Oracle Cloud Infrastructureドキュメント

名前付き資格証明の作成および管理

データベース管理診断および管理で名前付き資格証明を作成して、データベース・ユーザー資格証明を格納、管理および使用できます。

名前付き資格証明はOracle Cloud Infrastructureリソースで、データベース・ユーザー資格証明(データベース・ユーザー名とパスワード)が含まれます。他のOracle Cloud Infrastructureリソースと同様に、名前付き資格証明の作成、管理および使用は、Oracle Cloud Infrastructure Identity and Access Management (IAM)ポリシーによって制御されます。必要な権限を持つ管理者として、診断および管理に名前付き資格証明を作成して格納し、名前付き資格証明を使用して管理対象データベースに接続し、表領域の作成、ジョブの作成、データベース・パラメータの編集などのタスクを実行する権限をユーザー・グループに付与できます。また、名前付き資格証明を優先資格証明にリンクして、ユーザーが管理対象データベースにアクセスし、優先資格証明に関連付けられたタスクを実行できるようにすることもできます。

名前付き資格証明を使用する利点は次のとおりです。

  • ユーザー資格証明は、名前付き資格証明内に保存され、すべてのユーザーに公開されないため、保護されます。名前付き資格証明を使用すると、より低い権限を持つDBAは、データベース・パスワードを知らなくてもデータベースのメンテナンス関連タスクを実行できます。
  • 「Diagnostics & Management」でタスクを実行するたびにユーザー資格証明を指定する必要がないため、時間と労力が保存されます。
  • ユーザー資格証明は、メンテナンスを容易にするために名前付き資格証明内で更新できます。
  • 名前付き資格証明は一貫性を確保し、異なるユーザー資格証明の使用によって発生する可能性のあるエラーを回避します。

名前付き資格証明には、次のスコープ・カテゴリがあります。

  • リソース: リソース・スコープを持つ名前付き資格証明は、単一の管理対象データベースで使用できます。
  • グローバル: グローバル・スコープを持つ名前付き資格証明は、すべての管理対象データベースで使用できます。

名前付き資格証明は次の場所で使用できます。

  • 「管理」「名前付き資格証明」ページ: このページでは、コンパートメントに作成されたすべてのリソースおよびグローバル名前付き資格証明を表示し、名前付き資格証明に関連するタスクを実行できます。このページに移動するには:
    1. Oracle Cloud Infrastructureコンソールでナビゲーション・メニューを開き、「監視および管理」をクリックします。「データベース管理」で、「管理」をクリックします。
    2. 左側のペインで、「名前付き資格証明」をクリックし、「コンパートメント」ドロップダウン・リストでコンパートメントをクリックします。
  • 「管理対象データベースの詳細」ページ: 左側のペインの「リソース」で、「資格証明」をクリックし、「名前付き資格証明」タブをクリックします。「名前付き資格証明」タブで、管理対象データベースに作成された名前付き資格証明およびコンパートメント内のグローバル名前付き資格証明を表示し、名前付き資格証明に関連するタスクを実行できます。

前提条件タスクの実行および必要な権限の取得

名前付き資格証明を作成する前に実行する必要がある一般的なタスクのリストを次に示します。

  1. データベース管理者は、データベース・ユーザー資格証明を作成します。ユーザー・アカウントの作成方法の詳細は、『Oracle Databaseセキュリティ・ガイド』ユーザー・アカウント作成を参照してください。
  2. 必要な権限を持つOracle Cloud Infrastructureユーザーは、データベース・ユーザー・パスワードのVaultサービス・シークレットを作成します。シークレットは、別のコンパートメントまたは異なるボールト・キーまたは異なるボールト・キーを持つ同じコンパートメントに作成できます。

    シークレットを作成する権限をユーザー・グループに付与するポリシーの例を次に示します:

    Allow group DB-MGMT-USER to manage secret-family in compartment ABC

    シークレットの作成方法の詳細は、Vaultでのシークレットの作成を参照してください。

  3. 必要なOracle Cloud Infrastructure権限を持つデータベース管理者は、データベース・ユーザー・パスワードを使用してVaultサービス・シークレットにアクセスできるように、次のいずれかのタイプのポリシーを作成します。
    • ユーザー: パスワード・シークレットにアクセスする権限は、ポリシーのユーザーに対して定義されています。

      シークレットにアクセスする権限をユーザーに付与するポリシーの例を次に示します:

      Allow any-user to read secret in compartment ABC where request.user.id = <user_OCID>
    • リソース: パスワード・シークレットにアクセスする権限は、ポリシーのリソースのタイプに定義されています。

      名前付き資格証明は、診断および管理対応のOracle Databasesリソース(dbmgmtmanageddatabase)でサポートされています。シークレットにアクセスする権限をこのリソース・タイプに付与するポリシーの例を次に示します: 

      Allow any-user to read secret-family in compartment ABC where ALL {request.principal.type='dbmgmtmanageddatabase'}

前提条件タスクの実行時に、データベース管理のdbmgmt-named-credentialsリソース権限を持つユーザーは、名前付き資格証明を作成および管理できます。様々な権限をユーザー・グループに付与するポリシーの例を次に示します:

  • DB-MGMT-ADMINユーザー・グループに、コンパートメントABC内のすべての管理対象データベースの名前付き資格証明を作成する権限を付与するには:
    Allow group DB-MGMT-ADMIN to manage dbmgmt-named-credentials in compartment ABC
    Allow group DB-MGMT-ADMIN to use dbmgmt-managed-databases in compartment ABC
  • DB-MGMT-ADMINユーザー・グループに、コンパートメントABC内の名前付き資格証明を削除する権限を付与するには:
    Allow group DB-MGMT-ADMIN to manage dbmgmt-named-credentials in compartment ABC
  • DB-MGMT-ADMINユーザー・グループに、コンパートメントABC内の名前付き資格証明を別のコンパートメントに移動する権限を付与するには:
    Allow group DB-MGMT-ADMIN to manage dbmgmt-named-credentials in compartment ABC

名前付き資格証明が作成されたら、名前付き資格証明を使用して様々な診断および管理タスクを実行する権限をユーザー・グループに(他の必要な権限に加えて)付与する必要があります。たとえば、DB-MGMT-USERユーザー・グループに表領域を作成し、名前付き資格証明を使用して表領域を作成する権限を付与するポリシーを次に示します。 

Allow group DB-MGMT-USER to use dbmgmt-managed-databases in compartment ABC
Allow group DB-MGMT-USER to read dbmgmt-named-credentials in compartment ABC

データベース管理リソース・タイプおよび権限の詳細は、データベース管理の詳細を参照してください。

名前付き資格証明の作成

「管理対象データベースの詳細」ページで、管理対象データベースにアクセス、モニターおよび管理するための名前付き資格証明を作成できます。

ノート

名前付き資格証明は、「管理」「名前付き資格証明」ページで作成および管理することもできます。詳細は、名前付き資格証明の作成と管理を参照してください。
  1. 「管理対象データベースの詳細」ページに移動し、左側のペインの「リソース」の下の「資格証明」をクリックします。
  2. 「名前付き資格証明」タブをクリックします。
    コンパートメント内の名前付き資格証明(存在する場合)のリストが表示され、別のコンパートメント内の名前付き資格証明を表示するには、「コンパートメントの変更」をクリックします。また、「表示方法」ドロップダウン・リストおよび「名前で検索」フィールドのオプションを使用して、名前付き資格証明のリストをフィルタできます。
  3. 「名前付き資格証明の作成」をクリックします。
  4. 「名前付き資格証明の作成」パネルで:
    1. 「一般」セクションで、次の情報を入力します。
      1. 名前: 名前付き資格証明に表示される一意の名前を確認し、必要に応じて変更します。
      2. 説明: オプションで、名前付き資格証明の説明を入力します。
    2. データベースの詳細を確認し、必要に応じて、「リソース」セクションで名前付き資格証明を優先資格証明として設定します:
      1. タイプ: リソース・タイプを確認します。「Oracle Database」がデフォルトで選択されており、このフィールドは編集できません。
      2. スコープ: 名前付き資格証明のスコープを選択します:
        • リソース: リソース・スコープを持つ名前付き資格証明を使用して、単一の管理対象データベースにアクセス、監視および管理できます。
        • グローバル: グローバル・スコープを持つ名前付き資格証明を使用して、すべての管理対象データベースにアクセス、モニターおよび管理できます。
      3. リソース名: 管理対象データベースの名前を確認します。「名前付き資格証明の作成」パネルが「管理対象データベースの詳細」ページからアクセスされている場合、このフィールドは編集できません。
        ノート

        別の管理対象データベースの名前付き資格証明を作成するには、「管理」「名前付き資格証明」ページに移動します。
      4. 優先資格証明として設定: オプションで、このチェック・ボックスを選択し、優先資格証明を選択します。名前付き資格証明を優先資格証明にリンクすることを選択した場合は、名前付き資格証明を使用して、優先資格証明に関連付けられたタスクを実行できます。優先資格証明の詳細は、優先資格証明の設定を参照してください。
        ノート

        優先資格証明が特定の管理対象データベースに対して設定されているため、「優先資格証明として設定」チェック・ボックスは、「グローバル」スコープ・オプションが選択されている場合には表示されません。
    3. 次の資格証明の詳細を指定します:
      • User name: 管理対象データベースに接続するためのデータベース・ユーザー名を入力します。
      • ユーザー・パスワード・シークレット: データベース・ユーザー・パスワードを含む秘密をドロップダウン・リストから選択します。シークレットが存在するコンパートメントが表示されているコンパートメントと異なる場合は、「コンパートメントの変更」をクリックし、別のコンパートメントを選択します。

        データベース・ユーザー・パスワードが指定された既存のシークレットを使用できない場合は、ドロップダウン・リストで「新規シークレットの作成...」を選択します。シークレットの作成に必要な権限およびシークレットの作成方法の詳細は、前提条件タスクの実行および必要な権限の取得を参照してください。

      • ロール: 使用可能なオプションからロールを選択します。
      • パスワード・シークレット・アクセス・モード: パスワード・シークレット・アクセス・モードを選択します:
        • ユーザー: パスワード・シークレットにアクセスする権限は、ポリシー内のユーザーに定義されています。
        • リソース: パスワード・シークレットにアクセスする権限は、ポリシー内のリソースのタイプ(名前付き資格証明が作成される)に対して定義されます。

        データベース・ユーザー・パスワードを使用してシークレットへのアクセスを提供するポリシーの詳細は、前提条件タスクの実行および必要な権限の取得を参照してください。

    4. オプションで、「拡張オプションの表示」をクリックして、名前付き資格証明にフリーフォーム・タグまたは定義済タグを追加します。名前付き資格証明の作成に必要な権限がある場合は、それにフリーフォーム・タグを追加する権限もあります。定義済タグを追加するには、タグ・ネームスペースを使用する権限が必要です。

      詳細は、次を参照してください:

    5. オプションで、「テスト」をクリックして、資格証明を使用して管理対象データベースへの接続が正常に確立されているかどうかを確認します。
    6. 「作成」をクリックして、名前付き資格証明を作成します。
新しく作成された名前付き資格証明は、「資格証明」セクションの「名前付き資格証明」タブにリストされ、ジョブやSQLチューニング・セットの作成などの様々なタスクを実行するために使用できます。名前付き資格証明の名前をクリックして、OCID、スコープおよび関連リソース(管理対象データベース)などの資格証明情報を表示し、タグ関連タスクを実行できます。

名前付き資格証明の「アクション」アイコン(アクション)をクリックし、次のタスクを実行できます:

  • テスト: 名前付き資格証明を使用して、管理対象データベースとの接続が確立されているかどうかをテストする場合にクリックします。
  • 編集: 名前付き資格証明を編集および更新する場合にクリックします。
  • 移動: 名前付き資格証明を現在のコンパートメントから別のコンパートメントに移動する場合にクリックします。
  • 削除: クリックすると、名前付き資格証明が削除されます。