診断および管理を有効にすると、ADBSNMPユーザーを使用するように基本モニタリング優先資格証明を設定できますが、ADMINユーザーを使用するように拡張診断優先資格証明を設定するか、ADMINユーザーを使用するようにセッション資格証明を設定することをお薦めします。これは、パフォーマンス・ハブなどの高度な監視および管理機能の一部に、ADBSNMPユーザーが持っていない追加の権限が必要なためです。

Oracle Cloud Infrastructure Vaultサービスを使用して、データベース・ユーザー・パスワードを暗号化キーとともにシークレットに保存します。Vaultサービスでは、暗号化キーとシークレットを格納および管理して、リソースに安全にアクセスできます。データベース・ユーザー・パスワードを変更した場合は、シークレットの新しいバージョンを作成してコンテンツを更新することで、シークレットを新しいパスワードで更新する必要もあります。

必要なデータベース・ユーザー権限の詳細は、診断および管理に必要なデータベース・ユーザー権限を参照してください。

Vaultサービスとその概念や、Vault、キーおよびシークレットの作成方法の詳細は、Vaultを参照してください。

Autonomous Database Serverlessの場合

Autonomous Databaseサーバーレスで使用できるネットワーク・アクセス・オプションには3つのタイプがあり、どのオプションを使用するか、またはネットワーク・アクセスを更新するかを確認するには、「Autonomous Databaseの詳細」ページに移動します。

相互TLS (mTLS)認証が必要な場合は、ウォレットをダウンロードしてVaultサービス・シークレットに保存する必要があります。このシークレットは、Autonomous Databaseの診断および管理を有効にするときに必要です。詳細は、この表の最後の行を参照してください。

• すべての場所からのセキュア・アクセス: このオプションを使用するには、プライベート・エンドポイントは必要ありませんが、mTLS認証は必須です。
• 許可されたIPおよびVCNからのアクセスのみを保護: このオプションを使用するには、次を実行する必要があります:
  1. VCNおよびサブネットが使用可能であることを確認します。VCNを作成することも、既存のVCNを使用することもできます。
  2. VCNでデータベース管理のネットワーク・ポイント・オブ・プレゼンスとして機能するデータベース管理プライベート・エンドポイントを作成します。
  3. Autonomous Databaseと通信するために、VCNがアクセス制御ルール(ACL)に追加されていることを確認します。VCNのIPアドレスまたはCIDRがACLに追加されている場合は、データベース管理プライベート・ポイントのIPアドレスまたはデータベース管理プライベート・エンドポイントを含むサブネットのIP範囲が含まれていることを確認する必要があります。
  4. サービス・ゲートウェイがVCNで使用可能であり、サブネットがサービス・ゲートウェイにアクセスできることを確認します。
  5. イングレスおよびエグレス・セキュリティ・ルール(TCPプロトコル、ポート1521または1522)をVCNのNSGまたはセキュリティ・リストに追加して、データベース管理プライベート・エンドポイントとAutonomous Database間の通信を有効にします。
• プライベート・エンドポイント・アクセスのみ: このオプションを使用するには、次を実行する必要があります:
  1. Autonomous Database VCNにデータベース管理プライベート・エンドポイントを作成します。Autonomous DatabaseがVCNのプライベート・サブネットにある場合は、データベース管理プライベート・エンドポイントも同じサブネットに存在することをお薦めします。同じVCNに既存のデータベース管理プライベート・エンドポイントがある場合は、同じサブネットにない場合でも再利用できます。
  2. イングレスおよびエグレス・セキュリティ・ルール(TCPプロトコル、ポート1521または1522)をVCNのNSGまたはセキュリティ・リストに追加して、データベース管理プライベート・エンドポイントとAutonomous Database間の通信を有効にします。NSGまたはセキュリティ・リストが使用できない場合は、NSGまたはセキュリティ・リストを作成し、サブネットIP CIDRのJDBCに使用されるポートを使用してTCPプロトコルでイングレスおよびエグレス・セキュリティ・ルールを追加します。

     Autonomous Databaseとデータベース管理プライベート・エンドポイントが同じサブネット内にない場合は、次のことが必要です:

     • データベース以外の端で、JDBCポート制約を「すべて」に置き換えます。
     • サブネットIP CIDRをVCN IP CIDRに置き換えます。

専用Exadataインフラストラクチャ上のAutonomous Databaseの場合

データベース管理プライベート・エンドポイントを作成する必要があります。専用Exadataインフラストラクチャ上のAutonomous Databasesのデータベース管理プライベート・エンドポイントを作成する場合は、「RACデータベースまたは専用Autonomous Databasesにこのプライベート・エンドポイントを使用」オプションを選択します。デフォルトでは、Autonomous Exadata VMクラスタ(AVMC)のプロビジョニング時にTLSウォレットレス接続が有効になり、ウォレットは必要ありませんが、mTLSおよびmTLS接続用にネットワーク設定が構成されている場合は、ウォレットをダウンロードしてVaultサービス・シークレットに保存する必要があります。このシークレットは、専用Exadataインフラストラクチャ上のAutonomous Databaseの診断および管理を有効にするときに必要です。詳細は、この表の最後の行を参照してください。

Autonomous Databaseサーバーレスへのアクセス方法の詳細は、「アクセス制御ルール(ACL)およびプライベート・エンドポイントを使用したネットワーク・アクセスの構成」を参照してください。

専用Exadata Infrastructure上のAutonomous Databaseへのアクセス方法の詳細は、Autonomous Databaseへの接続を参照してください。

専用Exadataインフラストラクチャ上のAutonomous DatabaseのTLSウォレットレス接続の詳細は、TLSウォレットレス接続の準備を参照してください。

データベース管理プライベート・エンドポイントの作成方法の詳細は、Autonomous Databasesのデータベース管理プライベート・エンドポイントの作成を参照してください。

NSGおよびセキュリティ・リストの詳細は、アクセスおよびセキュリティを参照してください。

ウォレットをダウンロードしたら、wallet_<databasename>.zipファイルを抽出し、暗号化キーを使用してSSOウォレット(cwallet.ssoファイル)をVaultサービス・シークレットに保存し、シークレットをアップロードしてAutonomous Databaseの診断および管理を有効にする必要があります。

Vaultサービスにデータベース・ウォレット・シークレットを作成していない場合は、診断および管理を有効にするときにシークレットを作成し、SSOウォレットをシークレットに自動的に追加できます。

診断および管理を有効にする前にVaultサービスにデータベース・ウォレット・シークレットを作成する場合は、データベース管理で使用できるように、次のフリーフォーム・タグをシークレットに関連付ける必要があります:

DBM_Wallet_Type: "DATABASE"

Vaultサービスとその概念や、Vault、キーおよびシークレットの作成方法の詳細は、Vaultを参照してください。