専用Exadataインフラストラクチャ上のAutonomous AI DatabaseのIAMポリシー
この記事では、専用Exadataインフラストラクチャ上のAutonomous AI Databaseのインフラストラクチャ・リソースを管理するために必要なIAMポリシーを示します。
Oracle Autonomous AI Database on Dedicated Exadata Infrastructureは、IAM (Identity and Access Management)サービスを利用して、クラウド・ユーザーを認証および認可し、Oracle Cloud Infrastructureインタフェース(コンソール、REST API、CLIまたはSDK)のいずれかを使用する操作を実行します。IAMサービスでは、グループ、コンパートメントおよびポリシーを使用してどのクラウド・ユーザーがどのリソースにアクセスできるかを制御します。
Autonomous AI Databaseのポリシー詳細
このトピックでは、Autonomous AI Databaseリソースへのアクセスを制御するためのポリシーの記述の詳細を説明します。
ポリシーは、個々のコンパートメント内の特定のリソースに対してユーザーのグループが持つアクセスの種類を定義します。詳細は、ポリシーの開始を参照してください。
ヒント:サンプル・ポリシーについては、データベースおよびフリート管理者によるAutonomous AIデータベースの管理を参照してください。
リソース・タイプ
集約リソース・タイプは、すぐ後に続く個別リソース・タイプのリストをカバーします。たとえば、グループでautonomous-database-familyにアクセスできるようにするポリシーを1つ記述することは、autonomous-databases、autonomous-backups、autonomous-container-databasesおよびcloud-autonomous-vmclustersリソース・タイプへのアクセスを付与するグループの4つの個別のポリシーを記述することと同じです。詳細は、リソース・タイプを参照してください。
Autonomous AI Databaseのリソース・タイプ
集約リソース・タイプ:
autonomous-database-family
個々のリソース・タイプ:
autonomous-databases
autonomous-backups
autonomous-container-databases
cloud-autonomous-vmclusters (Oracle Public Cloudデプロイメントのみ)
autonomous-vmclusters (Oracle Exadata Cloud@Customerデプロイメントのみ)
autonomous-virtual-machine
ヒント: Oracle Public CloudおよびExadata Cloud@CustomerでAutonomous AI Databaseをプロビジョニングするために必要なcloud-exadata-infrastructuresおよびexadata-infrastructuresリソース・タイプは、それぞれ集約リソース・タイプdatabase-familyでカバーされています。database-familyでカバーされるリソースの詳細は、Exadata Cloud Serviceインスタンスのポリシー詳細およびベース・データベース・サービスのポリシー詳細に関する項を参照してください。
サポートされる変数
一般的な変数がサポートされています。詳細は、すべてのリクエストの一般的な変数を参照してください。
また、次の表に示すようにtarget.workloadType変数を使用できます:
| target.workloadTypeの値 | 説明 |
|---|---|
OLTP |
オンライン・トランザクション処理(Autonomous Transaction ProcessingワークロードのAutonomous AIデータベースで使用)。 |
DW |
Data Warehouse。Autonomous Data Warehouseワークロード向けAutonomous AI Databaseに使用されます。 |
target.workloadType変数を使用したポリシーの例:
Allow group ADB-Admins
to manage autonomous-database
in tenancy where target.workloadType = 'workload_type'動詞+リソース・タイプの組合せの詳細
アクセス・レベルは、inspect > read > use > manageの順に累積します。表のセルのプラス記号(+)は、そのすぐ上のセルと比較して増分アクセスを示しますが、「追加なし」は増分アクセスを示していません。
たとえば、autonomous-databasesリソース・タイプに対するread動詞には、inspect動詞と同じ権限およびAPI操作に加えてAUTONOMOUS_DATABASE_CONTENT_READ権限も含まれます。read動詞はCreateAutonomousDatabaseBackup操作を部分的にカバーしているため、autonomous-backupsに対する管理権限も必要です。
次の表は、各動詞でカバーされるアクセス権およびAPI操作を示しています。権限の詳細は、権限を参照してください。
autonomous-database-familyリソース・タイプの場合
ノート: autonomous-database-familyでカバーされるリソース・ファミリは、すべてのAutonomous AI Databaseワークロード・タイプに関連付けられたデータベース・リソースへのアクセス権を付与するために使用できます。
autonomous-databases
| 動詞 | 権限 | 全部カバーされるAPI | 一部カバーされるAPI |
|---|---|---|---|
| inspect | AUTONOMOUS_DATABASE_INSPECT |
GetAutonomousDatabase, ListAutonomousDatabases |
なし |
| read |
|
追加なし | CreateAutonomousDatabaseBackup (manage autonomous-backupsも必要) |
| 使用 |
|
UpdateAutonomousDatabase |
|
| manage |
|
CreateAutonomousDatabase |
なし |
自律バックアップ
| 動詞 | 権限 | 全部カバーされるAPI | 一部カバーされるAPI |
|---|---|---|---|
| inspect | AUTONOMOUS_DB_BACKUP_INSPECT |
ListAutonomousDatabaseBackups, GetAutonomousDatabaseBackup |
なし |
| read |
|
追加なし |
|
| 使用 | READ + 追加なし |
追加なし | なし |
| manage |
|
DeleteAutonomousDatabaseBackup |
CreateAutonomousDatabaseBackup (read autonomous-databasesも必要) |
autonomous-container-databases
| 動詞 | 権限 | 全部カバーされるAPI | 一部カバーされるAPI |
|---|---|---|---|
| inspect | AUTONOMOUS_CONTAINER_DATABASE_INSPECT |
ListAutonomousContainerDatabases, GetAutonomousContainerDatabase |
なし |
| read | INSPECT + 追加なし |
追加なし | なし |
| 使用 | READ +
|
|
CreateAutonomousDatabase (manage autonomous-databasesも必要) |
| manage |
|
追加なし | CreateAutonomousContainerDatabase、TerminateAutonomousContainerDatabase (両方ともuse cloud-autonomous-vmclusters、use cloud-exadata-infrastructuresが必要) |
クラウド自律型vmclusters
| 動詞 | 権限 | 全部カバーされるAPI | 一部カバーされるAPI |
|---|---|---|---|
| inspect | CLOUD_AUTONOMOUS_VM_CLUSTER_INSPECT |
|
なし |
| read |
追加なし |
追加なし | なし |
| 使用 | READ +
|
|
|
| manage |
|
追加なし |
(両方とも |
autonomous-vmclusters
| 動詞 | 権限 | 全部カバーされるAPI | 一部カバーされるAPI |
|---|---|---|---|
| inspect | AUTONOMOUS_VM_CLUSTER_INSPECT |
|
ChangeAutonomousVmClusterCompartment |
| read | INSPECT + 追加なし |
追加なし | なし |
| 使用 |
|
ChangeAutonomousVmClusterCompartment |
|
| manage |
|
DeleteAutonomousVmCluster |
CreateAutonomousVmCluster |
自律型仮想マシン
| 動詞 | 権限 | 全部カバーされるAPI | 一部カバーされるAPI |
|---|---|---|---|
| inspect | AUTONOMOUS_VIRTUAL_MACHINE_INSPECT |
|
なし |
API操作ごとに必要な権限
Autonomous Container Database (ACD)とAutonomous AI Database (ADB)は、Oracle Public Cloud、MulticloudおよびExadata Cloud@Customerデプロイメント間の共通リソースです。したがって、これらの権限は、次の表の両方のデプロイメントで同じです。
ただし、一部のACD操作にはAVMCレベルの権限が必要であり、AVMCリソースはOracle Public CloudとExadata Cloud@Customerで異なるため、デプロイメント・タイプごとに異なる権限が必要です。たとえば、ACDを作成するには、次のものが必要です。
-
Exadata Cloud@Customerに対するAUTONOMOUS_VM_CLUSTER_UPDATEおよびAUTONOMOUS_CONTAINER_DATABASE_CREATE権限。
-
Oracle Public Cloudおよびマルチクラウドに対するCLOUD_AUTONOMOUS_VM_CLUSTER_UPDATEおよびAUTONOMOUS_CONTAINER_DATABASE_CREATE権限。
権限の詳細は、権限を参照してください。
次の表に、Autonomous AI DatabaseリソースのAPI操作を、リソース・タイプ別にグループ化した論理的な順序でリストします。
Autonomous AI Database APIの操作
APIを使用して、Autonomous AI Databaseの様々なインフラストラクチャ・リソースを表示および管理できます。様々なAutonomous AI Databaseリソースを管理するためのREST APIエンドポイントのリストは、専用Exadataインフラストラクチャ上のAutonomous AI DatabaseのAPIリファレンスを参照してください。
ユーザー・アクセスを特定の権限に制限
ユーザー・アクセスは、IAMポリシー・ステートメントで定義します。特定の動詞とリソース・タイプへのアクセス権をグループに付与するポリシー・ステートメントを作成するとき、実際には1つ以上の事前定義済IAM権限へのアクセス権をそのグループに付与することになります。動詞の目的は、複数の関連する権限を付与するプロセスを簡略化することです。
特定のIAM権限を許可または拒否する場合は、ポリシー・ステートメントにwhere条件を追加します。たとえば、フリート管理者のグループがExadataインフラストラクチャ・リソースに対する削除以外の操作を実行できるようにするには、次のポリシー・ステートメントを作成します:
Allow group FleetAdmins to manage cloud-exadata-infrastructures in tenancy where request.permission != 'CLOUD_EXADATA_INFRASTRUCTURE_DELETE'その後、where条件を省略することで、より小さいフリート管理者のグループがExadataインフラストラクチャ・リソースに対して(削除を含む)任意の操作を実行することを許可できます:
Allow group FleetSuperAdmins to manage cloud-exadata-infrastructures in tenancyこのようなwhere条件の使用方法の詳細は、権限の「権限またはAPI操作によるアクセス範囲指定」の項を参照。
Exadataインフラストラクチャ・リソースを管理するためのポリシー
次の表は、クラウド・ユーザーがExadataインフラストラクチャ・リソースの管理操作を実行するために必要なIAMポリシーを示しています。
| 操作 | Oracle Public Cloudおよびマルチクラウドで必要なIAMポリシー | Exadata Cloud@Customerに必要なIAMポリシー |
|---|---|---|
| Exadataインフラストラクチャ・リソースの作成 |
|
manage exadata-infrastructures |
| Exadataインフラストラクチャ・リソースのリストの表示 | inspect cloud-exadata-infrastructures |
inspect exadata-infrastructures |
| Exadataインフラストラクチャ・リソースの詳細の表示 | inspect cloud-exadata-infrastructures |
inspect exadata-infrastructures |
| Exadataインフラストラクチャ・リソースのメンテナンス・スケジュールの変更 | use cloud-exadata-infrastructures |
use exadata-infrastructures |
| Exadataインフラストラクチャ・リソースの別のコンパートメントへの移動 | use cloud-exadata-infrastructures |
use exadata-infrastructures |
| Exadataインフラストラクチャ・リソースのセキュリティ証明書の管理 | manage cloud-exadata-infrastructures |
manage exadata-infrastructures |
| Exadataインフラストラクチャ・リソースの終了 |
|
manage exadata-infrastructures |
Autonomous Exadata VMクラスタを管理するためのポリシー
次の表に、クラウド・ユーザーがAutonomous Exadata VMクラスタの管理操作を実行するために必要なIAMポリシーを示します。
| 操作 | Oracle Public Cloudおよびマルチクラウドで必要なIAMポリシー | Exadata Cloud@Customerに必要なIAMポリシー |
|---|---|---|
| Autonomous Exadata VMクラスタの作成 |
|
|
| Autonomous Exadata VMクラスタのリストの表示 | inspect cloud-autonomous-vmclusters |
inspect autonomous-vmclusters |
| Autonomous Exadata VMクラスタの詳細の表示 | inspect cloud-autonomous-vmclusters |
inspect autonomous-vmclusters |
| Autonomous VMクラスタのライセンス・タイプの変更 | 該当しない |
|
| 別のコンパートメントへのAutonomous Exadata VMクラスタの移動 | use cloud-autonomous-vmclusters |
use autonomous-vmclusters |
| Autonomous Exadata VMクラスタの終了 | manage cloud-autonomous-vmclusters |
manage autonomous-vmclusters |
Autonomous Container Databaseを管理するためのポリシー
次の表に、クラウド・ユーザーがAutonomous Container Database (ACD)の管理操作を実行するために必要なIAMポリシーを示します。
| 操作 | 必要なIAMポリシー |
|---|---|
| Autonomous Container Databaseの作成 |
Oracle Public CloudおよびマルチクラウドでAutonomous Container Databaseを作成する場合は、
|
| Autonomous Container Databaseのリストの表示 | inspect autonomous-container-databases |
| Autonomous Container Databaseの詳細の表示 | inspect autonomous-container-databases |
| Autonomous Container Databaseのバックアップ保持ポリシーの変更 | use autonomous-container-databases |
| Autonomous Container Databaseのメンテナンス・プリファレンスの編集 | use autonomous-container-databases |
| Autonomous Container Databaseの再起動 | use autonomous-container-databases |
| 別のコンパートメントへのAutonomous Container Databaseの移動 | use autonomous-container-databases |
| Autonomous Container Database暗号化キーのローテーション |
|
| Autonomous Container Databaseの終了 |
Oracle Public CloudおよびマルチクラウドでAutonomous Container Databaseを作成する場合は、
|
Autonomous Data Guard構成を管理するためのポリシー
次の表に、クラウド・ユーザーがAutonomous Data Guard構成で管理操作を実行するために必要なIAMポリシーをリストします。
| 操作 | 必要なIAMポリシー |
|---|---|
| ACDを含むAutonomous Data Guardグループを表示します。 | inspect autonomous-container-databases |
| 指定したACDまたはAutonomous AIデータベースに関連付けられたAutonomous Data Guardで有効になっているACDをリストします。 | inspect autonomous-container-databases |
| 無効化されたスタンバイをアクティブ・スタンバイACDに回復します。 |
|
| プライマリACDとスタンバイACDのロールを切り替えます。 |
|
| スタンバイACDにフェイルオーバーします。フェイルオーバーが正常に完了すると、このスタンバイACDが新しいプライマリACDになります。 |
|
| 保護モード、自動フェイルオーバー、ファスト・スタート・フェイルオーバーのラグ制限などのAutonomous Data Guard設定を変更します。 |
|
| 指定されたAutonomous AI Databaseに関連付けられたAutonomous Data Guard対応データベースを取得します。 | inspect autonomous-container-databases |
| Autonomous AI Databaseのデータ・ガード・グループをリストします。 | inspect autonomous-container-databases |
| ACDでAutonomous Data Guardを有効にします。 |
|
| フィジカル・スタンバイACDとスナップショット・スタンバイACD間のスタンバイACDを変換します。 |
|
Autonomous AIデータベースを管理するためのポリシー
次の表に、クラウド・ユーザーがAutonomous AI Databaseで管理操作を実行するために必要なIAMポリシーをリストします。
| 操作 | 必要なIAMポリシー |
|---|---|
| Autonomous AI Databaseの作成 |
|
| Autonomous AIデータベースのリストの表示 | inspect autonomous-databases |
| Autonomous AI Databaseの詳細の表示 | inspect autonomous-databases |
| Autonomous AI DatabaseのADMINユーザーのパスワードの設定 | use autonomous-databases |
| Autonomous AI DatabaseのCPUコア数またはストレージをスケーリングする | use autonomous-databases |
| Autonomous AI Databaseの自動スケーリングの有効化または無効化 | use autonomous-databases |
| 別のコンパートメントへのAutonomous AI Databaseの移動 | Autonomous AI Databaseの現在のコンパートメントおよび移動先のコンパートメントの
|
| Autonomous AI Databaseの停止または起動 | use autonomous-databases |
| Autonomous AI Databaseの再起動 | use autonomous-databases |
| Autonomous AI Databaseの手動バックアップ |
|
| Autonomous AI Databaseのリストア |
|
| Autonomous AI Databaseのクローニング |
|
| Autonomous AI Databaseの終了 | manage autonomous-databases |