MySQLデータベース・サービスのポリシー詳細

IAMポリシーを使用して、MySQL Database Serviceリソースへのアクセスを制御します。

MySQLデータベース・サービスのポリシー詳細

IAMポリシーを使用して、MySQL Database Serviceリソースへのアクセスを制御します。

MySQLデータベース・サービスのリソース・タイプ

集約ポリシーおよび個別ポリシーを使用して、インスタンス、構成、バックアップ、チャネルなどのMySQL DBシステム・リソースへのアクセスを制御します。

表17-1 MySQL Database Serviceのリソース・タイプ

リソース・タイプ 説明
mysql-family

集約リソース・タイプ。

グループによるこのリソース・タイプの管理を許可するポリシー・ステートメントを記述することは、次のそれぞれに個別のポリシーを記述することと同じです:

  • mysql-instances
  • mysql-configurations
  • mysql-backups
  • mysql-work-requests
  • mysql-channels
  • mysql-heatwave
mysql-instances

個々のリソース・タイプ。

DBシステムを表示および管理するためのインスタンス固有のポリシーを記述します。mysql-instancesを参照してください。

mysql-configurations

個々のリソース・タイプ。

構成を表示および管理するための構成固有のポリシーを記述します。mysql-configurationsを参照してください。

mysql-backups

個々のリソース・タイプ。

バックアップを表示および管理するためのバックアップ固有のポリシーを記述します。mysql-backupsを参照してください。

mysql-channels

個々のリソース・タイプ。

レプリケーション・チャネルを表示および管理するためのチャネル固有のポリシーを記述します。mysql-channelsを参照してください。

mysql-heatwave

個々のリソース・タイプ。

HeatWaveクラスタを表示および管理するためのHeatWave固有のポリシーを記述します。mysql-heatwaveを参照してください。

mysql-work-requests

個々のリソース・タイプ。

作業リクエストを表示および管理するための作業リクエスト固有のポリシーを記述します。mysql-work-requestsを参照してください。

API操作

API操作を使用するには、適切な権限が必要です。

表17-2 MySQL DatabaseのAPI操作

API操作 操作の使用に必要な権限
ListShapes MYSQL_INSTANCE_INSPECT
ListVersions MYSQL_INSTANCE_INSPECT
ListDbSystems MYSQL_INSTANCE_INSPECT
GetDbSystem MYSQL_INSTANCE_READ
CreateDbSystem MYSQL_INSTANCE_CREATE
StopDbSystem MYSQL_INSTANCE_USEまたはMYSQL_INSTANCE_STOP
StartDbSystem MYSQL_INSTANCE_USEまたはMYSQL_INSTANCE_START
RestartDbSystem MYSQL_INSTANCE_USEまたは(MYSQL_INSTANCE_STARTおよびMYSQL_INSTANCE_STOP)
DeleteDbSystem

MYSQL_INSTANCE_DELETE。

レプリケーション・チャネルがDB Systemに関連付けられている場合は、MYSQL_CHANNEL_DELETEも必要です。

UpdateDbSystem MYSQL_INSTANCE_UPDATE
CreateConfiguration MYSQL_CONFIGURATIONS_CREATE
ListConfigurations MYSQL_CONFIGURATIONS_INSPECT
GetConfiguration MYSQL_CONFIGURATIONS_READ (「カスタム」構成の場合のみ必須。「デフォルト」構成はすべてのユーザーが読み取ることができます。)
UpdateConfiguration MYSQL_CONFIGURATIONS_UPDATE
CopyConfiguration MYSQL_CONFIGURATIONS_READおよびMYSQL_CONFIGURATIONS_CREATE (ソース・コンパートメントに対するREADおよび宛先コンパートメントに対するREADとCREATEも必要です。)
DeleteConfiguration MYSQL_CONFIGURATIONS_DELETE
DbSystemBackup MYSQL_BACKUP_CREATEおよびMYSQL_INSTANCE_CONTENT_READ
DeleteBackup MYSQL_BACKUP_DELETEおよびMYSQL_BACKUP_INSPECT
ListBackups MYSQL_BACKUP_INSPECT
GetBackup MYSQL_BACKUP_READ
UpdateBackup MYSQL_BACKUP_UPDATE
ChangeBackupCompartment MYSQL_BACKUP_MOVE
RestoreBackup MYSQL_BACKUP_INSPECTおよびMYSQL_INSTANCE_CONTENT_READおよびMYSQL_INSTANCE_CONTENT_WRITEおよびMYSQL_INSTANCE_CREATE
ListWorkRequests MYSQL_INSTANCE_WORK_REQUEST_INSPECTまたはMYSQL_INSTANCE_INSPECT
GetWorkRequest MYSQL_INSTANCE_WORK_REQUEST_READまたはMYSQL_INSTANCE_READ
DeleteWorkRequest MYSQL_INSTANCE_WORK_REQUEST_DELETE
ListChannels MYSQL_CHANNEL_INSPECT
GetChannel MYSQL_CHANNEL_READ
CreateChannel MYSQL_CHANNEL_CREATEおよびMYSQL_INSTANCE_USEおよびMYSQL_INSTANCE_CONTENT_WRITE
UpdateChannel MYSQL_CHANNEL_UPDATEおよびMYSQL_INSTANCE_USEおよびMYSQL_INSTANCE_CONTENT_WRITE
ResetChannel MYSQL_CHANNEL_RESETおよびMYSQL_INSTANCE_USEおよびMYSQL_INSTANCE_CONTENT_WRITE
ResumeChannel MYSQL_CHANNEL_RESUMEおよびMYSQL_INSTANCE_USE
DeleteChannel MYSQL_CHANNEL_DELETEおよびMYSQL_INSTANCE_USEおよびMYSQL_INSTANCE_CONTENT_WRITE
GetHeatWaveCluster MYSQL_HEATWAVE_READ
AddHeatWaveCluster MYSQL_INSTANCE_USEおよびMYSQL_HEATWAVE_CREATE
StopHeatWaveCluster MYSQL_INSTANCE_USEまたはMYSQL_INSTANCE_STOPまたはMYSQL_HEATWAVE_USEまたはMYSQL_HEATWAVE_STOP
StartHeatWaveCluster MYSQL_INSTANCE_USEまたはMYSQL_INSTANCE_STARTまたはMYSQL_HEATWAVE_USEまたはMYSQL_HEATWAVE_START
RestartHeatWaveCluster MYSQL_INSTANCE_USEまたはMYSQL_HEATWAVE_USEまたは(MYSQL_INSTANCE_STARTおよびMYSQL_INSTANCE_STOP)または(MYSQL_HEATWAVE_STARTおよびMYSQL_HEATWAVE_STOP)
DeleteHeatWaveCluster MYSQL_INSTANCE_DELETEまたは(MYSQL_INSTANCE_USEおよびMYSQL_HEATWAVE_DELETE)
UpdateHeatWaveCluster MYSQL_INSTANCE_USEおよびMYSQL_HEATWAVE_CREATEおよびMYSQL_HEATWAVE_DELETE
GetHeatWaveClusterMemoryEstimate MYSQL_INSTANCE_CONTENT_READおよびMYSQL_HEATWAVE_USE
EstimateHeatWaveClusterMemory MYSQL_INSTANCE_CONTENT_READおよびMYSQL_HEATWAVE_USE

必須リソース・タイプ

コンパートメントの内容の読取り、仮想クラウド・ネットワークの使用、およびMySQL Database Serviceの管理を許可するには、MySQL Database Serviceのグループに特定の必須リソース・タイプを付与する必要があります。

表17-3 必須リソース・タイプ

リソース・タイプ 説明
COMPARTMENT_INSPECT コンパートメントの内容を読み取り、表示する権限を付与します。
VCN_READ, SUBNET_READ, SUBNET_ATTACH, SUBNET_DETACH サブネットの読取り、アタッチ、デタッチ、およびVCNの読取りの権限を付与します。これらのリソース・タイプがないと、DBシステムをネットワークにアタッチできません。
AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT, DYNAMIC_GROUP_INSPECT (authentication_ociプラグインのみ) DBシステム内のMySQLユーザーをIAMサービスで定義された既存のユーザーおよびグループにマップする権限を付与します。

必須ポリシー・ステートメント

テナンシ・レベルで必須のポリシー・ステートメントを定義して、様々なDBシステム・リソースへのアクセス権を取得します。

表17-4 必須ポリシー・ステートメント

ポリシー・ステートメント 説明
Allow group Administrators to {COMPARTMENT_INSPECT} in tenancy AdministratorsグループのメンバーにCOMPARTMENT_INSPECT権限を付与します。この権限により、グループはテナンシ内のすべてのコンパートメントの内容をリストし、読み取ることができます。
Allow group Administrators to {VCN_READ, SUBNET_READ, SUBNET_ATTACH, SUBNET_DETACH} in tenancy AdministratorsグループのメンバーにVCN_READSUBNET_READSUBNET_ATTACHおよびSUBNET_DETACH権限を付与します。この権限により、グループはサブネットの読取り、アタッチおよびデタッチを行い、テナンシ内のVCNを読み取ることができます。DBシステムを仮想クラウド・ネットワークにアタッチするには、このポリシー・ステートメントが必要です。
ALLOW service mysql_dp_auth TO {AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT, DYNAMIC_GROUP_INSPECT} IN TENANCY (authentication_ociプラグインのみ) DBシステム内のMySQLユーザーをIAMサービスで定義された既存のユーザーおよびグループにマップするためのAUTHENTICATION_INSPECTGROUP_MEMBERSHIP_INSPECTおよびDYNAMIC_GROUP_INSPECT権限を付与します。authentication_ociプラグインを使用したDB Systemへの接続を参照してください。

mysql-instances

MySQL Database Serviceのインスタンス固有のポリシーを使用して、DBシステムを表示および管理します。

表17-5 INSPECT

権限 完全に対象となるAPI 部分的に対象となるAPI

MYSQL_INSTANCE_INSPECT

ListConfigurations

ListDbSystems

ListWorkRequests

ListShapes

ListVersions

なし

表17-6 READ

権限 完全に対象となるAPI 部分的に対象となるAPI

MYSQL_INSTANCE_READ

ListDbSystems

GetWorkRequest

なし

表17-7 USE

権限 完全に対象となるAPI 部分的に対象となるAPI

MYSQL_INSTANCE_USE

StopDbSystems

StartDbSystems

RestartDbSystems

CreateChannel

UpdateChannel

ResetChannel

ResumeChannel

DeleteChannel

MYSQL_INSTANCE_STOP

StopDbSystems

RestartDbSystems (MYSQL_INSTANCE_STARTも必要)

MYSQL_INSTANCE_START

StartDbSystems

RestartDbSystems (MYSQL_INSTANCE_STOPも必要

)

表17-8 MANAGE

権限 完全に対象となるAPI 部分的に対象となるAPI

MYSQL_INSTANCE_CREATE

CreateDbSystem (COMPARTMENT_INSPECTおよびMYSQL_CONFIGURATIONS_READも必要)。

自動バックアップが有効な場合は、この他にMYSQL_BACKUP_CREATEおよびMYSQL_INSTANCE_CONTENT_READポリシーが必要です

なし

MYSQL_INSTANCE_DELETE

DeleteDbSystem

なし

MYSQL_INSTANCE_UPDATE

UpdateDbSystem

なし

MYSQL_INSTANCE_CONTENT_WRITE

RestoreBackup

CreateChannel

UpdateChannel

ResetChannel

DeleteChannel

MYSQL_INSTANCE_CONTENT_READ

DbSystemBackup

RestoreBackup

mysql-configurations

MySQL Database Serviceの構成固有のポリシーを使用して、構成を表示および管理します。

mysql-configurations

表17-9 INSPECT

権限 完全に対象となるAPI 部分的に対象となるAPI
MYSQL_CONFIGURATIONS_INSPECT ListConfigurations なし

表17-10 READ

権限 完全に対象となるAPI 部分的に対象となるAPI
MYSQL_CONFIGURATIONS_READ GetConfiguration CopyConfiguration (MYSQL_CONFIGURATIONS_CREATEも必要)

表17-11 USE

権限 完全に対象となるAPI 部分的に対象となるAPI
MYSQL_CONFIGURATIONS_UPDATE UpdateBackup なし

表17-12 MANAGE

権限 完全に対象となるAPI 部分的に対象となるAPI
MYSQL_CONFIGURATIONS_CREATE CreateConfiguration CopyMysqlConfiguration (MYSQL_CONFIGURATIONS_READも必要)
MYSQL_CONFIGURATIONS_DELETE DeleteConfiguration なし

mysql-backups

MySQL Database Serviceのバックアップ固有のポリシーを使用して、バックアップを表示および管理します。

mysql-backups

表17-13 INSPECT

権限 完全に対象となるAPI 部分的に対象となるAPI
MYSQL_BACKUP_INSPECT ListBackups DeleteBackupRestoreBackup (MYSQL_INSTANCE_CONTENT_READおよびMYSQL_INSTANCE_CONTENT_WRITEも必要)

表17-14 READ

権限 完全に対象となるAPI 部分的に対象となるAPI
MYSQL_BACKUP_READ GetBackup なし

表17-15 USE

権限 完全に対象となるAPI 部分的に対象となるAPI

MYSQL_BACKUP_INSPECT

( MYSQL_INSTANCE_CONTENT_READおよび MYSQL_INSTANCE_CONTENT_WRITEも必要)

RestoreBackup なし
MYSQL_BACKUP_UPDATE UpdateBackup なし

表17-16 MANAGE

権限 完全に対象となるAPI 部分的に対象となるAPI
MYSQL_BACKUP_CREATE DbSystemBackup (MYSQL_INSTANCE_CONTENT_READも必要) なし
MYSQL_BACKUP_DELETE DeleteBackup (MYSQL_BACKUP_INSPECTも必要) なし
MYSQL_BACKUP_MOVE ChangeBackupCompartment なし

mysql-channels

MySQL Database Serviceのチャネル固有のポリシーを使用して、レプリケーション・チャネルを表示および管理します。

mysql-channels

表17-17 INSPECT

権限 完全に対象となるAPI 部分的に対象となるAPI

MYSQL_CHANNEL_INSPECT

ListChannels

なし

表17-18 READ

権限 完全に対象となるAPI 部分的に対象となるAPI

MYSQL_CHANNEL_READ

GetChannel

なし

表17-19 USE

権限 完全に対象となるAPI 部分的に対象となるAPI

MYSQL_CHANNEL_RESUME

ResumeChannel

なし

表17-20 MANAGE

権限 完全に対象となるAPI 部分的に対象となるAPI

MYSQL_CHANNEL_CREATE

CreateChannel

なし

MYSQL_CHANNEL_DELETE

DeleteChannel

なし

MYSQL_CHANNEL_UPDATE

UpdateChannel

なし

MYSQL_CHANNEL_RESET

ResetChannel

なし

mysql-heatwave

MySQL Database ServiceのHeatWave固有のポリシーを使用して、HeatWaveを表示および管理します。

mysql-heatwave

表17-21 READ

権限 完全に対象となるAPI 部分的に対象となるAPI

MYSQL_HEATWAVE_READ

GetHeatWaveCluster

なし

表17-22 USE

権限 完全に対象となるAPI 部分的に対象となるAPI
MYSQL_HEATWAVE_USE StartHeatWaveCluster なし
MYSQL_HEATWAVE_STOP StopHeatWaveCluster RestartHeatWaveCluster (MYSQL_HEATWAVE_STARTも必要)
MYSQL_HEATWAVE_START StartHeatWaveCluster RestartHeatWaveCluster (MYSQL_HEATWAVE_STOPも必要)

表17-23 MANAGE

権限 完全に対象となるAPI 部分的に対象となるAPI
MYSQL_HEATWAVE_CREATE AddHeatWaveCluster なし
MYSQL_HEATWAVE_DELETE DeleteHeatWaveCluster なし

mysql-work-requests

MySQL Database Serviceの作業リクエスト固有のポリシーを使用して、作業リクエストを管理します。

mysql-work-requests

表17-24 INSPECT

権限 完全に対象となるAPI 部分的に対象となるAPI
MYSQL_INSTANCE_WORK_REQUEST_INSPECT ListWorkRequests なし

表17-25 READ

権限 完全に対象となるAPI 部分的に対象となるAPI
MYSQL_INSTANCE_WORK_REQUEST_READ GetWorkRequest なし

表17-26 MANAGE

権限 完全に対象となるAPI 部分的に対象となるAPI
MYSQL_INSTANCE_WORK_REQUEST_DELETE DeleteWorkRequest なし