MySQL DB Systemのポリシー

Allow group <group name> to manage mysql-family in compartment
    <compartment_name>

IAMポリシーを構成して、MySQL DB Systemディザスタ・リカバリ(DR)操作で使用されるボールト・シークレットへの読取りアクセス権を付与し、認可されたリソース・プリンシパルが必要に応じてシークレットを取得できるようにします。

動的グループの作成

ポリシーを作成する前に、Vaultシークレットへのアクセスを必要とするリソースの動的グループを定義していることを確認してください。たとえば、特定のコンパートメント内のすべてのインスタンスにシークレットへのアクセス権を付与するには、次のポリシー構文を使用できます:

ALL {resource.type='computecontainerinstance', resource.compartment.id =
      'ocid1.compartment.oc1..<compartment_ocid>'}

<compartment_ocid>をコンパートメントの実際のOCIDに置き換えます。

オブジェクト・ストレージのポリシー

ポリシーの定義

動的グループの権限をVaultのシークレットreadに付与し、実行中にログをオブジェクト・ストレージ・バケットにアップロードするポリシーを作成します。secret-familyリソース・タイプでread動詞を使用します。ポリシーの構文は次のとおりです。

Allow dynamic-group <dynamic-group-name> to read object-family in compartment
      <compartment-name>

Allow dynamic-group <dynamic-group-name> to read secret-family in compartment <compartment-name>

前述の例では:

<dynamic-group-name>: The name of your dynamic group.
<compartment-name>: The name of the compartment where the secret resides.

ポリシーの例

動的グループの名前がInstanceSecretReadersで、シークレットがコンパートメントMySecretsCompartmentに格納されている場合、ポリシー・ステートメントは次のようになります:

Allow dynamic-group InstanceSecretReaders to read secret-family in compartment MySecretsCompartment

このポリシーにより、InstanceSecretReaders動的グループのメンバーであるリソースは、OCI Vaultを介してMySecretsCompartmentコンパートメントに格納されているシークレットを読み取ることができます。