Oracle Cloud Infrastructureドキュメント

Oracle Data SafeユーザーのIAMポリシーの作成

テナンシ管理者は、Oracle Cloud Infrastructure Identity and Access Management (IAM)で、Oracle Data Safeのリソースへのアクセス権をユーザーに付与するポリシーを作成できます。

リソースとその権限の詳細は、Oracle Data SafeのOCIリソースを参照してください。

Oracle Data SafeのIAMポリシーを作成するための一般的なステップ

次の一般的なステップに従って、Oracle Data Safeリソースに対するユーザー・グループ権限を付与するIAMポリシーを作成します。

  1. テナンシ管理者として、Oracle Cloud Infrastructureのナビゲーション・メニューから、「アイデンティティとセキュリティ」「ポリシー」の順に選択します。

    「ポリシー」ページがOracle Cloud Infrastructure Identity and Access Management (IAM)で開きます。

  2. 「適用済フィルタ」の横で、ポリシーを格納するコンパートメントを選択します必要に応じて、rootコンパートメントを選択できます。ポリシーは、ポリシーが定義されているコンパートメントとそのすべてのサブコンパートメントに適用されます。

  3. 「ポリシーの作成」をクリックします。

    「ポリシーの作成」ページが開きます。

  4. ポリシーの名前を入力します。スペースは使用できません。英字、数字、ハイフン、ピリオドおよびアンダースコアのみを使用できます。

  5. ポリシーの簡単な説明を入力します。

  6. 必要に応じて、別のコンパートメントを選択します。

  7. 「ポリシー・ビルダー」セクションで、「手動エディタの表示」を選択します。

    ポリシー・ステートメントを入力できるボックスが表示されます。

  8. 次の構文を使用して、1つ以上のポリシー・ステートメントを入力します。

    Allow group <group-name> to <verb> <resource-type> in compartment <compartment-name>

    <group-name>には、ポリシーを適用するIAMグループの名前を入力します。

    <verb>には、inspectreaduseまたはmanageを使用できます。

    <resource-type>には、Oracle Data Safeで使用されるリソースを入力します。リソースのリストは、Oracle Data SafeのOCIリソースを参照してください。

    <compartment>に、権限を付与するリソースを含むコンパートメントの名前を入力します。

    ポリシー・ステートメントでサブコンパートメントを指定するには、次の構文を使用します。ここで、<parent-compartment>rootコンパートメントの下のコンパートメント、<child-compartment><parent-compartment>の下のコンパートメントです。コロンで区切って、必要な数の子コンパートメントを追加できます。

    allow group <group-name> to <verb> <resource-type> in compartment <parent-compartment>:<child-compartment>

  9. タグを追加するには、「タグの追加」を選択し、タグを構成します。

  10. 「作成」を選択します。

Oracle Data Safe管理者グループの作成

テナンシ管理者は、Oracle Cloud Infrastructure Identity and Access Management (IAM)でOracle Data Safe管理者グループを作成できます。このグループの目的は、リージョン内のOracle Data Safeリソースを監督および管理することです。

  1. テナンシ管理者として、Oracle Cloud InfrastructureでIAMにアクセスします。

  2. Oracle Data Safe管理者およびグループへの適切なユーザーのグループを作成します。

  3. Oracle Data Safe管理者グループのポリシーを作成します。これにより、グループはdata-safe-familyリソースをmanageできます。次の例では、これを行う様々な方法を示します。

    • オプション1: Data-Safe-Adminsグループがテナンシ全体でOracle Data Safeリソースを管理できるようにします。

      Allow group Data-Safe-Admins to manage data-safe-family in tenancy

    • オプション2: Data-Safe-Adminsグループがテナンシ内のすべてのタイプのOracle Cloud Infrastructureリソース(Oracle Data Safeリソースを含む)を管理できるようにします。

      Allow group Data-Safe-Admins to manage all-resources in tenancy

    • オプション3: Data-Safe-Adminsグループがテナンシのus-phoenix-1リージョン内のすべてのタイプのOracle Data Safeリソースを管理できるようにします。

      Allow group Data-Safe-Admins to manage data-safe-family in tenancy where request.region='phx'

Oracle Data Safe機能のすべてのリソースにアクセスする権限

Oracle Data Safeファミリ・リソースを使用して、特定のOracle Data Safe機能のすべてのリソースに対するユーザー・グループ権限をすばやく付与できます。たとえば、データ・マスキングのすべてのタスクを実行する権限をユーザー・グループに付与するには、ユーザー・グループにdata-safe-masking-familyリソースに対するmanage権限を付与します。特定の機能に関連するファミリ・リソースには、data-safe-assessment-family (セキュリティ評価およびユーザー評価用)、data-safe-discovery-family (データ検出用)、data-safe-masking-family (データ・マスキング用)、data-safe-alert-family (アラート用)、data-safe-audit-family (アクティビティ監査用)、data-safe-family (すべての機能用)があります。

Oracle Data Safe機能にアクセスする権限をユーザー・グループに付与するには、Oracle Cloud Infrastructure Identity and Access Management (IAM)でポリシーを作成します。このポリシーにより、グループは機能のlistreaduseまたはmanageリソースにすることが可能になります。

次に2つの例を示します:

  • 例1:グループが特定のコンパートメント内の特定のOracle Data Safeファミリのすべてのリソースの詳細をリストおよび表示できるようにするには、次のようにポリシー・ステートメントを記述します:

    allow group <group-name> to read <data-safe-family-name> in compartment <compartment-name>

  • 例2:グループが特定のコンパートメントのOracle Data Safe機能に関連するすべてのタスクを実行できるようにするには、次のようにポリシー・ステートメントを記述します:

    allow group <group-name> to manage <data-safe-family-name> in compartment <compartment-name>

特定のリソースにアクセスする権限

各Oracle Data Safeファミリ・リソースは、その機能に関連する複数のリソースで構成されます。ほとんどの場合、ファミリ内のすべてのリソースへのグループ・アクセス権を付与するのではなく、これらの特定のリソースのいずれかに対するinspectreaduseまたはmanage権限をユーザー・グループに付与できます。

  • inspect権限により、ユーザー・グループはリソース・オブジェクトのリストを表示できます。たとえば、グループにdata-safe-audit-policiesリソースに対するinspect権限がある場合、そのグループはセキュリティ・センターで監査ポリシーのリストを表示できます。ただし、監査ポリシーをクリックしてその詳細を表示することはできません。

  • read権限により、ユーザー・グループはリソース・オブジェクトのリストを表示し、そのプロパティを表示できます。前の例を使用して、ユーザー・グループは監査ポリシーをクリックし、その詳細を表示できます。

  • use権限には、read権限に加えて、既存のリソースを操作する機能が含まれます(アクションはリソース・タイプによって異なります)。リソースを更新する機能が含まれますが、更新操作が「作成」操作と同じ効果的な影響を及ぼすリソース・タイプ(manage動詞でのみ更新機能を使用できます)は除きます。一般に、この動詞には、そのタイプのリソースを作成または削除する機能はありません。

  • 通常、manage権限は、リソースに対する完全な権限(リスト、表示、更新、作成、削除および移動)をユーザー・グループに付与します。前の例を使用して、グループにmanage権限がある場合、監査ポリシーの詳細をリストおよび表示したり、更新、作成、削除および移動したりできます。

4つの権限(検査、読取り、使用および管理)はすべて、すべてのリソースで使用できるとはかぎりません。また、manage権限によって、操作のサブセット(リスト、読取り、更新、作成、削除、移動など)のみが付与されることもあります。したがって、可能なことを理解するために、リソース自体を参照することをお薦めします。

次に 3 つの例を示します。

  • 例1:グループがセキュリティ・センターのリソース・オブジェクトをリストできるようにするユーザー・グループのポリシーを作成します。たとえば、次のポリシー・ステートメントを使用すると、IT-Securityというユーザー・グループがInfo-Techというコンパートメント内の監査プロファイルのリストを表示できます。

    allow group IT-Security to inspect data-safe-audit-profiles in compartment Info-Tech

  • 例2:グループがリソースのプロパティをリストおよび表示できるようにするユーザー・グループのポリシーを作成します。たとえば、次のポリシー・ステートメントを使用すると、IT-Securityというユーザー・グループは、Info-Techというコンパートメント内の監査プロファイルのプロパティをリストおよび表示できます。

    allow group IT-Security to read data-safe-audit-profiles in compartment Info-Tech

  • 例3:グループがリソースを管理できるようにするユーザー・グループのポリシーを作成します。たとえば、次のポリシー・ステートメントを使用すると、IT-Securityというユーザー・グループがInfo-Techというコンパートメント内の監査プロファイルを管理できます。

    allow group IT-Security to manage data-safe-audit-profiles in compartment Info-Tech

Autonomous AI DatabaseをOracle Data Safeに登録する権限

Autonomous AI DatabaseをOracle Data Safeに登録するには、ユーザー・グループがOracle Cloud Infrastructure Identity and Access Management (IAM)で次のことを実行する権限が必要です:

  • Autonomous AI Databaseへのアクセス:ユーザー・グループには、Oracle Cloud Infrastructureのautonomous-databaseリソースに対する少なくともuse権限が必要です。次に例を示します:

    allow group <group-name> to use autonomous-database in compartment <compartment-name>

  • Oracle Data Safeへのターゲット・データベースの登録:ユーザー・グループには、target-databasesリソースに対するmanage権限が必要です。たとえば:

    allow group <group-name> to manage target-databases in compartment <compartment-name>

  • プライベートIPアドレスを持つAutonomous AIデータベースの場合:ユーザー・グループには、Oracle Data Safeプライベート・エンドポイントおよび関連するコンパートメントのプライベート・エンドポイントの基礎となる仮想ネットワーキング・リソースに対する少なくともuse権限が必要です。たとえば、次の文を使用すると、グループはプライベート・エンドポイントを作成できます。

    allow group <group-name> to manage data-safe-private-endpoints in compartment <compartment-name>
allow group <group-name> to manage virtual-network-family in compartment <compartment-name>

    グループにすでにOracle Data Safeプライベート・エンドポイントがあり、再利用する場合は、前述の文でmanageuseに置き換えます。

Oracle CloudデータベースをOracle Data Safeに登録する権限

Oracle CloudデータベースをOracle Data Safeに登録するには、ユーザー・グループにOracle Cloud Infrastructure Identity and Access Management (IAM)での権限が必要です。

  • Oracle Cloud Databaseにアクセスします。

    allow group <group-name> to manage database-family in compartment <compartment-name>
allow group <group-name> to inspect vnics in tenancy

  • (Exadata Cloud Serviceのみ)テナンシ内のクラウド仮想マシン・クラスタを検査します:

    allow group <group-name> to inspect cloud-vmclusters in tenancy

  • Oracle Data Safeへのターゲット・データベースの登録:

    allow group <group-name> to manage target-databases in compartment <compartment-name>

  • Oracle Data Safeプライベート・エンドポイントの使用または作成:ユーザー・グループには、Oracle Data Safeプライベート・エンドポイントおよび関連するコンパートメントのプライベート・エンドポイントの基礎となる仮想ネットワーキング・リソースに対する少なくともuse権限が必要です。たとえば、次の文を使用すると、グループはプライベート・エンドポイントを作成できます。

    allow group <group-name> to manage data-safe-private-endpoints in compartment <compartment-name>
allow group <group-name> to manage virtual-network-family in compartment <compartment-name>

    グループにすでにOracle Data Safeプライベート・エンドポイントがあり、再利用する場合は、前述の文でmanageuseに置き換えます。

オンプレミスOracle DatabaseをOracle Data Safeに登録する権限

オンプレミスのOracle DatabaseをOracle Data Safeに登録するには、ユーザー・グループにOracle Cloud Infrastructure Identity and Access Management (IAM)で次のことを実行する権限が必要です:

  • Oracle Data Safeへのターゲット・データベースの登録:

    allow group <group-name> to manage target-databases in compartment <compartment-name>

  • (オプション1) Oracle Data Safeプライベート・エンドポイントの使用または作成:ターゲット・データベースにプライベートIPアドレスがある場合は、Oracle Data Safeプライベート・エンドポイントを使用して接続できます。ユーザー・グループには、Oracle Data Safeプライベート・エンドポイントおよび関連するコンパートメントのプライベート・エンドポイントの基礎となる仮想ネットワーキング・リソースに対する少なくともuse権限が必要です。たとえば、次の文を使用すると、グループはプライベート・エンドポイントを作成できます。

    allow group <group-name> to manage data-safe-private-endpoints in compartment <compartment-name>
allow group <group-name> to manage virtual-network-family in compartment <compartment-name>

    グループにすでにOracle Data Safeプライベート・エンドポイントがあり、再利用する場合は、前述の文でmanageuseに置き換えます。

  • (オプション2) Oracle Data Safeオンプレミス・コネクタの使用または作成:ターゲット・データベースにプライベートIPアドレスがある場合は、Oracle Data Safeオンプレミス・コネクタを使用して接続できます。オンプレミス・コネクタにアクセスまたは作成する権限を含めます。たとえば:

    allow group <group-name> to manage onprem-connectors in compartment <compartment-name>

コンピュート・インスタンス上のOracle DatabaseをOracle Data Safeに登録する権限

Oracle Data Safeを使用してOracle Cloud Infrastructureのコンピュート・インスタンスにOracle Databaseを登録するには、ユーザー・グループにOracle Cloud Infrastructure Identity and Access Management (IAM)の権限が必要で、次を実行します:

  • Oracle Data Safeへのターゲット・データベースの登録:

    allow group <group-name> to manage target-databases in compartment <compartment-name>

  • ターゲット・データベースのコンピュート・インスタンスに関する情報にアクセスします:

    Allow group <group-name> to read instance-family in compartment <compartment-name>

  • (オプション1) Oracle Data Safeプライベート・エンドポイントの使用または作成:ユーザー・グループには、Oracle Data Safeプライベート・エンドポイントおよび関連するコンパートメントのプライベート・エンドポイントの基礎となる仮想ネットワーキング・リソースに対する少なくともuse権限が必要です。たとえば、次の文を使用すると、グループはプライベート・エンドポイントを作成できます。

    allow group <group-name> to manage data-safe-private-endpoints in compartment <compartment-name>
allow group <group-name> to manage virtual-network-family in compartment <compartment-name>

    グループにすでにOracle Data Safeプライベート・エンドポイントがあり、再利用する場合は、前述の文でmanageuseに置き換えます。

  • (オプション2) Oracle Data Safeオンプレミス・コネクタの使用または作成: Oracle Data Safeオンプレミス・コネクタを使用または作成するための権限を含めます。たとえば:

    allow group <group-name> to manage onprem-connectors in compartment <compartment-name>

Oracle Cloud@CustomerデータベースをOracle Data Safeに登録する権限

Oracle Cloud@Customerデータベース(Oracle Exadata Database Service on Cloud@CustomerまたはOracle Autonomous AI Database on Exadata Cloud@Customer)をOracle Data Safeに登録するには、ユーザー・グループがOracle Cloud Infrastructure Identity and Access Management (IAM)で次のことを実行する権限が必要です:

  • Oracle Data Safeへのターゲット・データベースの登録:

    allow group <group-name> to manage target-databases in compartment <compartment-name>

  • (Oracle Exadata Database Service on Cloud@Customer)ターゲット・データベースを登録または更新します:

    allow group <group-name> to inspect exadata-infrastructures in compartment <compartment-name>
allow group <group-name> to inspect vmcluster-network in compartment <compartment-name>

  • (Oracle Autonomous AI Database on Exadata Cloud@Customer)ターゲット・データベースを登録または更新します:

    allow group <group-name> to read autonomous-databases in compartment <compartment-name>
allow group <group-name> to inspect autonomous-container-databases in compartment <compartment-name>
allow group <group-name> to inspect autonomous-vmclusters in compartment <compartment-name>
allow group <group-name> to inspect exadata-infrastructures in compartment <compartment-name>
allow group <group-name> to inspect vmcluster-network in compartment <compartment-name>

  • (オプション1) Oracle Data Safeプライベート・エンドポイントの使用または作成:ユーザー・グループには、Oracle Data Safeプライベート・エンドポイントおよび関連するコンパートメントのプライベート・エンドポイントの基礎となる仮想ネットワーキング・リソースに対する少なくともuse権限が必要です。たとえば、次の文を使用すると、グループはプライベート・エンドポイントを作成できます。

    allow group <group-name> to manage data-safe-private-endpoints in compartment <compartment-name>
allow group <group-name> to manage virtual-network-family in compartment <compartment-name>

    グループにすでにOracle Data Safeプライベート・エンドポイントがあり、再利用する場合は、前述の文でmanageuseに置き換えます。

  • (オプション2) Oracle Data Safeオンプレミス・コネクタの使用または作成: Oracle Data Safeオンプレミス・コネクタを使用または作成するための権限を含めます。たとえば:

    allow group <group-name> to manage onprem-connectors in compartment <compartment-name>

Amazon RDS for Oracle DatabaseをOracle Data Safeに登録する権限

Oracle Database用のAmazon RDSをOracle Data Safeに登録するには、ユーザー・グループにOracle Cloud Infrastructure Identity and Access Management (IAM)での次の操作を行う権限が必要です。

  • Oracle Data Safeへのターゲット・データベースの登録:

    allow group <group-name> to manage target-databases in compartment <compartment-name>

  • (オプション1) Oracle Data Safeプライベート・エンドポイントの使用または作成:データベースにプライベートIPアドレスがある場合は、Oracle Data Safeプライベート・エンドポイントを使用して接続できます。ユーザー・グループには、Oracle Data Safeプライベート・エンドポイントおよび関連するコンパートメントのプライベート・エンドポイントの基礎となる仮想ネットワーキング・リソースに対する少なくともuse権限が必要です。たとえば、次の文を使用すると、グループはプライベート・エンドポイントを作成できます。

    allow group <group-name> to manage data-safe-private-endpoints in compartment <compartment-name>
allow group <group-name> to manage virtual-network-family in compartment <compartment-name>

    グループにすでにOracle Data Safeプライベート・エンドポイントがあり、再利用する場合は、前述の文でmanageuseに置き換えます。

  • (オプション2) Oracle Data Safeオンプレミス・コネクタの使用または作成:データベースにプライベートIPアドレスがある場合は、Oracle Data Safeオンプレミス・コネクタを使用して接続できます。オンプレミス・コネクタにアクセスまたは作成する権限を含めます。たとえば:

    allow group <group-name> to manage onprem-connectors in compartment <compartment-name>

ターゲット・データベースをOracle Data Safeに登録する権限

ターゲット・データベースをOracle Data Safeに登録するには、ユーザー・グループに、Oracle Cloud Infrastructure Identity and Access Management (IAM)のtarget-databasesリソースに対するmanage権限が必要です。

例: Oracle Data Safeへのターゲット・データベースの登録

allow group <group-name> to manage target-databases in compartment <compartment-name>

Oracle Data Safeプライベート・エンド・ポイントの権限

Oracle Data Safeプライベート・エンドポイントを使用または作成するには、ユーザー・グループに、Oracle Cloud Infrastructure Identity and Access Management (IAM)のdata-safe-private-endpointsおよびvirtual-network-familyリソースに対する権限が必要です。

ターゲット・データベースにプライベートIPアドレスがある場合は、Oracle Data Safeプライベート・エンドポイントを使用して接続できます。ユーザー・グループには、Oracle Data Safeプライベート・エンドポイントおよび関連するコンパートメントのプライベート・エンドポイントの基礎となる仮想ネットワーキング・リソースに対する少なくともuse権限が必要です。

例:次の文を使用すると、グループはプライベート・エンドポイントを作成できます

allow group <group-name> to manage data-safe-private-endpoints in compartment <compartment-name>
allow group <group-name> to manage virtual-network-family in compartment <compartment-name>

グループにすでにOracle Data Safeプライベート・エンドポイントがあり、再利用する場合は、前述の文でmanageuseに置き換えます。

Oracle Data Safeオンプレミス・コネクタの権限

Oracle Data Safeオンプレミス・コネクタを使用または作成するには、ユーザー・グループに、Oracle Cloud Infrastructure Identity and Access Management (IAM)のonprem-connectorsリソースに対する権限が必要です。

ターゲット・データベースにプライベートIPアドレスがある場合は、Oracle Data Safeオンプレミス・コネクタを使用して接続できます。

例:オンプレミス・コネクタにアクセスまたは作成する権限を含める

allow group <group-name> to manage onprem-connectors in compartment <compartment-name>

アセスメントを実行し、監査およびアラート・データを表示する権限

ユーザー・グループが評価の実行および監査データおよびアラート・データの表示のみを実行できる必要がある場合は、次の文を使用してポリシーを作成できます。このポリシーでは、ユーザー・グループはマスキング・ポリシーの変更、機密データのマスク、機密データの検出またはターゲット・データベースの登録を行えません。

allow group <user-group> to manage data-safe-assessment-family in compartment <compartment name>
Allow group <user-group> to read data-safe-report-definitions in compartment <compartment-name>
Allow group <user-group> to read data-safe-reports in compartment <compartment-name>
Allow group <user-group> to read data-safe-alerts in compartment <compartment-name>

機密データを検出する権限

テナンシ管理者は、Oracle Cloud Infrastructure Identity and Access Managementの指定されたコンパートメントの特定のデータ検出リソースに対する権限を付与して、ユーザー・グループが特定のタスクを実行できるようにします。

例1:データ検出ジョブの実行(機密データ・モデルの作成)

allow group <user-group> to manage data-safe-sensitive-data-models in compartment <compartment-name>
allow group <group-name> to read target-databases in compartment <compartment-name>

例2:ターゲット・データベースでの増分データ検出ジョブの実行

allow group <user-group> to manage data-safe-discovery-jobs in compartment <compartment-name>
allow group <user-group> to read data-safe-sensitive-data-models in compartment <compartment-name>
allow group <user-group> to read data-safe-work-requests in compartment <compartment-name>

例3:機密タイプの作成

allow group <user-group> to manage data-safe-sensitive-types in compartment <compartment-name>

例4:データ検出のすべてのタスクの実行

allow group <user-group> to manage data-safe-discovery-family in compartment <compartment-name>

機密データをマスクする権限

テナンシ管理者は、Oracle Cloud Infrastructure Identity and Access Managementの指定されたコンパートメントの特定のデータ・マスキング・リソースに対する権限を付与して、ユーザー・グループが特定のタスクを実行できるようにします。

例1:事前作成されたマスキング・ポリシーを使用して、指定したコンパートメント内のターゲット・データベースの機密データをマスクします

allow group <user-group> to manage data-safe-masking-policies in compartment <compartment-name>
allow group <user-group> to manage data-safe-masking-reports in compartment <compartment-name>
allow group <user-group> to read data-safe-work-requests in compartment <compartment-name>
allow group <user-group> to read target-databases in compartment <compartment-name>

例2:指定したコンパートメントのマスキング・ポリシーを作成および管理します

allow group <user-group> to manage data-safe-masking-policies in compartment <compartment-name>

例3:指定したコンパートメントでライブラリ・マスキング・フォーマットを作成および管理します

allow group <user-group> to manage data-safe-library-masking-formats in compartment <compartment-name>