Oracle Cloud Infrastructureドキュメント

IAMユーザーのIdentity and Access Management (IAM)グループおよびポリシーの作成

IAMグループのポリシー・ステートメントを記述して、IAMユーザーがOracle Cloud Infrastructureリソース(特にAutonomous AI Databaseインスタンス)にアクセスできるようにするステップについて説明します。

ポリシーは、特定のリソースにアクセスできるユーザーとその方法を指定するステートメントのグループです。アクセスは、テナンシ全体、コンパートメント内のデータベースまたは個々のデータベースに対して付与できます。つまり、特定のコンパートメント内の特定のタイプのリソースへの特定のアクセス・タイプを特定のグループに付与するポリシー・ステートメントを記述します。

ノート

IAMトークンを使用してAutonomous AI Databaseにアクセスするには、ポリシーの定義が必要です。IAMデータベース・パスワードを使用してAutonomous AI Databaseにアクセスする場合、ポリシーは不要です。

Autonomous AI DatabaseでIAMユーザーがIAMトークンを使用してデータベースに接続できるようにするには:

  1. グループを作成し、そのグループにユーザーを追加して、Oracle Cloud Infrastructure Identity and Access Managementの前提条件を実行します。

    たとえば、グループsales_dbusersを作成します。

    詳細は、グループの管理を参照してください。

  2. Oracle Cloud Infrastructureリソースへのアクセスを有効にするポリシー・ステートメントを記述します。
    1. Oracle Cloud Infrastructureコンソールで、「アイデンティティおよびセキュリティ」をクリックします。
    2. 「アイデンティティとセキュリティ」で、「ポリシー」をクリックします。
    3. 書込みポリシーには、「ポリシーの作成」をクリックします。
    4. 「ポリシーの作成」ページで、「名前」と「説明」を入力します。
    5. ポリシーの作成ページで、「手動エディタの表示」を選択します。
    6. ポリシー・ビルダーを使用してポリシーを作成します。

      たとえば、IAMグループDBUsers内のユーザーがテナンシ内のAutonomous AI Databaseにアクセスできるようにするポリシーを作成するには: 

      Allow group DBUsers to use autonomous-database-family in tenancy
      たとえば、DBUsersグループのメンバーがコンパートメントtesting_compartment内のAutonomous AIデータベースにのみアクセスするように制限するポリシーを作成するには:
      allow group DBUsers to use autonomous-database-family in compartment testing_compartment
      たとえば、グループのアクセスをコンパートメント内の単一データベースに制限するポリシーを作成するには: 
      allow group DBUsers to use autonomous-database-family in compartment testing_compartment 
               where target.id = 'ocid1.autonomousdatabase.oc1.iad.aaaabbbbcccc...b5678ca'

      データベースにアクセスするためのIAMポリシーの詳細は、データベース・セキュリティ・ガイドトークンで認証するユーザーを認可するためのIAMポリシーの作成を参照してください。

    7. 「作成」をクリックします。

      ポリシーの詳細は、ポリシーの管理を参照してください。

Autonomous AI DatabaseでIAMユーザーに使用するポリシーを作成するためのノート:

  • ポリシーにより、IAMユーザーがテナンシ全体、コンパートメント内のAutonomous AI Databaseインスタンスにアクセスできるようにしたり、単一のAutonomous AI Databaseインスタンスへのアクセスを制限したりできます。

  • インスタンス・プリンシパルまたはリソース・プリンシパルのいずれかを使用して、アプリケーションからAutonomous AI Databaseインスタンスへの接続を確立するデータベース・トークンを取得できます。インスタンス・プリンシパルまたはリソース・プリンシパルを使用する場合は、動的グループをマップする必要があります。したがって、インスタンス・プリンシパルとリソース・プリンシパルを排他的にマップすることはできません。共有マッピングを使用して、インスタンスまたはリソース・インスタンスをIAM動的グループに入れることによってのみ、マッピングすることができます。

    動的グループを作成し、作成したポリシーで動的グループを参照してOracle Cloud Infrastructureにアクセスできます。詳細は、リソースにアクセスするためのポリシーおよびロールの構成および動的グループの管理を参照してください。