ベース・データベース・サービスのポリシー詳細

この記事では、Oracle Base Database Serviceリソースへのアクセスを制御するOracle Cloud Infrastructure Identity and Access Management (IAM)ポリシーの記述について詳しく説明します。

ヒント :

サンプル・ポリシーは、データベース管理者がOracle Cloudデータベース・システムを管理できるようにするを参照してください。

リソース・タイプ

集約リソース・タイプは、すぐ後に続く個別リソース・タイプのリストをカバーします。たとえば、グループにdatabase-familyへのアクセスを許可するポリシーを1つ記述することは、db-systems、db-nodes、db-homes、databases、database-software-imageおよびdb-backupsリソース・タイプへのアクセス権を付与する個別のポリシーをそのグループに対して記述することと同じです。詳細は、ポリシーの仕組みのリソース・タイプを参照してください。

集約リソース・タイプ

database-family

個々のリソース・タイプ

db-systems
db-nodes
db-homes
databases
pluggable databases
db-backups

サポートされる変数

サポートされているのは一般的な変数のみです。詳細は、ポリシー・リファレンスのすべてのリクエストの一般的な変数を参照してください。

動詞+リソース・タイプの組合せの詳細

次の表は、各動詞でカバーされる権限およびAPI操作を示しています。アクセス・レベルは、inspect > read > use > manageの順に累積します。表のセルのプラス記号(+)は、そのすぐ上のセルと比較して増分アクセスを示しますが、「追加なし」は増分アクセスを示しません。

たとえば、db-systemsリソース・タイプのreadおよびuse動詞は、inspect動詞と比較して、追加の権限またはAPI操作をカバーしていません。ただし、manage動詞は2つの追加の権限を含んでおり、2つの追加のAPI操作を部分的にカバーしています。

db-systems

動詞	権限	全部カバーされるAPI	一部カバーされるAPI
inspect	DB_SYSTEM_INSPECT	`ListDbSystems` `GetDbSystem` `ListDbSystemPatches` `ListDbSystemPatchHistoryEntries` `GetDbSystemPatch` `GetDbSystemPatchHistoryEntry`	なし
read	追加なし	追加なし	なし
使用	DB_SYSTEM_UPDATE	追加なし	`ChangeDbSystemCompartment` (`use db-homes`、`use databases`および`inspect db-backups`も必要)
manage	USE + DB_SYSTEM_CREATE DB_SYSTEM_DELETE	`UpdateDBSystem`	`LaunchDBSystem`、`TerminateDbSystem` (両方とも`manage db-homes`、`manage databases`、`use vnics`および`use subnets`も必要)

db-nodes

動詞	権限	全部カバーされるAPI	一部カバーされるAPI
inspect	DB_NODE_INSPECT DB_NODE_QUERY	`GetDbNode`	なし
read	追加なし	追加なし	なし
使用	追加なし	追加なし	なし
manage	USE + DB_NODE_POWER_ACTIONS	`DbNodeAction`	なし

db-homes

動詞	権限	全部カバーされるAPI	一部カバーされるAPI
inspect	DB_HOME_INSPECT	`ListDBHome` `GetDBHome` `ListDbHomePatches` `ListDbHomePatchHistoryEntries` `GetDbHomePatch` `GetDbHomePatchHistoryEntry`	なし
read	追加なし	追加なし	なし
使用	DB_HOME_UPDATE	`UpdateDBHome`	`ChangeDbSystemCompartment` (`use db-systems`、`use databases`および`inspect db-backups`も必要)
manage	USE + DB_HOME_CREATE DB_HOME_DELETE	追加なし	`LaunchDBSystem`、`TerminateDbSystem` (両方とも`manage db-systems`、`manage databases`、`use vnics`および`use subnets`も必要)。デフォルト・データベースで自動バックアップが有効になっている場合は、`manage db-backups`も必要。 `CreateDbHome` (`use db-systems`および`manage databases`も必要)。バックアップからリストアしてデータベース・ホームを作成する場合は、`read db-backups`も必要。 `DeleteDbHome` (`use db-systems`および`manage databases`も必要)。デフォルト・データベースで自動バックアップが有効になっている場合は、`manage db-backups`も必要。 `performFinalBackup`オプションを選択した場合は、`manage db-backups`および`read databases`も必要。

databases

動詞	権限	全部カバーされるAPI	一部カバーされるAPI
inspect	DATABASE_INSPECT	`ListDatabases` `GetDatabase` `ListDataGuardAssociations` `GetDataGuardAssociation`	なし
read	追加なし DATABASE_CONTENT_READ	追加なし	なし
使用	READ + DATABASE_CONTENT_WRITE DATABASE_UPDATE	`UpdateDatabase` `SwitchoverDataGuardAssociation` `FailoverDataGuardAssociation` `ReinstateDataGuardAssociation` `RotateVaultKey` `MigrateVaultKey`	`CreateDataGuardAssociation` `ChangeDbSystemCompartment` (`use db-systems`、`use db-homes`および`inspect db-backups`も必要)
manage	USE + DATABASE_CREATE DATABASE_DELETE	追加なし	`LaunchDBSystem`、`TerminateDbSystem` (両方とも`manage db-systems`、`manage db-homes`、`use vnics`および`use subnets`も必要)

pluggable databases

動詞	権限	全部カバーされるAPI	一部カバーされるAPI
inspect	PLUGGABLE_DATABASE_INSPECT	`ListPluggableDatabases` `GetPluggableDatabase`	なし
read	INSPECT + PLUGGABLE_DATABASE_CONTENT_READ	追加なし	なし
使用	READ + PLUGGABLE_DATABASE_CONTENT_WRITE PLUGGABLE_DATABASE_UPDATE	`UpdatePluggableDatabases` `StartPluggableDatabase` `StopPluggableDatabase`	なし
manage	USE + PLUGGABLE_DATABASE_CREATE PLUGGABLE_DATABASE_DELETE	追加なし	`CreatePluggableDatabase`、`DeletePluggableDatabase`、`LocalClonePluggableDatabase`、`RemoteClonePluggableDatabase` (すべて`use databases`も必要)

db-backups

動詞	権限	全部カバーされるAPI	一部カバーされるAPI
inspect	DB_BACKUP_INSPECT	`GetBackup` `ListBackups`	`ChangeDbSystemCompartment` (`use db-systems`、`use db-homes`および`use databases`も必要)
read	INSPECT + DB_BACKUP_CONTENT_READ	なし	`RestoreDatabase` (`use databases`も必要)
使用	追加なし	追加なし	なし
manage	USE + DB_BACKUP_CREATE DB_BACKUP_DELETE	`DeleteBackup`	`CreateBackup` (`read databases`も必要)

権限および動詞の詳細は、高度なポリシーの機能を参照してください。

API操作ごとに必要な権限

次の表は、DBシステムおよびプラガブル・データベースのAPI操作をリソース・タイプ別に分類して論理的な順序でリストしたものです。

データベースのAPI操作

API操作	操作の使用に必要な権限
`ListDbSystems`	DB_SYSTEM_INSPECT
`GetDbSystem`	DB_SYSTEM_INSPECT
`LaunchDbSystem`	DB_SYSTEM_CREATE、DB_HOME_CREATE、DATABASE_CREATE、VNIC_CREATE、VNIC_ATTACH、SUBNET_ATTACH 初期データベースの自動バックアップを有効にするには、DB_BACKUP_CREATEおよびDATABASE_CONTENT_READも必要
`UpdateDbSystem`	DB_SYSTEM_INSPECT、DB_SYSTEM_UPDATE
`ChangeDbSystemCompartment`	DB_SYSTEM_UPDATE、DB_HOME_UPDATE、DATABASE_UPDATE、DB_BACKUP_INSPECT
`ListDbSystemPatches`	DB_SYSTEM_INSPECT
`ListDbSystemPatchHistoryEntries`	DB_SYSTEM_INSPECT
`GetDbSystemPatch`	DB_SYSTEM_INSPECT
`GetDbSystemPatchHistoryEntry`	DB_SYSTEM_INSPECT
`TerminateDbSystem`	DB_SYSTEM_DELETE、DB_HOME_DELETE、DATABASE_DELETE、VNIC_DETACH、VNIC_DELETE、SUBNET_DETACH DBシステム内のいずれかのデータベースで自動バックアップが有効になっている場合は、DB_BACKUP_DELETEも必要
`GetDbNode`	DB_NODE_INSPECT
`DbNodeAction`	DB_NODE_POWER_ACTIONS
`ListDbHomes`	DB_HOME_INSPECT
`GetDbHome`	DB_HOME_INSPECT
`ListDbHomePatches`	DB_HOME_INSPECT
`ListDbHomePatchHistoryEntries`	DB_HOME_INSPECT
`GetDbHomePatch`	DB_HOME_INSPECT
`GetDbHomePatchHistoryEntry`	DB_HOME_INSPECT
`CreateDbHome`	DB_SYSTEM_INSPECT、DB_SYSTEM_UPDATE、DB_HOME_CREATE、DATABASE_CREATE データベースの自動バックアップを有効にするには、DB_BACKUP_CREATEおよびDATABASE_CONTENT_READも必要
`UpdateDbHome`	DB_HOME_UPDATE
`DeleteDbHome`	DB_SYSTEM_UPDATE、DB_HOME_DELETE、DATABASE_DELETE 自動バックアップが有効になっている場合は、DB_BACKUP_DELETEも必要終了時に最終バックアップを実行する場合は、DB_BACKUP_CREATEおよびDATABASE_CONTENT_READも必要
`ListDatabases`	DATABASE_INSPECT
`GetDatabase`	DATABASE_INSPECT
`UpdateDatabase`	DATABASE_UPDATE 自動バックアップを有効にするには、DB_BACKUP_CREATEおよびDATABASE_CONTENT_READも必要
`ListDbSystemShapes`	(権限不要ですべてのユーザーが使用可能)
`ListDbVersions`	(権限不要ですべてのユーザーが使用可能)
`GetDataGuardAssociation`	DATABASE_INSPECT
`ListDataGuardAssociations`	DATABASE_INSPECT
`CreateDataGuardAssociation`	DB_SYSTEM_UPDATE、DB_HOME_CREATE、DB_HOME_UPDATE、DATABASE_CREATE、DATABASE_UPDATE
`SwitchoverDataGuardAssociation`	DATABASE_UPDATE
`FailoverDataGuardAssociation`	DATABASE_UPDATE
`ReinstateDataGuardAssociation`	DATABASE_UPDATE
`MigrateVaultKey`	DATABASE_UPDATE
`RotateVaultKey`	DATABASE_UPDATE
`GetBackup`	DB_BACKUP_INSPECT
`ListBackups`	DB_BACKUP_INSPECT
`CreateBackup`	DB_BACKUP_CREATE、DATABASE_CONTENT_READ
`DeleteBackup`	DB_BACKUP_DELETE、DB_BACKUP_INSPECT
`RestoreDatabase`	DB_BACKUP_INSPECT、DB_BACKUP_CONTENT_READ、DATABASE_CONTENT_WRITE

プラガブル・データベースのAPI操作

API操作	操作の使用に必要な権限
`ListPluggableDatabase`	PLUGGABLE_DATABASE_INSPECT
`GetPluggableDatabase`	PLUGGABLE_DATABASE_INSPECT
`CreatePluggableDatabase`	DATABASE_INSPECT* DATABASE_UPDATE* PLUGGABLE_DATABASE_CREATE CDBで自動バックアップが有効になっていて、このPDBも含まれる場合、追加の権限が必要です: PLUGGABLE_DATABASE_CONTENT_READ
`UpdatePluggableDatabase`	PLUGGABLE_DATABASE_INSPECT、 PLUGGABLE_DATABASE_UPDATE CDBで自動バックアップが有効になっていて、このPDBも含まれる場合、追加の権限が必要です: PLUGGABLE_DATABASE_CONTENT_READ
`StartPluggableDatabase`	PLUGGABLE_DATABASE_INSPECT、 PLUGGABLE_DATABASE_UPDATE
`StopPluggableDatabase`	PLUGGABLE_DATABASE_INSPECT、 PLUGGABLE_DATABASE_UPDATE
`DeletePluggableDatabase`	DATABASE_INSPECT (exists) DATABASE_UPDATE (exists) PLUGGABLE_DATABASE_DELETE
`LocalClonePluggableDatabase`	DATABASE_INSPECT* DATABASE_UPDATE* PLUGGABLE_DATABASE_INSPECT PLUGGABLE_DATABASE_UPDATE PLUGGABLE_DATABASE_CONTENT_READ PLUGGABLE_DATABASE_CREATE PLUGGABLE_DATABASE_CONTENT_WRITE
`RemoteClonePluggableDatabase`	DATABASE_INSPECT* DATABASE_UPDATE* PLUGGABLE_DATABASE_INSPECT PLUGGABLE_DATABASE_UPDATE PLUGGABLE_DATABASE_CONTENT_READ PLUGGABLE_DATABASE_CREATE PLUGGABLE_DATABASE_CONTENT_WRITE

権限および動詞の詳細は、高度なポリシーの機能を参照してください。

タイトルおよび著作権情報

Oracle and/or its affiliates.