Autonomous AI DatabaseでのIAMロールの追加
オプションで、複数のIAMユーザーが同じ共有グローバル・ユーザーにマップされている場合に、追加のデータベース・ロールおよび権限をIAMユーザーに提供するグローバル・ロールを作成します。
Autonomous AI Databaseでユーザー(スキーマ)への排他的IAMマッピングまたは共有ユーザー・マッピングを使用する場合、グローバル・ロールの使用はオプションです。たとえば、すべての権限およびロールを共有スキーマに付与できます。共有スキーマにマップされるすべてのIAMユーザーに、共有スキーマに割り当てられた権限およびロールが付与されます。
グローバル・ロールを使用して、同じ共有スキーマを使用するユーザーを任意に区別できます。たとえば、一連のユーザーがすべて同じ共有スキーマを持ち、共有スキーマにCREATE SESSION権限を設定できます。その後、グローバル・ロールを使用して、すべてのユーザーが同じ共有スキーマを使用する異なるユーザー・グループに異なる権限およびロールを割り当てることができます。
Autonomous AI DatabaseでIAMユーザーに追加のロールを付与するには、Autonomous AI Databaseグローバル・ロールをIAMグループにマップします。
Autonomous AI Databaseグローバル・ロールをIAMグループにマップするには:
-
IAMの使用が有効になっているデータベースにADMINユーザーとしてログインします(ADMINユーザーには、このステップに必要な
CREATE USERおよびALTER USERシステム権限があります)。 -
CREATE ROLEまたはALTER ROLE文でAutonomous AIデータベース・ロールのデータベース認可を設定し、IAMグループ名を指定してIDENTIFIED GLOBALLY AS句を含めます。次の構文を使用して、グローバル・ロールをIAMグループにマップします:
CREATE ROLE global_role IDENTIFIED GLOBALLY AS 'IAM_GROUP_NAME=IAM_GROUP_of_WHICH_the_IAM_USER_IS_a_MEMBER';たとえば、
ExporterGroupという名前のIAMグループをexport_roleという名前の共有データベース・グローバル・ロールにマップするには:CREATE ROLE export_role IDENTIFIED GLOBALLY AS 'IAM_GROUP_NAME=ExporterGroup';次の例は、デフォルト以外のドメイン
sales_domainを指定してロールを作成する方法を示しています:CREATE ROLE export_role IDENTIFIED GLOBALLY AS 'IAM_GROUP_NAME=sales_domain/ExporterGroup';sales_domainドメイン内のExporterGroupのすべてのメンバーは、データベースにログインするときにデータベース・グローバル・ロールexport_roleで認可されます。 -
GRANT文を使用して、必要な権限やその他のロールをグローバル・ロールに付与します。GRANT CREATE SESSION TO export_role; GRANT DWROLE TO export_role; -
既存のデータベース・ロールをIAMグループに関連付ける場合は、
ALTER ROLE文を使用して、既存のデータベース・ロールを変更してロールをIAMグループにマップします。次の構文を使用して、既存のデータベース・ロールを変更してIAMグループにマップします:ALTER ROLE existing_database_role IDENTIFIED GLOBALLY AS 'IAM_GROUP_NAME=*IAM_Group_Name';
他のIAMグループのグローバル・ロール・マッピングを追加する場合は、IAMグループごとに次のステップを実行します。