優先資格証明の設定

優先資格証明を設定して、管理対象データベースに接続し、特定のタスクを実行できます。

優先資格証明は、Oracle Cloud Infrastructure Vaultサービス・シークレットに格納されているデータベース資格証明を使用して、管理対象データベースへのアクセスを簡略化します。優先資格証明を使用すると、ユーザー・ロールおよび実行するタスクに基づいてデータベースへのデフォルト接続を提供できるため、様々なユーザー・グループの職務を分離し、別のセキュリティ・レイヤーを提供できます。データベース管理診断および管理では、ユーザーが管理対象データベースに接続し、関連するタスク・セットを実行できるように、次の優先資格証明を設定できます。

  • 基本的なモニタリング: メトリックを収集し、データベース・フリート・サマリーおよび管理対象データベースの詳細を表示するための最小権限。診断および管理が有効になっている場合、モニタリング・ユーザーに対して基本監視資格証明が自動的に設定されます。

  • 拡張診断: パフォーマンス・ハブやAWRエクスプローラなどの診断ツールを使用するための高度な権限。拡張診断資格証明が管理対象データベースに設定されている場合は、診断機能および管理対象データベースの読取り操作を自動的に使用できます。

  • 管理: 表領域の作成やデータベース・パラメータの編集などの管理タスクを実行するための管理権限。管理資格証明が管理対象データベースに設定されている場合は、データベース資格証明を自動入力して管理対象データベースで書込み操作を実行するために使用できます。

ノート

Oracle CloudデータベースおよびAutonomous Databasesの場合、診断および管理で優先資格証明を使用できるのは、データベース・ユーザー・パスワードを格納するシークレットを読み取る権限を持つユーザーのみです。権限の詳細は、前提条件タスクの実行および必要な権限の取得を参照してください。

詳細は、次を参照してください:

前提条件タスクの実行および必要な権限の取得

優先資格証明を設定する前に実行する必要がある一般的なタスクのリストを次に示します。

  1. データベース管理者は、優先資格証明が設定されるデータベース・ユーザーを作成します:
    • モニタリング・ユーザー
      ノート

      • 外部データベースおよびOracle Cloudデータベースの場合、DBSNMPユーザーをモニタリング・ユーザーとして使用できます。DBSNMPユーザーはOracle Databaseに組み込まれており、Oracle Cloud Infrastructureでデータベースをモニターするために必要な権限を持っているため、これは便利なオプションです。DBSNMPユーザーのかわりに、SQLスクリプトを使用して、管理対象データベースのモニターに必要な最小限の権限を持つ新しいデータベース・ユーザーを作成するオプションもあります。SQLスクリプトの詳細は、My Oracle Supportのデータベース管理用のOracle Databaseモニタリング資格証明の作成(KB57458)を参照してください。
      • Autonomous Databasesの場合、ADBSNMPユーザーをモニタリング・ユーザーとして使用できますが、ADBSNMPユーザーには、特定の高度なモニタリングおよび管理タスクの実行に必要な権限がありません。
    • 高度な診断ユーザー
      ノート

      • パフォーマンス・ハブのタスクを実行するための拡張診断ユーザーを作成する際には、パフォーマンス・ハブの使用に必要な権限がユーザーに付与されていることを確認する必要があります。必要な権限の詳細は、My Oracle SupportのOCI: パフォーマンス・ハブの前提条件(KB59684)を参照してください。
      • Autonomous Databasesでは、高度なパフォーマンス・ハブ機能(トップ・アクティビティ・ライト、アクティビティ・セッション履歴およびインスタンス・レベルのAWRレポート、オンデマンドADDMタスク実行およびSQLチューニング)を使用するには、ADMINユーザーを使用するように高度な診断の優先資格証明を設定する必要があります。
    • 管理者ユーザー

    外部データベースおよびOracle Cloudデータベースの場合、SQLスクリプトを使用して、高度な診断および管理タスクの実行に必要な権限セットを持つ新しいデータベース・ユーザーを作成できます。SQLスクリプトの詳細は、My Oracle SupportのOracle Database Management Advanced Diagnostics User and Administration User(KB84103)を参照してください。

    ユーザー・アカウントの作成方法の詳細は、Oracle Databaseセキュリティ・ガイドユーザー・アカウントの作成を参照してください。

  2. 必要な権限を持つOracle Cloud Infrastructureユーザーは、データベース・ユーザー・パスワードに対して次のVaultサービス・シークレットを作成します:
    • モニタリング・ユーザーのパスワードを格納するシークレット
    • 拡張診断ユーザーのパスワードを格納するシークレット
    • 管理者ユーザーのパスワードを格納するシークレット

    これらのシークレットは、異なるコンパートメントに、または異なるボールト・キーまたは同じボールト・キーを持つ同じコンパートメントに作成できます。

    シークレットを作成する権限をユーザー・グループに付与するポリシーの例を次に示します:

    Allow group DB-MGMT-USER to manage secret-family in compartment ABC

    シークレットの作成方法の詳細は、Vaultでのシークレットの作成を参照してください。

前提条件タスクの実行時に、次の権限を持つユーザーは、診断および管理で優先資格証明を設定できます:

  • 優先資格証明を設定するためのDBMGMT_MANAGED_DB_UPDATE権限。useまたはmanage動詞とdbmgmt-managed-databasesリソース・タイプを使用して、最小DBMGMT_MANAGED_DB_UPDATE権限をユーザー・グループに付与するか、広範なレベルの権限を付与できます。

    優先資格証明を設定する最小限の権限を持つポリシーの例を次に示します:

    Allow group DB-MGMT-USER to {DBMGMT_MANAGED_DB_UPDATE} in compartment ABC

    優先資格証明を設定する権限をユーザー・グループに付与する広範なポリシーの例を次に示します:

    Allow group DB-MGMT-USER to use dbmgmt-managed-databases in compartment ABC

    データベース管理のリソース・タイプおよび権限の詳細は、データベース管理のポリシー詳細を参照してください。

  • データベース・ユーザーのパスワードを格納するシークレットにアクセスする権限。シークレットを作成する権限をユーザー・グループに付与するポリシーの例を次に示します:

    Allow group DB-MGMT-USER to read secret-family in compartment ABC

    特定のボールトからのみシークレットにアクセスする権限を付与する場合は、ポリシーを次のように更新します:

    Allow group DB-MGMT-USER to read secret-family in compartment ABC where target.vault.id = <Vault OCID>

    シークレットにアクセスして使用するために必要なVaultサービス権限の詳細は、診断および管理を使用するために必要な追加権限を参照してください。

診断および管理での優先資格証明の設定

診断および管理で、高度な診断および管理優先資格証明を設定できます。

ノート

基本モニタリング資格証明は、診断および管理が有効な場合に設定されますが、基本モニタリング資格証明を更新できます。次の基本モニタリング資格証明を更新するには:
  • 外部データベース: 外部データベースへの接続の作成時に指定されたデータベース資格証明を更新します。詳細は、「外部データベースの接続資格証明の更新」を参照してください。
  • Oracle Cloud Databases and Autonomous Databases: Oracle Cloudデータベースの診断および管理を有効にするときに指定したデータベース資格証明を更新します:
    1. 「データベース管理」の「管理」「管理対象データベース」ページに移動します。
    2. 左側のペインで、データベースが存在するコンパートメントおよびデータベースのデプロイメント・タイプを選択します。
    3. データベースの「アクション」アイコン(アクション)をクリックして、「診断および管理の編集」をクリックします。
    4. 「診断および管理の編集」パネルで、選択したOracle Cloud DatabaseまたはAutonomous Databaseへの接続に指定されたデータベース資格証明を更新します。

診断および管理で拡張診断および管理の優先資格証明を設定するには:

  1. 「管理対象データベースの詳細」ページに移動し、左側のペインで「リソース」の下にある「資格証明」をクリックします。
    「優先資格証明」タブが表示され、優先資格証明を設定し、優先資格証明のステータス、アクセスが有効かどうか、優先資格証明に設定されているユーザー名とロール、関連付けられた名前付き資格証明(ある場合)などの詳細を表示できます。
  2. 設定する優先資格証明のアクション・アイコン(アクション)をクリックし、「編集」をクリックします。
  3. 「優先資格証明の編集」パネルで、「資格証明タイプ」ドロップダウン・リストで次のいずれかのオプションを選択して、優先資格証明を設定します:
    • 名前付き資格証明: 優先資格証明を既存の名前付き資格証明に関連付けるには、このオプションを選択します:
      ノート

      名前付き資格証明が使用中(アクティブ)で、管理対象データベースのセッション資格証明として設定されている場合、名前付き資格証明の名前は「アクティブ」の隣に表示されます。
      1. スコープ: 名前付き資格証明の範囲を選択します:
        • リソース: リソース・スコープを持つ名前付き資格証明を使用して、単一の管理対象データベースにアクセス、監視および管理できます。
        • グローバル: グローバル・スコープを持つ名前付き資格証明を使用して、診断および管理のすべての管理対象データベースにアクセス、モニターおよび管理できます。
      2. 名前付き資格証明: 名前付き資格証明を選択します。名前付き資格証明が存在するコンパートメントが表示されているコンパートメントとは異なる場合は、「コンパートメントの変更」をクリックし、別のコンパートメントを選択します。
    • 新規資格証明: このオプションを選択して、新規資格証明を作成します:
      1. ユーザー名: 管理対象データベースに接続するためのデータベース・ユーザー名を指定します。
      2. ユーザー・パスワード・シークレット: ドロップダウン・リストから、データベース・ユーザー・パスワードを含むシークレットを選択します。ユーザー・パスワードは優先資格証明に直接格納できません。最初にVaultサービス・シークレットに格納する必要があります。シークレットが存在するコンパートメントが表示されているコンパートメントと異なる場合は、「コンパートメントの変更」をクリックし、別のコンパートメントを選択します。

        データベース・ユーザー・パスワードが指定された既存のシークレットを使用できない場合は、ドロップダウン・リストで「新規シークレットの作成...」を選択します。シークレットの作成に必要な権限およびシークレットの作成方法の詳細は、前提条件タスクの実行および必要な権限の取得を参照してください。

      3. ロール: 使用可能なオプションからロールを選択します。
      4. 新しい名前付き資格証明として保存: オプションで、このチェック・ボックスを選択し、名前付き資格証明の名前と、次のパスワード・アクセス・モード・オプションのいずれかを指定して、新しい資格証明を名前付き資格証明として保存します。
        • ユーザー: ポリシー内のユーザーに定義されているパスワード・シークレットにアクセスする権限。
        • リソース: ポリシー内のリソースのタイプ(名前付き資格証明が作成される)に対して、パスワード・シークレットにアクセスする権限が定義されます。

    名前付き資格証明の詳細は、名前付き資格証明の作成と管理を参照してください。

  4. オプションで、「テスト」をクリックして、資格証明を使用して管理対象データベースへの接続が正常に確立されているかどうかを確認します。
  5. 「保存」をクリックして、資格証明を保存します。
「優先資格証明」タブで、資格証明の名前をクリックすると、ユーザー名やパスワード・シークレットなどの詳細を表示できます(資格証明が設定されている場合)。優先資格証明のアクション・アイコン(アクション)をクリックして、優先資格証明を編集、表示またはクリアすることもできます。
ノート

  • 管理優先資格証明が設定されている場合は、ジョブや表領域の作成などのタスクを実行するときに自動入力され、管理優先資格証明を使用するか、新しい資格証明を指定するかを選択できます。ただし、管理優先資格証明がオンデマンドADDM実行タスクまたはパフォーマンス・ハブのセッション終了タスクに設定されている場合は、管理優先資格証明が自動的に選択されます。
  • セッション資格証明が設定され、別のユーザー資格証明を使用して優先資格証明も設定されている場合、セッション資格証明は優先資格証明より優先され、タスクの実行時に自動的に選択されます。また、セッション資格証明の使用、優先資格証明の選択または新しい資格証明の指定も可能です。セッション資格証明が設定されている場合は、オンデマンドADDMタスクの実行、またはパフォーマンス・ハブでのセッションの終了に使用されます。セッション資格証明の詳細は、セッション資格証明の設定を参照してください。
  • 優先資格証明が設定されていない場合:
    • モニタリング・ユーザーは、基本モニタリングに使用されます。
    • セッション資格証明は、特定のセッションで使用するように設定できます。
    • 書込み操作の実行時には、データベース資格証明を指定する必要があります。

優先資格証明を使用したタスクの実行に必要な権限

次に、優先資格証明の使用に必要な権限を付与するIAMポリシーをリストするサンプル・シナリオをいくつか示します。シナリオでは、次のことを前提としています:

  • 優先資格証明は、必要な権限を持つOracle Cloud Infrastructureユーザーによって設定されました。
  • 次のデータベース・ユーザーに優先資格証明が設定されており、これらのユーザーには、優先資格証明を表示し、関連する一連の診断および管理タスクを実行するためのOracle Cloud Infrastructure権限が付与されている必要があります。
    • 高度な診断ユーザー
    • 管理ユーザー

    優先資格証明の設定に必要な前提条件タスクおよび権限の詳細は、前提条件タスクの実行および必要な権限の取得を参照してください。

シナリオ1: 高度な診断ユーザーに高度な診断の優先資格証明が設定されている場合、このユーザーが優先資格証明を表示して関連する一連のタスクを実行するには次の権限が必要です:

  • 診断および管理タスクを実行するためのデータベース管理権限。たとえば、表領域を表示するには、高度な診断ユーザーにDBMGMT_MANAGED_DB_READ権限が必要です。

    表領域を表示する権限をユーザー・グループに付与するポリシーの例を次に示します:

    Allow group DB-MGMT-USER to read dbmgmt-managed-databases in compartment ABC
  • 高度な診断ユーザーのパスワードを含むシークレットを読み取るためのVaultサービス権限。

    シークレットの読取り権限をユーザー・グループに付与するポリシーの例を次に示します:

    Allow group DB-MGMT-USER to read secrets in compartment ABC

シナリオ2: 管理ユーザーに管理優先資格証明が設定されている場合、このユーザーが優先資格証明を表示して関連する一連のタスクを実行するには次の権限が必要です:

  • 診断および管理タスクを実行するためのデータベース管理権限。たとえば、表領域を作成するには、管理者ユーザーにDBMGMT_MANAGED_DB_CONTENT_WRITE権限が必要です。

    表領域を作成する権限をユーザー・グループに付与するポリシーの例を次に示します:

    Allow group DB-MGMT-USER to use dbmgmt-managed-databases in compartment ABC
  • 管理者ユーザーのパスワードを含むシークレットを読み取るためのVaultサービス権限。

    シークレットの読取り権限をユーザー・グループに付与するポリシーの例を次に示します:

    Allow group DB-MGMT-USER to read secrets in compartment ABC

各タスクの実行に必要なデータベース管理権限の詳細は、データベース管理のポリシー詳細を参照してください。

優先資格証明に関する追加情報

次の表に、高度な診断および管理の優先資格証明で実行できる診断および管理タスクの一部を示します。

ノート

セッション資格証明が設定されていて、別のユーザー資格証明を使用して優先資格証明も設定されている場合、セッション資格証明は優先資格証明より優先され、タスクの実行時に自動的に選択され、セッション資格証明の使用、優先資格証明の選択または新しい資格証明の指定が可能です。セッション資格証明が設定されている場合は、オンデマンドADDMタスクの実行、またはパフォーマンス・ハブでのセッションの終了に使用されます。セッション資格証明の詳細は、セッション資格証明の設定を参照してください。
優先資格証明 タスク
高度な診断 オンデマンドADDMの実行およびセッションの終了(管理優先資格証明が必要)を除く、パフォーマンス・ハブのすべてのタスクを実行します。

詳細は、パフォーマンス・ハブの機能を参照してください。

SQLチューニング・アドバイザの実行とデータベース・パラメータの編集(管理優先資格証明が必要)を除く、ADDMスポットライトのすべてのタスクを実行します。

詳細は、特定の管理対象データベースのモニターと管理を参照してください。

AWRエクスプローラに関連するすべてのタスクの実行

詳細は、AWRエクスプローラを使用したデータベース・パフォーマンスの分析を参照してください。

アラート・ログおよび注意ログの表示

詳細は、アラート・ログの表示を参照してください。

SQLチューニング・タスク、SQLチューニング・セット、SQLチューニング・アドバイザの結果および推奨事項の表示など、すべての読取り専用SQLチューニング・タスクの実行

詳細は、SQLチューニング・アドバイザを使用したSQLの分析を参照してください。

SQLチューニング・セットをリストし、SQLチューニング・セットの詳細を表示します。

詳細は、SQLチューニング・セットの管理を参照してください。

すべての読取り専用のSPMタスク(SQL計画ベースラインの表示、SQL計画ベースライン構成の詳細の表示、SQL計画ベースラインをロードするために発行されたジョブなど)を実行します。

詳細は、「SPMを使用したSQL実行計画の管理」を参照してください。

SQLの検索

詳細は、SQLの検索を参照してください。

セッションの検索

詳細は、セッションの検索を参照してください。

オプティマイザ統計のサマリーとタスク、およびオプティマイザ統計アドバイザのサマリーとタスクの表示

詳細は、オプティマイザ統計のモニターおよび分析を参照してください。

バックアップを監視します。

詳細は、特定の管理対象データベースのバックアップのモニターを参照してください。

表領域の表示

詳細は、表領域およびデータファイルのモニターと管理を参照してください。

ユーザーおよびユーザー詳細の表示

詳細は、ユーザーの表示を参照してください。

データベース・パラメータの表示

詳細は、データベース・パラメータの表示と編集を参照してください。

管理 パフォーマンス・ハブまたは「管理対象データベースの詳細」ページの「セッションの検索」セクションでセッションを終了します。

詳細は、次を参照してください:

パフォーマンス・ハブでのオンデマンドADDMタスクの実行

詳細は、「ADDMタスクの実行」を参照してください。

パフォーマンス・ハブのスナップショット収集にAWR設定を使用します。

詳細は、AWR設定を参照してください。

ADDMスポットライトでSQLチューニング・アドバイザを実行します。

詳細は、特定の管理対象データベースのモニターと管理を参照してください。

ADDMスポットライトでデータベース・パラメータを編集します。

詳細は、特定の管理対象データベースのモニターと管理を参照してください。

SQLチューニング・アドバイザを実行し、推奨事項を実装します。

詳細は、SQLチューニング・アドバイザを使用したSQLの分析を参照してください。

SQLチューニング・セットを作成、ロードおよび削除します。

詳細は、SQLチューニング・セットの管理を参照してください。

オプティマイザ統計アドバイザ推奨事項の実装

詳細は、オプティマイザ統計のモニターおよび分析を参照してください。

SPM構成タスクおよびその他のタスク(SQL計画ベースラインのロードなど)を実行します。

詳細は、「SPMを使用したSQL実行計画の管理」を参照してください。

表領域およびデータファイルの作成、編集、削除

詳細は、表領域およびデータファイルのモニターと管理を参照してください。

データベース・パラメータの編集

詳細は、データベース・パラメータの表示と編集を参照してください。

ジョブの作成

詳細は、ジョブの作成を参照してください。