必要なポリシー
データベース移行サービスに必要なポリシー・セットを次に示します。テナンシ管理者は、ポリシー・ビルダーで使用可能なテンプレートを使用して、これらのポリシーを容易にプロビジョニングできます。
ノート
このポリシーでは、使用状況に応じて、接続の作成、接続の管理など、データベース移行サービスのすべてのアクションを実行できます。
このポリシーでは、使用状況に応じて、接続の作成、接続の管理など、データベース移行サービスのすべてのアクションを実行できます。
ノート
Oracleでは、ユーザーが接続、移行、ジョブおよびネットワークを管理できるようにするには、エンドツーエンドで必要なポリシーがあるため、ポリシーの最初のグループを使用することをお薦めします。
ユーザーが接続、移行、ジョブおよびネットワークを管理できるようにするには:Oracleでは、ユーザーが接続、移行、ジョブおよびネットワークを管理できるようにするには、エンドツーエンドで必要なポリシーがあるため、ポリシーの最初のグループを使用することをお薦めします。
Allow group {group name} to manage odms-connection in {location}
Allow group {group name} to manage odms-migration in {location}
Allow group {group name} to manage odms-job in {location}
Allow group {group name} to manage goldengate-connections in {location}
Allow group {group name} to manage virtual-network-family in {location}
Allow group {group name} to manage tag-namespaces in {location}
Allow group {group name} to manage vaults in {location}
Allow group {group name} to manage keys in {location}
Allow group {group name} to manage secret-family in {location}
Allow group {group name} to manage object-family in {location}エンドツーエンドの移行を完了するには、テナンシ管理者が特定のポリシーをプロビジョニングする必要があります。ここで、リソースを作成、更新および使用する必要があります(ユース・ケースに応じてレベルまたは権限を変更します):
Allow group {group name} to manage virtual-network-family in compartment {compartment name}
Allow group {group name} to manage vaults in compartment {compartment name}
Allow group {group name} to manage keys in compartment {compartment name}
Allow group {group name} to manage secret-family in compartment {compartment name}
Allow group {group name} to manage object-family in compartment {compartment name}
Allow group {group name} to manage odms-connection in compartment {compartment name}
Allow group {group name} to manage odms-migration in compartment {compartment name} Allow group {group name} to manage odms-job in compartment {compartment name}Manage virtual-network-familyを割り当てることができないシナリオでは、次のように置き換えることができます。
Allow group {group name} to inspect vcns in compartment {compartment name}
Allow group {group name} to use subnets in compartment {compartment name}
Allow group {group name} to manage vnic in compartment {compartment name}次のサービスの使用予定によって異なりますが、これらのサービスへのアクセスを有効にするポリシーも追加する必要があります:
- ターゲット・データベース用のOracle Autonomous Database:
Allow group {group name} to manage autonomous-database-family in compartment {compartment name} →Aggregate resource type - ソースまたはターゲットのベース・データベース:
Allow group {group name} to manage database-family in compartment {compartment name} → Aggregate resource type - GoldenGate統合サービスによって作成された接続にアクセスする必要がある場合:
Allow group {group name} to manage GoldenGate-connections in compartment {compartment name} - 独自のGoldenGateマーケットプレイス・インスタンスをデプロイし、拡張レプリケーション・オプションとして使用する必要がある場合:
Allow group {group name} to manage instance-family in compartment {compartment name} Allow group {group name} to manage volume-family in compartment {compartment name} Allow group {group name} to manage public-ips in compartment {compartment name} Allow group {group name} to use tag-namespaces in tenancy Allow group {group name} to inspect compartments in tenancy Allow group {group name} to manage orm-family in compartment {compartment name} Allow group {group name} to manage app-catalog-listing in compartment {compartment name}→ Required to launch the GG marketplace stack - データベース移行サービスを使用してHeatWave接続を作成するときにHeatWaveクラスタ・データにアクセスするには:
Allow group {group name} to manage mysql-heatwave in compartment {compartment name} → Aggregate resource type
ポリシーでは、グループのメンバーが実行できるアクションとそのコンパートメントを定義します。ポリシーはOracle Cloudコンソールを使用して作成します。Oracle Cloudコンソールのナビゲーション・メニューの「アイデンティティとセキュリティ」で、「アイデンティティ」で「ポリシー」をクリックします。ポリシーは次の構文で記述します:
Allow group <group-name> to <verb> <resource-type> in <location> where <condition><group-name>: 権限を付与するユーザー・グループの名前<verb>: リソース・タイプに対する特定レベルのアクセスをグループに付与します。動詞は、inspect、read、use、manageの順にアクセスのレベルが高くなり、付与される権限は累積されます。<resource-type>: 操作する権限をグループに付与するリソースのタイプ。odms-agent、odms-connection、odms-job、odms-migrationなどです。詳細は、リソース・タイプを参照してください。
<location>: ポリシーをコンパートメントまたはテナンシにアタッチします。1つのコンパートメントまたはコンパートメント・パスを名前かOCIDで指定するか、テナンシ全体を対象とするにはtenancyを指定できます。<condition>: オプション。このポリシーが適用される1つ以上の条件。
ネットワーク・リソース・ポリシーの作成
データベース移行では、移行およびデータベース登録を作成するときにVCNおよびサブネットの情報を指定する必要があります。この情報を指定するために、クラウド・ネットワーク情報を表示できる必要があります。次のステートメントでは、データベース移行リソースを作成するときにコンパートメント内のネットワーク・リソースをinspectして選択する権限をグループに付与します:
allow group <group-name> to inspect virtual-network-family in compartment <compartment-name>タグ付けポリシーの作成
次の文は、ワークスペースのタグ・ネームスペースとタグを管理する権限をグループに付与します:
allow group <group-name> to manage tag-namespaces in compartment <compartment-name>定義済のタグを追加するには、タグ・ネームスペースを使用する権限が必要です。
関連トピック
詳細は、次を参照してください。
親トピック: ポリシー