Oracle Cloud Infrastructureドキュメント

名前付き資格証明の作成と管理

データベース管理で名前付き資格証明を作成して、データベース・ユーザー資格証明を格納、管理および使用できます。

名前付き資格証明は、データベース・ユーザー資格証明(データベース・ユーザー名とパスワード)を含むOracle Cloud Infrastructureリソースです。他のOracle Cloud Infrastructureリソースと同様に、名前付き資格証明の作成、管理および使用は、Oracle Cloud Infrastructure Identity and Access Management (IAM)ポリシーによって制御されます。必要な権限を持つ管理者は、データベース管理に名前付き資格証明を作成して格納し、ユーザー・グループに、名前付き資格証明を使用して管理対象データベースに接続し、表領域の作成、ジョブの作成、データベース・パラメータの編集などのタスクを実行する権限を付与できます。また、名前付き資格証明を優先資格証明にリンクして、ユーザーが管理対象データベースにアクセスし、優先資格証明に関連付けられたタスクを実行できるようにすることもできます。

次に、名前付き資格証明を使用する利点を示します。

  • ユーザー資格証明は、名前付き資格証明内に保存されるためセキュアであり、すべてのユーザーに公開されるわけではありません。名前付き資格証明を使用すると、より低い権限を持つDBAは、データベース・パスワードを知らなくてもデータベース・メンテナンス関連のタスクを実行できます。
  • ユーザー資格証明がデータベース管理でタスクを実行するたびに指定する必要がないため、時間と労力が保存されます。
  • ユーザー資格証明は名前付き資格証明内で更新できるため、メンテナンスが容易になります。
  • 名前付き資格証明は一貫性を確保し、異なるユーザー資格証明の使用によるエラーを回避します。

名前付き資格証明には、次のスコープ・カテゴリがあります。

  • リソース: リソース・スコープを持つ名前付き資格証明は、単一の管理対象データベースで使用できます。
  • グローバル: グローバル・スコープを持つ名前付き資格証明は、すべての管理対象データベースで使用できます。

データベース管理では、次の場所で名前付き資格証明を使用できます。

  • 「管理」 「名前付き資格証明」ページ: このページでは、コンパートメントで作成されたすべての「リソース」および「グローバル」名前付き資格証明を表示し、名前付き資格証明に関連するタスクを実行できます。このページに移動するには:
    1. Oracle Cloud Infrastructureコンソールでナビゲーション・メニューを開き、「監視および管理」をクリックします。「データベース管理」で、「管理」をクリックします。
    2. 左側のペインで、「名前付き資格証明」をクリックし、「コンパートメント」ドロップダウン・リストでコンパートメントを選択します。
  • 「管理対象データベースの詳細」ページ: 左側のペインの「リソース」で、「資格証明」をクリックし、「名前付き資格証明」タブをクリックします。「名前付き資格証明」タブで、管理対象データベースに作成された名前付き資格証明およびコンパートメント内の「グローバル」名前付き資格証明を表示し、名前付き資格証明に関連するタスクを実行できます。

前提条件タスクの実行および必要な権限の取得

名前付き資格証明を作成する前に実行する必要がある一般的なタスクのリストを次に示します。

  1. データベース管理者は、データベース・ユーザー資格証明を作成します。ユーザー・アカウントの作成方法の詳細は、Oracle Databaseセキュリティ・ガイドユーザー・アカウントの作成を参照してください。
  2. 必要な権限を持つOracle Cloud Infrastructureユーザーは、データベース・ユーザー・パスワードのVaultサービス・シークレットを作成します。シークレットは、別のコンパートメント、または異なるボールト・キーまたは同じコンパートメントに作成できます。

    シークレットを作成する権限をユーザー・グループに付与するポリシーの例を次に示します:

    Allow group DB-MGMT-USER to manage secret-family in compartment ABC

    シークレットの作成方法の詳細は、Vaultでのシークレットの作成を参照してください。

  3. 必要なOracle Cloud Infrastructure権限を持つデータベース管理者は、データベース・ユーザー・パスワードを使用してVaultサービス・シークレットにアクセスできるように、次のいずれかのタイプのポリシーを作成します。
    • ユーザー: ポリシーのユーザーに対してパスワード・シークレットにアクセスする権限が定義されています。

      シークレットにアクセスする権限をユーザーに付与するポリシーの例を次に示します:

      Allow any-user to read secret in compartment ABC where request.user.id = <user_OCID>
    • リソース: ポリシーのリソース・タイプに定義されているパスワード・シークレットにアクセスする権限。

      名前付き資格証明は、データベース管理対応のOracle Databasesリソース(dbmgmtmanageddatabase)でサポートされています。シークレットにアクセスする権限をこのリソース・タイプに付与するポリシーの例を次に示します: 

      Allow any-user to read secret-family in compartment ABC where ALL {request.principal.type='dbmgmtmanageddatabase'}

前提条件タスクの実行時に、データベース管理のdbmgmt-named-credentialsリソース権限を持つユーザーは、名前付き資格証明を作成および管理できます。必要な権限をユーザー・グループに付与するポリシーの例を次に示します:

  • DB-MGMT-ADMINユーザー・グループに、コンパートメントABC内のすべての管理対象データベースに名前付き資格証明を作成する権限を付与するには:
    Allow group DB-MGMT-ADMIN to manage dbmgmt-named-credentials in compartment ABC
    Allow group DB-MGMT-ADMIN to use dbmgmt-managed-databases in compartment ABC
  • DB-MGMT-ADMINユーザー・グループに、コンパートメントABCの名前付き資格証明を削除する権限を付与するには:
    Allow group DB-MGMT-ADMIN to manage dbmgmt-named-credentials in compartment ABC
  • DB-MGMT-ADMINユーザー・グループに、コンパートメントABCの名前付き資格証明を別のコンパートメントに移動する権限を付与するには:
    Allow group DB-MGMT-ADMIN to manage dbmgmt-named-credentials in compartment ABC

名前付き資格証明を作成したら、名前付き資格証明を使用して様々なデータベース管理診断および管理タスクを実行する権限をユーザー・グループに付与する必要があります(他の必要な権限に加えて)。たとえば、DB-MGMT-USERユーザー・グループに表領域を作成する権限を付与し、そのために名前付き資格証明を使用するポリシーを次に示します。 

Allow group DB-MGMT-USER to use dbmgmt-managed-databases in compartment ABC
Allow group DB-MGMT-USER to read dbmgmt-named-credentials in compartment ABC

データベース管理のリソース・タイプおよび権限の詳細は、データベース管理のポリシー詳細を参照してください。

名前付き資格証明の作成

「管理対象データベースの詳細」ページで、管理対象データベースにアクセス、監視および管理するための名前付き資格証明を作成できます。

ノート

名前付き資格証明は、「管理」「名前付き資格証明」ページで作成および管理することもできます。詳細は、名前付き資格証明の作成および管理を参照してください。
  1. 「管理対象データベースの詳細」ページに移動し、左側のペインで「リソース」の下にある「資格証明」をクリックします。
  2. 「名前付き資格証明」タブをクリックします。
    コンパートメント内の名前付き資格証明(ある場合)のリストが表示され、別のコンパートメント内の名前付き資格証明を表示するには、「コンパートメントの変更」をクリックします。また、「表示単位」ドロップダウン・リストおよび「名前による検索」フィールドのオプションを使用して、名前付き資格証明のリストをフィルタできます。
  3. 「名前付き資格証明の作成」をクリックします。
  4. 「名前付き資格証明の作成」パネルで:
    1. 「一般」セクションで、次の情報を入力します:
      1. 名前: 名前付き資格証明に表示される一意の名前を確認し、必要に応じて変更します。
      2. 説明: オプションで、名前付き資格証明の説明を入力します。
    2. データベースの詳細を確認し、必要に応じて、「リソース」セクションで名前付き資格証明を優先資格証明として設定します:
      1. タイプ: リソース・タイプを確認します。「Oracle Database」がデフォルトで選択されており、このフィールドは編集できません。
      2. スコープ: 名前付き資格証明の範囲を選択します:
        • リソース: リソース・スコープを持つ名前付き資格証明を使用して、単一の管理対象データベースにアクセス、監視および管理できます。
        • グローバル: グローバル・スコープを持つ名前付き資格証明を使用して、すべての管理対象データベースにアクセス、監視および管理できます。
      3. リソース名: 管理対象データベースの名前を確認します。「管理対象データベースの詳細」ページから「名前付き資格証明の作成」パネルにアクセスした場合、このフィールドは編集できません。
        ノート

        別の管理対象データベースの名前付き資格証明を作成するには、「管理」「名前付き資格証明」ページに移動します。
      4. 優先資格証明として設定: オプションで、このチェック・ボックスを選択し、優先資格証明を選択します。名前付き資格証明を優先資格証明にリンクすることを選択した場合は、その名前付き資格証明を使用して、優先資格証明に関連付けられたタスクを実行できます。優先資格証明の詳細は、優先資格証明の設定を参照してください。
        ノート

        特定の管理対象データベースに優先資格証明が設定されているため、「優先資格証明として設定」チェック・ボックスは、「グローバル」スコープ・オプションが選択されている場合には表示されません。
    3. 次の資格証明の詳細を指定します。
      • ユーザー名: 管理対象データベースに接続するためのデータベース・ユーザー名を入力します。
      • ユーザー・パスワード・シークレット: ドロップダウン・リストから、データベース・ユーザー・パスワードを含むシークレットを選択します。シークレットが存在するコンパートメントが表示されているコンパートメントと異なる場合は、「コンパートメントの変更」をクリックし、別のコンパートメントを選択します。

        データベース・ユーザー・パスワードが指定された既存のシークレットを使用できない場合は、ドロップダウン・リストで「新規シークレットの作成...」を選択します。シークレットの作成に必要な権限およびシークレットの作成方法の詳細は、前提条件タスクの実行および必要な権限の取得を参照してください。

      • ロール: 使用可能なオプションからロール(NORMALまたはSYSDBA)を選択します。
      • パスワード・シークレット・アクセス・モード: パスワード・シークレット・アクセス・モードを選択します:
        • ユーザー: ポリシー内のユーザーに定義されているパスワード・シークレットにアクセスする権限。
        • リソース: ポリシー内のリソースのタイプ(名前付き資格証明が作成される)に対して、パスワード・シークレットにアクセスする権限が定義されます。

        データベース・ユーザー・パスワードを使用してシークレットへのアクセスを提供するポリシーの詳細は、前提条件タスクの実行および必要な権限の取得を参照してください。

    4. オプションで、「拡張オプションの表示」をクリックして、名前付き資格証明にフリーフォームまたは定義済のタグを追加します。名前付き資格証明の作成に必要な権限がある場合は、フリーフォーム・タグを追加することもできます。定義済タグを追加するには、タグ・ネームスペースを使用する権限が必要です。

      詳細は、次を参照してください:

    5. オプションで、「テスト」をクリックして、資格証明を使用して管理対象データベースへの接続が正常に確立されているかどうかを確認します。
    6. 「作成」をクリックして、名前付き資格証明を作成します。
新しく作成された名前付き資格証明は、「資格証明」セクションの「名前付き資格証明」タブにリストされ、ジョブやSQLチューニング・セットの作成などの様々なタスクの実行に使用できます。名前付き資格証明の名前をクリックすると、そのOCID、スコープ、関連リソース(管理対象データベース)などの資格証明情報を表示し、タグ関連のタスクを実行できます。

名前付き資格証明のアクション・アイコン(アクション)をクリックし、次のタスクを実行できます:

  • テスト: クリックして、名前付き資格証明を使用して管理対象データベースとの接続が確立されているかどうかをテストします。
  • 編集: クリックして、名前付き資格証明を編集および更新します。
  • 移動: 現在のコンパートメントから別のコンパートメントに名前付き資格証明を移動する場合にクリックします。
  • 削除: クリックして、名前付き資格証明を削除します。