外部データベースにデータベース管理を使用するために必要な追加権限
外部データベースにデータベース管理を使用するには、データベース管理権限に加えて、次のOracle Cloud Infrastructureサービス権限が必要です。
- External Database service permission: An External Database service permission is required to view the total number of External Databases in the selected compartment on the Oracle databases tile on the Database Management Overview page.
この権限を付与するには、
inspect
動詞と外部データベース・サービスのリソース・タイプを含むポリシーを作成する必要があります。ここでは、external-database-family
集約リソース・タイプが使用されている例を示します:Allow group DB-MGMT-USER to inspect external-database-family in compartment ABC
ノート
または、次のポリシーを作成して、Oracleデータベース・タイルに、コンパートメント内の外部データベース、Oracle CloudデータベースおよびAutonomous Databasesを含むOracle Databasesの合計数を表示する権限をユーザー・グループに付与できます。Allow group DB-MGMT-USER to {DATABASE_SERVICE_USAGE_INSPECT} in compartment ABC
外部データベース・サービスのリソース・タイプおよび権限の詳細は、外部データベースの詳細を参照してください。
- モニタリング・サービス権限: モニタリング・サービス権限は、次の場合に必要です:
- 「Oracle Databaseフリート・サマリー」および「管理対象データベースの詳細」ページでデータベース・メトリックを表示します。
- Oracle定義ダッシュボードでデータベース・パフォーマンス・データを表示し、モニタリング・サービス・メトリックを使用してウィジェットを作成します。
- 「管理対象データベースの詳細」ページの「ジョブ」セクションの「実行」タブで、ジョブ実行のサマリーを表示します。
- データベース管理でオープン・データベース・アラームを表示します。
- 「管理対象データベースの詳細」ページの「アラーム定義」セクションで、アラーム関連のタスクを実行します。
前のリストに示したタスクの実行に必要な権限を提供するポリシーに関する情報を次に示します:
- データベース管理でのデータベース・パフォーマンス・データの表示、モニタリング・サービス・メトリックの使用によるウィジェットの作成、およびジョブ実行のサマリーの表示を行うには、
metrics
リソース・タイプのread
動詞を含むポリシーを作成する必要があります。次に例を示します:Allow group DB-MGMT-USER to read metrics in compartment ABC
- モニタリング・サービスの「データベース管理」、「アラームのステータス」および「アラーム定義」ページでオープン・データベース・アラームを表示するには、
alarms
リソースタイプにread
動詞を指定したポリシー(metrics
リソースタイプにread
動詞を指定したポリシーに加えて)を作成する必要があります。次に例を示します:Allow group DB-MGMT-USER to read alarms in compartment ABC
- 「管理対象データベースの詳細」ページの「アラーム定義」セクションでアラーム関連のタスクを実行するには、
alarms
リソース・タイプのmanage
動詞を含むポリシーを作成する必要があります(metrics
リソース・タイプのread
動詞を持つポリシーに加えて)。次に例を示します:Allow group DB-MGMT-USER to manage alarms in compartment ABC
モニタリング・サービスを使用して、問合せを作成し、データベース・メトリック用のアラームを作成するには、他の権限が必要です。詳細は、次を参照してください:
-
モニタリング・サービスのリソースタイプおよび権限は、「モニタリングの詳細」を参照してください。
-
モニタリング・サービスの一般的なポリシーは、共通ポリシーを参照してください。
- 通知サービス権限: 「管理対象データベースの詳細」ページの「アラーム定義」セクションでアラームを作成するときに、トピックおよびサブスクリプションを使用または作成するには、通知サービス権限が必要です。
この権限を付与するには、
ons-topics
リソース・タイプのuse
またはmanage
動詞を持つポリシーを作成する必要があります(モニタリング・サービス権限に加えて)。アラームの作成時に新しいトピックを作成できるmanage
動詞を使用したポリシーの例を次に示します:Allow group DB-MGMT-USER to manage ons-topics in compartment ABC
Notificationsサービスのリソース・タイプおよび権限の詳細は、通知の詳細に関する項を参照してください。
- Vaultサービス権限: データベース管理でジョブの作成やデータベース・パラメータの編集などのタスクを実行するためにデータベース資格証明を指定するときに、シークレットを使用する場合は、Vaultサービス権限が必要です。優先資格証明と名前付き資格証明が設定されている場合、これらの資格証明を使用して管理対象データベースにアクセス、管理および監視するには、この権限も必要です。
この権限を付与するには、Vaultサービスのリソース・タイプの
read
動詞を含むポリシーを作成する必要があります。ここでは、secret-family
集約リソース・タイプが使用されている例を示します:Allow group DB-MGMT-USER to read secret-family in compartment ABC
シークレットの読取りを特定のVaultからに制限した権限を付与する場合は、ポリシーを次のように更新します:
Allow group DB-MGMT-USER to read secret-family in compartment ABC where target.vault.id = 'Vault OCID'
データベース管理(
dpd
)にデータベース・ユーザーのパスワード・シークレットを読み取る権限を付与するには、Vaultサービスのユーザー・グループ・ポリシーに加えて、次のサービス・ポリシーが必要です:Allow service dpd to read secret-family in compartment ABC
シークレットの読取りを特定のVaultからに制限した権限を付与する場合は、ポリシーを次のように更新します:
Allow service dpd to read secret-family in compartment ABC where target.vault.id = 'Vault OCID'
Vaultサービスのリソース・タイプおよび権限の詳細は、Vaultサービスの詳細を参照してください。
- 管理ダッシュボードの権限: データベース管理によってモニターされる外部データベースのダッシュボードを使用するには、管理ダッシュボードの権限が必要です。
ダッシュボードやウィジェットの作成などのタスクを実行するには、管理ダッシュボードのリソース・タイプに必要な権限を持っている必要があります:
management-dashboard
: このリソース・タイプを使用すると、ユーザー・グループはダッシュボードを使用できます。management-saved-search
: このリソース・タイプを使用すると、ユーザー・グループはダッシュボードで保存済検索を使用できます。
管理ダッシュボードのリソース・タイプ、権限、API操作およびポリシーの例の詳細は、管理ダッシュボードの詳細を参照してください。
- オブジェクト・ストレージ・サービス権限: データベース管理でジョブ機能を使用するには、オブジェクト・ストレージ・サービス権限が必要です。
- 管理エージェントが「問合せ」タイプのジョブのジョブ結果をオブジェクト・ストレージ・バケットに格納できるようにするには、最初に管理エージェントを含む動的グループを作成する必要があります。詳細は、「管理エージェント通信に必要なIAMポリシー」を参照してください。
管理エージェント動的グループに「問合せ」タイプのジョブのジョブ結果をオブジェクト・ストレージ・バケットに格納する権限を付与するには、2つのポリシーを作成する必要があります。次に例を示します:
Allow dynamic-group Management-Agents-Group to read buckets in compartment ABC where request.principal.type = 'managementagent'
および
Allow dynamic-group Management-Agents-Group to manage objects in compartment ABC where all {request.principal.type = 'managementagent', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}
- データベース管理ユーザー・グループが、オブジェクト・ストレージ・バケットに格納されている「問合せ」タイプのジョブ結果を読み取れるようにするには、2つのポリシーを作成する必要があります。次に例を示します:
Allow group DB-MGMT-USER to read buckets in compartment ABC
および
Allow group DB-MGMT-USER to manage objects in compartment ABC
オブジェクト・ストレージ・サービスのリソース・タイプおよび権限の詳細は、オブジェクト・ストレージ、アーカイブ・ストレージおよびデータ転送の詳細を参照してください。
- 管理エージェントが「問合せ」タイプのジョブのジョブ結果をオブジェクト・ストレージ・バケットに格納できるようにするには、最初に管理エージェントを含む動的グループを作成する必要があります。詳細は、「管理エージェント通信に必要なIAMポリシー」を参照してください。
- イベント・サービス権限: データベース管理イベントをリストするには、イベント・サービス権限が必要です。
この権限を付与するには、
cloudevents-rules
リソース・タイプのread
動詞を含むポリシーを作成する必要があります。次に、テナンシ内のすべてのイベントをリストできるポリシーの例を示します:Allow group DB-MGMT-USER to read cloudevents-rules in tenancy
イベント・サービスのリソース・タイプおよび権限の詳細は、イベント・サービスの詳細およびイベントおよびIAMポリシーを参照してください。
- サービス権限のタグ付け: データベース管理でタグを使用するために必要な権限の詳細は、認証および認可のタグ付けを参照してください。
- メトリック拡張を使用する権限: データベース管理でメトリック拡張を操作するには、スタック・モニタリング・リソース・タイプの権限が必要です。次に、コンパートメント
ABC
内のすべてのメトリック拡張関連タスクを実行する権限をDB-MGMT-USER
ユーザー・グループに付与するポリシーの例を示します:Allow group DB-MGMT-USER to manage stack-monitoring-metric-extension in compartment ABC