Oracle Cloud Infrastructureドキュメント

Autonomous AI Databaseの診断および管理を有効にするために必要な権限

Autonomous AI Databaseの診断および管理を有効にするには、次の権限が必要です:

データベース管理の権限

Autonomous AIデータベースの診断および管理を有効にするには、次のデータベース管理リソース・タイプに対して必要な権限を持つテナンシ内のユーザー・グループに属している必要があります:

  • dbmgmt-private-endpoints: このリソース・タイプを使用すると、ユーザー・グループはデータベース管理のプライベート・エンドポイントを作成して、専用Exadataインフラストラクチャ上のAutonomous AI Databases ServerlessおよびAutonomous AI Databasesと通信できます。
  • dbmgmt-work-requests: このリソース・タイプを使用すると、ユーザー・グループは、診断および管理が有効になっているときに生成された作業リクエストをモニターできます。
  • dbmgmt-family: この集約リソース・タイプには、個々のデータベース管理リソース・タイプがすべて含まれます。これを使用すると、ユーザー・グループはすべてのデータベース管理機能を有効化して使用できます。

ここでは、データベース管理プライベート・エンドポイントを作成し、プライベート・エンドポイントに関連付けられた作業リクエストをモニターするための権限をDB-MGMT-ADMINユーザー・グループに付与するポリシーの例を示します: 

Allow group DB-MGMT-ADMIN to manage dbmgmt-private-endpoints in tenancy
Allow group DB-MGMT-ADMIN to read dbmgmt-work-requests in tenancy

あるいは、データベース管理の集約リソース・タイプを使用する単一のポリシーによって、前の段落で説明したのと同じ権限をDB-MGMT-ADMINユーザー・グループに付与することもできます: 

Allow group DB-MGMT-ADMIN to manage dbmgmt-family in tenancy

データベース管理のリソース・タイプおよび権限の詳細は、データベース管理のポリシー詳細を参照してください。

その他のOracle Cloud Infrastructureサービス権限

Autonomous AIデータベースの診断および管理を有効にするには、データベース管理の権限に加えて、次のOracle Cloud Infrastructureサービス権限が必要です。

  • Autonomous AI Database権限: Autonomous AI Databaseの診断および管理を有効にするには、Autonomous AI Databaseリソース・タイプに対するmanage権限を持つテナンシのユーザー・グループに属している必要があります。ポリシーの作成時に、Autonomous AI Databaseの集約リソース・タイプautonomous-database-familyを使用できます。
    ここでは、テナンシのすべてのAutonomous AIデータベースの診断および管理を有効にする権限をDB-MGMT-ADMINユーザー・グループに付与するポリシーの例を次に示します:
    Allow group DB-MGMT-ADMIN to manage autonomous-database-family in tenancy

    Autonomous AI Databaseのリソース・タイプおよび権限の詳細は、Autonomous AI Database ServerlessのIAMポリシーおよび専用Exadataインフラストラクチャ上のAutonomous AI DatabaseのIAMポリシーを参照してください。

  • ネットワーキング・サービス権限: データベース管理プライベート・エンドポイントを操作し、データベース管理とAutonomous AIデータベースの間の通信を有効にするには、subnetsリソース・タイプに対するvnics権限およびuseリソース・タイプに対するmanage権限、さらにnetwork-security-groupssecurity-listsリソース・タイプが必要です。

    ここでは、必要な権限をDB-MGMT-ADMINユーザー・グループに付与する個々のポリシーの例を示します: 

    Allow group DB-MGMT-ADMIN to manage vnics in tenancy
    Allow group DB-MGMT-ADMIN to use subnets in tenancy
    Allow group DB-MGMT-ADMIN to use network-security-groups in tenancy

    または

    Allow group DB-MGMT-ADMIN to use security-lists in tenancy

    あるいは、ネットワーキング・サービスの集約リソース・タイプを使用する単一のポリシーによって、前の段落で説明したのと同じ権限をDB-MGMT-ADMINユーザー・グループに付与することもできます: 

    Allow group DB-MGMT-ADMIN to manage virtual-network-family in tenancy

    ネットワーキング・サービスのリソース・タイプおよび権限の詳細は、コア・サービスの詳細ネットワーキングの項を参照してください。

  • 管理エージェント権限: Autonomous AIデータベースの診断および管理を有効にするときに管理エージェントを使用するには、management-agentsリソース・タイプに対するread権限が必要です。

    ここでは、テナンシで必要な権限がDB-MGMT-ADMINユーザー・グループに付与されるポリシーの例を次に示します: 

    Allow group DB-MGMT-ADMIN to read management-agents in tenancy

    管理エージェントのリソース・タイプおよび権限の詳細は、管理エージェントの詳細を参照してください。

  • Vaultサービス権限: Autonomous AIデータベースの診断および管理を有効にするときに新しいシークレットを作成するか既存の機密を使用するには、secret-family集約リソース・タイプに対してmanage権限が必要です。

    ここでは、テナンシでシークレットを作成および使用する権限をDB-MGMT-ADMINユーザー・グループに付与するポリシーの例を示します: 

    Allow group DB-MGMT-ADMIN to manage secret-family in tenancy

    Vaultサービスのユーザー・グループ・ポリシーに加えて、管理対象データベース・リソースにデータベース・ユーザー・パスワード・シークレットおよびデータベース・ウォレット・シークレットにアクセスする権限を付与するには、次のリソース・プリンシパル・ポリシーが必要です(TCPSプロトコルがデータベースへの接続に使用されている場合)。

    Allow any-user to read secret-family in compartment ABC where ALL {request.principal.type = dbmgmtmanageddatabase}

    特定のシークレットにアクセスする権限を付与する場合は、ポリシーを次のように更新します:

    Allow any-user to read secret-family in compartment ABC where ALL {target.secret.id = <Secret OCID>,request.principal.type = dbmgmtmanageddatabase}

    Vaultサービスのリソース・タイプおよび権限の詳細は、Vaultサービスの詳細を参照してください。