Oracle Cloud Infrastructureドキュメント

必須のポリシーと権限

MySQL HeatWaveサービスを管理するユーザー・グループには、リソースにアクセスして管理するための必須のポリシーおよび権限が必要です。

必須のポリシー

テナンシ・レベルで必須の方針を定義して、様々なDBシステム・リソースへのアクセス権を取得します。

表20-1必須ポリシー

ポリシー 摘要
Allow group <group_name> to {COMPARTMENT_INSPECT} in compartment <compartment_name> <group_name>のメンバーにCOMPARTMENT_INSPECT権限を付与しますこの権限により、グループは指定された区分の内容をリストし、読み取ることができます。
Allow group <group_name> to {VCN_READ, SUBNET_READ, SUBNET_ATTACH, SUBNET_DETACH} in compartment <compartment_name> VCN_READSUBNET_READSUBNET_ATTACHおよびSUBNET_DETACH権限を<group_name>のメンバーに付与します。これらの権限により、グループはサブネットの読取り、アタッチおよびデタッチを行い、指定されたコンパートメント内のVCNsを読み取ることができます。DBシステムまたは読取りレプリカをVCNのサブネットにアタッチするには、このポリシー・ステートメントが必要です。
Allow group <group_name> to {VNIC_CREATE, VNIC_DELETE, VNIC_UPDATE, NETWORK_SECURITY_GROUP_UPDATE_MEMBERS, VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP} in compartment <compartment_name> (読取りエンドポイントおよび読取りレプリカ・ロード・バランサの場合)VNIC_CREATEVNIC_DELETEVNIC_UPDATENETWORK_SECURITY_GROUP_UPDATE_MEMBERSおよびVNIC_ASSOCIATE_NETWORK_SECURITY_GROUP権限を<group_name>のメンバーに付与します。このポリシー・ステートメントは、DBシステムの最初の読取りレプリカを作成するとき、またはDBシステムの読取りエンドポイントを作成するときに、読取りレプリカ・ロード・バランサを自動的に作成する場合に必要です。

Allow group <group_name> to {NETWORK_SECURITY_GROUP_READ, NETWORK_SECURITY_GROUP_UPDATE_MEMBERS} in compartment <NSG_compartment_name>

Allow group <group_name> to {VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP, VNIC_DISASSOCIATE_NETWORK_SECURITY_GROUP} in compartment <compartment_name>

Allow any-user to {NETWORK_SECURITY_GROUP_UPDATE_MEMBERS} in compartment <NSG_compartment_name> where all {request.principal.type='mysqldbsystem', request.resource.compartment.id='<DBsystem_compartment_OCID>'}

Allow any-user to {VNIC_CREATE, VNIC_UPDATE, VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP, VNIC_DISASSOCIATE_NETWORK_SECURITY_GROUP} in compartment <subnet_compartment_name> where all {request.principal.type='mysqldbsystem', request.resource.compartment.id='<DBsystem_compartment_OCID>'}		 (DBシステムのネットワーク・セキュリティ・グループ(NSG)または読取りレプリカの場合)

グループにNSGの読取りおよび指定コンパートメント内のNSGの親リソースの更新を許可するNETWORK_SECURITY_GROUP_READおよびNETWORK_SECURITY_GROUP_UPDATE_MEMBERS権限を付与します。

VNIC_ASSOCIATE_NETWORK_SECURITY_GROUPおよびVNIC_DISASSOCIATE_NETWORK_SECURITY_GROUP権限を付与し、指定したコンパートメント内のDBシステムおよび読取りレプリカをNSGに関連付けおよび関連付け解除できるようにします。

これは、<NSG_compartment_name>コンパートメント内のネットワーク・セキュリティ・グループに対する権限NETWORK_SECURITY_GROUP_UPDATE_MEMBERSを、OCID <DBsystem_compartment_OCID>のコンパートメント内のDBシステムに付与するリソース・プリンシパルです。

これは、<subnet_compartment_name>コンパートメント内のVNICのVNIC_CREATEVNIC_UPDATEVNIC_ASSOCIATE_NETWORK_SECURITY_GROUPおよびVNIC_DISASSOCIATE_NETWORK_SECURITY_GROUP権限をOCID <DBsystem_compartment_OCID>のコンパートメント内のDBシステムに付与するリソース・プリンシパルです。

Allow any-user to {SECURITY_ATTRIBUTE_NAMESPACE_USE, VNIC_UPDATE, VNIC_CREATE} in compartment <subnet_compartment_name> where all {request.principal.type='mysqldbsystem', request.resource.compartment.id='<DBsystem_compartment_OCID>'} (DBシステムへのセキュリティ属性の割当て用)

これは、<subnet_compartment_name>コンパートメント内のSECURITY_ATTRIBUTE_NAMESPACE_USEVNIC_UPDATEおよびVNIC_CREATE権限をOCID <DBsystem_compartment_OCID>のコンパートメント内のDBシステムに付与するリソース・プリンシパルです

Allow group <group_name> to read leaf-certificates in compartment <certificate_compartment_name>

Allow any-user to read leaf-certificate-family in compartment <certificate_compartment_name> where all {request.principal.type = 'mysqldbsystem', request.resource.compartment.id='<DBsystem_compartment_OCID>'}		 (ユーザー定義証明書の場合、または独自の証明書を持ち込む場合のみ)

leaf-certificatesリソース・タイプの読取り権限を<group_name>のメンバーに付与します。この権限により、グループは、指定されたコンパートメントのセキュリティ証明書をDBシステムに割り当てることができます。

これは、<certificate_compartment_name>コンパートメント内のleaf-certificate-family集計リソース・タイプの読取り権限を、OCID <DBsystem_compartment_OCID>のコンパートメント内のDBシステムに付与するリソース・プリンシパルです。

Allow group <group_name> to read vaults in compartment <vault_compartment_name>

Allow group <group_name> to read keys in compartment <key_compartment_name>

Allow any-user to use key-delegate in compartment <key_compartment_name> where all {request.principal.type = 'mysqldbsystem', request.resource.compartment.id='<DBsystem_compartment_OCID>'}

Allow service blockstorage, objectstorage-<region> to use keys in compartment <key_compartment_name> where target.key.id='<key_OCID>'

Endorse any-user to {VOLUME_UPDATE, VOLUME_INSPECT, VOLUME_CREATE, VOLUME_BACKUP_READ, VOLUME_BACKUP_UPDATE, BUCKET_UPDATE, VOLUME_GROUP_BACKUP_CREATE, VOLUME_BACKUP_COPY, VOLUME_BACKUP_CREATE, TAG_NAMESPACE_INSPECT, TAG_NAMESPACE_USE} in any-tenancy where request.principal.type = 'mysqldbsystem'

Endorse any-user TO associate keys in tenancy with volumes in any-tenancy where request.principal.type = 'mysqldbsystem'

Endorse any-user to associate keys in tenancy with volume-backups in any-tenancy where request.principal.type = 'mysqldbsystem'

Endorse any-user to associate keys in tenancy with buckets in any-tenancy where request.principal.type = 'mysqldbsystem'

 (ユーザー管理暗号化キーの場合、または独自のキーを持ち込む場合のみ)

<vault_compartment_name>コンパートメント内のボールトを読み取るために、<group_name>のメンバーへのアクセス権を付与します。

<key_compartment_name>コンパートメント内のボールトを読み取るために、<group_name>のメンバーへのアクセス権を付与します。

これは、OCID <DBsystem_compartment_OCID>を持つコンパートメント内のDBシステムに、<key_compartment_name>コンパートメント内の暗号化キーの使用を他のサービスに委任する権限を付与するリソース・プリンシパルです。他のサービスが暗号化キーを使用するには、コンパニオン・ポリシーが必要です。

OCID値が<key_compartment_name>コンパートメントの<key_OCID>と等しい暗号化キーを使用するように、<region>リージョンのブロック・ボリューム・サービスおよびオブジェクト・ストレージ・サービスに付与します。

これは、このテナンシのDBシステムが、このテナンシに対して同等のADMIT権限を提供するすべてのテナンシに対して、リストされた権限を承認または許可するリソース・プリンシパルです。

これは、このテナンシのDBシステムが、このテナンシのキーを任意のテナンシのvolumesに関連付けまたは使用することを承認または許可するリソース・プリンシパルです。

これは、このテナンシのDBシステムが、このテナンシのキーを任意のテナンシのvolume-backupsに関連付けまたは使用することを承認または許可するリソース・プリンシパルです。

これは、このテナンシのDBシステムが、このテナンシのキーを任意のテナンシのbucketsに関連付けまたは使用することを承認または許可するリソース・プリンシパルです。

バージョン9.4.0で非推奨: Allow service mysql_dp_auth to {AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT, DYNAMIC_GROUP_INSPECT} in tenancy

バージョン9.4.0以降の場合: Allow any-user to {AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT, DYNAMIC_GROUP_INSPECT} in tenancy where request.principal.type = 'mysqldbsystem'

 (authentication_ociプラグインのみ) DBシステム内のMySQLユーザーをIAMサービスで定義された既存のユーザーおよびグループにマップするAUTHENTICATION_INSPECT GROUP_MEMBERSHIP_INSPECTおよびDYNAMIC_GROUP_INSPECT権限を付与します。authentication_ociプラグインを使用した認証を参照してください。
Allow group <group_name> to read metrics in compartment <compartment_name> (メトリックの読取りのみ)コンソールでメトリックを読み取るために、<group_name>のメンバーへのアクセス権を付与します。このポリシーとは別に、メトリックを読み取るには、次のポリシーも必要です。

Allow group <group name> to read mysql-family in compartment <compartment_name>

表20-2関連付けられたサービス

関連サービス 摘要
証明書持込み(独自の証明書持込み)

DBシステムにセキュリティ証明書を割り当てるポリシーを定義する必要があります。

DBシステムがセキュリティ証明書にアクセスできるようにするには、リソース・プリンシパルを定義する必要があります。Resource Principalsを参照してください。

データベース管理

データベース管理を有効にして使用するには、ポリシーを定義する必要があります。データベース管理を使用するために必要な権限を参照してください。

必須権限

MySQL HeatWaveサービスのユーザー・グループには、コンパートメントの内容の読取り、Virtual Cloud Networksの使用およびMySQL HeatWaveサービスの管理を行うための必須の権限が必要です。

表20-3必須権限

権限 摘要
COMPARTMENT_INSPECT コンパートメントの内容を読み取り、表示する権限を付与します。
VCN_READ, SUBNET_READ, SUBNET_ATTACH, SUBNET_DETACH サブネットの読取り、アタッチ、デタッチ、およびVCNの読取りの権限を付与します。これらのリソース・タイプがないと、DBシステムをネットワークにアタッチできません。
NETWORK_SECURITY_GROUP_READ, NETWORK_SECURITY_GROUP_UPDATE_MEMBERS, VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP, VNIC_DISASSOCIATE_NETWORK_SECURITY_GROUP (ネットワーク・セキュリティ・グループの場合)ネットワーク・セキュリティ・グループをDBシステムに関連付けたり、レプリカを読み取る権限を付与します。
CERTIFICATE_READ (ユーザー定義証明書の場合、または独自の証明書を持ち込む場合)証明書サービスでセキュリティ証明書を読み取る権利を付与します。この権限なしでDBシステムにセキュリティ証明書を割り当てることはできません。
AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT, DYNAMIC_GROUP_INSPECT (authentication_ociプラグインの場合) DBシステム内のMySQLユーザーをIAMサービスで定義された既存のユーザーおよびグループにマップする権限を付与します。
VNIC_CREATE, VNIC_DELETE,VNIC_UPDATE, NETWORK_SECURITY_GROUP_UPDATE_MEMBERS,VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP (読取りエンドポイントおよび読取りレプリカ・ロード・バランサの場合)読取りエンドポイントまたは読取りレプリカ・ロード・バランサを作成する権限を付与します。

表20-4関連サービス

権限 摘要
証明書持込み(独自の証明書持込み)

セキュリティ証明書を読み取る権限が必要です。

DBシステムには、セキュリティ証明書にアクセスする権限が必要です。Resource Principalsを参照してください。

データベース管理

データベース管理を有効にして使用するには、権限が必要です。データベース管理を使用するために必要な権限を参照してください。