Oracle Exadata Database Service on Cloud@Customerのポリシー詳細
Oracle Exadata Database Service on Cloud@Customerリソースへのアクセスを制御するポリシーを記述する方法について学習します。
ポリシーの詳細は、「ポリシーの仕組み」を参照してください。
サンプル・ポリシーは、「データベース管理者がOracle Exadata Database Service on Cloud@Customerインスタンスを管理できるようにします」を参照してください。
- リソース・タイプについて
ポリシーで使用できるリソース・タイプについて学習します。 - Oracle Exadata Database Service on Cloud@Customerのリソース・タイプ
Oracle Exadata Database Service on Cloud@Customer固有のリソース・タイプのリストを確認します。 - サポートされる変数
ポリシーに条件を追加する場合は、変数を使用します。 - 動詞+リソース・タイプの組合せの詳細
各動詞でカバーされる権限およびAPI操作のリストを確認します。 - API操作ごとに必要な権限
リソース・タイプ別にグループ化されて論理的順序に配置されたOracle Exadata Database Service on Cloud@CustomerリソースのAPI操作のリストを確認します。
リソース・タイプについて
ポリシーで使用できるリソース・タイプについて学習します。
集約リソース・タイプは、すぐ後に続く個別リソース・タイプのリストをカバーします。
たとえば、グループにdatabase-family
へのアクセスを許可するポリシーを1つ記述することは、そのグループに対してexadata-infrastructures
、
、vmcluster-networks
vmclusters
、backup-destinations
、db-nodes
、dbnode-console-connection
および残りの個々のリソース・タイプへのアクセス権を付与する8つの個別のポリシーを記述することと同じです。
たとえば、グループでautonomous-database-family
にアクセスできるようにするポリシーを1つ記述することは、autonomous-databases
、autonomous-backups
、autonomous-container-databases
およびcloud-autonomous-vmclusters
リソース・タイプへのアクセスを付与するグループの4つの個別のポリシーを記述することと同じです。
詳細は、リソース・タイプを参照してください。
Oracle Exadata Database Service on Cloud@Customerのリソース・タイプ
Oracle Exadata Database Service on Cloud@Customerに固有のリソース・タイプのリストを確認します。
集約リソース・タイプ
database-family
個別リソース・タイプ
exadata-infrastructures
vmclusters
backup-destinations
db-nodes
db-homes
databases
backups
database-software-images
exascale-db-storage-vaults
key-stores
dbnode-console-connection
dbnode-console-history
scheduling-policies
scheduling-windows
scheduling-plan
scheduling-action
execution-windows
execution-action
サポートされる変数
ポリシーに条件を追加する場合は、変数を使用します。
Exadata Database Service on Cloud@Customerでは、一般的な変数のみがサポートされます。詳細は、「すべてのリクエストの一般的な変数」を参照してください。
動詞+リソース・タイプの組合せの詳細
各動詞でカバーされる権限およびAPI操作のリストを確認します。
詳細は、「権限」、「動詞」および「リソース・タイプ」を参照してください。
- データベース・ファミリ・リソース・タイプ
- Exadataインフラストラクチャの権限およびAPI操作の詳細
- exascale-db-storage-vaultsの権限およびAPI操作の詳細
- VM Cluster Networksの権限およびAPI操作の詳細
- VMクラスタの権限およびAPI操作の詳細
- バックアップ保存先の権限およびAPI操作の詳細
- DBノードの権限およびAPI操作の詳細
- DBホームの権限およびAPI操作の詳細
- データベースの権限およびAPI操作の詳細
- バックアップの権限およびAPI操作の詳細
- データベース・ソフトウェア・イメージの権限およびAPI操作の詳細
- キー・ストアの権限およびAPI操作の詳細
- プラガブル・データベース(PDB)の権限およびAPI操作の詳細
- DBサーバーの権限およびAPI操作の詳細
- DBノード・コンソール接続の権限およびAPI操作の詳細
- DBノード・コンソール履歴の権限およびAPI操作の詳細
- 暫定ソフトウェア更新の権限およびAPI操作の詳細
- スケジューリング・ポリシーの権限およびAPI操作の詳細
- Windowsのスケジューリングの権限およびAPI操作の詳細
- 計画の権限およびAPI操作の詳細
- スケジュール済アクションの権限およびAPI操作の詳細
- 実行Windowsの権限およびAPI操作の詳細
- 実行処理の権限およびAPI操作の詳細
- Data Guardグループの権限およびAPI操作の詳細
database-familyリソース・タイプ
アクセス・レベルは、inspect
> read
> use
> manage
の順に累積します。表のセルのプラス記号(+)は、そのすぐ上のセルと比較して増分アクセスを示しますが、「追加なし」は増分アクセスを示しません。
たとえば、vmclusters
リソース・タイプに対するread
動詞は、inspect
動詞と比較して、追加の権限またはAPI操作をカバーしていません。ただし、use
動詞は、1つの追加権限を含んでおり、1つの追加操作を全部カバーし、もう1つの追加操作を一部カバーしています。
親トピック: 動詞+リソース・タイプの組合せの詳細
Exadataインフラストラクチャの権限およびAPI操作の詳細
exadata-infrastructure
リソースに対する権限を付与すると、関連するvmcluster-network
リソースに対する権限が付与されます。
次の表に、exadata-infrastructures
の権限およびAPI操作を示します。
動詞 | 権限 | 全部カバーされるAPI | 一部カバーされるAPI |
---|---|---|---|
INSPECT |
|
|
|
READ |
INSPECT +
|
なし |
なし |
USE |
READ +
|
|
|
MANAGE |
USE +
|
|
なし |
親トピック: 動詞+リソース・タイプの組合せの詳細
exascale-db-storage-vaultの権限およびAPI操作の詳細
exadata-infrastructure
リソースに対する権限を付与すると、関連するvmcluster-network
リソースに対する権限が付与されます。
次の表に、exadata-infrastructures
の権限およびAPI操作を示します。
動詞 | 権限 | 全部カバーされるAPI | 一部カバーされるAPI |
---|---|---|---|
INSPECT |
|
|
なし |
READ |
追加なし |
追加なし |
なし |
USE |
READ +
|
|
なし |
MANAGE |
USE +
|
|
なし |
親トピック: 動詞+リソース・タイプの組合せの詳細
VM Cluster Networksの権限およびAPI操作の詳細
vmcluster-network
リソースは、関連付けられているexadata-infrastructure
リソースから権限を継承します。vmcluster-network
リソースに明示的に権限を付与することはできません。
次の表に、vmcluster-networks
の権限およびAPI操作を示します。
動詞 | 権限 | 全部カバーされるAPI | 一部カバーされるAPI |
---|---|---|---|
INSPECT |
|
|
なし |
READ |
INSPECT +
|
|
なし |
USE |
READ +
|
|
なし |
MANAGE |
USE +
|
なし |
なし |
親トピック: 動詞+リソース・タイプの組合せの詳細
VMクラスタの権限およびAPI操作の詳細
次の表に、vmclusters
の権限およびAPI操作を示します。
動詞 | 権限 | 全部カバーされるAPI | 一部カバーされるAPI |
---|---|---|---|
INSPECT |
|
|
なし |
READ |
追加なし |
追加なし |
追加なし |
USE |
READ +
|
ChangeVmClusterCompartment |
|
MANAGE |
USE +
|
追加なし |
|
VM_CLUSTER_UPDATE_SSH_KEY
権限は、ユーザーがゲストVMのrootユーザーになり、dbaascli
を使用してゲストVMで他のクラスタ更新操作を実行できるようにする、高い権限を持つ権限です。
- 更新操作を許可するには:
allow group abc to use vmclusters in compartment comp1
- CPUのスケーリングのみを許可するには:
allow group abc to use vmclusters in compartment comp1 where request.permission = 'VM_CLUSTER_UPDATE_CPU'
- GI更新および任意のスケール操作を許可するには:
allow group abc to use vmclusters in compartment comp1 where any { request.permission = 'VM_CLUSTER_UPDATE_CPU', request.permission = 'VM_CLUSTER_UPDATE_EXADATA_STORAGE', request.permission = 'VM_CLUSTER_UPDATE_MEMORY', request.permission = 'VM_CLUSTER_UPDATE_LOCAL_STORAGE', request.permission = 'VM_CLUSTER_UPDATE_GI_SOFTWARE'}
- SSHキーの追加以外の操作を許可するには:
allow group abc to use vmclusters in compartment comp1 where all { request.permission != 'VM_CLUSTER_UPDATE_SSH_KEY' , request.permission != 'VM_CLUSTER_UPDATE' }
親トピック: 動詞+リソース・タイプの組合せの詳細
バックアップ保存先の権限およびAPI操作の詳細
次の表に、backup-destinations
の権限およびAPI操作を示します。
動詞 | 権限 | 全部カバーされるAPI | 一部カバーされるAPI |
---|---|---|---|
INSPECT |
|
|
なし |
READ |
追加なし |
なし |
なし |
USE |
READ +
|
|
なし |
MANAGE |
USE +
|
|
なし |
親トピック: 動詞+リソース・タイプの組合せの詳細
DBノードの権限およびAPI操作の詳細
次の表に、db-nodes
の権限およびAPI操作を示します。
動詞 | 権限 | 全部カバーされるAPI | 一部カバーされるAPI |
---|---|---|---|
INSPECT |
|
|
なし |
READ |
追加なし |
追加なし |
なし |
USE |
READ +
|
|
なし |
MANAGE |
USE +
|
|
なし |
親トピック: 動詞+リソース・タイプの組合せの詳細
DBホームの権限およびAPI操作の詳細
次の表に、db-homes
の権限およびAPI操作を示します。
動詞 | 権限 | 全部カバーされるAPI | 一部カバーされるAPI |
---|---|---|---|
INSPECT |
|
|
なし |
READ |
追加なし |
追加なし |
なし |
USE |
|
|
なし |
MANAGE |
USE +
|
追加なし |
|
親トピック: 動詞+リソース・タイプの組合せの詳細
データベースの権限およびAPI操作の詳細
次の表に、databases
の権限およびAPI操作を示します。
動詞 | 権限 | 全部カバーされるAPI | 一部カバーされるAPI |
---|---|---|---|
INSPECT |
|
|
|
READ |
追加なし |
追加なし |
なし |
USE |
READ +
|
|
自動バックアップが有効になっている場合、manage backups も必要。
|
MANAGE |
USE +
|
追加なし |
|
親トピック: 動詞+リソース・タイプの組合せの詳細
バックアップの権限およびAPI操作の詳細
次の表に、backups
の権限およびAPI操作を示します。
動詞 | 権限 | 全部カバーされるAPI | 一部カバーされるAPI |
---|---|---|---|
INSPECT |
|
|
なし |
READ |
INSPECT +
|
なし |
RestoreDatabase (use databases も必要)
|
USE |
追加なし |
追加なし |
なし |
MANAGE |
USE +
|
追加なし |
なし |
親トピック: 動詞+リソース・タイプの組合せの詳細
データベース・ソフトウェア・イメージの権限およびAPI操作の詳細
次の表に、database-software-image
の権限およびAPI操作を示します。
動詞 | 権限 | 全部カバーされるAPI | 一部カバーされるAPI |
---|---|---|---|
INSPECT |
|
|
なし |
READ |
追加なし |
追加なし |
なし |
USE |
READ +
|
|
なし |
MANAGE |
USE +
|
|
なし |
親トピック: 動詞+リソース・タイプの組合せの詳細
キー・ストアの権限およびAPI操作の詳細
次の表に、key-stores
の権限およびAPI操作を示します。
動詞 | 権限 | 全部カバーされるAPI | 一部カバーされるAPI |
---|---|---|---|
INSPECT |
|
|
|
READ |
追加なし |
追加なし |
なし |
USE |
READ +
|
|
|
MANAGE |
USE + |
|
なし |
親トピック: 動詞+リソース・タイプの組合せの詳細
プラガブル・データベース(PDB)の権限およびAPI操作の詳細
次の表に、pluggable-databases
の権限およびAPI操作を示します。
動詞 | 権限 | 全部カバーされるAPI | 一部カバーされるAPI |
---|---|---|---|
inspect | PLUGGABLE_DATABASE_INSPECT |
|
|
|
no extra |
|
|
read |
INSPECT +
|
no extra |
|
use |
READ +
|
no extra |
|
|
no extra |
|
|
|
no extra |
|
|
manage |
USE +
|
no extra |
|
|
no extra |
|
親トピック: 動詞+リソース・タイプの組合せの詳細
DBサーバーの権限およびAPI操作の詳細
次の表に、dbServers
の権限およびAPI操作を示します。
動詞 | 権限 | 全部カバーされるAPI | 一部カバーされるAPI |
---|---|---|---|
INSPECT |
|
なし |
|
READ |
追加なし |
追加なし |
なし |
USE |
READ +
|
なし |
|
MANAGE |
追加なし |
追加なし |
なし |
親トピック: 動詞+リソース・タイプの組合せの詳細
DBノード・コンソール接続の権限およびAPI操作の詳細
次の表に、dbnode-console-connection
の権限およびAPI操作を示します。
動詞 | 権限 | 全部カバーされるAPI | 一部カバーされるAPI |
---|---|---|---|
inspect |
|
|
なし |
read | 追加なし | 追加なし | なし |
use |
READ +
|
|
なし |
manage |
USE +
|
|
なし |
親トピック: 動詞+リソース・タイプの組合せの詳細
DBノード・コンソール履歴の権限およびAPI操作の詳細
次の表に、dbnode-console-history
の権限およびAPI操作を示します。
動詞 | 権限 | 全部カバーされるAPI | 一部カバーされるAPI |
---|---|---|---|
inspect |
|
|
なし |
read |
INSPECT + DBNODE_CONSOLE_HISTORY_CONTENT_READ |
|
なし |
use |
READ +
|
|
なし |
manage |
USE +
|
|
なし |
親トピック: 動詞+リソース・タイプの組合せの詳細
暫定ソフトウェア更新の権限およびAPI操作の詳細
次の表に、oneoffPatch
の権限およびAPI操作を示します。
動詞 | 権限 | 全部カバーされるAPI | 一部カバーされるAPI |
---|---|---|---|
inspect | ONEOFF_PATCH_INSPECT |
|
|
read |
INSPECT +追加なし |
|
なし |
use |
READ +
|
なし |
|
manage |
USE +
|
なし |
|
関連トピック
親トピック: 動詞+リソース・タイプの組合せの詳細
スケジューリング・ポリシーの権限およびAPI操作の詳細
次の表に、scheduling-policies
の権限およびAPI操作を示します。
動詞 | 権限 | 全部カバーされるAPI | 一部カバーされるAPI |
---|---|---|---|
inspect | SCHEDULING_POLICY_INSPECT |
|
|
read |
INSPECT + 追加なし |
追加なし |
なし |
use |
READ +
|
追加なし |
|
manage |
USE +
|
追加なし |
|
親トピック: 動詞+リソース・タイプの組合せの詳細
Windowsのスケジューリングの権限およびAPI操作の詳細
次の表に、scheduling-windows
の権限およびAPI操作を示します。
動詞 | 権限 | 全部カバーされるAPI | 一部カバーされるAPI |
---|---|---|---|
inspect | SCHEDULING_WINDOW_INSPECT |
|
|
read |
INSPECT + 追加なし |
追加なし |
なし |
use |
READ +
|
追加なし |
|
manage |
USE +
|
追加なし |
|
親トピック: 動詞+リソース・タイプの組合せの詳細
スケジューリング計画の権限およびAPI操作詳細
scheduling-plan
リソースは、関連付けられているexadata-infrastructure
リソースから権限を継承します。scheduling-plan
リソースに明示的に権限を付与することはできません。
次の表に、scheduling-plan
の権限およびAPI操作を示します。
動詞 | 権限 | 全部カバーされるAPI | 一部カバーされるAPI |
---|---|---|---|
inspect | EXADATA_INFRASTRUCTURE_INSPECT |
|
|
read |
INSPECT + 追加なし |
追加なし |
なし |
use |
読む+ |
|
|
manage |
USE +
|
|
なし |
親トピック: 動詞+リソース・タイプの組合せの詳細
スケジュール済アクションの権限およびAPI操作の詳細
scheduled-action
リソースは、関連付けられているexadata-infrastructure
リソースから権限を継承します。scheduled-action
リソースに明示的に権限を付与することはできません。
次の表に、scheduled-action
の権限およびAPI操作を示します。
動詞 | 権限 | 全部カバーされるAPI | 一部カバーされるAPI |
---|---|---|---|
inspect | EXADATA_INFRASTRUCTURE_INSPECT |
|
|
read |
INSPECT + 追加なし |
追加なし |
なし |
use |
読む+ |
|
|
manage |
USE +
|
|
なし |
親トピック: 動詞+リソース・タイプの組合せの詳細
実行Windowsの権限およびAPI操作の詳細
execution-windows
リソースは、関連付けられているexadata-infrastructure
リソースから権限を継承します。execution-windows
リソースに明示的に権限を付与することはできません。
次の表に、execution-windows
の権限およびAPI操作を示します。
動詞 | 権限 | 全部カバーされるAPI | 一部カバーされるAPI |
---|---|---|---|
inspect | EXADATA_INFRASTRUCTURE_INSPECT |
|
|
read |
INSPECT + 追加なし |
追加なし |
なし |
use |
読む+ |
|
|
manage |
USE +
|
|
なし |
親トピック: 動詞+リソース・タイプの組合せの詳細
実行アクションの権限およびAPI操作の詳細
execution-action
リソースは、関連付けられているexadata-infrastructure
リソースから権限を継承します。execution-action
リソースに明示的に権限を付与することはできません。
次の表に、execution-action
の権限およびAPI操作を示します。
動詞 | 権限 | 全部カバーされるAPI | 一部カバーされるAPI |
---|---|---|---|
inspect | EXADATA_INFRASTRUCTURE_INSPECT |
|
|
read |
INSPECT + 追加なし |
追加なし |
なし |
use |
読む+ |
|
|
manage |
USE +
|
|
なし |
親トピック: 動詞+リソース・タイプの組合せの詳細
Data Guardグループの権限およびAPI操作の詳細
次の表に、複数のスタンバイ・データベースを使用するData Guardの権限およびAPI操作を示します。
動詞 | 権限 | 全部カバーされるAPI | 一部カバーされるAPI |
---|---|---|---|
inspect |
|
|
|
read |
追加なし |
追加なし |
なし |
use |
READ+ スタンバイ: プライマリ: |
|
|
manage |
USE +
|
|
なし |
親トピック: 動詞+リソース・タイプの組合せの詳細
API操作ごとに必要な権限
リソース・タイプ別にグループ化されて論理的順序に配置されたOracle Exadata Database Service on Cloud@CustomerリソースのAPI操作のリストを確認します。
権限の詳細は、権限を参照してください。
表7-26データベースAPI操作
API操作 | 操作の使用に必要な権限 |
---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
データベースの自動バックアップを有効にするには、 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
自動バックアップを有効にするには、 |
|
|
|
|
|
|
|
|
|
(権限不要ですべてのユーザーが使用可能) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
関連トピック