Oracle Cloud Infrastructureドキュメント

データベース管理の権限

Oracle Databasesの診断および管理機能を使用するには、次のデータベース管理リソース・タイプに対する必要な権限を持つテナンシ内のユーザー・グループに属する必要があります。

ノート

Oracle Databasesで診断および管理機能を使用するには、データベース管理権限に加えて、他のOracle Cloud Infrastructureサービス権限が必要です。詳細は、診断および管理を使用するために必要な追加権限を参照してください。
  • dbmgmt-managed-database-groups: このリソース・タイプを使用すると、ユーザー・グループはデータベース・グループの機能を使用できます。
  • dbmgmt-managed-databases: このリソース・タイプを使用すると、ユーザー・グループは管理対象データベースの機能を使用できます。
  • dbmgmt-jobs: このリソース・タイプを使用すると、ユーザー・グループはジョブの機能を使用できます。
  • dbmgmt-named-credentials: このリソース・タイプにより、ユーザー・グループは名前付き資格証明を作成および管理できます。
  • dbmgmt-family: この集約リソース・タイプには、データベース管理の各リソース・タイプがすべて含まれます。これにより、ユーザー・グループは、データベース管理のすべての機能を有効化して使用できます。

様々な診断および管理機能を使用するために必要な権限をユーザー・グループに付与するポリシーの例を次に示します:

  • DB-MGMT-USERユーザー・グループに、テナンシの管理対象データベースに対するすべての診断および管理機能を使用する権限を付与するには:
    Allow group DB-MGMT-USER to manage dbmgmt-family in tenancy
  • To grant the MGD-DB-USER user group the permission to view the number of Oracle Databases for which Diagnostics & Management is enabled (in compartment ABC) on the Oracle databases tile on the Database Management Overview page:
    Allow group MGD-DB-USER to inspect dbmgmt-managed-databases in compartment ABC
  • MGD-DB-USERユーザー・グループに、コンパートメントABCの管理対象データベースをモニターおよび管理する権限を付与するには:
    Allow group MGD-DB-USER to manage dbmgmt-managed-databases in compartment ABC
  • MGD-DB-USERユーザー・グループに、コンパートメントABC内のプライマリ・データベースおよびスタンバイ・データベースのメトリック・チャートをモニターする権限を付与するには:
    Allow group MGD-DB-USER to read dbmgmt-managed-databases in compartment ABC
  • DB-JOBS-USERユーザー・グループに、コンパートメントABC内のジョブを作業する権限を付与するには:
    Allow group DB-JOBS-USER to manage dbmgmt-jobs in compartment ABC
  • DB-NC-ADMINユーザー・グループに、コンパートメントABCの名前付き資格証明を作成および管理する権限を付与するには:
    Allow group DB-NC-ADMIN to manage dbmgmt-named-credentials in compartment ABC
    Allow group DB-NC-ADMIN to use dbmgmt-managed-databases in compartment ABC
  • DB-NC-USERユーザー・グループに、コンパートメントABCの名前付き資格証明を使用して様々な診断および管理タスクを実行する権限を付与するには:
    Allow group DB-MGMT-USER to read dbmgmt-named-credentials in compartment ABC
    ノート

    管理対象データベースのモニターおよび管理に必要なその他のポリシーに加えて、名前付き資格証明を使用して様々な診断および管理タスクを実行する権限を付与するポリシーが必要です。
  • DB-GRPS-USERユーザー・グループに、コンパートメントABC内のデータベース・グループを作業する権限を付与するには:
    Allow group DB-GRPS-USER to manage dbmgmt-managed-database-groups in compartment ABC

データベース管理のリソース・タイプおよび権限の詳細は、データベース管理のポリシー詳細を参照してください。

条件を使用するデータベース管理ポリシー

ユーザー・グループにアクセス権を付与するために満たす必要がある条件を指定して、詳細なポリシーを作成できます。データベース管理のポリシーに条件を使用する際に、特定のAPI操作および権限へのアクセスを制限するためにrequest.operationおよびrequest.permission変数を追加できます。ここでは、条件を使用するデータベース管理ポリシーの例を示します:

  • PERF-HUB-USERユーザー・グループに、パフォーマンス・ハブのみにアクセスする権限を付与し、コンパートメントABC内の管理対象データベースで実行できる他のタスクを制限するには、2つのポリシーを作成する必要があります。1つ目のポリシーはinspect動詞を使用する広範なポリシーであり、2つ目のポリシーでは、read動詞と、ユーザー・グループはRetrieveDatabasePerformanceData API操作のみを実行できるようにするrequest.operation変数を含む条件を使用します:
    Allow group PERF-HUB-USER to inspect dbmgmt-family in compartment ABC
    Allow group PERF-HUB-USER to read dbmgmt-family in compartment ABC where request.operation = ‘RetrieveDatabasePerformanceData’
  • DB-USERSユーザー・グループに、DBMGMT_MANAGED_DB_CONTENT_WRITE権限が必要なタスクを除くすべてのタスクを実行する権限を付与するには、request.permission変数を含むポリシーを作成する必要があります:
    Allow group DB-USERS to manage dbmgmt-family in compartment ABC where request.permission != 'DBMGMT_MANAGED_DB_CONTENT_WRITE'

条件を使用する他のタイプのポリシーの詳細は、条件を参照してください。