専用Exadataインフラストラクチャ上のAutonomous DatabaseのIAMポリシー
この記事では、専用Exadataインフラストラクチャ上のAutonomous Databaseのインフラストラクチャ・リソースの管理に必要なIAMポリシーを示します。
Oracle Autonomous Database on Dedicated Exadata Infrastructureは、IAM (Identity and Access Management)サービスを利用して、Oracle Cloud Infrastructureインタフェース(コンソール、REST API、CLIまたはSDK)を使用する操作を実行するクラウド・ユーザーを認証および認可します。IAMサービスでは、グループ、コンパートメント、およびポリシーを使用して、どのクラウド・ユーザーがどのリソースにアクセスできるかを制御します。
Autonomous Databaseのポリシー詳細
このトピックでは、Autonomous Databaseリソースへのアクセスを制御するポリシーの作成の詳細を説明します。
ヒント :
サンプルのポリシーは、データベース管理者およびフリート管理者によるAutonomous Databaseの管理を参照してください。リソース・タイプ
集約リソース・タイプは、すぐ後に続く個別リソース・タイプのリストをカバーします。たとえば、グループでautonomous-database-familyにアクセスできるようにするポリシーを1つ記述することは、autonomous-databases、autonomous-backups、autonomous-container-databasesおよびcloud-autonomous-vmclustersリソース・タイプへのアクセスを付与するグループの4つの個別のポリシーを記述することと同じです。詳細は、リソース・タイプを参照してください。
集約リソース・タイプ:
autonomous-database-family
個々のリソース・タイプ:
autonomous-databases
autonomous-backups
autonomous-container-databases
cloud-autonomous-vmclusters (Oracle Public Cloudデプロイメントのみ)
autonomous-vmclusters (Oracle Exadata Cloud@Customerデプロイメントのみ)
autonomous-virtual-machine
ヒント :
Autonomous DatabaseをOracle Public CloudおよびExadata Cloud@Customerにそれぞれプロビジョニングするために必要なcloud-exadata-infrastructuresおよびexadata-infrastructuresリソース・タイプは、集約リソース・タイプdatabase-familyでカバーされます。database-familyでカバーされるリソースの詳細は、Exadata Cloud Serviceインスタンスのポリシー詳細およびベース・データベース・サービスのポリシー詳細を参照してください。
サポートされる変数
一般的な変数がサポートされています。詳細は、すべてのリクエストの一般的な変数を参照してください。
また、次の表に示すようにtarget.workloadType変数を使用できます:
| target.workloadTypeの値 | 説明 |
|---|---|
OLTP |
オンライン・トランザクション処理(Autonomous Transaction ProcessingワークロードのAutonomous Databaseで使用)。 |
DW |
データ・ウェアハウス。Autonomous Data WarehouseワークロードでのAutonomous Databaseに使用されます。 |
Allow group ADB-Admins
to manage autonomous-database
in tenancy where target.workloadType = 'workload_type'動詞+リソース・タイプの組合せの詳細
アクセス・レベルは、inspect > read > use > manageの順に累積します。表のセルのプラス記号(+)は、そのすぐ上のセルと比較して増分アクセスを示しますが、「追加なし」は増分アクセスを示しません。
たとえば、autonomous-databasesリソース・タイプに対するread動詞には、inspect動詞と同じ権限およびAPI操作に加えてAUTONOMOUS_DATABASE_CONTENT_READ権限も含まれます。read動詞はCreateAutonomousDatabaseBackup操作を部分的にカバーしているため、autonomous-backupsに対する管理権限も必要です。
次の表に、各動詞の対象となる権限およびAPI操作を示します。権限の詳細は、権限を参照してください。
ノート:
autonomous-database-familyでカバーされるリソース・ファミリを使用して、すべてのAutonomous Databaseワークロード・タイプに関連付けられたデータベース・リソースへのアクセス権を付与できます。| 動詞 | 権限 | 全部カバーされるAPI | 一部カバーされるAPI |
|---|---|---|---|
|
inspect |
|
|
なし |
|
read |
|
追加なし |
|
|
使用 |
|
|
|
|
manage |
|
|
なし |
| 動詞 | 権限 | 全部カバーされるAPI | 一部カバーされるAPI |
|---|---|---|---|
|
inspect |
|
|
なし |
|
read |
|
追加なし |
|
|
使用 |
読取り + 追加なし |
追加なし |
なし |
|
manage |
|
|
|
| 動詞 | 権限 | 全部カバーされるAPI | 一部カバーされるAPI |
|---|---|---|---|
|
inspect |
|
|
なし |
|
read |
INSPECT + 追加なし |
追加なし |
なし |
|
使用 |
読取り +
|
|
|
|
manage |
|
追加なし |
|
| 動詞 | 権限 | 全部カバーされるAPI | 一部カバーされるAPI |
|---|---|---|---|
|
inspect |
|
|
なし |
|
read |
追加なし |
追加なし |
なし |
|
使用 |
読取り +
|
|
|
|
manage |
|
追加なし |
(両方とも |
autonomous-vmclusters
| 動詞 | 権限 | 全部カバーされるAPI | 一部カバーされるAPI |
|---|---|---|---|
| inspect |
|
|
|
| read |
INSPECT + 追加なし |
追加なし |
なし |
| 使用 |
|
|
|
| manage |
|
|
|
| 動詞 | 権限 | 全部カバーされるAPI | 一部カバーされるAPI |
|---|---|---|---|
| inspect | AUTONOMOUS_VIRTUAL_MACHINE_INSPECT |
|
なし |
API操作ごとに必要な権限
Autonomous Container Database (ACD)およびAutonomous Database (ADB)は、Oracle Public Cloud、マルチクラウドおよびExadata Cloud@Customerデプロイメント間の共通リソースです。したがって、これらの権限は、次の表の両方のデプロイメントで同じです。
-
Exadata Cloud@Customerに対するAUTONOMOUS_VM_CLUSTER_UPDATEおよびAUTONOMOUS_CONTAINER_DATABASE_CREATE権限。
-
Oracle Public Cloudおよびマルチクラウドに対するCLOUD_AUTONOMOUS_VM_CLUSTER_UPDATEおよびAUTONOMOUS_CONTAINER_DATABASE_CREATE権限。
権限の詳細は、権限を参照してください。
次の表に、Autonomous DatabaseリソースのAPI操作を、リソース・タイプ別にグループ化して論理順序で示します。
APIを使用して、Autonomous Databaseの様々なインフラストラクチャ・リソースを表示および管理できます。様々なAutonomous Databaseリソースを管理するためのREST APIエンドポイントのリストは、専用Exadataインフラストラクチャ上のAutonomous DatabaseのAPIリファレンスを参照してください。
ユーザー・アクセスは、IAMポリシー・ステートメントで定義します。特定の動詞とリソース・タイプへのアクセス権をグループに付与するポリシー・ステートメントを作成するとき、実際には1つ以上の事前定義済IAM権限へのアクセス権をそのグループに付与することになります。動詞の目的は、複数の関連する権限を付与するプロセスを簡略化することです。
特定のIAM権限を許可または拒否する場合は、ポリシー・ステートメントにwhere条件を追加します。たとえば、フリート管理者のグループがExadataインフラストラクチャ・リソースに対して削除以外の操作を実行できるようにするには、次のポリシー・ステートメントを作成します:
Allow group FleetAdmins to manage cloud-exadata-infrastructures in tenancy where request.permission != 'CLOUD_EXADATA_INFRASTRUCTURE_DELETE'
その後、where条件を省略することで、より小さいフリート管理者のグループがExadataインフラストラクチャ・リソースに対して(削除を含む)任意の操作を実行することを許可できます:
Allow group FleetSuperAdmins to manage cloud-exadata-infrastructures in tenancy
このようなwhere条件の使用方法の詳細は、権限の「権限またはAPI操作によるアクセスの範囲指定」の項を参照してください。
Exadataインフラストラクチャ・リソースを管理するためのポリシー
次の表は、クラウド・ユーザーがExadataインフラストラクチャ・リソースの管理操作を実行するために必要なIAMポリシーを示しています。
| 操作 | Oracle Public Cloudおよびマルチクラウドで必要なIAMポリシー | Exadata Cloud@Customer上の必要なIAMポリシー |
|---|---|---|
|
Exadataインフラストラクチャ・リソースの作成 |
|
|
|
Exadataインフラストラクチャ・リソースのリストの表示 |
|
|
|
Exadataインフラストラクチャ・リソースの詳細の表示 |
|
|
|
Exadataインフラストラクチャ・リソースのメンテナンス・スケジュールの変更 |
|
|
|
Exadataインフラストラクチャ・リソースの別のコンパートメントへの移動 |
|
|
|
Exadataインフラストラクチャ・リソースのセキュリティ証明書の管理 |
|
|
|
Exadataインフラストラクチャ・リソースの終了 |
|
|
Autonomous Exadata VMクラスタを管理するためのポリシー
次の表に、クラウド・ユーザーがAutonomous Exadata VMクラスタの管理操作を実行するために必要なIAMポリシーを示します。
| 操作 | Oracle Public Cloudおよびマルチクラウドで必要なIAMポリシー | Exadata Cloud@Customer上の必要なIAMポリシー |
|---|---|---|
|
Autonomous Exadata VMクラスタの作成 |
|
|
|
Autonomous Exadata VMクラスタのリストの表示 |
|
|
|
Autonomous Exadata VMクラスタの詳細の表示 |
|
|
|
Autonomous VMクラスタのライセンス・タイプの変更 |
該当しない |
|
|
別のコンパートメントへのAutonomous Exadata VMクラスタの移動 |
|
|
|
Autonomous Exadata VMクラスタの終了 |
|
|
Autonomous Container Databaseを管理するポリシー
次の表に、クラウド・ユーザーがAutonomous Container Database (ACD)の管理操作の実行に必要なIAMポリシーを示します。
| 操作 | 必要なIAMポリシー |
|---|---|
|
Autonomous Container Databaseの作成 |
Oracle Public CloudおよびマルチクラウドでAutonomous Container Databaseを作成する場合、
|
|
Autonomous Container Databaseのリストの表示 |
|
|
Autonomous Container Databaseの詳細の表示 |
|
|
Autonomous Container Databaseのバックアップ保持ポリシーの変更 |
|
|
Autonomous Container Databaseのメンテナンス・プリファレンスの編集 |
|
|
Autonomous Container Databaseの再起動 |
|
|
別のコンパートメントへのAutonomous Container Databaseの移動 |
|
|
Autonomous Container Database暗号化キーのローテーション |
|
|
Autonomous Container Databaseの終了 |
Oracle Public CloudおよびマルチクラウドでAutonomous Container Databaseを作成する場合、
|
Autonomous Data Guard構成を管理するためのポリシー
次の表に、クラウド・ユーザーがAutonomous Data Guard構成の管理操作を実行するために必要なIAMポリシーを示します。
| 操作 | 必要なIAMポリシー |
|---|---|
|
ACDとのAutonomous Data Guardアソシエーションを表示します。 |
|
|
指定されたACDまたはAutonomous Databaseに関連付けられたAutonomous Data Guardが有効になっているACDをリストします。 |
|
|
無効化されたスタンバイをアクティブ・スタンバイACDに回復します。 |
|
|
プライマリACDとスタンバイACDのロールを切り替えます。 |
|
|
スタンバイACDにフェイルオーバーします。フェイルオーバーが正常に完了すると、このスタンバイACDが新しいプライマリACDになります。 |
|
|
保護モード、自動フェイルオーバー、ファスト・スタート・フェイルオーバーのラグ制限などのAutonomous Data Guard設定を変更します。 |
|
|
指定されたAutonomous Databaseに関連付けられたAutonomous Data Guard対応データベースを取得します。 |
|
|
Autonomous Databaseデータ・ガードの関連付けをリストします。 |
|
|
ACDでAutonomous Data Guardを有効にします。 |
|
|
フィジカル・スタンバイACDとスナップショット・スタンバイACDの間でスタンバイACDを変換します。 |
|
Autonomous Databaseを管理するためのポリシー
次の表に、クラウド・ユーザーによるAutonomous Databaseの管理操作の実行に必要なIAMポリシーを示します。
| 操作 | 必要なIAMポリシー |
|---|---|
|
Autonomous Databaseの作成 |
|
|
Autonomous Databaseのリストの表示 |
|
|
Autonomous Databaseの詳細の表示 |
|
|
Autonomous DatabaseのADMINユーザーのパスワードの設定 |
|
|
Autonomous DatabaseのCPUコア数またはストレージのスケーリング |
|
|
Autonomous Databaseの自動スケーリングの有効化または無効化 |
|
|
別のコンパートメントへのAutonomous Databaseの移動 |
|
|
Autonomous Databaseを停止または起動します |
|
|
Autonomous Databaseの再起動 |
|
|
Autonomous Databaseの手動バックアップ |
|
|
Autonomous Databaseのリストア |
|
|
Autonomous Databaseのクローニング |
|
|
Autonomous Databaseの終了 |
|