データベース管理の権限

Oracle Cloudデータベースの診断および管理を有効にするには、次のデータベース管理リソース・タイプに対する必要な権限を持つテナンシ内のユーザー・グループに属する必要があります:

• dbmgmt-private-endpoints: このリソース・タイプを使用すると、ユーザー・グループはデータベース管理プライベート・エンドポイントを作成して、ベース・データベース・サービスおよびExaDB-DのOracle Cloudデータベースと通信できます。
• dbmgmt-work-requests: このリソース・タイプを使用すると、ユーザー・グループは、診断および管理が有効になっているときに生成された作業リクエストをモニターできます。
• dbmgmt-family: この集約リソース・タイプには、データベース管理の各リソース・タイプがすべて含まれます。これにより、ユーザー・グループは、データベース管理のすべての機能を有効化して使用できます。

ここでは、データベース管理プライベート・エンドポイントを作成し、プライベート・エンドポイントに関連付けられた作業リクエストをモニターするための権限をDB-MGMT-ADMINユーザー・グループに付与するポリシーの例を示します:

Allow group DB-MGMT-ADMIN to manage dbmgmt-private-endpoints in tenancy

Allow group DB-MGMT-ADMIN to read dbmgmt-work-requests in tenancy

あるいは、データベース管理の集約リソース・タイプを使用する単一のポリシーによって、前の段落で説明したのと同じ権限をDB-MGMT-ADMINユーザー・グループに付与することもできます:

Allow group DB-MGMT-ADMIN to manage dbmgmt-family in tenancy

データベース管理のリソース・タイプおよび権限の詳細は、データベース管理のポリシー詳細を参照してください。

その他のOracle Cloud Infrastructureサービス権限

Oracle Cloudデータベースの診断および管理を有効にするには、データベース管理権限に加えて、次のOracle Cloud Infrastructureサービス権限が必要です。

• ベース・データベース・サービス、ExaDB-DおよびExaDB-C@C権限: Oracle Cloudデータベースの診断および管理を有効にするには、それぞれのOracle Databaseクラウド・ソリューションのリソース・タイプに対するuse権限が必要です。または、Oracle Cloudデータベースの集約リソース・タイプを使用する単一のポリシー(database-family)を使用できます。

  ここでは、テナンシ内のすべてのOracle Cloudデータベースの診断および管理を有効にする権限をDB-MGMT-ADMINユーザー・グループに付与するポリシーの例を示します:

  Allow group DB-MGMT-ADMIN to use database-family in tenancy

  詳細は次の項を参照してください。

  • ベース・データベース・サービスのリソース・タイプおよび権限は、ベース・データベース・サービスの詳細を参照してください。
  • ExaDB-Dリソース・タイプおよび権限。専用インフラストラクチャ上のExadata Database Serviceの詳細を参照してください。
  • ExaDB-C@Cリソース・タイプおよび権限。Exadata Database Service on Cloud@Customerの詳細を参照してください。
• ネットワーキング・サービス権限(ベース・データベース・サービスのOracle CloudデータベースおよびExaDB-D): データベース管理プライベート・エンドポイントを操作し、データベース管理とOracle Cloud間の通信を有効化しますベース・データベース・サービスまたはExaDB-Dのデータベースでは、vnicsリソース・タイプに対するmanage権限と、subnetsリソース・タイプと、network-security-groupsまたはsecurity-listsリソース・タイプに対するuse権限が必要です。

  ここでは、必要な権限をDB-MGMT-ADMINユーザー・グループに付与する個々のポリシーの例を示します:

  Allow group DB-MGMT-ADMIN to manage vnics in tenancy

  Allow group DB-MGMT-ADMIN to use subnets in tenancy

  Allow group DB-MGMT-ADMIN to use network-security-groups in tenancy

  または

  Allow group DB-MGMT-ADMIN to use security-lists in tenancy

  あるいは、ネットワーキング・サービスの集約リソース・タイプを使用する単一のポリシーによって、前の段落で説明したのと同じ権限をDB-MGMT-ADMINユーザー・グループに付与することもできます:

  Allow group DB-MGMT-ADMIN to manage virtual-network-family in tenancy

  ネットワーキング・サービスのリソース・タイプおよび権限の詳細は、コア・サービスの詳細のネットワーキングの項を参照してください。

• 管理エージェント権限(ExaDB-C@CのOracle Cloudデータベースの場合): ExaDB-C@Cの診断および管理を有効にするときに管理エージェントを使用するには、management-agentsリソース・タイプに対するread権限が必要です。

  ここでは、テナンシで必要な権限をDB-MGMT-ADMINユーザー・グループに付与するポリシーの例を示します:

  Allow group DB-MGMT-ADMIN to read management-agents in tenancy

  管理エージェントのリソース・タイプおよび権限の詳細は、管理エージェントの詳細を参照してください。

• Vaultサービス権限: Oracle Cloudデータベースの診断および管理を有効にするときに新しいシークレットを作成するか既存のシークレットを使用するには、secret-family集約リソース・タイプに対するmanage権限が必要です。

  ここでは、テナンシでシークレットを作成および使用する権限をDB-MGMT-ADMINユーザー・グループに付与するポリシーの例を示します:

  Allow group DB-MGMT-ADMIN to manage secret-family in tenancy

  データベース管理(dpd)にデータベース・ユーザーのパスワード・シークレットおよびデータベース・ウォレット・シークレット(TCPSプロトコルを使用してデータベースに接続した場合)を読み取る権限を付与するには、Vaultサービスのユーザー・グループ・ポリシーに加えて、次のサービス・ポリシーが必要です:

  Allow service dpd to read secret-family in compartment ABC

  シークレットの読取りを特定のVaultからに制限した権限を付与する場合は、ポリシーを次のように更新します:

  Allow service dpd to read secret-family in compartment ABC where target.vault.id = 'Vault OCID'

  Vaultサービスのリソース・タイプおよび権限の詳細は、Vaultサービスの詳細を参照してください。