authentication_ociプラグインを使用するには、認証キー・ペア、構成ファイルおよび適切に定義されたポリシー・ステートメントが必要です。

authentication_ociプラグインを使用するには、次のものが必要です:

• 次のいずれかの資格証明:
  • APIキー・ペア: ローカルまたはプロビジョニングされたユーザーは、IAMおよびAPIフィンガープリントに適切に登録された公開APIキー・ペアを使用できます。個々のユーザーおよびマップされたグループ・メンバーごとに、キー・ペアとフィンガープリントが必要です。必要なキーとOCIDを参照してください。
  • IAMセキュリティ・トークン: ローカル、フェデレーテッドまたはプロビジョニングされたユーザーは、Oracle Cloud Infrastructureコマンドライン・インタフェースを使用して生成されたIAMセキュリティ・トークンを使用できます。IAMセキュリティ・トークンの生成を参照してください。
• 有効なフィンガープリントおよびkey_file値を持つ構成ファイル。IAMセキュリティ・トークンを使用した認証の場合は、有効なsecurity_token_file値を指定します。SDKおよびCLIの構成ファイルを参照してください。
• 接続する各テナンシに定義されている次のポリシー・ステートメント:

  ALLOW service mysql_dp_auth TO {AUTHENTICATION_INSPECT, GROUP_MEMBERSHIP_INSPECT, DYNAMIC_GROUP_INSPECT} IN TENANCY

  このポリシー・ステートメントは、テナンシ全体をカバーするようにルート・コンパートメントにアタッチする必要があります。これを行うには、ポリシーの追加時にルート・コンパートメントが選択されていることを確認し、IN TENANCYパラメータを使用します。

  IN TENANCYのかわりにIN COMPARTMENT <CompartmentName>を使用する場合は、このようなポリシーをサブコンパートメントに作成できますが、これはauthentication_ociプラグインを使用するのに十分ではありません。文でエラーが返された場合は、現在のコンパートメントを再度確認し、ルート・コンパートメントを選択します。