専用Exadataインフラストラクチャ上のAutonomous DatabaseのIAMポリシー

この記事では、専用Exadataインフラストラクチャ上のAutonomous Databaseのインフラストラクチャ・リソースの管理に必要なIAMポリシーを示します。

Oracle Autonomous Database on Dedicated Exadata Infrastructureは、IAM (Identity and Access Management)サービスを利用して、Oracle Cloud Infrastructureインタフェース(コンソール、REST API、CLIまたはSDK)を使用する操作を実行するクラウド・ユーザーを認証および認可します。IAMサービスでは、グループコンパートメント、およびポリシーを使用して、どのクラウド・ユーザーがどのリソースにアクセスできるかを制御します。

Autonomous Databaseのポリシー詳細

このトピックでは、Autonomous Databaseリソースへのアクセスを制御するポリシーの作成の詳細を説明します。

ポリシーは、個々のコンパートメント内の特定のリソースに対するユーザーのグループのアクセス権の種類を定義します。詳細は、ポリシーの開始を参照してください。

ヒント :

サンプルのポリシーは、データベース管理者およびフリート管理者によるAutonomous Databaseの管理を参照してください。

リソース・タイプ

集約リソース・タイプは、すぐ後に続く個別リソース・タイプのリストをカバーします。たとえば、グループでautonomous-database-familyにアクセスできるようにするポリシーを1つ記述することは、autonomous-databasesautonomous-backupsautonomous-container-databasesおよびcloud-autonomous-vmclustersリソース・タイプへのアクセスを付与するグループの4つの個別のポリシーを記述することと同じです。詳細は、リソース・タイプを参照してください。

Autonomous Databaseのリソース・タイプ

集約リソース・タイプ:

autonomous-database-family

個々のリソース・タイプ:

autonomous-databases

autonomous-backups

autonomous-container-databases

cloud-autonomous-vmclusters (Oracle Public Cloudデプロイメントのみ)

autonomous-vmclusters (Oracle Exadata Cloud@Customerデプロイメントのみ)

autonomous-virtual-machine

ヒント :

Autonomous DatabaseOracle Public CloudおよびExadata Cloud@Customerにそれぞれプロビジョニングするために必要なcloud-exadata-infrastructuresおよびexadata-infrastructuresリソース・タイプは、集約リソース・タイプdatabase-familyでカバーされます。database-familyでカバーされるリソースの詳細は、Exadata Cloud Serviceインスタンスのポリシー詳細およびベース・データベース・サービスのポリシー詳細を参照してください。

サポートされる変数

一般的な変数がサポートされています。詳細は、すべてのリクエストの一般的な変数を参照してください。

また、次の表に示すようにtarget.workloadType変数を使用できます:

target.workloadTypeの値 説明
OLTP オンライン・トランザクション処理(Autonomous Transaction ProcessingワークロードのAutonomous Databaseで使用)。
DW データ・ウェアハウス。Autonomous Data WarehouseワークロードでのAutonomous Databaseに使用されます。
target.workloadType変数を使用したポリシーの例:
Allow group ADB-Admins 
to manage autonomous-database 
in tenancy where target.workloadType = 'workload_type'

動詞+リソース・タイプの組合せの詳細

アクセス・レベルは、inspect > read > use > manageの順に累積します。表のセルのプラス記号(+)は、そのすぐ上のセルと比較して増分アクセスを示しますが、「追加なし」は増分アクセスを示しません。

たとえば、autonomous-databasesリソース・タイプに対するread動詞には、inspect動詞と同じ権限およびAPI操作に加えてAUTONOMOUS_DATABASE_CONTENT_READ権限も含まれます。read動詞はCreateAutonomousDatabaseBackup操作を部分的にカバーしているため、autonomous-backupsに対する管理権限も必要です。

次の表に、各動詞の対象となる権限およびAPI操作を示します。権限の詳細は、権限を参照してください。

Autonomous-database-familyリソース・タイプの場合

ノート:

autonomous-database-familyでカバーされるリソース・ファミリを使用して、すべてのAutonomous Databaseワークロード・タイプに関連付けられたデータベース・リソースへのアクセス権を付与できます。
autonomous-databases
動詞 権限 全部カバーされるAPI 一部カバーされるAPI

inspect

AUTONOMOUS_DATABASE_INSPECT

GetAutonomousDatabase, ListAutonomousDatabases

なし

read

INSPECT +

AUTONOMOUS_DATABASE_CONTENT_READ

追加なし

CreateAutonomousDatabaseBackup (manage autonomous-backupsも必要)

使用

READ +

AUTONOMOUS_DATABASE_CONTENT_WRITE

AUTONOMOUS_DATABASE_UPDATE

UpdateAutonomousDatabase

RestoreAutonomousDatabase (read autonomous-backupsも必要)

ChangeAutonomousDatabaseCompartment (read autonomous-backupsも必要)

manage

USE +

AUTONOMOUS_DATABASE_CREATE

AUTONOMOUS_DATABASE_DELETE

CreateAutonomousDatabase

なし

自律型バックアップ
動詞 権限 全部カバーされるAPI 一部カバーされるAPI

inspect

AUTONOMOUS_DB_BACKUP_INSPECT

ListAutonomousDatabaseBackups, GetAutonomousDatabaseBackup

なし

read

INSPECT +

AUTONOMOUS_DB_BACKUP_CONTENT_READ

追加なし

RestoreAutonomousDatabase (use autonomous-databasesも必要)

ChangeAutonomousDatabaseCompartment (use autonomous-databasesも必要)

使用

読取り +

追加なし

追加なし

なし

manage

USE +

AUTONOMOUS_DB_BACKUP_CREATE

AUTONOMOUS_DB_BACKUP_DELETE

DeleteAutonomousDatabaseBackup

CreateAutonomousDatabaseBackup (read autonomous-databasesも必要)

autonomous-container-databases
動詞 権限 全部カバーされるAPI 一部カバーされるAPI

inspect

AUTONOMOUS_CONTAINER_DATABASE_INSPECT

ListAutonomousContainerDatabases, GetAutonomousContainerDatabase

なし

read

INSPECT +

追加なし

追加なし

なし

使用

読取り +

AUTONOMOUS_CONTAINER_DATABASE_UPDATE

UpdateAutonomousContainerDatabase

ChangeAutonomousContainerDatabaseCompartment

CreateAutonomousDatabase (manage autonomous-databasesも必要)

manage

USE +

AUTONOMOUS_CONTAINER_DATABASE_CREATE

AUTONOMOUS_CONTAINER_DATABASE_DELETE

追加なし

CreateAutonomousContainerDatabase、TerminateAutonomousContainerDatabase (両方ともuse cloud-autonomous-vmclusters、use cloud-exadata-infrastructuresが必要)

クラウド自律型vmclusters
動詞 権限 全部カバーされるAPI 一部カバーされるAPI

inspect

CLOUD_AUTONOMOUS_VM_CLUSTER_INSPECT

ListCloudAutonomousVmClusters

GetCloudAutonomousVmCluster

なし

read

INSPECT +

追加なし

追加なし

なし

使用

読取り +

CLOUD_AUTONOMOUS_VM_CLUSTER_UPDATE

UpdateCloudAutonomousVmCluster

ChangeCloudAutonomousVmClusterCompartment

CreateAutonomousDatabase (manage autonomous-databasesも必要)

CreateAutonomousContainerDatabase (manage autonomous-container-databasesも必要)

manage

USE +

CLOUD_AUTONOMOUS_VM_CLUSTER_CREATE

CLOUD_AUTONOMOUS_VM_CLUSTER_DELETE

追加なし

CreateCloudAutonomousVmCluster, DeleteCloudAutonomousVmCluster

(両方ともuse vnics、use subnets、use cloud-exadata-infrastructuresが必要)

autonomous-vmclusters

動詞 権限 全部カバーされるAPI 一部カバーされるAPI
inspect

AUTONOMOUS_VM_CLUSTER_INSPECT

ListAutonomousVmClusters

GetAutonomousVmCluster

ChangeAutonomousVmClusterCompartment

read

INSPECT +

追加なし

追加なし

なし

使用

READ +

AUTONOMOUS_VM_CLUSTER_UPDATE

ChangeAutonomousVmClusterCompartment

UpdateAutonomousVmCluster

CreateAutonomousContainerDatabase

TerminateAutonomousContainerDatabase

manage

USE +

AUTONOMOUS_VM_CLUSTER_CREATE +

AUTONOMOUS_VM_CLUSTER_DELETE

DeleteAutonomousVmCluster

CreateAutonomousVmCluster

自律型仮想マシン
動詞 権限 全部カバーされるAPI 一部カバーされるAPI
inspect AUTONOMOUS_VIRTUAL_MACHINE_INSPECT

GetAutonomousVirtualMachine

ListAutonomousVirtualMachines

なし

API操作ごとに必要な権限

Autonomous Container Database (ACD)およびAutonomous Database (ADB)は、Oracle Public CloudマルチクラウドおよびExadata Cloud@Customerデプロイメント間の共通リソースです。したがって、これらの権限は、次の表の両方のデプロイメントで同じです。

ただし、特定のACD操作にはAVMCレベルの権限が必要であり、AVMCリソースはOracle Public CloudExadata Cloud@Customerでは異なるため、デプロイメント・タイプごとに異なる権限が必要です。たとえば、ACDを作成するには、次のものが必要です。
  • Exadata Cloud@Customerに対するAUTONOMOUS_VM_CLUSTER_UPDATEおよびAUTONOMOUS_CONTAINER_DATABASE_CREATE権限。

  • Oracle Public Cloudおよびマルチクラウドに対するCLOUD_AUTONOMOUS_VM_CLUSTER_UPDATEおよびAUTONOMOUS_CONTAINER_DATABASE_CREATE権限。

権限の詳細は、権限を参照してください。

次の表に、Autonomous DatabaseリソースのAPI操作を、リソース・タイプ別にグループ化して論理順序で示します。

Autonomous Database APIの操作

APIを使用して、Autonomous Databaseの様々なインフラストラクチャ・リソースを表示および管理できます。様々なAutonomous Databaseリソースを管理するためのREST APIエンドポイントのリストは、専用Exadataインフラストラクチャ上のAutonomous DatabaseのAPIリファレンスを参照してください。

ユーザー・アクセスを特定の権限に制限

ユーザー・アクセスは、IAMポリシー・ステートメントで定義します。特定の動詞とリソース・タイプへのアクセス権をグループに付与するポリシー・ステートメントを作成するとき、実際には1つ以上の事前定義済IAM権限へのアクセス権をそのグループに付与することになります。動詞の目的は、複数の関連する権限を付与するプロセスを簡略化することです。

特定のIAM権限を許可または拒否する場合は、ポリシー・ステートメントにwhere条件を追加します。たとえば、フリート管理者のグループがExadataインフラストラクチャ・リソースに対して削除以外の操作を実行できるようにするには、次のポリシー・ステートメントを作成します:

Allow group FleetAdmins to manage cloud-exadata-infrastructures in tenancy where request.permission != 'CLOUD_EXADATA_INFRASTRUCTURE_DELETE'

その後、where条件を省略することで、より小さいフリート管理者のグループがExadataインフラストラクチャ・リソースに対して(削除を含む)任意の操作を実行することを許可できます:

Allow group FleetSuperAdmins to manage cloud-exadata-infrastructures in tenancy

このようなwhere条件の使用方法の詳細は、権限の「権限またはAPI操作によるアクセスの範囲指定」の項を参照してください。

Exadataインフラストラクチャ・リソースを管理するためのポリシー

次の表は、クラウド・ユーザーがExadataインフラストラクチャ・リソースの管理操作を実行するために必要なIAMポリシーを示しています。

操作 Oracle Public Cloudおよびマルチクラウドで必要なIAMポリシー Exadata Cloud@Customer上の必要なIAMポリシー

Exadataインフラストラクチャ・リソースの作成

manage cloud-exadata-infrastructures

use vnic

use subnet

manage exadata-infrastructures

Exadataインフラストラクチャ・リソースのリストの表示

inspect cloud-exadata-infrastructures

inspect exadata-infrastructures

Exadataインフラストラクチャ・リソースの詳細の表示

inspect cloud-exadata-infrastructures

inspect exadata-infrastructures

Exadataインフラストラクチャ・リソースのメンテナンス・スケジュールの変更

use cloud-exadata-infrastructures

use exadata-infrastructures

Exadataインフラストラクチャ・リソースの別のコンパートメントへの移動

use cloud-exadata-infrastructures

use exadata-infrastructures

Exadataインフラストラクチャ・リソースのセキュリティ証明書の管理

manage cloud-exadata-infrastructures

manage exadata-infrastructures

Exadataインフラストラクチャ・リソースの終了

manage cloud-exadata-infrastructures

use vnic

use subnet

manage exadata-infrastructures

Autonomous Exadata VMクラスタを管理するためのポリシー

次の表に、クラウド・ユーザーがAutonomous Exadata VMクラスタの管理操作を実行するために必要なIAMポリシーを示します。

操作 Oracle Public Cloudおよびマルチクラウドで必要なIAMポリシー Exadata Cloud@Customer上の必要なIAMポリシー

Autonomous Exadata VMクラスタの作成

manage cloud-autonomous-vmclusters

use cloud-exadata-infrastructures

manage autonomous-vmclusters

use exadata-infrastructures

Autonomous Exadata VMクラスタのリストの表示

inspect cloud-autonomous-vmclusters

inspect autonomous-vmclusters

Autonomous Exadata VMクラスタの詳細の表示

inspect cloud-autonomous-vmclusters

inspect autonomous-vmclusters

Autonomous VMクラスタのライセンス・タイプの変更

該当しない

use autonomous-vmclusters

inspect exadata-infrastructures

別のコンパートメントへのAutonomous Exadata VMクラスタの移動

use cloud-autonomous-vmclusters

use autonomous-vmclusters

Autonomous Exadata VMクラスタの終了

manage cloud-autonomous-vmclusters

manage autonomous-vmclusters

Autonomous Container Databaseを管理するポリシー

次の表に、クラウド・ユーザーがAutonomous Container Database (ACD)の管理操作の実行に必要なIAMポリシーを示します。

操作 必要なIAMポリシー

Autonomous Container Databaseの作成

manage autonomous-container-databases

Oracle Public CloudおよびマルチクラウドでAutonomous Container Databaseを作成する場合、use cloud-exadata-infrastructures

use cloud-autonomous-vmclusters (Oracle Public Cloudおよびマルチクラウド上にAutonomous Container Databaseを作成する場合)。

use autonomous-vmclusters (Exadata Cloud@Customer上にAutonomous Container Databaseを作成する場合)

use backup-destinations (Exadata Cloud@Customer上にAutonomous Container Databaseを作成する場合)

Autonomous Container Databaseのリストの表示

inspect autonomous-container-databases

Autonomous Container Databaseの詳細の表示

inspect autonomous-container-databases

Autonomous Container Databaseのバックアップ保持ポリシーの変更

use autonomous-container-databases

Autonomous Container Databaseのメンテナンス・プリファレンスの編集

use autonomous-container-databases

Autonomous Container Databaseの再起動

use autonomous-container-databases

別のコンパートメントへのAutonomous Container Databaseの移動

use autonomous-container-databases

Autonomous Container Database暗号化キーのローテーション

use autonomous-container-databases

inspect autonomous-container-databases

Autonomous Container Databaseの終了

manage autonomous-container-databases

Oracle Public CloudおよびマルチクラウドでAutonomous Container Databaseを作成する場合、use cloud-exadata-infrastructures

use cloud-autonomous-vmclusters (Oracle Public Cloudおよびマルチクラウド上にAutonomous Container Databaseを作成する場合)。

use autonomous-vmclusters (Exadata Cloud@Customer上にAutonomous Container Databaseを作成する場合)

Autonomous Data Guard構成を管理するためのポリシー

次の表に、クラウド・ユーザーがAutonomous Data Guard構成の管理操作を実行するために必要なIAMポリシーを示します。

操作 必要なIAMポリシー

ACDとのAutonomous Data Guardアソシエーションを表示します。

inspect autonomous-container-databases

指定されたACDまたはAutonomous Databaseに関連付けられたAutonomous Data Guardが有効になっているACDをリストします。

inspect autonomous-container-databases

無効化されたスタンバイをアクティブ・スタンバイACDに回復します。

inspect autonomous-container-databases

update autonomous-container-databases

プライマリACDとスタンバイACDのロールを切り替えます。

inspect autonomous-container-databases

update autonomous-container-databases

スタンバイACDにフェイルオーバーします。フェイルオーバーが正常に完了すると、このスタンバイACDが新しいプライマリACDになります。

inspect autonomous-container-databases

update autonomous-container-databases

保護モード、自動フェイルオーバー、ファスト・スタート・フェイルオーバーのラグ制限などのAutonomous Data Guard設定を変更します。

inspect autonomous-container-databases

update autonomous-container-databases

指定されたAutonomous Databaseに関連付けられたAutonomous Data Guard対応データベースを取得します。

inspect autonomous-container-databases

Autonomous Databaseデータ・ガードの関連付けをリストします。

inspect autonomous-container-databases

ACDでAutonomous Data Guardを有効にします。

inspect cloud-autonomous-vmclustersまたはinspect autonomous-vmclusters

inspect autonomous-container-databases

update autonomous-container-databases

フィジカル・スタンバイACDとスナップショット・スタンバイACDの間でスタンバイACDを変換します。

inspect cloud-autonomous-vmclustersまたはinspect autonomous-vmclusters

inspect autonomous-container-databases

update autonomous-container-databases

Autonomous Databaseを管理するためのポリシー

次の表に、クラウド・ユーザーによるAutonomous Databaseの管理操作の実行に必要なIAMポリシーを示します。

操作 必要なIAMポリシー

Autonomous Databaseの作成

manage autonomous-databases

read autonomous-container-databases

Autonomous Databaseのリストの表示

inspect autonomous-databases

Autonomous Databaseの詳細の表示

inspect autonomous-databases

Autonomous DatabaseのADMINユーザーのパスワードの設定

use autonomous-databases

Autonomous DatabaseのCPUコア数またはストレージのスケーリング

use autonomous-databases

Autonomous Databaseの自動スケーリングの有効化または無効化

use autonomous-databases

別のコンパートメントへのAutonomous Databaseの移動

use autonomous-databases (Autonomous Databaseの現在のコンパートメントおよび移動先のコンパートメント)

read autonomous-backups

Autonomous Databaseを停止または起動します

use autonomous-databases

Autonomous Databaseの再起動

use autonomous-databases

Autonomous Databaseの手動バックアップ

read autonomous-databases

manage autonomous-backups

Autonomous Databaseのリストア

use autonomous-databases

read autonomous-backups

Autonomous Databaseのクローニング

manage autonomous-databases

read autonomous-container-databases

Autonomous Databaseの終了

manage autonomous-databases