABASE_CONTENT_READ`
`CreateAutonomousDatabase`	`AUTONOMOUS_DATABASE_CREATE`
`DeleteAutonomousDatabase`	`AUTONOMOUS_DATABASE_DELETE`
`GetAutonomousDatabase` `ListAutonomousDatabaseClones` `ListAutonomousDatabasePeers` `ListAutonomousDatabaseRefreshableClones` `ListAutonomousDatabases` `ResourcePoolShapes`	`AUTONOMOUS_DATABASE_INSPECT`
`AutonomousDatabaseManualRefresh` `ConfigureAutonomousDatabaseVaultKey` `DeregisterAutonomousDatabaseDataSafe` `DisableAutonomousDatabaseOperationsInsights` `DisableDatabaseManagement` `EnableAutonomousDatabaseOperationsInsights` `EnableDatabaseManagement` `FailOverAutonomousDatabase` `RegisterAutonomousDatabaseDataSafe` `RestartAutonomousDatabase` `RotateAutonomousDatabaseEncryptionKey` `ShrinkAutonomousDatabase` `StartAutonomousDatabase` `StopAutonomousDatabase` `SwitchOverAutonomousDatabase` `UpdateAutonomousDatabaseWallet` `UpdateAutonomousDatabaseRegionalWallet`	`AUTONOMOUS_DATABASE_UPDATE`
`GetAutonomousDatabaseBackup` `ListAutonomousDatabaseBackups`	`AUTONOMOUS_DB_BACKUP_INSPECT`
`UpdateAutonomousDatabaseBackup`	`AUTONOMOUS_DB_BACKUP_UPDATE`
`CreateAutonomousDatabaseBackup`	`AUTONOMOUS_DB_BACKUP_CREATE` `AUTONOMOUS_DATABASE_CONTENT_READ`
`DeleteAutonomousDatabaseBackup`	`AUTONOMOUS_DB_BACKUP_INSPECT` `AUTONOMOUS_DB_BACKUP_DELETE`
`RestoreAutonomousDatabase`	`AUTONOMOUS_DB_BACKUP_INSPECT` `AUTONOMOUS_DB_BACKUP_CONTENT_READ` `AUTONOMOUS_DATABASE_CONTENT_WRITE`
`ChangeAutonomousDatabaseCompartment`	ソースおよびターゲット・コンパートメントで必須: `AUTONOMOUS_DATABASE_UPDATE` `AUTONOMOUS_DB_BACKUP_INSPECT` `AUTONOMOUS_DB_BACKU_CREATE` `AUTONOMOUS_DATABASE_CONTENT_WRITE` プライベート・エンドポイントが有効な場合、ソース・コンパートメントとターゲット・コンパートメントの両方で必要です: `WNIC_ASSOCIATE_NETOWRK_SECURITY_GROUP` `NETWORK_SECURITY_GROUP_UPDATE_MEMBERS`
`UpdateAutonomousDatabase`: このAPIは、次のいずれかの操作の変更または更新に使用します。ノートより詳細な権限を得るには、ユーザーのポリシーを定義するときに、これらのサブ操作を`actiontype`として使用します。管理パスワード(`adminPassword`)の設定スケジュールの自動開始/停止(`scheduledOperations`) 顧客コンタクトの管理(`customerContacts`) ツール構成(`dbToolsDetails`)の編集 BYOLライセンス・オプションの更新(`licenseModel`および`byolComputeCountLimit`) 表示名(`displayName`)の更新エラスティック・プールの結合エラスティックプールオプションの更新暗号化キーを管理ディザスタ・リカバリの自律型データ・ガードへの更新(`isLocalDataGuardEnabled`および`disasterRecoveryType`) 読取りまたは書込みと読取り専用間のデータベース操作モードの変更(`openMode`) Autonomous AI Databaseアクセス制御リストのホワイトリストIPを変更して、ネットワーク・アクセスを制御する(`whitelistedIps`) プライベート・エンドポイントを使用したネットワーク・アクセスの更新(`privateEndpointLabel`) データベースの名前変更(`dbName`) スケール・コンピュート制限(`computeCount`) コンピュート自動スケーリング・オプションの管理(`isAutoScalingEnabled`) ストレージ制限のスケーリング(`dataStorageSizeInTBs`) ストレージ自動スケーリング・オプションの管理(`isAutoScalingForStorageEnabled`) ワークロード・タイプの変更(`dbWorkload`)	次の3つのケースがあります。ワークロードが`NULL`の場合: `AUTONOMOUS_DATABASE_UPDATE` ワークロードが`NULL`でない場合: `AUTONOMOUS_DATABASE_CREATE` `AUTONOMOUS_DATABASE_UPDATE` タグ付けが有効になっている場合: `AUTONOMOUS_DATABASE_UPDATE` `AUTONOMOUS_DATABASE_INSPECT`
`ChangeAutonomousDatabaseSubscription`	`changeAutonomousDatabaseSubscription`が必要です
`SaasAdminUserStatus`	`getSaasAdminUser`が必要です
`ConfigureSaasAdminUser` `ListAutonomousDatabaseCharacterSets` `ListAutonomousDatabaseMaintenanceWindows`	`updateSaasAdminUser`が必要です

クローニング権限

Autonomous AI Databaseでは、一般的なIAM権限がサポートされています。さらに、次の表に示すように、サポートされている権限値とともにtarget.autonomous-database.cloneTypeを使用してアクセス・レベルを制御できます。

target.autonomous-database.cloneType値	摘要
`CLONE-FULL`	フル・クローンのみを許可します。
`CLONE-METADATA`	メタデータ・クローンのみを許可します。
`CLONE-REFRESHABLE`	リフレッシュ可能クローンのみを許可します。
`/CLONE*/`	任意の種類のクローンを許可します。

サポートされているtarget.autonomous-database.cloneType権限値を持つポリシーの例:

Allow group group-name to manage autonomous-databases in compartment id compartment-ocid 
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-FULL'}

Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-METADATA'}

Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-REFRESHABLE'}

Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = /CLONE*/}

詳細は、Permissionsを参照してください。

親トピック: Autonomous AI DatabaseのIAMポリシー

Autonomous AI Databaseを管理するためのIAMポリシーでの特定の権限の提供

認可動詞で使用できるIAMポリシーと、より詳細な操作をグループに付与する条件をリストします。

たとえば、グループMyGroupがStartAutonomousDatabase APIを使用してAutonomous AIデータベースを起動できるようにするには:

Allow MyGroup to manage autonomous-databases where request.operation = 'StartAutonomousDatabase'

詳細は、「動詞」および「条件」を参照してください。

承認動詞リスト
`autonomousDatabaseManualRefresh`
`changeAutonomousDatabaseCompartment`
`changeAutonomousDatabaseSubscription`
`changeDisasterRecoveryConfiguration`
`configureAutonomousDatabaseVaultKey`
`configureSaasAdminUser`
`createAutonomousDatabase`
`createAutonomousDatabaseBackup`
`deleteAutonomousDatabase`
`deleteAutonomousDatabaseBackup`
`deregisterAutonomousDatabaseDataSafe`
`disableAutonomousDatabaseManagement`
`disableAutonomousDatabaseOperationsInsights`
`enableAutonomousDatabaseManagement`
`enableAutonomousDatabaseOperationsInsights`
`failOverAutonomousDatabase`
`generateAutonomousDatabaseWallet`
`getAutonomousDatabase`
`getAutonomousDatabaseBackup`
`getAutonomousDatabaseRegionalWallet`
`getAutonomousDatabaseWallet`
`listAutonomousDatabaseBackups`
`listAutonomousDatabaseCharacterSets`
`listAutonomousDatabaseClones`
`listAutonomousDatabaseMaintenanceWindows`
`listAutonomousDatabasePeers`
`listAutonomousDatabaseRefreshableClones`
`listAutonomousDatabases`
`registerAutonomousDatabaseDataSafe`
`resourcePoolShapes`
`restartAutonomousDatabase`
`restoreAutonomousDatabase`
`rotateAutonomousDatabaseEncryptionKey`
`SaasAdminUserStatus`
`shrinkAutonomousDatabase`
`startAutonomousDatabase`
`stopAutonomousDatabase`
`switchoverAutonomousDatabase`
`updateAutonomousDatabase`
`updateAutonomousDatabaseBackup`
`updateAutonomousDatabaseRegionalWallet`
`updateAutonomousDatabaseWallet`

認可動詞updateAutonomousDatabaseは、複数のAPI操作を使用するための権限をグループ化します。

工程
`DeregisterAutonomousDatabaseDataSafe`
`DisableAutonomousDatabaseOperationsInsights`
`DisableDatabaseManagement`
`EnableAutonomousDatabaseOperationsInsights`
`RegisterAutonomousDatabaseDataSafe`

たとえば:

Allow MyGroup to manage autonomous-databases where request.operation =  'updateAutonomousDatabase'

親トピック: Autonomous AI DatabaseのIAMポリシー

Oracle Cloud Infrastructureドキュメント

Autonomous AI DatabaseのIAMポリシー

Autonomous AI Databaseのポリシー詳細

Autonomous AI DatabaseのIAM権限およびAPI操作

Autonomous AI Databaseを管理するためのIAMポリシーでの特定の権限の提供