データベース管理の権限

外部MySQL DBシステムを表すOracle Cloud Infrastructureリソースを作成し、コネクタ・リソースを使用して接続し、データベース管理を有効にするには、次のデータベース管理リソース・タイプに必要な権限を持つテナンシのユーザー・グループに属している必要があります:

• dbmgmt-external-mysql-databases: このリソース・タイプにより、ユーザー・グループは外部MySQL DBシステムを表すリソースを作成および管理し、外部MySQL DBシステムのデータベース管理を有効にできます。
• dbmgmt-external-mysql-database-connectors: このリソース・タイプにより、ユーザー・グループは、外部MySQL DBシステムへの接続に必要な接続詳細を含むコネクタ・リソースを作成および管理できます。
• dbmgmt-work-requests: このリソース・タイプを使用すると、ユーザー・グループは、外部MySQL DBシステム登録プロセス中に生成された作業リクエストをモニターできます。
• dbmgmt-mysql-family: この集約リソース・タイプには、HeatWaveおよび外部MySQLの個々のデータベース管理リソース・タイプが含まれ、ユーザー・グループがデータベース管理を有効にして使用できるようにします。

次に、外部MySQL DBシステム・リソースを作成する権限をDB-MGMT-MYSQL-ADMINユーザー・グループに付与し、外部MySQL DBシステムに接続するためのコネクタを作成し、データベース管理を有効にし、プロセス中に生成された作業リクエストをモニターするポリシーの例を示します:

Allow group DB-MGMT-MYSQL-ADMIN to manage dbmgmt-external-mysql-databases in tenancy

Allow group DB-MGMT-MYSQL-ADMIN to manage dbmgmt-external-mysql-database-connectors in tenancy

Allow group DB-MGMT-MYSQL-ADMIN to read dbmgmt-work-requests in tenancy

あるいは、HeatWaveおよび外部MySQLの集計リソース・タイプのデータベース管理を使用する単一のポリシーによって、前の段落で説明したのと同じ権限をDB-MGMT-MYSQL-ADMINユーザー・グループに付与することもできます:

Allow group DB-MGMT-MYSQL-ADMIN to manage dbmgmt-mysql-family in tenancy

データベース管理のリソース・タイプおよび権限の詳細は、データベース管理のポリシー詳細を参照してください。

その他のOracle Cloud Infrastructureサービス権限

外部MySQL DBシステムを登録してデータベース管理を有効にするには、データベース管理権限に加えて、次のOracle Cloud Infrastructureサービス権限が必要です。

• 管理エージェント権限: 管理エージェントを使用して外部MySQL DBシステムのインスタンスとの接続を作成し、データを収集するには、management-agents集約リソース・タイプに対するmanage権限が必要です。

  ここでは、テナンシ内の管理エージェントを操作する権限をDB-MGMT-MYSQL-ADMINユーザー・グループに付与するポリシーの例を示します:

  Allow group DB-MGMT-MYSQL-ADMIN to manage management-agents in tenancy

  データベース管理(dpd)に必要なプラグインをコンパートメントの管理エージェントにデプロイする権限を付与するには、次のサービス・ポリシーが必要です:

  Allow service dpd to manage management-agents in compartment ABC

  また、外部MySQL DBシステムで使用されるすべての管理エージェントに対して動的グループを作成する必要があります。これは、外部MySQL DBシステムが様々なOracle Cloud Infrastructureサービス・エンドポイントと対話できるようにするために必要です。たとえば、動的グループを使用すると、管理エージェントがメトリック・データをOracle Cloud Infrastructure Monitoringサービスにアップロードするポリシーを作成できます。動的グループの作成時に、コンパートメントまたはテナンシの管理エージェントを動的グループに追加するルールを定義できます。これにより、このステップが1回かぎりの設定ステップであり、インストールされる新しい管理エージェントが動的グループに自動的に属することが保証されます。

  次に例を示します:

  1. 管理エージェントを含むデフォルト・ドメインに動的グループ(agent-dynamic-group)を作成し、次の一致ルールを入力して動的グループを定義します。

     ALL {resource.type='managementagent', resource.compartment.id='ocid1.compartment.oc1.examplecompartmentid'}

     特定のコンパートメントのみでなく、テナンシのすべてのコンパートメントのエージェントをカバーするには、次の一致ルールを使用します:

     ALL {resource.type='managementagent'}

     動的グループの作成方法の詳細は、「動的グループを作成するには」を参照してください。

  2. 動的グループ(agent-dynamic-group)を使用してポリシーを作成し、様々なOracle Cloud Infrastructureサービスと対話します。たとえば:

     Allow dynamic-group agent-dynamic-group to manage management-agents in tenancy

     Allow dynamic-group agent-dynamic-group to use metrics in tenancy

     Allow dynamic-group agent-dynamic-group to use tag-namespaces in tenancy

  詳細は次の項を参照してください。

  • 管理エージェント・サービスのリソース・タイプおよび権限。管理エージェントの詳細を参照してください。
  • 動的グループについては、Managing Dynamic Groupsを参照してください。
• Vaultサービス権限: データベース管理を有効にするときに新しいシークレットを作成するか既存のシークレットを使用するには、secret-family集約リソース・タイプに対するmanage権限が必要です。

  ここでは、テナンシでシークレットを作成および使用する権限をDB-MGMT-MYSQL-ADMINユーザー・グループに付与するポリシーの例を示します:

  Allow group DB-MGMT-MYSQL-ADMIN to manage secret-family in tenancy

  Vaultサービスのリソース・タイプおよび権限の詳細は、Vaultサービスの詳細を参照してください。