Oracle Cloud Infrastructureドキュメント

Autonomous Databasesの診断および管理を有効にするために必要な権限

Autonomous Databasesの診断および管理を有効にするには、次の権限が必要です:

データベース管理の権限

Autonomous Databasesの診断および管理を有効にするには、次のデータベース管理リソース・タイプに対する必要な権限を持つテナンシ内のユーザー・グループに属する必要があります:

  • dbmgmt-private-endpoints: このリソース・タイプを使用すると、ユーザー・グループはデータベース管理プライベート・エンドポイントを作成してAutonomous Databasesと通信できます。
  • dbmgmt-work-requests: このリソース・タイプを使用すると、ユーザー・グループは、診断および管理が有効になっているときに生成された作業リクエストをモニターできます。
  • dbmgmt-family: この集約リソース・タイプには、個々のデータベース管理リソース・タイプがすべて含まれます。これを使用すると、ユーザー・グループはすべてのデータベース管理機能を有効化して使用できます。

ここでは、データベース管理プライベート・エンドポイントを作成し、プライベート・エンドポイントに関連付けられた作業リクエストをモニターするための権限をDB-MGMT-ADMINユーザー・グループに付与するポリシーの例を示します: 

Allow group DB-MGMT-ADMIN to manage dbmgmt-private-endpoints in tenancy
Allow group DB-MGMT-ADMIN to read dbmgmt-work-requests in tenancy

あるいは、データベース管理の集約リソース・タイプを使用する単一のポリシーによって、前の段落で説明したのと同じ権限をDB-MGMT-ADMINユーザー・グループに付与することもできます: 

Allow group DB-MGMT-ADMIN to manage dbmgmt-family in tenancy

データベース管理のリソース・タイプおよび権限の詳細は、データベース管理のポリシー詳細を参照してください。

その他のOracle Cloud Infrastructureサービス権限

Autonomous Databasesの診断および管理を有効にするには、データベース管理権限に加えて、次のOracle Cloud Infrastructureサービス権限が必要です。

  • Autonomous Database権限: Autonomous Databasesの診断および管理を有効にするには、Autonomous Databaseリソース・タイプに対するmanage権限を持つテナンシのユーザー・グループに属している必要があります。ポリシーを作成する際に、Autonomous Databaseの集約リソース・タイプautonomous-database-familyを使用できます。
    ここでは、テナンシ内のすべてのAutonomous Databasesの診断および管理を有効にする権限をDB-MGMT-ADMINユーザー・グループに付与するポリシーの例を示します:
    Allow group DB-MGMT-ADMIN to manage autonomous-database-family in tenancy

    Autonomous Databaseのリソース・タイプおよび権限の詳細は、Autonomous DatabaseサーバーレスのIAMポリシーおよび専用Exadataインフラストラクチャ上のAutonomous DatabaseのIAMポリシーを参照してください。

  • Networking service permissions: To work with the Database Management private endpoint and enable communication between Database Management and an Autonomous Database, you must have the manage permission on the vnics resource-type and the use permission on the subnets resource-type and either the network-security-groups or security-lists resource-type.

    ここでは、必要な権限をDB-MGMT-ADMINユーザー・グループに付与する個々のポリシーの例を示します: 

    Allow group DB-MGMT-ADMIN to manage vnics in tenancy
    Allow group DB-MGMT-ADMIN to use subnets in tenancy
    Allow group DB-MGMT-ADMIN to use network-security-groups in tenancy

    または

    Allow group DB-MGMT-ADMIN to use security-lists in tenancy

    あるいは、ネットワーキング・サービスの集約リソース・タイプを使用する単一のポリシーによって、前の段落で説明したのと同じ権限をDB-MGMT-ADMINユーザー・グループに付与することもできます: 

    Allow group DB-MGMT-ADMIN to manage virtual-network-family in tenancy

    ネットワーキング・サービスのリソース・タイプおよび権限の詳細は、コア・サービスの詳細ネットワーキングの項を参照してください。

  • Vaultサービス権限: Autonomous Databasesの診断および管理を有効にするときに新しいシークレットを作成するか既存のシークレットを使用するには、secret-family集約リソース・タイプに対するmanage権限が必要です。

    ここでは、テナンシでシークレットを作成および使用する権限をDB-MGMT-ADMINユーザー・グループに付与するポリシーの例を示します: 

    Allow group DB-MGMT-ADMIN to manage secret-family in tenancy

    Vaultサービスのユーザー・グループ・ポリシーに加えて、管理対象データベース・リソースにデータベース・ユーザー・パスワード・シークレットおよびデータベース・ウォレット・シークレットにアクセスする権限を付与するには、次のリソース・プリンシパル・ポリシーが必要です(TCPSプロトコルがデータベースへの接続に使用されている場合)。

    Allow any-user to read secret-family in compartment ABC where ALL {request.principal.type = dbmgmtmanageddatabase}

    特定のシークレットにアクセスする権限を付与する場合は、ポリシーを次のように更新します:

    Allow any-user to read secret-family in compartment ABC where ALL {target.secret.id = <Secret OCID>,request.principal.type = dbmgmtmanageddatabase}

    Vaultサービスのリソース・タイプおよび権限の詳細は、Vaultサービスの詳細を参照してください。