Oracle Cloud Infrastructureドキュメント

Oracle Database接続の場合

データベース・ツールのポリシーの例

ここでは、データベース・ツールを使用できるペルソナは4つあります。各ペルソナは、次の表に示すように、付随するOracle Cloud Infrastructureサービスに異なるレベルの管理アクセス権を持つことができます:

表6-1 サンプル・ポリシー

ペルソナ 仮想ネットワーク・ファミリ データベースまたはAutonomous Databaseファミリ ボールト キー シークレット・ファミリ データベース・ツール・ファミリ データベース・ツール接続
データベース・ツール管理者 管理 管理 管理 管理 管理 管理 --
データベース・ツール・マネージャ 管理 読取り 使用 使用 管理 管理 --
データベース・ツール接続マネージャ 使用 読取り 使用 使用 管理 使用 管理
データベース・ツール接続ユーザー -- 読取り -- -- 読取り 読取り 使用

データベース・ツール管理者

データベース・ツール管理者は、サービスのすべての側面を管理できます。次のポリシーは、特定のコンパートメント内のネットワーキング、ボールト、キー、シークレット、データベースおよびデータベース・ツールの管理に必要な権限を付与します。

<group_name>および<compartment_name>プレースホルダを独自の値に置き換えます。

表6-2 データベース・ツール管理者ポリシー

ポリシー アクセス・レベル 
allow group <group_name> to manage virtual-network-family
 in compartment <compartment_name>
 仮想クラウド・ネットワーク(VCN)、サブネット、仮想ネットワーク・インタフェース・カード、ネットワーク・セキュリティ・グループを管理する 
allow group <group_name> to manage database-family 
in compartment <compartment_name>
 Database Cloud Service (仮想マシンおよびベア・メタルDBシステム、Exadata Cloud Service VMクラスタ).を管理する 
allow group <group_name> to manage autonomous-database-family
 in compartment <compartment_name>
 共有と専用の両方のExadataインフラストラクチャでAutonomous Databaseを読み取る 
allow group <group_name> to manage vaults 
in compartment <compartment_name>
 ボルトを管理する 
allow group <group_name> to manage keys 
in compartment <compartment_name>
 キーを管理する 
allow group <group_name> to manage secret-family 
in compartment <compartment_name>
 秘密を管理する 
allow group <group_name> to manage database-tools-family 
in compartment <compartment_name>
 データベース・ツールを管理する

データベース・ツール・マネージャ

データベース・ツール・マネージャは、ネットワーキング(プライベート・エンドポイントを含む)、シークレットおよびデータベース・ツール接続を管理できますが、Oracle Cloud Infrastructureボールトおよび データベース・サービスへのアクセスは制限されています。

<group_name>および<compartment_name>を独自の値に置き換えます。

表6-3 データベース・ツール・マネージャ・ポリシー

ポリシー アクセス・レベル 
allow group <group_name> to manage virtual-network-family 
in compartment <compartment_name>
 仮想クラウド・ネットワーク(VCN)、サブネット、仮想ネットワーク・インタフェース・カードおよびネットワーク・セキュリティ・グループを使用する 
allow group <group_name> to read database-family 
in compartment <compartment_name>
 Database Cloud Service (仮想マシンおよびベア・メタルDBシステム、Exadata Cloud Service VMクラスタ).を読み取る 
allow group <group_name> to read autonomous-database-family 
in compartment <compartment_name>
 共有と専用の両方のExadataインフラストラクチャでAutonomous Databaseを読み取る 
allow group <group_name> to use vaults 
in compartment <compartment_name>
 ボールトを使用する(シークレットの作成など) 
allow group <group_name> to use keys 
in compartment <compartment_name>
 キーを使用する(シークレットの作成など) 
allow group <group_name> to manage secret-family 
in compartment <compartment_name>
 秘密を管理する 
allow group <group_name> to manage database-tools-family 
in compartment <compartment_name>
 データベース・ツールを管理する

データベース・ツール接続マネージャ

データベース・ツール接続マネージャは、データベース・サービスへの接続の作成を管理し、他のサービスに対する読取り専用アクセス権を持ちます。

<group_name>および<compartment_name>を独自の値に置き換えます。

ポリシーでwhere句を使用して接続OCIDに基づいてアクセスを制限する場合は、次を使用します:

where target.resource.id = <connection-ocid>

表6-4 データベース・ツール接続マネージャ・ポリシー

ポリシー アクセス・レベル 
allow group <group_name> to use virtual-network-family 
in compartment <compartment_name>
 仮想クラウド・ネットワーク(VCN)、サブネット、仮想ネットワーク・インタフェース・カードおよびネットワーク・セキュリティ・グループを使用する 
allow group <group_name> to read database-family 
in compartment <compartment_name>
 Database Cloud Service (仮想マシンおよびベア・メタルDBシステム、Exadata Cloud Service VMクラスタ).を読み取る 
allow group <group_name> to read autonomous-database-family 
in compartment <compartment_name>
 共有と専用の両方のExadataインフラストラクチャでAutonomous Databaseを読み取る 
allow group <group_name> to use vaults 
in compartment <compartment_name>
 ボールトを使用する(シークレットの作成など) 
allow group <group_name> to use keys 
in compartment <compartment_name>
 キーを使用する(シークレットの作成など) 
allow group <group_name> to manage secret-family 
in compartment <compartment_name>
 秘密を管理する 
allow group <group_name> to use database-tools-family 
in compartment <compartment_name>
 データベース・ツールのプライベート・エンドポイント、エンドポイント・サービスを使用する 
allow group <group_name> to manage database-tools-connections 
in compartment <compartment_name>
 データベース・ツール接続を管理する

データベース・ツール接続ユーザー

データベース・ツール接続ユーザーは、OCI Cloud Infrastructureデータベース・ツールで作成された事前作成済データベース接続のみを使用できます。

<group_name>および<compartment_name>を独自の値に置き換えます。

表6-5 データベース・ツール接続ユーザー・ポリシー

ポリシー アクセス・レベル 
allow group <group_name> to read database-family 
in compartment <compartment_name>
 Database Cloud Service (仮想マシンおよびベア・メタルDBシステム、Exadata Cloud Service VMクラスタ).を読み取る 
allow group <group_name> to read autonomous-database-family 
in compartment <compartment_name>
 共有と専用の両方のExadataインフラストラクチャでAutonomous Databaseを読み取る 
allow group <group_name> to read secret-family 
in compartment <compartment_name>
 秘密を読み取る 
allow group <group_name> to read database-tools-family 
in compartment <compartment_name>
 データベース・ツールのプライベート・エンドポイント、エンドポイント・サービスを読み取る 
allow group <group_name> to use database-tools-connections 
in compartment <compartment_name>
 データベース・ツール接続を使用する