Autonomous Databaseサーバーレスのポリシー詳細

このトピックでは、Autonomous Databaseサーバーレス上のリソースへのアクセスを制御するIAMポリシーの概要の書込みの詳細を説明します。

ヒント

サンプルのポリシーは、データベース管理者およびフリート管理者によるAutonomous Databaseの管理を参照してください。

リソース・タイプ

集約リソース・タイプには、直接使用される個々のリソース・タイプのリストが含まれます。たとえば、グループでautonomous-database-familyにアクセスできるようにするポリシーを1つ記述することは、autonomous-databasesおよびautonomous-backupsリソース・タイプへのアクセスを付与するグループの4つの個別のポリシーを記述することと同じです。詳細は、「リソース」を参照してください。

Autonomous Databaseのリソース・タイプ

集約リソース・タイプ

autonomous-database-family

個々のリソース・タイプ:

autonomous-databases

autonomous-backups

database-connections

サポートされている変数

一般的な変数がサポートされています。詳細は、すべてのリクエストの一般的な変数を参照してください。

また、次の表に示すようにtarget.workloadType変数を使用できます:

target.workloadTypeの値 説明
OLTP オンライン・トランザクション処理(Autonomous Transaction Processingデータベースで使用)。
DW データ・ウェアハウス(Autonomous Data Warehouseデータベースで使用)
AJD Autonomous JSON Database
APEX Oracle APEXアプリケーション開発

target.workloadType変数を使用したポリシーの例:

Allow group ADB-Admins to manage autonomous-database in tenancy where target.workloadType = 'workload_type'

動詞とリソース・タイプの組合せの詳細

次の表に、各動詞でカバーされている権限およびAPI操作を示します。アクセス・レベルは、inspect > read > use > manageの順に累積されます。たとえば、リソースを使用できるグループは、そのリソースを検査して読み取ることもできます。表セル内のプラス記号(+)は、その上のセルと比較して増分アクセスを示しますが、「余分なし」は増分アクセスを示しません。

たとえば、autonomous-databasesリソース・タイプに対するread動詞には、inspect動詞と同じ権限およびAPI操作に加えてAUTONOMOUS_DATABASE_CONTENT_READ権限も含まれます。read動詞はCreateAutonomousDatabaseBackup操作を部分的にカバーしているため、autonomous-backupsに対する管理権限も必要です。

autonomous-database-familyリソース・タイプの場合

ノート

autonomous-database-familyでカバーされるリソース・ファミリを使用して、すべてのAutonomous Databaseワークロード・タイプに関連付けられたデータベース・リソースへのアクセス権を付与できます。
autonomous-databases
動詞 権限 完全に対象となるAPI 部分的に対象となるAPI
inspect

AUTONOMOUS_DATABASE_INSPECT

GetAutonomousDatabase, ListAutonomousDatabases なし
read

INSPECT +

AUTONOMOUS_DATABASE_CONTENT_READ

追加なし CreateAutonomousDatabaseBackup (manage autonomous-backupsも必要)
use

READ +

AUTONOMOUS_DATABASE_CONTENT_WRITE

AUTONOMOUS_DATABASE_UPDATE

UpdateAutonomousDatabase

RestoreAutonomousDatabase (read autonomous-backupsも必要)

ChangeAutonomousDatabaseCompartment (read autonomous-backupsも必要)

manage

USE +

AUTONOMOUS_DATABASE_CREATE

AUTONOMOUS_DATABASE_DELETE

CreateAutonomousDatabase

なし
autonomous-backups
動詞 権限 完全に対象となるAPI 部分的に対象となるAPI
inspect

AUTONOMOUS_DB_BACKUP_INSPECT

ListAutonomousDatabaseBackups, GetAutonomousDatabaseBackup なし
read

INSPECT +

AUTONOMOUS_DB_BACKUP_CONTENT_READ

追加なし

RestoreAutonomousDatabase (use autonomous-databasesも必要)

ChangeAutonomousDatabaseCompartment (use autonomous-databasesも必要)

use 追加なし 追加なし なし
manage

USE +

AUTONOMOUS_DB_BACKUP_CREATE

AUTONOMOUS_DB_BACKUP_DELETE

DeleteAutonomousDatabaseBackup CreateAutonomousDatabaseBackup (read autonomous-databasesも必要)

各API操作に必要な権限

次の表に、Autonomous DatabaseリソースのAPI操作をリソース・タイプ別にグループ化して論理的順序で示します。

権限の詳細は、権限を参照してください。

Autonomous Database APIの操作

API操作 操作の使用に必要な権限
GetCloudAutonomousVmCluster CLOUD_AUTONOMOUS_VM_CLUSTER_INSPECT
GetAutonomousDatabase AUTONOMOUS_DATABASE_INSPECT
ListAutonomousDatabases AUTONOMOUS_DATABASE_INSPECT
CreateAutonomousDatabase

AUTONOMOUS_DATABASE_CREATE

Autonomous Database Serverless上のデータベースでプライベート・エンドポイント機能を使用するには、次も必要です:

  • 新しいAutonomous Databaseのコンパートメント内: VNIC_CREATE、VNIC_DELETE、NETWORK_SECURITY_GROUP_UPDATE_MEMBERSおよびVNIC_ASSOCIATE_NETWORK_SECURITY_GROUP
  • 指定されたサブネットのコンパートメント内: SUBNET_ATTACHおよびSUBNET_DETACH
UpdateAutonomousDatabase

AUTONOMOUS_DATABASE_UPDATE

プライベート・エンドポイント機能を使用するAutonomous Databaseサーバーレスでデータベースを更新するには、Autonomous Databaseのコンパートメント内にも次が必要です:

  • VNIC_UPDATE、NETWORK_SECURITY_GROUP_UPDATE_MEMBERSおよびVNIC_ASSOCIATE_NETWORK_SECURITY_GROUP
ChangeAutonomousDatabaseCompartment AUTONOMOUS_DATABASE_UPDATE、AUTONOMOUS_DB_BACKUP_INSPECT、AUTONOMOUS_DB_BACKUP_CONTENT_READ、AUTONOMOUS_DATABASE_CONTENT_WRITE
DeleteAutonomousDatabase

AUTONOMOUS_DATABASE_DELETE

プライベート・エンドポイント機能を使用するAutonomous Databaseサーバーレスでデータベースを更新するには、Autonomous Databaseのコンパートメント内にも次が必要です:

  • 新しいAutonomous Databaseのコンパートメント内: VNIC_DELETEおよびNETWORK_SECURITY_GROUP_UPDATE_MEMBERS
  • 構成されたサブネットのコンパートメント内: SUBNET_DETACH
StartAutonomousDatabase AUTONOMOUS_DATABASE_UPDATE
StopAutonomousDatabase AUTONOMOUS_DATABASE_UPDATE
RestoreAutonomousDatabase AUTONOMOUS_DB_BACKUP_CONTENT_READとAUTONOMOUS_DATABASE_CONTENT_WRITE
CreateAutonomousDatabaseBackup AUTONOMOUS_DB_BACKUP_CREATEとAUTONOMOUS_DATABASE_CONTENT_READ
DeleteAutonomousDatabaseBackup AUTONOMOUS_DB_BACKUP_DELETE
ListAutonomousDatabaseBackups AUTONOMOUS_DB_BACKUP_INSPECT
GetAutonomousDatabaseBackup AUTONOMOUS_DB_BACKUP_INSPECT