Oracle Cloud Infrastructureドキュメント

外部データベースの診断および管理の使用に必要な追加権限

外部データベースの診断および管理を使用するには、データベース管理権限に加えて、次のOracle Cloud Infrastructureサービス権限が必要です。

  • 外部データベース・サービス権限: データベース管理の「概要」ページの「Oracleデータベース」タイルで、選択したコンパートメント内の外部データベースの合計数を表示するには、外部データベース・サービス権限が必要です。

    この権限を付与するには、inspect動詞と外部データベース・サービスのリソース・タイプを含むポリシーを作成する必要があります。ここでは、external-database-family集約リソース・タイプが使用されている例を示します: 

    Allow group DB-MGMT-USER to inspect external-database-family in compartment ABC
    ノート

    または、次のポリシーを作成して、Oracleデータベース・タイルに、コンパートメント内の外部データベース、Oracle CloudデータベースおよびAutonomous Databasesを含むOracle Databasesの合計数を表示する権限をユーザー・グループに付与できます。
    Allow group DB-MGMT-USER to {DATABASE_SERVICE_USAGE_INSPECT} in compartment ABC

    外部データベース・サービスのリソース・タイプおよび権限の詳細は、外部データベースの詳細を参照してください。

  • モニタリング・サービス権限: モニタリング・サービス権限は、次の場合に必要です:
    • 「Oracle Databaseフリート・サマリー」および「管理対象データベースの詳細」ページでデータベース・メトリックを表示します。
    • Oracle定義ダッシュボードでデータベース・パフォーマンス・データを表示し、モニタリング・サービス・メトリックを使用してウィジェットを作成します。
    • 「管理対象データベースの詳細」ページの「ジョブ」セクションの「実行」タブで、ジョブ実行のサマリーを表示します。
    • 診断および管理ページでオープン・データベース・アラームを表示します。
    • 「管理対象データベースの詳細」ページの「アラーム定義」セクションで、アラーム関連のタスクを実行します。

    前のリストに示したタスクの実行に必要な権限を提供するポリシーに関する情報を次に示します:

    • 診断および管理でデータベース・パフォーマンス・データを表示、モニタリング・サービス・メトリックを使用してウィジェットを作成、およびジョブ実行のサマリーを表示するには、metricsリソース・タイプのread動詞を含むポリシーを作成する必要があります。次に例を示します:
      Allow group DB-MGMT-USER to read metrics in compartment ABC
    • モニタリング・サービスの「診断および管理」ページ、「アラームのステータス」および「アラーム定義」ページでオープン・データベース・アラームを表示するには、alarmsリソースタイプにread動詞を指定したポリシー(metricsリソースタイプにread動詞を指定したポリシーに加えて)を作成する必要があります。次に例を示します:
      Allow group DB-MGMT-USER to read alarms in compartment ABC
    • 「管理対象データベースの詳細」ページの「アラーム定義」セクションでアラーム関連のタスクを実行するには、alarmsリソース・タイプのmanage動詞を含むポリシーを作成する必要があります(metricsリソース・タイプのread動詞を持つポリシーに加えて)。次に例を示します:
      Allow group DB-MGMT-USER to manage alarms in compartment ABC

    モニタリング・サービスを使用して、問合せを作成し、データベース・メトリック用のアラームを作成するには、他の権限が必要です。詳細は、次を参照してください:

    • モニタリング・サービスのリソースタイプおよび権限は、「モニタリングの詳細」を参照してください。

    • モニタリング・サービスの一般的なポリシーは、共通ポリシーを参照してください。

  • 通知サービス権限: 「管理対象データベースの詳細」ページの「アラーム定義」セクションでアラームを作成するときに、トピックおよびサブスクリプションを使用または作成するには、通知サービス権限が必要です。

    この権限を付与するには、ons-topicsリソース・タイプのuseまたはmanage動詞を持つポリシーを作成する必要があります(モニタリング・サービス権限に加えて)。アラームの作成時に新しいトピックを作成できるmanage動詞を使用したポリシーの例を次に示します: 

    Allow group DB-MGMT-USER to manage ons-topics in compartment ABC

    Notificationsサービスのリソース・タイプおよび権限の詳細は、通知の詳細に関する項を参照してください。

  • Vaultサービス権限: 診断および管理を使用してジョブの作成やデータベース・パラメータの編集などのタスクを実行するためにデータベース資格証明を指定するときに、シークレットを使用する場合は、Vaultサービス権限が必要です。優先資格証明と名前付き資格証明が設定されている場合、これらの資格証明を使用して管理対象データベースにアクセス、管理および監視するには、この権限も必要です。

    この権限を付与するには、Vaultサービスのリソース・タイプのread動詞を含むポリシーを作成する必要があります。ここでは、secret-family集約リソース・タイプが使用されている例を示します: 

    Allow group DB-MGMT-USER to read secret-family in compartment ABC

    特定のボールトからのみシークレットにアクセスする権限を付与する場合は、ポリシーを次のように更新します:

    Allow group DB-MGMT-USER to read secret-family in compartment ABC where target.vault.id = <Vault OCID>

    Vaultサービスのユーザー・グループ・ポリシーに加えて、スケジュール済ジョブの作成時にシークレットにアクセスする権限を付与するには、次のリソース・プリンシパル・ポリシーが必要になる場合があります:

    Allow any-user to read secret-family in compartment ABC where ALL {target.secret.id = <Secret OCID>,request.principal.type = dbmgmtmanageddatabase}

    Vaultサービスのリソース・タイプおよび権限の詳細は、Vaultサービスの詳細を参照してください。

  • 管理ダッシュボードの権限: 診断および管理が有効になっている外部データベースのダッシュボードを使用するには、管理ダッシュボードの権限が必要です。

    ダッシュボードやウィジェットの作成などのタスクを実行するには、管理ダッシュボードのリソース・タイプに必要な権限を持っている必要があります:

    • management-dashboard: このリソース・タイプを使用すると、ユーザー・グループはダッシュボードを使用できます。
    • management-saved-search: このリソース・タイプを使用すると、ユーザー・グループはダッシュボードで保存済検索を使用できます。

    管理ダッシュボードのリソース・タイプ、権限、API操作およびポリシーの例の詳細は、管理ダッシュボードの詳細を参照してください。

  • オブジェクト・ストレージ・サービス権限: 診断および管理でジョブ機能を使用するには、オブジェクト・ストレージ・サービス権限が必要です。
    • 管理エージェントが「問合せ」タイプのジョブのジョブ結果をオブジェクト・ストレージ・バケットに格納できるようにするには、最初に管理エージェントを含む動的グループを作成する必要があります。詳細は、「管理エージェント通信に必要なIAMポリシー」を参照してください。

      管理エージェント動的グループに「問合せ」タイプのジョブのジョブ結果をオブジェクト・ストレージ・バケットに格納する権限を付与するには、2つのポリシーを作成する必要があります。次に例を示します: 

      Allow dynamic-group Management-Agents-Group to read buckets in compartment ABC where request.principal.type = 'managementagent'

      および

      Allow dynamic-group Management-Agents-Group to manage objects in compartment ABC where all {request.principal.type = 'managementagent', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}
    • ユーザー・グループが、オブジェクト・ストレージ・バケットに格納されている「問合せ」タイプのジョブ結果を読み取れるようにするには、2つのポリシーを作成する必要があります。次に例を示します:
      Allow group DB-MGMT-USER to read buckets in compartment ABC

      および

      Allow group DB-MGMT-USER to manage objects in compartment ABC

    オブジェクト・ストレージ・サービスのユーザー・グループ・ポリシーに加えて、スケジュール済ジョブの結果をオブジェクト・ストレージ・サービスに書き込む権限を付与するには、次のリソース・プリンシパル・ポリシーが必要です:

    Allow any-user to manage objects in compartment ABC where ALL {target.bucket.name = <Bucket Name>,request.principal.type = dbmgmtmanageddatabase}

    オブジェクト・ストレージ・サービスのリソース・タイプおよび権限の詳細は、オブジェクト・ストレージ、アーカイブ・ストレージおよびデータ転送の詳細を参照してください。

  • イベント・サービス権限: リソースをモニターするイベント・ルールを作成および表示するには、イベント・サービス権限が必要です。

    この権限を付与するには、cloudevents-rulesリソース・タイプのmanage動詞を含むポリシーを作成する必要があります。イベント・ルールを作成および表示できるmanage動詞を持つポリシーの例を次に示します: 

    Allow group DB-MGMT-USER to manage cloudevents-rules in tenancy

    イベント・サービス権限に加えて、イベント・ルールの作成時にアクション・タイプを指定するために他のOracle Cloud Infrastructureサービス権限が必要です。詳細は、イベントおよびIAMポリシーを参照してください。

    イベント・サービスのリソース・タイプおよび権限の詳細は、イベント・サービスの詳細を参照してください。

  • サービス権限のタグ付け: 診断および管理でタグを使用するために必要な権限の詳細は、認証および認可のタグ付けを参照してください。
  • メトリック拡張を使用する権限: データベース管理でメトリック拡張を使用するには、スタック・モニタリング・リソース・タイプの権限が必要です。次に、コンパートメントABC内のすべてのメトリック拡張関連タスクを実行する権限をDB-MGMT-USERユーザー・グループに付与するポリシーの例を示します:
    Allow group DB-MGMT-USER to manage stack-monitoring-metric-extension in compartment ABC