Oracle Cloud Infrastructureドキュメント

外部データベース・システムの検出に必要な権限

データベース管理で外部データベース・システムを検出するには、次のデータベース管理リソース・タイプに対する必要な権限を持つテナンシ内のユーザー・グループに属している必要があります:

  • dbmgmt-external-dbsystem-discoveries: このリソース・タイプを使用すると、ユーザー・グループは検出を開始し、接続の詳細で検出結果を更新できます。
  • dbmgmt-external-dbsystems: このリソース・タイプにより、ユーザー・グループは外部データベース・システムを作成し、そのコンポーネントを登録できます。
  • dbmgmt-work-requests: このリソース・タイプを使用すると、ユーザー・グループは外部データベース・システムの検出に関連付けられた作業リクエストをモニターできます。
  • dbmgmt-family: この集約リソース・タイプには、個々のデータベース管理リソース・タイプが含まれ、ユーザー・グループは外部データベース・システムを検出および監視できます。また、このリソース・タイプを使用して、Oracle DatabasesおよびExadataインフラストラクチャに対してデータベース管理を有効にして使用するために必要な権限を付与できます。

次に、外部データベース・システムの検出と作成、および関連する作業リクエストのモニターに必要な権限をユーザー・グループに付与する個々のポリシーの例を示します。

Allow group DB-MGMT-EXTDBSYSTEM-ADMIN to manage dbmgmt-external-dbsystem-discoveries in tenancy
Allow group DB-MGMT-EXTDBSYSTEM-ADMIN to manage dbmgmt-external-dbsystems in tenancy
Allow group DB-MGMT-EXTDBSYSTEM-ADMIN to read dbmgmt-work-requests in tenancy

あるいは、データベース管理の集約リソース・タイプを使用する単一のポリシーによって、前の段落で説明したのと同じ権限およびOracle DatabasesおよびExadataインフラストラクチャにデータベース管理を使用するために必要な権限をDB-MGMT-EXTDBSYSTEM-ADMINユーザー・グループに付与することもできます。 

Allow group DB-MGMT-EXTDBSYSTEM-ADMIN to manage dbmgmt-family in tenancy

データベース管理のリソース・タイプおよび権限の詳細は、データベース管理のポリシー詳細を参照してください。

外部データベース・システムの検出に必要な追加権限

外部データベース・システムの検出には、データベース管理権限に加えて、次のOracle Cloud Infrastructureサービス権限が必要です。

管理エージェントの動的グループ・ポリシー

管理エージェントは、外部データベース・システムにコンポーネントを登録する必要があります。管理エージェントによる実行を許可するには、次のステップを実行します。

  1. 管理エージェントを含む動的グループ(agent-dynamic-group)を作成し、次の照合ルールを入力して動的グループを定義します:
    ALL {resource.type='managementagent', resource.compartment.id='<AGENT_COMPARTMENT_OCID>'}

    動的グループの作成方法の詳細は、動的グループを作成するにはを参照してください。

  2. manage動詞とデータベース管理dbmgmt-external-dbsystemsリソース・タイプを使用してポリシーを作成し、動的グループに外部データベース・システム・コンポーネントを登録する権限を付与します。この例では、agent-dynamic-groupは、コンパートメントABCに存在する外部データベース・システム・コンポーネントを登録します。
    Allow dynamic-group agent-dynamic-group to manage dbmgmt-external-dbsystems in compartment ABC

動的グループの詳細は、動的グループの管理を参照してください。

Vaultサービス権限

外部データベース・システムの検出時またはコンポーネントへの接続の追加時に、新しいシークレットを作成したり、既存のシークレットを使用するには、Vaultサービス権限が必要です。これらの権限を付与するには、read動詞とsecret-family集約リソース・タイプを使用してポリシーを作成する必要があります。

ここでは、テナンシでシークレットを作成および使用する権限をDB-MGMT-EXTDBSYSTEM-ADMINユーザー・グループに付与するポリシーの例を示します: 

Allow group DB-MGMT-EXTDBSYSTEM-ADMIN to read secret-family in tenancy

Vaultサービスのリソース・タイプおよび権限の詳細は、Vaultサービスの詳細を参照してください。