テナンシ管理者は、Oracle Cloud Infrastructure Identity and Access Management (IAM)でポリシーを作成して、テナンシのコンパートメント内のリソースに対する権限をグループに付与できます。

たとえば、Administratorsグループを作成し、そのメンバーがすべてのデータベース移行リソースにアクセスできるようにすることができます。その後、データベース移行に関係する他のすべてのユーザーのために別のグループを作成し、様々なコンパートメント内のデータベース移行リソースにアクセスを限定するポリシーを作成できます。

Oracle Cloud Infrastructureポリシーの完全なリストは、ポリシー・リファレンスを参照してください。

ポリシーとは、1つ以上のステートメントで構成されるドキュメントです。ポリシー・ステートメントの基本的な構文は次のとおりです:

Allow group <group_name> to <verb><resource-type> in compartment <compartment_name>

ポリシー言語では、inspect、read、use、manageなどの単純な動詞を使用します。

データベース移行には、ポリシーを記述するために個々のリソース・タイプが用意されています。

ポリシーに条件を追加するときは、Oracle Cloud Infrastructureの一般的な変数またはサービス固有の変数を使用できます。

データベース移行では、すべての一般的な変数がサポートされます。詳細は、すべてのリクエストの一般的な変数を参照してください。

ポリシーの作成時に使用できるOracle Cloud Infrastructureの様々な動詞とリソース・タイプがあります。この項のトピックでは、データベース移行の動詞ごとに、権限と対象のAPI操作を示しています。

アクセスのレベルは、inspectからread、use、manageの順に累積します。

次に示すのは、Oracle Cloud Infrastructure Database MigrationのAPI操作のリストです。論理的な順序でリソース・タイプ別にグループ化しています。

リソース・タイプは、odms-agent、odms-connection、odms-jobおよびodms-migrationです。

1. コンソールのナビゲーション・メニューの「アイデンティティとセキュリティ」で、「アイデンティティ」に移動して「ポリシー」をクリックします。
2. 「ポリシーの作成」をクリックします。
3. ポリシーの名前と説明を入力します。
4. コンパートメントの選択表示しているコンパートメント以外のコンパートメントにポリシーをアタッチする場合は、リストから選択します。
5. ポリシー・ビルダーの「ポリシー・ユース・ケース」オプションでDatabase Migration Serviceを選択します。
6. 「共通ポリシー・テンプレート」リストから、要件に最も適合するテンプレートを選択します。ポリシー・ビルダーに、選択したポリシーの説明が表示され、それに含まれるポリシー・ステートメントがリストされます。Database Migration Serviceには、次のポリシーを使用できます。
   • ユーザーが他のすべての必須リソース/ネットワーキングとともに必要なデータベース移行リソースを管理できるようにします。これは、データベース移行サービスおよびその他の必須OCIリソースに推奨されます。
   • ユーザーがネットワークを使用してデータベース移行リソースを管理できるようにします
   • ユーザーがネットワークなしでデータベース移行リソースを管理できるようにします
   • ユーザーがデータベース移行サービス・リソースを使用できるようにします
   • virtual-network-familyの管理ポリシーが制限されている場合に、ユーザーがネットワークを使用してデータベース移行リソースを管理できるようにします
7. グループと場所を選択します。
8. 必要なステートメントの記述方法をすでに理解しており、テキスト・ボックスに入力する場合は、「手動エディタの表示」を選択します。
9. このポリシーにタグを追加するには、「拡張オプションの表示」をクリックします。
10. 別のポリシーを作成する場合は、「別のポリシーの作成」を選択します。
11. 「作成」をクリックします。

Allow group {group name} to manage odms-connection in  {location}
Allow group {group name} to manage odms-migration in {location}
Allow group {group name} to manage odms-job in {location}
Allow group {group name} to manage goldengate-connections in {location}
Allow group {group name} to manage virtual-network-family in {location}
Allow group  {group name} to manage tag-namespaces in {location}
Allow group {group name}  to manage vaults in {location}
Allow group {group name}  to manage keys in {location}
Allow group {group name} to manage secret-family in {location}
Allow group {group name} to manage object-family in {location}

Allow group {group name} to manage virtual-network-family in compartment {compartment name}
Allow group {group name} to manage vaults in compartment {compartment name}
Allow group {group name} to manage keys in compartment {compartment name}
Allow group {group name} to manage secret-family in compartment {compartment name}
Allow group {group name} to manage object-family in compartment {compartment name}
Allow group {group name} to manage odms-connection in compartment {compartment name} 
Allow group {group name} to manage odms-migration in compartment {compartment name} Allow group {group name} to manage odms-job in compartment {compartment name}

Manage virtual-network-familyを割り当てることができないシナリオでは、次のように置き換えることができます。

Allow group {group name}  to inspect vcns in compartment {compartment name}
Allow group {group name}  to use subnets in compartment {compartment name}
Allow group {group name}  to manage vnic in compartment {compartment name}

次のサービスの使用予定によって異なりますが、これらのサービスへのアクセスを有効にするポリシーも追加する必要があります:

• ターゲット・データベース用のOracle Autonomous Database:

  Allow group {group name} to manage database-family in compartment {compartment name} → Aggregate resource type

• ソースまたはターゲットのベース・データベース:

  Allow group {group name} to manage autonomous-database-family in compartment {compartment name} →Aggregate resource type

• GoldenGate統合サービスによって作成された接続にアクセスする必要がある場合:

  Allow group {group name} to manage GoldenGate-connections in compartment {compartment name}

• 独自のGoldenGateマーケットプレイス・インスタンスをデプロイし、拡張レプリケーション・オプションとして使用する必要がある場合:

  Allow group {group name} to manage instance-family in compartment {compartment name}
  Allow group {group name} to manage volume-family in compartment {compartment name}
  Allow group {group name} to manage public-ips in compartment {compartment name}
  Allow group {group name} to use tag-namespaces in tenancy
  Allow group {group name} to inspect compartments in tenancy
  Allow group {group name} to manage orm-family in compartment {compartment name}
  Allow group {group name} to manage app-catalog-listing in compartment {compartment name}→ Required to launch the GG marketplace stack

ポリシーでは、グループのメンバーが実行できるアクションとそのコンパートメントを定義します。ポリシーはOracle Cloudコンソールを使用して作成します。Oracle Cloudコンソールのナビゲーション・メニューの「アイデンティティとセキュリティ」で、「アイデンティティ」の下の「ポリシー」をクリックします。ポリシーは次の構文で記述します:

Allow group <group-name> to <verb> <resource-type> in <location> where <condition>

• <group-name>: 権限を付与するユーザー・グループの名前
• <verb>: リソース・タイプに対する特定レベルのアクセスをグループに付与します。動詞は、inspect、read、use、manageの順にアクセスのレベルが高くなり、付与される権限は累積されます。
• <resource-type>: 操作する権限をグループに付与するリソースのタイプ。odms-agent、odms-connection、odms-job、odms-migrationなどです。

  詳細は、リソース・タイプを参照してください。

• <location>: ポリシーをコンパートメントまたはテナンシにアタッチします。1つのコンパートメントまたはコンパートメント・パスを名前かOCIDで指定するか、テナンシ全体を対象とするにはtenancyを指定できます。
• <condition>: オプション。このポリシーが適用される1つ以上の条件。

allow group <group-name> to inspect virtual-network-family in compartment <compartment-name>

allow group <group-name> to manage tag-namespaces in compartment <compartment-name>