Amazonリソース名(ARN)を使用したAWSリソースへのアクセス
Amazonリソース名(ARN)を使用して、Autonomous DatabaseでAWSリソースにアクセスできます。
- Amazonリソース名(ARN)を使用したAWSリソースへのアクセスについて
Autonomous DatabaseでARNロール・ベースの認証を使用すると、長期のAWS IAMアクセス・キーに基づいて資格証明を作成および保存することなく、AWSリソースに安全にアクセスできます。 - Amazonリソース名(ARN)を使用するためのAWS管理の前提条件の実行
AWS管理コンソールまたはAPIを使用して、AWSユーザー、ロール、ポリシーおよび信頼関係を作成します。Autonomous DatabaseでARNパラメータとともに資格証明を作成するためにDBMS_CLOUD.CREATE_CREDENTIAL
を使用する前に、これらのステップを実行します。 - Amazon ARNを使用するためのAutonomous Databaseの前提条件の実行
ARNパラメータとともにDBMS_CLOUD.CREATE_CREDENTIAL
でAWSリソースを使用する前に、ADMINユーザーは、Autonomous DatabaseインスタンスでARNを有効にする必要があります。 - AWSリソースにアクセスするためのARNパラメータを使用した資格証明の作成
Autonomous DatabaseインスタンスでARNの使用が有効化され、ARNがAWS管理者によって構成されると、Autonomous DatabaseでARNパラメータを使用して資格証明オブジェクトを作成できます。 - AWSリソースのARNパラメータを使用した資格証明の更新
Autonomous Databaseで使用するARN資格証明は、Autonomous DatabaseからAWSリソースにアクセスするために一時的なロール・ベースの資格証明を使用できるようにするAWSトークン・サービスと連携します。
親トピック: リソースにアクセスするためのポリシーとロールの構成
Amazonリソース名(ARN)を使用したAWSリソースへのアクセスについて
Autonomous DatabaseでARNロール・ベースの認証を使用すると、長期のAWS IAMアクセス・キーに基づいて資格証明を作成および保存することなく、AWSリソースに安全にアクセスできます。
たとえば、AWS S3バケットからAutonomous Databaseにデータをロードし、データに対してなんらかの操作を実行してから、変更したデータをS3バケットに書き戻すことができます。S3バケットにアクセスするためのAWSユーザー資格証明がある場合は、ARNなしでこれを実行できます。ただし、ロールベースのARNを使用してAutonomous DatabaseからAWSリソースにアクセスするには、次の利点があります:
- Autonomous DatabaseインスタンスからAWSリソースにアクセスする必要があるユーザーやスキーマごとに異なるポリシーを使用して、ロールベースのアクセスを作成できます。これにより、ポリシーを設定して、ロール別にAWSリソースへのアクセスを制限できます。たとえば、ロール別の読取り専用アクセスに制限するポリシーをS3バケットに設定します。
-
AWSリソースにアクセスするためにコードで長期のAWSユーザー資格証明を提供する必要がないため、ARNベースの資格証明によってセキュリティが向上します。Autonomous Databaseは、AWS Assume Role操作から生成された一時資格証明を管理します。
Autonomous DatabaseでのARNの使用を構成するステップ
Autonomous DatabaseでARNを使用して資格証明を作成する前に、AWSで、アカウント管理者はS3バケットなどのAWSリソースへのアクセスを許可するポリシーを定義する必要があります。デフォルトでは、ARN資格証明サービスはAutonomous Databaseで有効化されていません。ADMINユーザーは、必要なユーザーに対してARN資格証明を有効にします。これにより、ユーザーはAutonomous DatabaseインスタンスでARN資格証明を作成および使用できるようになります。
AWSでは、ロールARNは提供されているアクセスの識別子であり、AWSコンソールで表示できます。セキュリティを強化するために、AWS管理者がAWSアカウントのロール、ポリシーおよび信頼関係を構成する場合は、ロールの信頼関係で外部IDも構成する必要があります。
外部IDは、ロールを引き付けるための追加の保護を提供します。AWS管理者は、Autonomous Databaseインスタンスに基づいて、外部IDを次のいずれかとして構成します:
-
コンパートメントOCID
-
データベースOCID
-
テナンシOCID
AWSでは、ロールを引き受けることができるのは、リクエストURLに含まれる外部IDで識別される信頼できるユーザーのみです。リクエスト内で指定された外部IDは、ロールの信頼関係で構成された外部IDと一致します。
Setting the External ID is required for security.
次に、構成ステップの概要を示します:
DBMS_CLOUDでARNを使用するステップ
各AWSリソースには独自のアイデンティティがあり、リソースは、ARNを識別するパラメータで作成したDBMS_CLOUD
資格証明を使用してAutonomous Databaseインスタンスで認証を行います。Autonomous Databaseは、AWSリソースへのアクセスに使用されるプリンシパル資格証明を作成および保護します。
ARNパラメータを使用してAWSリソースにアクセスするための資格証明を作成するには:
-
AWSアカウントで前提条件ステップを実行します: AWSアカウントで、AWS管理コンソールまたはCLIを使用して、Autonomous Databaseで使用するARNのロールおよびポリシーを作成し、ロールの信頼関係を更新します。OracleユーザーARNは、役割の信頼関係が更新されたときに構成されます。
詳細は、Amazonリソース名(ARN)を使用するためのAWS管理の前提条件の実行(ARN)を参照してください。
-
Autonomous Databaseで前提条件ステップを実行します: Autonomous Databaseでは、ADMINユーザーまたは別のユーザーがARNパラメータで資格証明を使用してAWSリソースにアクセスできるようにする必要があります。
詳細は、Amazon ARNを使用するためのAutonomous Database前提条件の実行を参照してください。
-
DBMS_CLOUD.CREATE_CREDENTIAL
を使用して資格証明を作成し、AWSロールを識別するパラメータを指定します。資格証明オブジェクトを使用すると、Autonomous Databaseは、AWSアカウントのロールに定義されているポリシーで指定されたとおりにAWSリソースにアクセスできます。これらのステップの詳細については、Create Credentials with ARN Parameters to Access AWS Resourcesを参照してください。
-
前のステップで作成した資格証明オブジェクトを、資格証明パラメータを使用する
DBMS_CLOUD
プロシージャまたはファンクションとともに使用します(DBMS_CLOUD.COPY_DATA
やDBMS_CLOUD.LIST_OBJECTS
など)。
Amazonリソース名(ARN)を使用するためのAWS管理前提条件の実行
AWS管理コンソールまたはAPIを使用して、AWSユーザー、ロール、ポリシーおよび信頼関係を作成します。Autonomous DatabaseでARNパラメータとともに資格証明を作成するためにDBMS_CLOUD.CREATE_CREDENTIAL
を使用する前に、これらのステップを実行します。
ARNを使用してAWSリソースにアクセスするために、AWS管理者は、ポリシーと、ユーザーによるAWSリソースへのアクセスを可能にするプリンシパルを定義します。たとえば、Autonomous Databaseの使用中に、S3バケットからデータにアクセスし、データに対してなんらかの操作を実行してから、変更したデータをS3バケットに書き込むことができます。
既存のAWS構成および使用する外部IDによっては、Autonomous Databaseインスタンスごとに新しいロールおよびポリシーを作成する必要はありません。リソースにアクセスするために必要なポリシー(S3クラウド・ストレージにアクセスするなど)を含むAWSロールがすでにある場合は、信頼関係を変更してステップ3で詳細を含めることができます。同様に、必要な信頼関係を持つロールがすでに存在する場合、コンパートメントOCIDまたはテナンシOCIDを指定する外部IDを使用すると、そのロールを使用してOCIコンパートメントまたはテナンシ内のすべてのデータベースにアクセスできます。
AWS管理コンソールまたはAPIを使用して、次のステップを実行します:
ARNロールの構成が終了したら、インスタンスでARNを有効にできます。詳細は、Amazon ARNを使用するためのAutonomous Database前提条件の実行を参照してください。
Amazon ARNを使用するためのAutonomous Database前提条件の実行
ARNパラメータとともにDBMS_CLOUD.CREATE_CREDENTIAL
でAWSリソースを使用する前に、ADMINユーザーは、Autonomous DatabaseインスタンスでARNを有効にする必要があります。
デフォルトでは、ARN資格証明サービスはAutonomous Databaseで有効化されていません。ADMINユーザーは、プロシージャDBMS_CLOUD_ADMIN.ENABLE_PRINCIPAL_AUTH
を実行して、ADMINユーザーまたはその他のユーザーがARNパラメータを使用して資格証明を作成できるようにします。
DBMS_CLOUD_ADMIN.ENABLE_PRINCIPAL_AUTH
を実行してAutonomous DatabaseインスタンスでARNを有効にすると、AWS$ARN
という名前の資格証明を入力として取得する任意のDBMS_CLOUD
APIで使用できます。AWS$ARN
という名前の資格証明を除き、ARNパラメータを使用して追加の資格証明を作成してAWSリソースにアクセスすることもできます。詳細は、AWSリソースにアクセスするためのARNパラメータを使用した資格証明の作成を参照してください。
AWSリソースにアクセスするためのARNパラメータを使用した資格証明の作成
Autonomous DatabaseインスタンスでARNの使用が有効化され、ARNがAWS管理者によって構成されると、Autonomous DatabaseでARNパラメータを使用して資格証明オブジェクトを作成できます。
DBMS_CLOUD
プロシージャおよびファンクションを使用して資格証明オブジェクトを指定した場合、Autonomous Databaseは、Amazonリソースへのアクセスに使用されるプリンシパル資格証明を作成および保護します。
Autonomous DatabaseでAmazonリソースを使用する手順は、次のとおりです。
AWSリソースのARNパラメータを使用した資格証明の更新
Autonomous Databaseで使用するARN資格証明は、Autonomous DatabaseからAWSリソースにアクセスするために一時的なロール・ベースの資格証明を使用できるようにするAWSトークン・サービスと連携します。
AWS管理者がポリシー、ロールまたは信頼関係を取り消す場合は、AWSリソースにアクセスするために資格証明を更新するか、新しい資格証明を作成する必要があります。
資格証明を更新するには、次のステップを実行します:
詳細は、UPDATE_CREDENTIALプロシージャおよびCREATE_CREDENTIALプロシージャを参照してください。