Oracle Cloud Infrastructureを使用するには、IAMポリシーを使用して管理者からセキュリティ・アクセス権が付与されている必要があります。コンソールまたは(SDK、CLIまたはその他のツールを使用した) REST APIのどれを使用しているかにかかわらず、このアクセス権が必要です。権限がない、または認可されていないというメッセージが表示された場合は、どのタイプのアクセス権があり、どのコンパートメントで機能する必要があるかを管理者に確認してください。ポリシーを初めて使用する場合は、ポリシーの開始および共通ポリシーを参照してください。

また、一部の操作では、Exadataフリート更新リソースを、他のリソースに対して動作できるプリンシパル・アクターとして認可する必要があります。

ステップ1: 動的グループの作成

次のいずれかの一致ルールを使用して、動的グループ(例: fsu-action-dyn-group)を作成します。動的グループの詳細については、Managing Dynamic Groupsおよび Writing Matching Rules to Define Dynamic Groupsを参照してください。必要に応じて、Exadataフリート更新アクションを認可して他のサービスに対してAPIコールを実行するには、この動的グループが必要です。通常、Exadataフリート更新アクションには、Oracle Cloud Infrastructure Databaseサービス・リソースを使用する権限が必要です。

この一致ルールでは、すべてのExadataフリート更新アクションをメンバーとして含める動的グループを定義します。

resource.type='fsuaction'

ステップ2: 動的グループのポリシーの作成

動的グループを作成したら、動的グループのポリシーを作成します。このタイプのポリシーはリソース・プリンシパル・ポリシーと呼ばれます。他のリソースを処理できるプリンシパル・アクターとしてリソースが認可されるためです。

The following policy gives members of dynamic group fsu-action-dyn-group permission to create Database Homes and update Oracle Databases or CloudVmClusters on Oracle Exadata Database Service on Dedicated Infrastructure (ExaDB-D).文は、Exadataフリート更新メンテナンス・サイクルおよびアクションで管理タスクを完了するために必要な最小限のアクセスを提供します。アクセスは、指定されたサンプル・コンパートメント内のリソースに制限されます。

allow dynamic-group fsu-action-dyn-group to read db-nodes in compartment ABC
allow dynamic-group fsu-action-dyn-group to use database-software-images in compartment ABC
allow dynamic-group fsu-action-dyn-group to manage db-homes in compartment ABC where any {request.permission='DB_HOME_CREATE', request.permission='DB_HOME_UPDATE', request.permission='DB_HOME_INSPECT'}
allow dynamic-group fsu-action-dyn-group to manage databases in compartment ABC where any {request.permission='DATABASE_CREATE', request.permission='DATABASE_UPDATE', request.permission='DATABASE_INSPECT'}
allow dynamic-group fsu-action-dyn-group to use cloud-vmclusters in compartment ABC
allow dynamic-group fsu-action-dyn-group to use vcns in compartment ABC
allow dynamic-group fsu-action-dyn-group to use subnets in compartment ABC
allow dynamic-group fsu-action-dyn-group to use vnics in compartment ABC
allow dynamic-group fsu-action-dyn-group to use private-ips in compartment ABC
allow service fppcsprod to use cloud-vmclusters in compartment ABC

次のポリシーは、動的グループfsu-action-dyn-groupのメンバーに、Oracle Exadata Database Service on Cloud@Customer (ExaDB-C@C)でデータベース・ホームを作成し、Oracle DatabasesまたはVmClustersを更新する権限を付与します。文は、Exadataフリート更新メンテナンス・サイクルおよびアクションで管理タスクを完了するために必要な最小限のアクセスを提供します。アクセスは、指定されたサンプル・コンパートメント内のリソースに制限されます。

allow dynamic-group fsu-action-dyn-group to read db-nodes in compartment ABC
allow dynamic-group fsu-action-dyn-group to inspect exadata-infrastructures in compartment ABC
allow dynamic-group fsu-action-dyn-group to use database-software-images in compartment ABC
allow dynamic-group fsu-action-dyn-group to manage db-homes in compartment ABC where any {request.permission='DB_HOME_CREATE', request.permission='DB_HOME_UPDATE', request.permission='DB_HOME_INSPECT'}
allow dynamic-group fsu-action-dyn-group to manage databases in compartment ABC where any {request.permission='DATABASE_CREATE', request.permission='DATABASE_UPDATE', request.permission='DATABASE_INSPECT'}
allow dynamic-group fsu-action-dyn-group to use vmclusters in compartment ABC

allow dynamic-group fsu-action-dyn-group to manage db-homes in compartment ABC where request.permission='DB_HOME_DELETE'
allow dynamic-group fsu-action-dyn-group to manage databases in compartment ABC where request.permission='DATABASE_DELETE'

ステップ3: ユーザーのポリシーの追加

次のポリシーは、Exadataフリート更新メンテナンス・サイクルおよびアクション・リソースを管理するための権限をサンプル・グループCycleAdminsに付与します。

allow group CycleAdmins to use fleet-software-update-collections in compartment ABC
allow group CycleAdmins to manage fleet-software-update-cycles in compartment ABC
allow group CycleAdmins to manage fleet-software-update-actions in compartment ABC
allow group CycleAdmins to manage fleet-software-update-jobs in compartment ABC
allow group CycleAdmins to manage fleet-software-update-work-requests in compartment ABC
allow group CycleAdmins to use database-software-images in compartment ABC
allow group CycleAdmins to manage db-homes in compartment ABC 
allow group CycleAdmins to use cloud-vmclusters in compartment ABC
allow group CycleAdmins to manage databases in compartment ABC where any {request.permission='DATABASE_CREATE', request.permission='DATABASE_UPDATE', request.permission='DATABASE_INSPECT'}
allow group CycleAdmins to use vmclusters in compartment ABC
allow group CycleAdmins to inspect exadata-infrastructures in compartment ABC