Autonomous DatabaseのIAMポリシー

Autonomous DatabaseでのAPI操作に必要なIAMポリシーに関する情報を提供します。

Oracle Autonomous Databaseは、IAM (Identity and Access Management)サービスを利用してクラウド・ユーザーを認証し、Oracle Cloud Infrastructureインタフェース(コンソール、REST API、CLIまたはSDK)を使用する操作を実行する権限を付与します。

IAMサービスでは、グループコンパートメント,およびポリシーを使用して、どのクラウド・ユーザーがどのリソースにアクセスできるかを制御します。

Autonomous DatabaseのIAM権限およびAPI操作

このトピックでは、Autonomous Databaseでの操作に使用可能なIAM権限について説明します。

Autonomous DatabaseのIAM権限を次に示します:

  • AUTONOMOUS_DATABASE_CONTENT_READ

  • AUTONOMOUS_DATABASE_CONTENT_WRITE

  • AUTONOMOUS_DATABASE_CREATE

    クローニングに関するその他の制限事項については、クローニング権限を参照してください。

  • AUTONOMOUS_DATABASE_DELETE

  • AUTONOMOUS_DATABASE_INSPECT

  • AUTONOMOUS_DATABASE_UPDATE

  • AUTONOMOUS_DB_BACKUP_CONTENT_READ

  • AUTONOMOUS_DB_BACKUP_CREATE

  • AUTONOMOUS_DB_BACKUP_INSPECT

  • NETWORK_SECURITY_GROUP_UPDATE_MEMBERS

  • VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP

API操作および認可動詞 操作の使用に必要な権限

AutonomousDatabaseManualRefresh

manualRefreshAutonomousDatabase

AUTONOMOUS_DATABASE_UPDATE

CancelAutonomousDatabaseSession

cancelAutonomousDatabaseSession

AUTONOMOUS_DATABASE_CONTENT_WRITE

ChangeAutonomousDatabaseCompartment

changeAutonomousDatabaseCompartment

ソースおよびターゲット・コンパートメントで必要です:

AUTONOMOUS_DATABASE_UPDATE

AUTONOMOUS_DB_BACKUP_CONTENT_READ

AUTONOMOUS_DB_BACKUP_INSPECT

AUTONOMOUS_DB_BACKUP_CREATE

AUTONOMOUS_DATABASE_CONTENT_WRITE

プライベート・エンドポイントが有効になっている場合、ソースとターゲットの両方のコンパートメントで必要です:

VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP

NETWORK_SECURITY_GROUP_UPDATE_MEMBERS

ChangeAutonomousDatabaseSubscription

ChangeDisasterRecoveryConfiguration

changeDisasterRecoveryConfiguration

AUTONOMOUS_DATABASE_UPDATE

ConfigureAutonomousDatabaseVaultKey

configureAutonomousDatabaseVaultKey

AUTONOMOUS_DATABASE_UPDATE

ConfigureSaasAdminUser

CreateAutonomousDatabaseBackup

createAutonomousDatabaseBackup

AUTONOMOUS_DB_BACKUP_CREATE

AUTONOMOUS_DATABASE_CONTENT_READ

CreateAutonomousDatabase

createAutonomousDatabase

AUTONOMOUS_DATABASE_CREATE

DeleteAutonomousDatabaseBackup

deleteAutonomousDatabaseBackup

AUTONOMOUS_DB_BACKUP_INSPECT

AUTONOMOUS_DB_BACKUP_DELETE

DeleteAutonomousDatabase

deleteAutonomousDatabase

AUTONOMOUS_DATABASE_DELETE

DeregisterAutonomousDatabaseDataSafe

updateAutonomousDatabase

AUTONOMOUS_DATABASE_UPDATE

DisableAutonomousDatabaseOperationsInsights

updateAutonomousDatabase

AUTONOMOUS_DATABASE_UPDATE

DisableDatabaseManagement

updateAutonomousDatabase

AUTONOMOUS_DATABASE_UPDATE

EnableAutonomousDatabaseOperationsInsights

updateAutonomousDatabase

AUTONOMOUS_DATABASE_UPDATE

EnableDatabaseManagement

updateAutonomousDatabase

AUTONOMOUS_DATABASE_UPDATE

FailOverAutonomousDatabase

failOverAutonomousDatabase

AUTONOMOUS_DATABASE_UPDATE

GenerateAutonomousDatabasePerformanceData

generateAutonomousDatabasePerformanceData

AUTONOMOUS_DATABASE_CONTENT_READ

GenerateAutonomousDatabaseWallet

generateAutonomousDatabaseWallet

AUTONOMOUS_DATABASE_CONTENT_READ

GetAutonomousDatabaseBackupConfig

getAutonomousDatabaseBackupConfig

AUTONOMOUS_DATABASE_INSPECT

GetAutonomousDatabaseBackup

getAutonomousDatabaseBackup

AUTONOMOUS_DB_BACKUP_INSPECT

GetAutonomousDatabaseCapability

getAutonomousDatabaseCapabilities

AUTONOMOUS_DATABASE_INSPECT

GetAutonomousDatabaseConsoleToken

getAutonomousDatabaseConsoleToken

AUTONOMOUS_DATABASE_CONTENT_WRITE

GetAutonomousDatabase

getAutonomousDatabase

AUTONOMOUS_DATABASE_INSPECT

GetAutonomousDatabaseRegionalWallet

getAutonomousDatabaseRegionalWallet

AUTONOMOUS_DATABASE_CONTENT_READ

GetAutonomousDatabaseWallet

getAutonomousDatabaseWallet

AUTONOMOUS_DATABASE_CONTENT_READ

GetKeyDetail

getDatabaseKeyDetails

N/A

ListAutonomousDatabaseBackups

listAutonomousDatabaseBackups

AUTONOMOUS_DB_BACKUP_INSPECT

ListAutonomousDatabaseClones

listAutonomousDatabaseClones

AUTONOMOUS_DATABASE_INSPECT

ListAutonomousDatabasePeers

AUTONOMOUS_DATABASE_INSPECT

ListAutonomousDatabaseRefreshableClones

ListAutonomousDatabaseRefreshableClones

AUTONOMOUS_DATABASE_INSPECT

ListAutonomousDatabases

ListAutonomousDatabases

AUTONOMOUS_DATABASE_INSPECT

RegisterAutonomousDatabaseDataSafe

updateAutonomousDatabase

AUTONOMOUS_DATABASE_UPDATE

ResourcePoolShapes

AUTONOMOUS_DATABASE_INSPECT

RestartAutonomousDatabase

restartAutonomousDatabase

AUTONOMOUS_DATABASE_UPDATE

RestoreAutonomousDatabase

restoreAutonomousDatabase

AUTONOMOUS_DB_BACKUP_INSPECT

AUTONOMOUS_DB_BACKUP_CONTENT_READ

AUTONOMOUS_DATABASE_CONTENT_WRITE

RetrieveDatabasePerformanceBulkData

retrieveAutonomousDatabasePerformanceBulkData

AUTONOMOUS_DATABASE_CONTENT_READ

RotateAutonomousDatabaseEncryptionKey

rotateDatabaseEncryptionKey

AUTONOMOUS_DATABASE_UPDATE

SaasAdminUserStatus

ShrinkAutonomousDatabase

shrinkAutonomousDatabase

AUTONOMOUS_DATABASE_UPDATE

StartAutonomousDatabase

startAutonomousDatabase

AUTONOMOUS_DATABASE_UPDATE

StopAutonomousDatabase

stopAutonomousDatabase

AUTONOMOUS_DATABASE_UPDATE

SwitchOverAutonomousDatabase

switchoverAutonomousDatabase

AUTONOMOUS_DATABASE_UPDATE

UpdateAutonomousDatabaseBackup

updateAutonomousDatabaseBackup

AUTONOMOUS_DB_BACKUP_UPDATE

UpdateAutonomousDatabaseRegionalWallet

updateAutonomousDatabaseRegionalWallet

AUTONOMOUS_DATABASE_UPDATE

UpdateAutonomousDatabase

updateAutonomousDatabase

考えられる3つのケース:

  • 「ワークロード」がNULLの場合:

    AUTONOMOUS_DATABASE_UPDATE
  • ワークロードがNULLでない場合:

    AUTONOMOUS_DATABASE_CREATE

    AUTONOMOUS_DATABASE_UPDATE

  • タグ付けが有効な場合:

    AUTONOMOUS_DATABASE_UPDATE

    AUTONOMOUS_DATABASE_INSPECT

UpdateAutonomousDatabaseWallet

updateAutonomousDatabaseWallet

AUTONOMOUS_DATABASE_UPDATE

クローニング権限

Autonomous Databaseでは、一般的なIAM権限がサポートされています。また、次の表に示すように、サポートされている権限値でtarget.autonomous-database.cloneTypeを使用してアクセスのレベルを制御できます。

target.autonomous-database.cloneType値 説明
CLONE-FULL

フルクローンのみを許可します。

CLONE-METADATA

メタデータ・クローンのみを許可します。

CLONE-REFRESHABLE

リフレッシュ可能クローンのみを許可します。

/CLONE*/

任意の種類のクローンを許可します。

サポートされているtarget.autonomous-database.cloneType権限値を持つポリシーの例:

Allow group group-name to manage autonomous-databases in compartment id compartment-ocid 
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-FULL'}
Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-METADATA'}
Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-REFRESHABLE'}
Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = /CLONE*/}

詳細は、権限を参照してください。

Autonomous Databaseのポリシー詳細

このトピックでは、Autonomous Databaseリソースへのアクセスを制御するポリシーの作成の詳細を説明します。

ポリシーは、個々のコンパートメント内の特定のリソースに対するユーザーのグループのアクセス権の種類を定義します。詳細は、ポリシーの開始を参照してください。

リソース・タイプ

集約リソース・タイプは、すぐ後に続く個別リソース・タイプのリストをカバーします。たとえば、グループにautonomous-database-familyへのアクセスを許可するポリシーを1つ記述することは、autonomous-databasesautonomous-backupsリソース・タイプへのアクセスを付与するグループの4つの個別のポリシーを記述することと同じです。詳細は、リソース・タイプを参照してください。

Autonomous Databaseのリソース・タイプ

集約リソース・タイプ:

autonomous-database-family

個別のリソース・タイプ:

autonomous-databases

autonomous-backups

サポートされている変数

一般的な変数がサポートされています。詳細については、General Variables for All Requestsを参照してください。

また、次の表に示すようにtarget.workloadType変数を使用できます:

target.workloadType値 説明
OLTP オンライン・トランザクション処理(トランザクション処理ワークロードを使用するAutonomous Databasesで使用)。
DW Data Warehouse。Data Warehouseワークロード向けAutonomous Databasesに使用されます。
AJD

JSONワークロードを使用するAutonomous Databasesに使用されるAutonomous JSON Database。

APEX

Autonomous Database APEXサービスに使用されるAPEXサービス

target.workloadType変数を使用したポリシーの例:

Allow group ADB-Admins to manage autonomous-databases in tenancy where target.workloadType = 'AJD'

動詞+リソース・タイプの組合せの詳細

アクセス・レベルは、inspect > read > use > manageの順に累積します。表のセルのプラス記号(+)は、そのすぐ上のセルと比較して増分アクセスを示しますが、「追加なし」は増分アクセスを示しません。

たとえば、autonomous-databasesリソース・タイプに対するread動詞には、inspect動詞と同じ権限およびAPI操作に加えてAUTONOMOUS_DATABASE_CONTENT_READ権限も含まれます。read動詞はCreateAutonomousDatabaseBackup操作を部分的にカバーしているため、autonomous-backupsに対する管理権限も必要です。

次の表に、各動詞の対象となる権限およびAPI操作を示します。権限の詳細は、権限を参照してください。

ノート

autAutonomous-database-familyでカバーされるリソース・ファミリを使用して、すべてのAutonomous Databaseワークロード・タイプに関連付けられたデータベース・リソースへのアクセス権を付与できます。
autonomous-databasesリソース・タイプ
動詞 権限 完全にカバーされるAPI 部分的にカバーされるAPI

検査する

AUTONOMOUS_DATABASE_INSPECT

GetAutonomousDatabase, ListAutonomousDatabases

指定しない

読取り

INSPECT +

AUTONOMOUS_DATABASE_CONTENT_READ

追加なし

CreateAutonomousDatabaseBackup (manage autonomous-backupsも必要)

使用

READ +

AUTONOMOUS_DATABASE_CONTENT_WRITE

AUTONOMOUS_DATABASE_UPDATE

UpdateAutonomousDatabase

RestoreAutonomousDatabase (read autonomous-backupsも必要)

ChangeAutonomousDatabaseCompartment (read autonomous-backupsも必要)

管理

USE +

AUTONOMOUS_DATABASE_CREATE

AUTONOMOUS_DATABASE_DELETE

CreateAutonomousDatabase

指定しない

自律型バックアップ

動詞 権限 完全にカバーされるAPI 部分的にカバーされるAPI

検査する

AUTONOMOUS_DB_BACKUP_INSPECT

ListAutonomousDatabaseBackups, GetAutonomousDatabaseBackup

指定しない

管理

USE +

AUTONOMOUS_DB_BACKUP_CREATE

AUTONOMOUS_DB_BACKUP_DELETE

DeleteAutonomousDatabaseBackup

CreateAutonomousDatabaseBackup (read autonomous-databasesも必要)

読取り

INSPECT +

AUTONOMOUS_DB_BACKUP_CONTENT_READ

追加なし

RestoreAutonomousDatabase (use autonomous-databasesも必要)

ChangeAutonomousDatabaseCompartment (use autonomous-databasesも必要)

使用

読む +

追加なし

追加なし

なし

Autonomous Databasesを管理するためのポリシー

クラウド・ユーザーがAutonomous Databasesで管理操作を実行するために必要なIAMポリシーのリストを提供します。

操作 必要なIAMポリシー

データベースの作成

manage autonomous-databases

read autonomous-databases

データベース・リストの表示

inspect autonomous-databases

データベースの詳細の表示

inspect autonomous-databases

データベースのADMINユーザーのパスワードの設定

use autonomous-databases

データベースのCPUコア数またはストレージのスケーリング

use autonomous-databases

データベースの自動スケーリングの有効化または無効化

use autonomous-databases

別のコンパートメントへのデータベースの移動

use autonomous-databases (データベースの現在のコンパートメントおよび移動先のコンパートメント)

read autonomous-backups

データベースの停止または起動

use autonomous-databases

データベースを再起動します。

use autonomous-databases

データベースの手動バックアップ

read autonomous-databases

manage autonomous-backups

データベースをリストアします

use autonomous-databases

read autonomous-backups

データベースのクローニング

manage autonomous-databases

Autonomous Databaseでの追加のクローニング権限については、Autonomous DatabaseのIAM権限およびAPI操作を参照してください。

データベースの終了

manage autonomous-databases