Autonomous DatabaseのIAMポリシー

Autonomous DatabaseでのAPI操作に必要なIAMポリシーに関する情報を提供します。

Oracle Autonomous Databaseは、IAM (Identity and Access Management)サービスを利用してクラウド・ユーザーを認証し、Oracle Cloud Infrastructureインタフェース(コンソール、REST API、CLIまたはSDK)を使用する操作を実行する権限を付与します。

IAMサービスでは、グループコンパートメント,およびポリシーを使用して、どのクラウド・ユーザーがどのリソースにアクセスできるかを制御します。

Autonomous Databaseのポリシー詳細

このトピックでは、Autonomous Databaseリソースへのアクセスを制御するポリシーの作成の詳細を説明します。

ポリシーは、個々のコンパートメント内の特定のリソースに対するユーザーのグループのアクセス権の種類を定義します。詳細は、ポリシーの開始を参照してください。

リソース・タイプ

集約リソース・タイプは、すぐ後に続く個別リソース・タイプのリストをカバーします。たとえば、グループにautonomous-database-familyへのアクセスを許可するポリシーを1つ記述することは、autonomous-databasesautonomous-backupsリソース・タイプへのアクセスを付与するグループの4つの個別のポリシーを記述することと同じです。詳細は、リソース・タイプを参照してください。

Autonomous Databaseのリソース・タイプ

集約リソース・タイプ:

autonomous-database-family

個別のリソース・タイプ:

autonomous-databases

autonomous-backups

動詞+リソース・タイプの組合せの詳細

アクセス・レベルは、inspect > read > use > manageの順に累積します。表のセルのプラス記号(+)は、そのすぐ上のセルと比較して増分アクセスを示しますが、「追加なし」は増分アクセスを示しません。

たとえば、autonomous-databasesリソース・タイプに対するread動詞には、inspect動詞と同じ権限およびAPI操作に加えてAUTONOMOUS_DATABASE_CONTENT_READ権限も含まれます。read動詞はCreateAutonomousDatabaseBackup操作を部分的にカバーしているため、autonomous-backupsに対する管理権限も必要です。

次の表に、各動詞の対象となる権限およびAPI操作を示します。権限の詳細は、権限を参照してください。

ノート

autAutonomous-database-familyでカバーされるリソース・ファミリを使用して、すべてのAutonomous Databaseワークロード・タイプに関連付けられたデータベース・リソースへのアクセス権を付与できます。
autonomous-databasesリソース・タイプ
動詞 権限 完全にカバーされるAPI 部分的にカバーされるAPI

検査する

AUTONOMOUS_DATABASE_INSPECT

GetAutonomousDatabase, GetAutonomousDatabaseBackupConfig, GetAutonomousDatabaseCapability, ListAutonomousDatabases, ListAutonomousDatabaseClones, ListAutonomousDatabasePeers, ListAutonomousDatabaseRefreshableClones, ResourcePoolShapes

指定しない

読取り

INSPECT +

AUTONOMOUS_DATABASE_CONTENT_READ

GenerateAutonomousDatabasePerformanceData, GenerateAutonomousDatabaseWallet, GetAutonomousDatabaseRegionalWallet, GetAutonomousDatabaseWallet, RetrieveDatabasePerformanceBulkData

CreateAutonomousDatabaseBackup (manage autonomous-backupsも必要)

使用

READ +

AUTONOMOUS_DATABASE_CONTENT_WRITE

AUTONOMOUS_DATABASE_UPDATE

AutonomousDatabaseManualRefresh, CancelAutonomousDatabaseSession, ChangeDisasterRecoveryConfiguration, ConfigureAutonomousDatabaseVaultKey, DeregisterAutonomousDatabaseDataSafe, DisableAutonomousDatabaseOperationsInsights, DisableDatabaseManagement, EnableAutonomousDatabaseOperationsInsights, EnableDatabaseManagement, FailOverAutonomousDatabase, GetAutonomousDatabaseConsoleToken, RegisterAutonomousDatabaseDataSafe, RestartAutonomousDatabase, RotateAutonomousDatabaseEncryptionKey, ShrinkAutonomousDatabase, StartAutonomousDatabase, StopAutonomousDatabase, SwitchOverAutonomousDatabase, UpdateAutonomousDatabaseRegionalWallet, UpdateAutonomousDatabase

RestoreAutonomousDatabase (read autonomous-backupsも必要)

ChangeAutonomousDatabaseCompartment (read autonomous-backupsも必要)

管理

USE +

AUTONOMOUS_DATABASE_CREATE

AUTONOMOUS_DATABASE_DELETE

CreateAutonomousDatabase, DeleteAutonomousDatabase

指定しない

Autonomous Databaseインスタンスを管理するために必要な操作およびIAMポリシーのリスト

操作 必要なIAMポリシー

ピア・データベースの追加

use autonomous-databases

セキュリティ属性の追加

use autonomous-databases

コンピュート・モデルの変更

use autonomous-databases

データベース・モードの変更

use autonomous-databases

ネットワークの変更

use autonomous-databases

ワークロード・タイプの変更

use autonomous-databases

Autonomous Databaseのクローニング

manage autonomous-databases

Autonomous Databaseでの追加のクローニング権限については、Autonomous DatabaseのIAM権限およびAPI操作を参照してください。

Autonomous Databaseの作成

manage autonomous-databases

read autonomous-databases

データベース・ツール構成の編集

use autonomous-databases

開始/停止スケジュールの編集

use autonomous-databases

エラスティック・プールの有効化

use autonomous-databases

Autonomous Databaseの自動スケーリングの有効化または無効化

use autonomous-databases

エラスティック・プールの結合

use autonomous-databases

顧客連絡先の管理

use autonomous-databases

暗号化キーの管理

use autonomous-databases

別のコンパートメントへのAutonomous Databaseの移動

use autonomous-databases (データベースの現在のコンパートメントおよび移動先のコンパートメント)

read autonomous-backups

Autonomous Databaseの名前変更

use autonomous-databases

Autonomous Databaseの再起動

use autonomous-databases

Autonomous Databaseのリストア

use autonomous-databases

read autonomous-backups

Autonomous DatabaseのECPU数またはストレージのスケーリング

use autonomous-databases

ADMINユーザー・パスワードの設定

use autonomous-databases

Autonomous Databaseの停止または起動

use autonomous-databases

スイッチオーバー

use autonomous-databases

Autonomous Databaseの終了

manage autonomous-databases

ディザスタ・リカバリの更新

use autonomous-databases

表示名の更新

use autonomous-databases

ライセンスとOracle Databaseエディションの更新

use autonomous-databases

ACLのネットワーク・アクセスの更新

use autonomous-databases

プライベート・エンドポイントのネットワーク・アクセスの更新

use autonomous-databases

Autonomous Databasesのリストの表示

inspect autonomous-databases

Autonomous Databaseの詳細の表示

inspect autonomous-databases

自律型バックアップ

動詞 権限 完全にカバーされるAPI 部分的にカバーされるAPI

検査する

AUTONOMOUS_DB_BACKUP_INSPECT

ListAutonomousDatabaseBackups, GetAutonomousDatabaseBackup

指定しない

管理

USE +

AUTONOMOUS_DB_BACKUP_CREATE

AUTONOMOUS_DB_BACKUP_DELETE

DeleteAutonomousDatabaseBackup

CreateAutonomousDatabaseBackup (read autonomous-databasesも必要)

読取り

INSPECT +

AUTONOMOUS_DB_BACKUP_CONTENT_READ

追加なし

RestoreAutonomousDatabase (use autonomous-databasesも必要)

ChangeAutonomousDatabaseCompartment (use autonomous-databasesも必要)

使用

読む +

追加なし

追加なし

なし

サポートされている変数

すべての一般的なOCI Identity and Access Management変数がサポートされています。詳細は、すべてのリクエストの一般的な変数を参照してください。

また、次の表に示すように、データベースの作成後にデータベースのOCIDでtarget.id変数を使用し、値でtarget.workloadType変数を使用できます。

target.workloadType値 説明
OLTP オンライン・トランザクション処理(トランザクション処理ワークロードを使用するAutonomous Databasesで使用)。
DW Data Warehouse。Data Warehouseワークロード向けAutonomous Databasesに使用されます。
AJD

JSONワークロードを使用するAutonomous Databasesに使用されるAutonomous JSON Database。

APEX

Autonomous Database APEXサービスに使用されるAPEXサービス

target.id変数を使用したポリシーの例:

Allow group ADB-Admins to manage autonomous-databases in tenancy where target.id = 'OCID'

target.workloadType変数を使用したポリシーの例:

Allow group ADB-Admins to manage autonomous-databases in tenancy where target.workloadType = 'AJD'

Autonomous DatabaseのIAM権限およびAPI操作

このトピックでは、Autonomous Databaseでの操作に使用可能なIAM権限について説明します。

Autonomous DatabaseのIAM権限を次に示します:

  • AUTONOMOUS_DATABASE_CONTENT_READ

  • AUTONOMOUS_DATABASE_CONTENT_WRITE

  • AUTONOMOUS_DATABASE_CREATE

    クローニングに関するその他の制限事項については、クローニング権限を参照してください。

  • AUTONOMOUS_DATABASE_DELETE

  • AUTONOMOUS_DATABASE_INSPECT

  • AUTONOMOUS_DATABASE_UPDATE

  • AUTONOMOUS_DB_BACKUP_CONTENT_READ

  • AUTONOMOUS_DB_BACKUP_CREATE

  • AUTONOMOUS_DB_BACKUP_INSPECT

  • NETWORK_SECURITY_GROUP_UPDATE_MEMBERS

  • VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP

グループがコンパートメントにAutonomous Databaseを作成する権限を持つポリシーの例:

Allow group group-name to manage autonomous-database in compartment id compartment-ocid 
    where all{request-permission = 'AUTONOMOUS_DATABASE_UPDATE'}
操作の使用に必要な権限 API操作
AUTONOMOUS_DATABASE_CONTENT_READ

GenerateAutonomousDatabaseWallet

GetAutonomousDatabaseRegionalWallet

GetAutonomousDatabaseWallet

RetrieveDatabasePerformanceBulkData

AUTONOMOUS_DATABASE_CREATE

CreateAutonomousDatabase

AUTONOMOUS_DATABASE_DELETE

DeleteAutonomousDatabase

AUTONOMOUS_DATABASE_INSPECT

GetAutonomousDatabase

ListAutonomousDatabaseClones

ListAutonomousDatabasePeers

ListAutonomousDatabaseRefreshableClones

ListAutonomousDatabases

ResourcePoolShapes

AUTONOMOUS_DATABASE_UPDATE

AutonomousDatabaseManualRefresh

ConfigureAutonomousDatabaseVaultKey

DeregisterAutonomousDatabaseDataSafe

DisableAutonomousDatabaseOperationsInsights

DisableDatabaseManagement

EnableAutonomousDatabaseOperationsInsights

EnableDatabaseManagement

FailOverAutonomousDatabase

RegisterAutonomousDatabaseDataSafe

RestartAutonomousDatabase

RotateAutonomousDatabaseEncryptionKey

ShrinkAutonomousDatabase

StartAutonomousDatabase

StopAutonomousDatabase

SwitchOverAutonomousDatabase

UpdateAutonomousDatabaseWallet

UpdateAutonomousDatabaseRegionalWallet

AUTONOMOUS_DB_BACKUP_INSPECT

GetAutonomousDatabaseBackup

ListAutonomousDatabaseBackups

AUTONOMOUS_DB_BACKUP_UPDATE

UpdateAutonomousDatabaseBackup

AUTONOMOUS_DB_BACKUP_CREATE

AUTONOMOUS_DATABASE_CONTENT_READ

CreateAutonomousDatabaseBackup

AUTONOMOUS_DB_BACKUP_INSPECT

AUTONOMOUS_DB_BACKUP_DELETE

DeleteAutonomousDatabaseBackup

AUTONOMOUS_DB_BACKUP_INSPECT

AUTONOMOUS_DB_BACKUP_CONTENT_READ

AUTONOMOUS_DATABASE_CONTENT_WRITE

RestoreAutonomousDatabase

ソースおよびターゲット・コンパートメントで必要です:

AUTONOMOUS_DATABASE_UPDATE

AUTONOMOUS_DB_BACKUP_INSPECT

AUTONOMOUS_DB_BACKU_CREATE

AUTONOMOUS_DATABASE_CONTENT_WRITE

プライベート・エンドポイントが有効になっている場合、ソースとターゲットの両方のコンパートメントで必要です:

WNIC_ASSOCIATE_NETOWRK_SECURITY_GROUP

NETWORK_SECURITY_GROUP_UPDATE_MEMBERS

ChangeAutonomousDatabaseCompartment

考えられる3つのケース:

  • ワークロードがNULLの場合: AUTONOMOUS_DATABASE_UPDATE
  • ワークロードがNULLでない場合:

    AUTONOMOUS_DATABASE_CREATE

    AUTONOMOUS_DATABASE_UPDATE

  • タグ付けが有効な場合:

    AUTONOMOUS_DATABASE_UPDATE

    AUTONOMOUS_DATABASE_INSPECT

UpdateAutonomousDatabase: このAPIは、次のいずれかの操作の変更または更新に使用します。

  • 管理パスワードの設定(adminPassword)
  • 自動開始/停止スケジュール(scheduledOperations)
  • 顧客コンタクトの管理(customerContacts)
  • ツール構成の編集(dbToolsDetails)
  • BYOLライセンス・オプションの更新(licenseModelおよびbyolComputeCountLimit)
  • 表示名の更新(displayName)
  • エラスティック・プールの結合
  • エラスティック・プール・オプションの更新
  • 暗号化キーの管理
  • ディザスタ・リカバリのための自律型データ・ガードへの更新(isLocalDataGuardEnabledおよびdisasterRecoveryType)
  • データベース操作モードの変更、読取り/書込み、読取り専用(openMode)
  • ACLを使用したネットワーク・アクセスの更新(whitelistedIps)
  • プライベート・エンドポイントを使用したネットワーク・アクセスの更新(privateEndpointLabel)
  • データベースの名前変更(dbName)
  • スケール・コンピュート制限(computeCount)
  • コンピュート自動スケーリング・オプションの管理(isAutoScalingEnabled)
  • ストレージ制限のスケーリング(dataStorageSizeInTBs)
  • ストレージの自動スケーリング・オプションの管理(isAutoScalingForStorageEnabled)
  • ワークロード・タイプの変更(dbWorkload)
changeAutonomousDatabaseSubscriptionが必要です

ChangeAutonomousDatabaseSubscription

getSaasAdminUserが必要です

SaasAdminUserStatus

updateSaasAdminUserが必要です

ConfigureSaasAdminUser

ListAutonomousDatabaseCharacterSets

ListAutonomousDatabaseMaintenanceWindows

クローニング権限

Autonomous Databaseでは、一般的なIAM権限がサポートされています。また、次の表に示すように、サポートされている権限値でtarget.autonomous-database.cloneTypeを使用してアクセスのレベルを制御できます。

target.autonomous-database.cloneType値 説明
CLONE-FULL

フルクローンのみを許可します。

CLONE-METADATA

メタデータ・クローンのみを許可します。

CLONE-REFRESHABLE

リフレッシュ可能クローンのみを許可します。

/CLONE*/

任意の種類のクローンを許可します。

サポートされているtarget.autonomous-database.cloneType権限値を持つポリシーの例:

Allow group group-name to manage autonomous-databases in compartment id compartment-ocid 
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-FULL'}
Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-METADATA'}
Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-REFRESHABLE'}
Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = /CLONE*/}

詳細は、権限を参照してください。

Autonomous Databaseを管理するためのIAMポリシーでの特定の権限の提供

認可動詞で使用できるIAMポリシーと、グループにさらに詳細な操作を付与する条件をリストします。

たとえば、グループMyGroupStartAutonomousDatabase APIを使用してAutonomous Databasesを起動できるようにするには:

Allow MyGroup to manage autonomous-databases where request.operation = 'StartAutonomousDatabase'

詳細は、動詞および条件を参照してください。

承認動詞リスト
autonomousDatabaseManualRefresh
changeAutonomousDatabaseCompartment
changeAutonomousDatabaseSubscription
changeDisasterRecoveryConfiguration
configureAutonomousDatabaseVaultKey
configureSaasAdminUser
createAutonomousDatabase
createAutonomousDatabaseBackup
deleteAutonomousDatabase
deleteAutonomousDatabaseBackup
deregisterAutonomousDatabaseDataSafe
disableAutonomousDatabaseManagement
disableAutonomousDatabaseOperationsInsights
enableAutonomousDatabaseManagement
enableAutonomousDatabaseOperationsInsights
failOverAutonomousDatabase
generateAutonomousDatabaseWallet
getAutonomousDatabase
getAutonomousDatabaseBackup
getAutonomousDatabaseRegionalWallet
getAutonomousDatabaseWallet
listAutonomousDatabaseBackups
listAutonomousDatabaseCharacterSets
listAutonomousDatabaseClones
listAutonomousDatabaseMaintenanceWindows
listAutonomousDatabasePeers
listAutonomousDatabaseRefreshableClones
listAutonomousDatabases
registerAutonomousDatabaseDataSafe
resourcePoolShapes
restartAutonomousDatabase
restoreAutonomousDatabase
rotateAutonomousDatabaseEncryptionKey
SaasAdminUserStatus
shrinkAutonomousDatabase
startAutonomousDatabase
stopAutonomousDatabase
switchoverAutonomousDatabase
updateAutonomousDatabase
updateAutonomousDatabaseBackup
updateAutonomousDatabaseRegionalWallet
updateAutonomousDatabaseWallet

認可動詞updateAutonomousDatabaseは、複数のAPI操作を使用する権限をグループ化します。

操作
DeregisterAutonomousDatabaseDataSafe
DisableAutonomousDatabaseOperationsInsights
DisableDatabaseManagement
EnableAutonomousDatabaseOperationsInsights
RegisterAutonomousDatabaseDataSafe

たとえば:

Allow MyGroup to manage autonomous-databases where request.operation =  'updateAutonomousDatabase'