Autonomous DatabaseでのIAMロールの追加

オプションで、複数のIAMユーザーが同じ共有グローバル・ユーザーにマップされている場合に、追加のデータベース・ロールおよび権限をIAMユーザーに提供するグローバル・ロールを作成します。

グローバル・ロールの使用は、ユーザー(スキーマ)への排他的なIAMマッピングまたはAutonomous Databaseでの共有ユーザー・マッピングを使用する場合、オプションです。たとえば、すべての権限およびロールを共有スキーマに付与できます。共有スキーマにマップされるすべてのIAMユーザーに、共有スキーマに割り当てられた権限およびロールが付与されます。

グローバル・ロールを使用して、同じ共有スキーマを使用するユーザーを任意に区別できます。たとえば、一連のユーザーがすべて同じ共有スキーマを持ち、共有スキーマにCREATE SESSION権限を設定できます。その後、グローバル・ロールを使用して、すべてのユーザーが同じ共有スキーマを使用する異なるユーザー・グループに異なる権限およびロールを割り当てることができます。

Autonomous DatabaseでIAMユーザーに追加のロールを付与するには、Autonomous Databaseグローバル・ロールをIAMグループにマップします。

Autonomous Databaseグローバル・ロールをIAMグループにマップするには:

IAMの使用が有効になっているデータベースにADMINユーザーとしてログインします(ADMINユーザーには、このステップに必要なCREATE USERおよびALTER USERシステム権限があります)。
CREATE ROLEまたはALTER ROLE文でAutonomous Databaseロールのデータベース認可を設定し、IAMグループ名を指定してIDENTIFIED GLOBALLY AS句を含めます。
次の構文を使用して、グローバル・ロールをIAMグループにマップします:
```
CREATE ROLE global_role IDENTIFIED GLOBALLY AS
    'IAM_GROUP_NAME=IAM_GROUP_of_WHICH_the_IAM_USER_IS_a_MEMBER';
```
たとえば、ExporterGroupという名前のIAMグループをexport_roleという名前の共有データベース・グローバル・ロールにマップするには:
```
CREATE ROLE export_role IDENTIFIED GLOBALLY AS
     'IAM_GROUP_NAME=ExporterGroup';
```
次の例に、デフォルト以外のドメインsales_domainを指定してロールを作成する方法を示します:
```
CREATE ROLE export_role IDENTIFIED GLOBALLY AS
     'IAM_GROUP_NAME=sales_domain/ExporterGroup';
```
sales_domainドメイン内のExporterGroupのすべてのメンバーは、データベースにログインするときにデータベース・グローバル・ロールexport_roleで認可されます。
GRANT文を使用して、必要な権限やその他のロールをグローバル・ロールに付与します。
```
GRANT CREATE SESSION TO export_role;
GRANT DWROLE TO export_role;
```
既存のデータベース・ロールをIAMグループに関連付ける場合は、ALTER ROLE文を使用して、既存のデータベース・ロールを変更してロールをIAMグループにマップします。次の構文を使用して、既存のデータベース・ロールを変更してIAMグループにマップします:
```
ALTER ROLE existing_database_role 
   IDENTIFIED GLOBALLY AS 'IAM_GROUP_NAME=IAM_Group_Name';
```

他のIAMグループのグローバル・ロール・マッピングを追加する場合は、IAMグループごとに次のステップを実行します。

親トピック: Autonomous Databaseに対するIdentity and Access Management (IAM)認証の使用

Oracle Cloud Infrastructureドキュメント