データベース管理の権限

Oracle Cloudデータベースの診断および管理を有効にするには、次のデータベース管理リソース・タイプに対する必要な権限を持つテナンシ内のユーザー・グループに属する必要があります:

• dbmgmt-private-endpoints: このリソース・タイプでは、ユーザー・グループがデータベース管理プライベート・エンドポイントを作成して、ベース・データベース・サービス、ExaDB-DおよびExaDB-XSのOracle Cloudデータベースと通信できます。
• dbmgmt-work-requests: このリソース・タイプを使用すると、ユーザー・グループは、診断および管理が有効になっているときに生成された作業リクエストをモニターできます。
• dbmgmt-family: この集約リソース・タイプには、個々のデータベース管理リソース・タイプがすべて含まれます。これを使用すると、ユーザー・グループはすべてのデータベース管理機能を有効化して使用できます。

ここでは、データベース管理プライベート・エンドポイントを作成し、プライベート・エンドポイントに関連付けられた作業リクエストをモニターするための権限をDB-MGMT-ADMINユーザー・グループに付与するポリシーの例を示します:

Allow group DB-MGMT-ADMIN to manage dbmgmt-private-endpoints in tenancy

Allow group DB-MGMT-ADMIN to read dbmgmt-work-requests in tenancy

あるいは、データベース管理の集約リソース・タイプを使用する単一のポリシーによって、前の段落で説明したのと同じ権限をDB-MGMT-ADMINユーザー・グループに付与することもできます:

Allow group DB-MGMT-ADMIN to manage dbmgmt-family in tenancy

データベース管理のリソース・タイプおよび権限の詳細は、データベース管理のポリシー詳細を参照してください。

その他のOracle Cloud Infrastructureサービス権限

Oracle Cloudデータベースの診断および管理を有効にするには、データベース管理権限に加えて、次のOracle Cloud Infrastructureサービス権限が必要です。

• ベース・データベース・サービス、ExaDB-D、ExaDB-XSおよびExaDB-C@C権限: Oracle Cloudデータベースの診断および管理を有効にするには、それぞれのOracle Databaseクラウド・ソリューションのリソース・タイプに対するuse権限が必要です。または、Oracle Cloudデータベースの集約リソース・タイプを使用する単一のポリシー(database-family)を使用できます。

  ここでは、テナンシ内のすべてのOracle Cloudデータベースの診断および管理を有効にする権限をDB-MGMT-ADMINユーザー・グループに付与するポリシーの例を示します:

  Allow group DB-MGMT-ADMIN to use database-family in tenancy

  詳細は次の項を参照してください。

  • ベース・データベース・サービスのリソース・タイプおよび権限は、ベース・データベース・サービスの詳細を参照してください。
  • ExaDB-Dリソース・タイプおよび権限。専用インフラストラクチャ上のExadata Database Serviceの詳細を参照してください。
  • ExaDB-XSリソース・タイプおよび権限。Exascaleインフラストラクチャ上のOracle Exadata Database Serviceの詳細を参照してください。
  • ExaDB-C@Cリソース・タイプおよび権限。Exadata Database Service on Cloud@Customerの詳細を参照してください。
• ネットワーキング・サービス権限(ベース・データベース・サービスのOracle Cloudデータベースの場合、ExaDB-DおよびExaDB-XS): データベース管理プライベート・エンドポイントを操作し、データベース管理とOracle Cloudデータベース間の通信を有効にするにはベース・データベース・サービス、ExaDB-DまたはExaDB-XSでは、vnicsリソース・タイプに対するmanage権限と、subnetsリソース・タイプに対するuse権限、およびnetwork-security-groupsリソース・タイプまたはsecurity-listsリソース・タイプのいずれかが必要です。

  ここでは、必要な権限をDB-MGMT-ADMINユーザー・グループに付与する個々のポリシーの例を示します:

  Allow group DB-MGMT-ADMIN to manage vnics in tenancy

  Allow group DB-MGMT-ADMIN to use subnets in tenancy

  Allow group DB-MGMT-ADMIN to use network-security-groups in tenancy

  または

  Allow group DB-MGMT-ADMIN to use security-lists in tenancy

  あるいは、ネットワーキング・サービスの集約リソース・タイプを使用する単一のポリシーによって、前の段落で説明したのと同じ権限をDB-MGMT-ADMINユーザー・グループに付与することもできます:

  Allow group DB-MGMT-ADMIN to manage virtual-network-family in tenancy

  ネットワーキング・サービスのリソース・タイプおよび権限の詳細は、コア・サービスの詳細のネットワーキングの項を参照してください。

• 管理エージェント権限(ExaDB-DおよびExaDB-C@CのOracle Cloudデータベースの場合): ExaDB-DおよびExaDB-C@Cの診断および管理を有効にするときに管理エージェントを使用するには、management-agentsリソース・タイプに対するread権限が必要です。

  ここでは、テナンシで必要な権限をDB-MGMT-ADMINユーザー・グループに付与するポリシーの例を示します:

  Allow group DB-MGMT-ADMIN to read management-agents in tenancy

  管理エージェントのリソース・タイプおよび権限の詳細は、管理エージェントの詳細を参照してください。

• Vaultサービス権限: Oracle Cloudデータベースの診断および管理を有効にするときに新しいシークレットを作成するか既存のシークレットを使用するには、secret-family集約リソース・タイプに対するmanage権限が必要です。

  ここでは、テナンシでシークレットを作成および使用する権限をDB-MGMT-ADMINユーザー・グループに付与するポリシーの例を示します:

  Allow group DB-MGMT-ADMIN to manage secret-family in tenancy

  Vaultサービスのユーザー・グループ・ポリシーに加えて、管理対象データベース・リソースにデータベース・ユーザー・パスワード・シークレットおよびデータベース・ウォレット・シークレットにアクセスする権限を付与するには、次のリソース・プリンシパル・ポリシーが必要です(TCPSプロトコルがデータベースへの接続に使用されている場合)。

  Allow any-user to read secret-family in compartment ABC where ALL {request.principal.type = dbmgmtmanageddatabase}

  特定のシークレットにアクセスする権限を付与する場合は、ポリシーを次のように更新します:

  Allow any-user to read secret-family in compartment ABC where ALL {target.secret.id = <Secret OCID>,request.principal.type = dbmgmtmanageddatabase}

  Vaultサービスのリソース・タイプおよび権限の詳細は、Vaultサービスの詳細を参照してください。