マップされたプロキシ・ユーザーへの接続

マップされたプロキシ・ユーザーを使用してDBシステムに接続するには、最初にMySQLプロキシされたユーザーをIAMグループにマップしてから、マップされたプロキシ・ユーザーを使用してDBシステムに接続します。

MySQLプロキシされたユーザーをIAMグループにマップして、MySQLユーザーのアイデンティティおよび権限を取得します。IAMグループへのMySQLプロキシ・ユーザーのマッピングを参照してください。
マップされたMySQLプロキシ・ユーザーを使用してDBシステムに接続します。「マップされたプロキシ・ユーザーへの接続」を参照してください。

IAMグループへのMySQLプロキシ・ユーザーのマッピング

MySQLプロキシ・ユーザーをIAMグループにマップして、DBシステムのMySQL Serverへのアクセス権を付与します。

コマンドライン・クライアントの使用

MySQLクライアントやMySQLシェルなどのコマンドライン・クライアントを使用して、MySQLプロキシ対象ユーザーをIAMグループにマップします。

このタスクでは次が必要です:

IAMグループのOCIDと、グループが定義されているテナンシ。
実行中のDBシステム。
コンピュート・インスタンスまたはローカル・マシンからDBシステムへのコマンドライン・アクセス権を付与する、正しく構成されたVCN。
正しく構成されたコマンドライン・クライアント。
authentication_ociプラグインの使用に必要な設定については、前提条件を参照してください。

次を実行して、MySQLプロキシ対象ユーザー、<pUser1>、<pUser2>および<pUserN>をそれぞれIAMグループ、<IAMGroup1OCID>、<IAMGroup2OCID>および<IAMGroupNOCID>にマップします:

ノート

任意の数のMySQLプロキシ・ユーザーを作成して、IAMグループにマップできます。

プロキシにMySQLユーザー、<pUser1>、<pUser2>および<pUserN>を作成します。

CREATE USER <pUser1> IDENTIFIED BY <password> ACCOUNT LOCK;
CREATE USER <pUser2> IDENTIFIED BY <password> ACCOUNT LOCK;
CREATE USER <pUserN> IDENTIFIED BY <password> ACCOUNT LOCK;

GRANT文を使用して、MySQLプロキシ対象ユーザーに必要な権限(データベース権限、表権限、列権限など)を付与します。GRANT文を参照してください。
必要な権限を持つMySQLプロキシ・ユーザー、<pUser1>, <pUser2>および<pUserN>が作成されます。
MySQLプロキシ・ユーザーをIAMグループにマップします:
```
CREATE USER ''@'<Hostname>' IDENTIFIED WITH 'authentication_oci'
AS '{"tenancy": "<TenancyOCID>",
"group_mapping": {"<IAMGroup1OCID>": "<pUser1>",
                  "<IAMGroup2OCID>": "<pUser2>",
                  "<IAMGroupNOCID>": "<pUserN>" }}';
```
IAMユーザーが複数のIAMグループの一部で、これらのIAMグループを別のMySQLプロキシ対象ユーザーにマップする場合、IAMユーザーは、group_mappingフィールドに定義されている最初のMySQLプロキシ対象ユーザー(IAMユーザーが属するIAMグループに対応する)にマップされます。たとえば、IAMユーザーが<IAMGroup2OCID>と<IAMGroupNOCID>の両方の一部である場合、IAMユーザーが<IAMGroup2OCID>の一部である最初のIAMグループに対応する最初のMySQLプロキシ・ユーザー<pUser2>にマップされます。
- CREATE USER: 正しい資格証明を使用して<Hostname>から接続できる匿名ユーザーを作成します。ホストは、特定のホストまたはホストのグループに制限できます。CREATE USERを参照してください。
- <Hostname>: ユーザーが接続を開始するホスト名を指定します。
  ユーザー名とホスト名の組合せは、テナンシごとに一意である必要があります。あるグループ・マッピング・リクエストで''@'hostname1'をテナンシにマップした場合、別のテナンシへの別のリクエストでこのユーザー名とホスト名の組合せを再利用することはできません。別のテナンシへの複数のマッピングを実行するには、別のユーザー名とホスト名の組合せ(''@'hostname2'など)を使用します。
- authentication_oci: MySQL Serverの認証プラグインの名前を指定します。
- tenancy: ユーザーおよびDBシステムが存在するテナンシのOCIDを指定します。1つのCREATE USER文につき、1つのテナンシを指定できます。
- group_mapping: プロキシ・ユーザー名に対するグループOCIDのリストを指定します。グループOCIDは、tenancyパラメータで定義されたテナンシに属している必要があります。別のテナンシからグループをマップするには、必要なテナンシ、グループおよびユーザーを使用してCREATE USERコマンドを再度実行します。

ステップ3で作成した匿名ユーザーにプロキシ権限を付与します。

GRANT PROXY ON '<pUser1>' TO ''@'<Hostname>';
GRANT PROXY ON '<pUser2>' TO ''@'<Hostname>';
GRANT PROXY ON '<pUserN>' TO ''@'<Hostname>';

MySQLプロキシ対象ユーザー<pUser1>、<pUser1>および<pUserN>は、それぞれIAMグループ<IAMGroup1OCID>、<IAMGroup2OCID>および<IAMGroupNOCID>にマップされるため、IAMグループ・メンバーは、MySQLプロキシ対象ユーザーに割り当てられているすべてのアイデンティティおよび権限でMySQL Serverにアクセスできます。

関連トピック

authentication_ociプラグインのトラブルシューティング