名前付き資格証明の作成と管理
データベース管理で名前付き資格証明を作成して、データベース・ユーザー資格証明を格納、管理および使用できます。
名前付き資格証明は、データベース・ユーザー資格証明(データベース・ユーザー名とパスワード)を含むOracle Cloud Infrastructureリソースです。他のOracle Cloud Infrastructureリソースと同様に、名前付き資格証明の作成、管理および使用は、Oracle Cloud Infrastructure Identity and Access Management (IAM)ポリシーによって制御されます。必要な権限を持つ管理者は、データベース管理に名前付き資格証明を作成して格納し、ユーザー・グループに、名前付き資格証明を使用して管理対象データベースに接続し、表領域の作成、ジョブの作成、データベース・パラメータの編集などのタスクを実行する権限を付与できます。また、名前付き資格証明を優先資格証明にリンクして、ユーザーが管理対象データベースにアクセスし、優先資格証明に関連付けられたタスクを実行できるようにすることもできます。
次に、名前付き資格証明を使用する利点を示します。
- ユーザー資格証明は、名前付き資格証明内に保存されるためセキュアであり、すべてのユーザーに公開されるわけではありません。名前付き資格証明を使用すると、より低い権限を持つDBAは、データベース・パスワードを知らなくてもデータベース・メンテナンス関連のタスクを実行できます。
- ユーザー資格証明がデータベース管理でタスクを実行するたびに指定する必要がないため、時間と労力が保存されます。
- ユーザー資格証明は名前付き資格証明内で更新できるため、メンテナンスが容易になります。
- 名前付き資格証明は一貫性を確保し、異なるユーザー資格証明の使用によるエラーを回避します。
名前付き資格証明には、次のスコープ・カテゴリがあります。
- リソース: リソース・スコープを持つ名前付き資格証明は、単一の管理対象データベースで使用できます。
- グローバル: グローバル・スコープを持つ名前付き資格証明は、すべての管理対象データベースで使用できます。
データベース管理では、次の場所で名前付き資格証明を使用できます。
- 「管理」 「名前付き資格証明」ページ: このページでは、コンパートメントで作成されたすべての「リソース」および「グローバル」名前付き資格証明を表示し、名前付き資格証明に関連するタスクを実行できます。このページに移動するには:
- Oracle Cloud Infrastructureコンソールでナビゲーション・メニューを開き、「監視および管理」をクリックします。「データベース管理」で、「管理」をクリックします。
- 左側のペインで、「名前付き資格証明」をクリックし、「コンパートメント」ドロップダウン・リストでコンパートメントを選択します。
- 「管理対象データベースの詳細」ページ: 左側のペインの「リソース」で、「資格証明」をクリックし、「名前付き資格証明」タブをクリックします。「名前付き資格証明」タブで、管理対象データベースに作成された名前付き資格証明およびコンパートメント内の「グローバル」名前付き資格証明を表示し、名前付き資格証明に関連するタスクを実行できます。
前提条件タスクの実行および必要な権限の取得
名前付き資格証明を作成する前に実行する必要がある一般的なタスクのリストを次に示します。
- データベース管理者は、データベース・ユーザー資格証明を作成します。ユーザー・アカウントの作成方法の詳細は、Oracle Databaseセキュリティ・ガイドのユーザー・アカウントの作成を参照してください。
- 必要な権限を持つOracle Cloud Infrastructureユーザーは、データベース・ユーザー・パスワードのVaultサービス・シークレットを作成します。シークレットは、別のコンパートメント、または異なるボールト・キーまたは同じコンパートメントに作成できます。
シークレットを作成する権限をユーザー・グループに付与するポリシーの例を次に示します:
Allow group DB-MGMT-USER to manage secret-family in compartment ABC
シークレットの作成方法の詳細は、Vaultでのシークレットの作成を参照してください。
- 必要なOracle Cloud Infrastructure権限を持つデータベース管理者は、データベース・ユーザー・パスワードを使用してVaultサービス・シークレットにアクセスできるように、次のいずれかのタイプのポリシーを作成します。
- ユーザー: ポリシーのユーザーに対してパスワード・シークレットにアクセスする権限が定義されています。
シークレットにアクセスする権限をユーザーに付与するポリシーの例を次に示します:
Allow any-user to read secret in compartment ABC where request.user.id = <user_OCID>
- リソース: ポリシーのリソース・タイプに定義されているパスワード・シークレットにアクセスする権限。
名前付き資格証明は、データベース管理対応のOracle Databasesリソース(
dbmgmtmanageddatabase
)でサポートされています。シークレットにアクセスする権限をこのリソース・タイプに付与するポリシーの例を次に示します:Allow any-user to read secret-family in compartment ABC where ALL {request.principal.type='dbmgmtmanageddatabase'}
- ユーザー: ポリシーのユーザーに対してパスワード・シークレットにアクセスする権限が定義されています。
前提条件タスクの実行時に、データベース管理のdbmgmt-named-credentials
リソース権限を持つユーザーは、名前付き資格証明を作成および管理できます。必要な権限をユーザー・グループに付与するポリシーの例を次に示します:
DB-MGMT-ADMIN
ユーザー・グループに、コンパートメントABC
内のすべての管理対象データベースに名前付き資格証明を作成する権限を付与するには:Allow group DB-MGMT-ADMIN to manage dbmgmt-named-credentials in compartment ABC
Allow group DB-MGMT-ADMIN to use dbmgmt-managed-databases in compartment ABC
DB-MGMT-ADMIN
ユーザー・グループに、コンパートメントABC
の名前付き資格証明を削除する権限を付与するには:Allow group DB-MGMT-ADMIN to manage dbmgmt-named-credentials in compartment ABC
DB-MGMT-ADMIN
ユーザー・グループに、コンパートメントABC
の名前付き資格証明を別のコンパートメントに移動する権限を付与するには:Allow group DB-MGMT-ADMIN to manage dbmgmt-named-credentials in compartment ABC
名前付き資格証明を作成したら、名前付き資格証明を使用して様々なデータベース管理診断および管理タスクを実行する権限をユーザー・グループに付与する必要があります(他の必要な権限に加えて)。たとえば、DB-MGMT-USER
ユーザー・グループに表領域を作成する権限を付与し、そのために名前付き資格証明を使用するポリシーを次に示します。
Allow group DB-MGMT-USER to use dbmgmt-managed-databases in compartment ABC
Allow group DB-MGMT-USER to read dbmgmt-named-credentials in compartment ABC
データベース管理のリソース・タイプおよび権限の詳細は、データベース管理のポリシー詳細を参照してください。
名前付き資格証明の作成
「管理対象データベースの詳細」ページで、管理対象データベースにアクセス、監視および管理するための名前付き資格証明を作成できます。
名前付き資格証明のアクション・アイコン()をクリックし、次のタスクを実行できます:
- テスト: クリックして、名前付き資格証明を使用して管理対象データベースとの接続が確立されているかどうかをテストします。
- 編集: クリックして、名前付き資格証明を編集および更新します。
- 移動: 現在のコンパートメントから別のコンパートメントに名前付き資格証明を移動する場合にクリックします。
- 削除: クリックして、名前付き資格証明を削除します。