必須のポリシーと権限
必須ポリシー
様々なDBシステム・リソースへのアクセス権を取得するには、テナンシ・レベルで必須ポリシーを定義します。
表20-1必須ポリシー
| ポリシー | 内容 |
|---|---|
Allow group <group_name> to {COMPARTMENT_INSPECT} in compartment <compartment_name> |
<group_name>のメンバーにCOMPARTMENT_INSPECT権限を付与します。この権限により、グループは指定されたコンパートメントの内容をリストおよび読取りできます。
|
Allow group <group_name> to {VCN_READ, SUBNET_READ, SUBNET_ATTACH, SUBNET_DETACH} in compartment <compartment_name> |
<group_name>のメンバーにVCN_READ、SUBNET_READ、SUBNET_ATTACHおよびSUBNET_DETACH権限を付与します。これらの権限により、グループはサブネットの読取り、アタッチおよびデタッチを行い、指定したコンパートメント内のVCNを読み取ることができます。DBシステムまたは読取りレプリカをVCNのサブネットにアタッチするには、このポリシー・ステートメントが必要です。
|
Allow group <group_name> to {VNIC_CREATE, VNIC_DELETE, VNIC_UPDATE, NETWORK_SECURITY_GROUP_UPDATE_MEMBERS, VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP} in compartment <compartment_name> |
(読取りレプリカ・ロード・バランサの場合)VNIC_CREATE、VNIC_DELETE、VNIC_UPDATE、NETWORK_SECURITY_GROUP_UPDATE_MEMBERSおよびVNIC_ASSOCIATE_NETWORK_SECURITY_GROUP権限を<group_name>のメンバーに付与します。このポリシー・ステートメントは、DBシステムの最初の読取りレプリカを作成するときに、読取りレプリカ・ロード・バランサを自動的に作成するために必要です。
|
|
Allow dynamic-group <dynamic_group_name> to read leaf-certificate-family in compartment <certificate_compartment_name> |
(ユーザー定義証明書の場合、または独自の証明書のみ持込みの場合)
leaf-certificate-family集計リソース・タイプの読取り権限を指定された動的グループに付与します。これにより、動的グループ内のプリンシパル(DBシステム)は、指定されたコンパートメント内のセキュリティ証明書を読み取ることができます。リソース・プリンシパルを参照してください。
|
Allow service mysql_dp_auth to {AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT, DYNAMIC_GROUP_INSPECT} in tenancy |
(authentication_ociプラグインのみ) AUTHENTICATION_INSPECT、 GROUP_MEMBERSHIP_INSPECTおよびDYNAMIC_GROUP_INSPECT権限を付与し、DBシステム内のMySQLユーザーをIAMサービスで定義された既存のユーザーおよびグループにマップします。「authentication_ociプラグインを使用した認証」を参照してください。
|
Allow group <group_name> to read metrics in compartment <compartment_name> |
(メトリックの読取りのみの場合)コンソールでメトリックを読み取るために<group_name>のメンバーへのアクセス権を付与します。このポリシーとは別に、メトリックを読み取るには次のポリシーも必要です: |
表20-2関連付けられたサービス
| 関連付けられたサービス | Description |
|---|---|
| 証明書(証明書持込み) |
セキュリティ証明書をDBシステムに割り当てるポリシーを定義する必要があります。 DBシステムがセキュリティ証明書にアクセスできるようにするには、リソース・プリンシパルを定義する必要があります。リソース・プリンシパルを参照してください。 |
| データベース管理 |
データベース管理を有効化および使用するためのポリシーを定義する必要があります。データベース管理を使用するために必要な権限を参照してください。 |
必須の権限
HeatWave Serviceのユーザー・グループには、コンパートメントの内容の読取り、Virtual Cloud Networksの使用およびHeatWave Serviceの管理を行うための必須権限が必要です。
表20-3必須権限
| 権限 | Description |
|---|---|
COMPARTMENT_INSPECT |
コンパートメントの内容を読み取り、表示する権限を付与します。 |
VCN_READ, SUBNET_READ, SUBNET_ATTACH, SUBNET_DETACH |
サブネットの読取り、アタッチ、デタッチ、およびVCNの読取りの権限を付与します。これらのリソース・タイプがないと、DBシステムをネットワークにアタッチできません。 |
CERTIFICATE_READ |
(ユーザー定義証明書の場合、または独自の証明書を持ち込む場合)証明書サービスでセキュリティ証明書を読み取る権利を付与します。この権限がないと、セキュリティ証明書をDBシステムに割り当てることはできません。 |
AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT, DYNAMIC_GROUP_INSPECT |
(authentication_ociプラグインの場合) DBシステム内のMySQLユーザーをIAMサービスで定義された既存のユーザーおよびグループにマップする権限を付与します。
|
VNIC_CREATE, VNIC_DELETE,VNIC_UPDATE, NETWORK_SECURITY_GROUP_UPDATE_MEMBERS,VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP |
(読取りレプリカ・ロード・バランサの場合)読取りレプリカ・ロード・バランサを自動的に作成する権限を付与します。 |
表20-4関連付けられたサービス
| 権限 | 内容 |
|---|---|
| 証明書(証明書持込み) |
セキュリティ証明書を読み取る権限が必要です。 DBシステムでは、セキュリティ証明書にアクセスする権限が必要です。リソース・プリンシパルを参照してください。 |
| データベース管理 |
データベース管理を有効化および使用するには権限が必要です。データベース管理を使用するために必要な権限を参照してください。 |