優先資格証明の設定
優先資格証明を設定して、管理対象データベースに接続し、特定のタスクを実行できます。
優先資格証明は、Oracle Cloud Infrastructure Vaultサービス・シークレットに格納されているデータベース資格証明を使用して、管理対象データベースへのアクセスを簡略化します。優先資格証明を使用すると、ユーザー・ロールおよび実行するタスクに基づいてデータベースへのデフォルト接続を提供できるため、様々なユーザー・グループの職務を分離し、別のセキュリティ・レイヤーを提供できます。データベース管理では、ユーザーに次の優先資格証明を設定するため、ユーザーは管理対象データベースに接続し、関連するタスク・セットを実行できます:
-
基本的なモニタリング: メトリックを収集したり、データベース・フリート・サマリーや管理対象データベースの詳細を表示したりするための最小権限。データベース管理診断および管理が有効になっている場合、モニタリング・ユーザーに対して基本モニタリング資格証明が自動的に設定されます。
-
拡張診断: パフォーマンス・ハブやAWRエクスプローラなどの診断ツールを使用するための高度な権限。拡張診断資格証明が管理対象データベースに設定されている場合は、診断機能および管理対象データベースの読取り操作を自動的に使用できます。
-
管理: 表領域の作成やデータベース・パラメータの編集などの管理タスクを実行するための管理権限。管理資格証明が管理対象データベースに設定されている場合は、データベース資格証明を自動入力して管理対象データベースで書込み操作を実行するために使用できます。
Oracle CloudデータベースおよびAutonomous Databasesでは、データベース管理の優先資格証明は、データベース・ユーザー・パスワードを格納するシークレットを読み取る権限を持つユーザーのみが使用できます。権限の詳細は、前提条件タスクの実行および必要な権限の取得を参照してください。
詳細は、次を参照してください:
- 拡張診断および管理の優先資格証明で実行できるタスクは、優先資格証明に関する追加情報を参照してください。
- 拡張診断および管理の優先資格証明で使用可能な必要なデータベース・ユーザー権限は、診断および管理に必要なデータベース・ユーザー権限を参照してください。
前提条件タスクの実行および必要な権限の取得
優先資格証明を設定する前に実行する必要がある一般的なタスクのリストを次に示します。
- データベース管理者は、優先資格証明が設定されるデータベース・ユーザーを作成します:
- モニタリング・ユーザー
ノート
- 外部データベースおよびOracle Cloudデータベースの場合、
DBSNMP
ユーザーをモニタリング・ユーザーとして使用できます。DBSNMP
ユーザーはOracle Databaseに組み込まれており、Oracle Cloud Infrastructureでデータベースをモニターするために必要な権限を持っているため、これは便利なオプションです。DBSNMP
ユーザーのかわりに、SQLスクリプトを使用して、管理対象データベースのモニターに必要な最小限の権限を持つ新しいデータベース・ユーザーを作成するオプションもあります。SQLスクリプトの詳細は、My Oracle Supportで、データベース管理のOracle Databaseモニタリング資格証明の作成(ドキュメントID 2857604.1)を参照してください。 - Autonomous Databasesの場合、
ADBSNMP
ユーザーをモニタリング・ユーザーとして使用できますが、ADBSNMP
ユーザーには、特定の高度なモニタリングおよび管理タスクの実行に必要な権限がありません。
- 外部データベースおよびOracle Cloudデータベースの場合、
- 高度な診断ユーザー
ノート
パフォーマンス・ハブ・タスクを実行するための拡張診断ユーザーを作成する場合は、パフォーマンス・ハブの使用に必要な権限がユーザーに付与されていることを確認する必要があります。必要な権限の詳細は、My Oracle SupportのOCI: パフォーマンス・ハブの前提条件(ドキュメントID 2760305.1)を参照してください。 - 管理者ユーザー
外部データベースおよびOracle Cloudデータベースの場合、SQLスクリプトを使用して、高度な診断および管理タスクの実行に必要な権限セットを持つ新しいデータベース・ユーザーを作成できます。SQLスクリプトの詳細は、My Oracle SupportのOracle Database Management Advanced Diagnostics User and Administration Userの作成(ドキュメントID 2978493.1)を参照してください。Autonomous Databasesの場合、
ADMIN
ユーザーを使用して、高度な診断および管理タスクを実行することをお薦めします。ユーザー・アカウントの作成方法の詳細は、Oracle Databaseセキュリティ・ガイドのユーザー・アカウントの作成を参照してください。
- モニタリング・ユーザー
- 必要な権限を持つOracle Cloud Infrastructureユーザーは、データベース・ユーザー・パスワードに対して次のVaultサービス・シークレットを作成します:
- モニタリング・ユーザーのパスワードを格納するシークレット
- 拡張診断ユーザーのパスワードを格納するシークレット
- 管理者ユーザーのパスワードを格納するシークレット
これらのシークレットは、異なるコンパートメントに、または異なるボールト・キーまたは同じボールト・キーを持つ同じコンパートメントに作成できます。
シークレットを作成する権限をユーザー・グループに付与するポリシーの例を次に示します:
Allow group DB-MGMT-USER to manage secret-family in compartment ABC
シークレットの作成方法の詳細は、Vaultでのシークレットの作成を参照してください。
前提条件タスクの実行時に、次の権限を持つユーザーは、データベース管理で優先資格証明を設定できます:
- 優先資格証明を設定するための
DBMGMT_MANAGED_DB_UPDATE
権限。use
またはmanage
動詞とdbmgmt-managed-databases
リソース・タイプを使用して、最小DBMGMT_MANAGED_DB_UPDATE
権限をユーザー・グループに付与するか、広範なレベルの権限を付与できます。優先資格証明を設定する最小限の権限を持つポリシーの例を次に示します:
Allow group DB-MGMT-USER to {DBMGMT_MANAGED_DB_UPDATE} in compartment ABC
優先資格証明を設定する権限をユーザー・グループに付与する広範なポリシーの例を次に示します:
Allow group DB-MGMT-USER to use dbmgmt-managed-databases in compartment ABC
データベース管理のリソース・タイプおよび権限の詳細は、データベース管理のポリシー詳細を参照してください。
-
データベース・ユーザーのパスワードを格納するシークレットの読取り権限。シークレットを作成する権限をユーザー・グループに付与するポリシーの例を次に示します:
Allow group DB-MGMT-USER to read secret-family in compartment ABC
シークレットの読取りを特定のVaultからに制限した権限を付与する場合は、ポリシーを次のように更新します:
Allow group DB-MGMT-USER to read secret-family in compartment ABC where target.vault.id = 'Vault OCID'
シークレットにアクセスして使用するために必要なVaultサービス権限の詳細は、診断および管理を使用するために必要な追加権限を参照してください。
データベース管理における優先資格証明の設定
データベース管理で、高度な診断および管理優先資格証明を設定できます。
基本モニタリング資格証明は、データベース管理診断および管理が有効になっている場合に設定されます。ただし、基本モニタリング資格証明を更新できます。次の基本モニタリング資格証明を更新するには:
- 外部データベース: 外部データベースへの接続の作成時に指定されたデータベース資格証明を更新します。詳細は、「外部データベースの接続資格証明の更新」を参照してください。
- Oracle CloudデータベースおよびAutonomous Databases: Oracle Cloudデータベースのデータベース管理を有効にするときに指定したデータベース資格証明を更新します:
- 「データベース管理」の「管理」の「管理対象データベース」ページに移動します。
- 左側のペインで、データベースが存在するコンパートメントおよびデータベースのデプロイメント・タイプを選択します。
- データベースの「アクション」アイコン()をクリックして、「データベース管理の編集」をクリックします。
- 「データベース管理の編集」パネルで、選択したOracle Cloudデータベースへの接続に指定されたデータベース資格証明を更新します。
高度なモニタリング・サポートを利用する前に、または「Autonomous Databaseの詳細」ページでデータベース管理でAutonomous Databasesの診断および管理を有効にした場合は、前述の手順に従って基本モニタリング資格証明も設定する必要があります。
データベース管理で高度な診断および管理の優先資格証明を設定するには:
- 管理優先資格証明が設定されている場合は、ジョブや表領域の作成などのタスクを実行するときに自動入力され、管理優先資格証明を使用するか、新しい資格証明を指定するかを選択できます。ただし、パフォーマンス・ハブのオンデマンドADDM実行タスクまたはパフォーマンス・ハブのセッション停止タスクに対して管理優先資格証明が設定されている場合は、管理優先資格証明が自動的に選択されます。
- セッション資格証明が設定され、別のユーザー資格証明を使用して優先資格証明も設定されている場合、セッション資格証明は優先資格証明よりも優先され、タスクの実行時に自動的に選択され、セッション資格証明の使用、優先資格証明の選択または新しい資格証明の指定のオプションがあります。セッション資格証明が設定されている場合は、オンデマンドADDMタスクの実行またはパフォーマンス・ハブのセッションの強制終了に使用されます。セッション資格証明の詳細は、セッション資格証明の設定を参照してください。
- 優先資格証明が設定されていない場合:
- モニタリング・ユーザーは、基本モニタリングに使用されます。
- セッション資格証明は、特定のセッションで使用するように設定できます。
- 書込み操作の実行時には、データベース資格証明を指定する必要があります。
優先資格証明を使用したタスクの実行に必要な権限
次に、優先資格証明の使用に必要な権限を付与するIAMポリシーをリストするサンプル・シナリオをいくつか示します。シナリオでは、次のことを前提としています:
- 優先資格証明は、必要な権限を持つOracle Cloud Infrastructureユーザーによって設定されました。
- 次のデータベース・ユーザーに優先資格証明が設定されており、これらのユーザーには、優先資格証明を表示し、データベース管理で関連する一連の診断および管理タスクを実行するためのOracle Cloud Infrastructure権限を付与する必要があります。
- 高度な診断ユーザー
- 管理ユーザー
優先資格証明の設定に必要な前提条件タスクおよび権限の詳細は、前提条件タスクの実行および必要な権限の取得を参照してください。
シナリオ1: 高度な診断ユーザーに高度な診断の優先資格証明が設定されている場合、このユーザーが優先資格証明を表示して関連する一連のタスクを実行するには次の権限が必要です:
- 診断および管理タスクを実行するためのデータベース管理権限。たとえば、表領域を表示するには、高度な診断ユーザーに
DBMGMT_MANAGED_DB_READ
権限が必要です。表領域を表示する権限をユーザー・グループに付与するポリシーの例を次に示します:
Allow group DB-MGMT-USER to read dbmgmt-managed-databases in compartment ABC
- 高度な診断ユーザーのパスワードを含むシークレットを読み取るためのVaultサービス権限。
シークレットの読取り権限をユーザー・グループに付与するポリシーの例を次に示します:
Allow group DB-MGMT-USER to read secrets in compartment ABC
シナリオ2: 管理ユーザーに管理優先資格証明が設定されている場合、このユーザーが優先資格証明を表示して関連する一連のタスクを実行するには次の権限が必要です:
- 診断および管理タスクを実行するためのデータベース管理権限。たとえば、表領域を作成するには、管理者ユーザーに
DBMGMT_MANAGED_DB_CONTENT_WRITE
権限が必要です。表領域を作成する権限をユーザー・グループに付与するポリシーの例を次に示します:
Allow group DB-MGMT-USER to use dbmgmt-managed-databases in compartment ABC
- 管理者ユーザーのパスワードを含むシークレットを読み取るためのVaultサービス権限。
シークレットの読取り権限をユーザー・グループに付与するポリシーの例を次に示します:
Allow group DB-MGMT-USER to read secrets in compartment ABC
各タスクの実行に必要なデータベース管理権限の詳細は、データベース管理のポリシー詳細を参照してください。
優先資格証明に関する追加情報
次の表に、高度な診断および管理の優先資格証明で実行できる診断および管理タスクを示します。
セッション資格証明が設定されており、別のユーザー資格証明を使用して優先資格証明も設定されている場合、セッション資格証明は優先資格証明より優先され、タスクの実行時に自動的に選択され、セッション資格証明の使用、優先資格証明の選択または新しい資格証明の指定のオプションがあります。セッション資格証明が設定されている場合は、オンデマンドADDMタスクの実行またはパフォーマンス・ハブのセッションの強制終了に使用されます。セッション資格証明の詳細は、セッション資格証明の設定を参照してください。
優先資格証明 | タスク |
---|---|
高度な診断 | オンデマンドADDMおよび強制終了セッションの実行(管理優先資格証明が必要)以外のすべてのパフォーマンス・ハブ・タスクの実行
詳細は、パフォーマンス・ハブの機能を参照してください。 |
AWRエクスプローラに関連するすべてのタスクの実行
詳細は、AWRエクスプローラを使用したデータベース・パフォーマンスの分析を参照してください。 |
|
アラート・ログおよび注意ログの表示
詳細は、アラート・ログの表示を参照してください。 |
|
SQLチューニング・タスク、SQLチューニング・セット、SQLチューニング・アドバイザの結果および推奨事項の表示など、すべての読取り専用SQLチューニング・タスクの実行
詳細は、SQLチューニング・アドバイザを使用したSQLの分析を参照してください。 |
|
SQLチューニング・セットをリストし、SQLチューニング・セットの詳細を表示します。
詳細は、「SQLチューニング・セットの管理」を参照してください。 |
|
オプティマイザ統計のサマリーとタスク、およびオプティマイザ統計アドバイザのサマリーとタスクの表示
詳細は、オプティマイザ統計のモニターおよび分析を参照してください。 |
|
すべての読取り専用のSPMタスク(SQL計画ベースラインの表示、SQL計画ベースライン構成の詳細の表示、SQL計画ベースラインをロードするために発行されたジョブなど)を実行します。
詳細は、「SPMを使用したSQL実行計画の管理」を参照してください。 |
|
表領域の表示
詳細は、表領域およびデータファイルのモニターと管理を参照してください。 |
|
ユーザーおよびユーザー詳細の表示
詳細は、ユーザーの表示を参照してください。 |
|
データベース・パラメータの表示
詳細は、データベース・パラメータの表示と編集を参照してください。 |
|
管理 | パフォーマンス・ハブのセッションの強制終了
詳細は、セッションの終了を参照してください。 |
パフォーマンス・ハブでのオンデマンドADDMタスクの実行
詳細は、「ADDMタスクの実行」を参照してください。 |
|
SQLチューニング・アドバイザの推奨事項の実装
詳細は、SQLチューニング・アドバイザを使用したSQLの分析を参照してください。 |
|
SQLチューニング・セットを作成、ロードおよび削除します。
詳細は、「SQLチューニング・セットの管理」を参照してください。 |
|
オプティマイザ統計アドバイザ推奨事項の実装
詳細は、オプティマイザ統計のモニターおよび分析を参照してください。 |
|
SPM構成タスクおよびその他のタスク(SQL計画ベースラインのロードなど)を実行します。
詳細は、「SPMを使用したSQL実行計画の管理」を参照してください。 |
|
表領域およびデータファイルの作成、編集、削除
詳細は、表領域およびデータファイルのモニターと管理を参照してください。 |
|
データベース・パラメータの編集
詳細は、データベース・パラメータの表示と編集を参照してください。 |
|
ジョブの作成
詳細は、ジョブの作成を参照してください。 |