委任アクセス制御の概要

Delegate Access Controlは、サービス・プロバイダのオペレータがリソースにアクセスする方法を管理できるようにすることで、Oracle Exadata環境のセキュリティと管理性を強化するサービスです。

これにより、Oracle serviceプロバイダはメンテナンスとサポートを効率的に提供しながら、いつ、どのように、いつ、いつ、いつ、いつ、どのくらいの期間アクセスを許可するかを完全に制御できます。

Delegate Access Controlは、次のサービスで使用できます。

• Oracle Exadata Database Service on Cloud@Customer(ExaDB-C@C)
• 専用インフラストラクチャ上のOracle Exadata Database Service (ExaDB- D)
• Oracle Exadata Database Service on Exascale Infrastructure(ExaDB-XS)

委任アクセス制御でどのような条件が使用されるかを学習します。

• サブスクライバ:これは、リソースを所有し、リソースの側面の管理をOCIの別のテナントに委任する顧客テナントです。
• サービス・プロバイダ:これは、リソースへのアクセスを委任して一時的な方法で管理するテナントです。サービス・プロバイダには2つのタイプがあります
  1. クラウド・サービス・オペレータ:委任されたリソースにアクセスして問題をトラブルシューティングできます。メンテナンス・アクティビティ中、インフラストラクチャ・コンポーネントに対して実行されるアクションは、仮想マシンで実行されているプロセスに悪影響を及ぼすことがあります。現在、このような問題が発生した場合、Oracleはサポート担当者を通じて電子メール(または別の通信形式)で顧客に通知する必要があります。この連絡はプロセスに時間がかかり、問題解決が1日以上遅れる可能性があります。

     このプロセスを迅速化するために、オペレータ・アクセス・コントロールに似たワークフローを実装できます。これにより、クラウド・サービス・オペレータは顧客のVMに対するアクセス・リクエストを送信できます。このワークフローを通じて付与されるアクセスは、委任の定義済範囲および指定された権限に限定され、オペレータが顧客のデータベースへのアクセスを制限されます。

     オペレータ・アクセス・コントロールの詳細は、Oracleオペレータ・アクセス・コントロールの概要を参照してください。

  2. Oracleサポート・オペレータ: Oracle Support組織には、データベース・ソフトウェアに関するパッチ適用およびパフォーマンスの問題のトラブルシューティングに関する豊富な専門知識があります。マーキー顧客の多くは、四半期ごとのパッチ適用演習のためにExadata VMクラスタへのアクセスを委任したいと考えています。また、Oracle Database Cloud Operation、Oracle Platinum SupportまたはOracle Customer Success Services (CSS)がオンデマンドで問題のトラブルシューティングを行うことがよくあります。これらのシナリオでは、Oracleサポート・オペレータが様々なタスクを実行するために顧客のVMへのアクセスが必要になる場合があります。
     • 四半期ごとのパッチ適用:仮想マシン(オペレーティング・システムまたはデータベース、Grid Infrastructure)にパッチを適用する責任をOracle Platinum Supportエンジニアに委ねることがよくあります。
     • オンデマンド・トラブルシューティング:問題が発生した場合、Oracle Database Cloud操作オペレータは、様々なレベルの権限で顧客のデータベースにアクセスする必要がある場合があります。
       • 低い権限:アクセスは、パフォーマンス関連の問題やその他のデータベースの問題のトラブルシューティングに必要なパフォーマンスおよびデータ・ディクショナリ・ビューに制限されます。
       • 中程度の権限:システム・パッチ適用を実行する機能を含むアクセス。

     この構造化されたアクセスにより、Oracleサポート・オペレータは、お客様のセキュリティおよび運用の境界を尊重しながら、問題に効果的に対処して解決できます。

• 委任サブスクリプション:リソースをプロバイダに委任できるのは、そのプロバイダが提供する公開済サービスに顧客がサブスクライブした後のみです。現在、サポートされているプロバイダは次のとおりです。
  • Oracle Database Cloudカスタマー・サポート
  • Oracle Database Cloudの操作
  • Oracle Engineered Systemsのデプロイメントおよびインフラストラクチャのサポート
  • DBクラウド・プラットフォームの戦略的顧客プログラム
• 委任制御:この制御ポリシーは、委任されたリソースへのアクセスの管理方法を制御します。アクセス権が自動的に付与されるか、特定の承認ワークフローが必要かを決定します。委任コントロールは、少なくとも1つの委任サブスクリプションに関連付ける必要があります。ポリシーには、委任リソースへの次のタイプのアクセスの強制が含まれます。
  • Database Cloud Service APIアクセス
  • SSHアクセス
  • 自動化アクセス
  • オンデマンドのリモートVMレベルのコマンド・アクセス
• 委任リソース:これは、プロバイダがアクセスできる、顧客が設定した委任コントロールによって管理されるリソースです。委任リソースは、1つの委任コントロールにのみ関連付ける必要があります。
• 委任リソース・アクセス・リクエスト:サービス・プロバイダ・オペレータは、委任リソースにアクセスする前にアクセス・リクエストを発行する必要があります。このリクエストは、承認者が承認する必要があります。承認しないと、委任コントロール定義に基づいて自動的に承認されます。アクセス・リクエストは、常にサービス・プロバイダからサブスクライバに対して行われます。
• アクセス・リクエスト承認者:承認者は、サービス・プロバイダ・オペレータによって呼び出されたアクセス・リクエストを承認する権限を持つサブスクライバ・テナンシのユーザーです。アクセス リクエストに追加の承認レベルが必要な場合は、委任コントロールの作成時に設定できます。
• サービス・プロバイダ・アクション(別名) アクション:デリゲート・アクセス制御によって定義される特定のリソースに付与できる、名前付きの事前定義済コマンド、ファイルまたはネットワーク・アクセス権限のセット。

Strategic Customers Program for DB Cloud Platformsは、ExaDB-C@CおよびExaDB-D VMクラスタおよびデータベースのプロアクティブなサービスおよび運用管理を容易にするために設計されたOracle Serviceプロバイダです。

プロセスは、Oracleチームが特定のVMクラスタ・ノード、Grid Infrastructureおよびデータベースに対してDLGT_MGMT_CMD_ACCESSアクションを使用してアクセス・リクエストを開始することから始まります。顧客が委任リソース・アクセス・リクエストを承認すると、OracleチームはAutonomous Health Framework (AHF)を使用して収集アクティビティを実行します。このプロセスは非侵入的で、顧客システムが完全に動作し、影響を受けないようにします。IAMポリシーに準拠することで、最小限の権限でロールベースのアクセス制御を実施し、お客様の環境を保護します。すべてのアクションが記録され、透明性が確保され、詳細な監査が容易になります。

これらのプロアクティブなサービスは、計画されたアクティビティを効果的にサポートするために、Oracleがクライアントのシステムに必要なインサイトを得られるようにします。Oracleは、潜在的な問題を事前に特定することで、クライアントがリスクを軽減し、最適な運用パフォーマンスを維持できるよう支援します。戦略的顧客プログラムでは、共同計画、タイムリーな対応、透明性を重視し、よりスムーズなクライアント運用とより回復力のあるデータベース・インフラストラクチャに貢献しています。