Autonomous DatabaseのIAMポリシー
Autonomous DatabaseでのAPI操作に必要なIAMポリシーに関する情報を提供します。
Oracle Autonomous Databaseは、IAM (Identity and Access Management)サービスを利用してクラウド・ユーザーを認証し、Oracle Cloud Infrastructureインタフェース(コンソール、REST API、CLIまたはSDK)を使用する操作を実行する権限を付与します。
IAMサービスでは、グループ、コンパートメント,およびポリシーを使用して、どのクラウド・ユーザーがどのリソースにアクセスできるかを制御します。
- Autonomous DatabaseのIAM権限およびAPI操作
このトピックでは、Autonomous Databaseでの操作に使用可能なIAM権限について説明します。 - Autonomous Databaseのポリシー詳細
このトピックでは、Autonomous Databaseリソースへのアクセスを制御するポリシーの作成の詳細を説明します。 - Autonomous Databasesを管理するポリシー
クラウド・ユーザーがAutonomous Databasesで管理操作を実行するために必要なIAMポリシーのリストを提供します。
親トピック: セキュリティ
Autonomous DatabaseのIAM権限およびAPI操作
このトピックでは、Autonomous Databaseでの操作に使用可能なIAM権限について説明します。
Autonomous DatabaseのIAM権限を次に示します:
-
AUTONOMOUS_DATABASE_CONTENT_READ
-
AUTONOMOUS_DATABASE_CONTENT_WRITE
-
AUTONOMOUS_DATABASE_CREATE
クローニングに関するその他の制限事項については、クローニング権限を参照してください。
-
AUTONOMOUS_DATABASE_DELETE
-
AUTONOMOUS_DATABASE_INSPECT
-
AUTONOMOUS_DATABASE_UPDATE
-
AUTONOMOUS_DB_BACKUP_CONTENT_READ
-
AUTONOMOUS_DB_BACKUP_CREATE
-
AUTONOMOUS_DB_BACKUP_INSPECT
-
NETWORK_SECURITY_GROUP_UPDATE_MEMBERS
-
VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP
API操作および認可動詞 | 操作の使用に必要な権限 |
---|---|
|
|
|
|
|
ソースおよびターゲット・コンパートメントで必要です:
プライベート・エンドポイントが有効になっている場合、ソースとターゲットの両方のコンパートメントで必要です:
|
ChangeAutonomousDatabaseSubscription |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
AUTONOMOUS_DATABASE_UPDATE |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
N/A |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
考えられる3つのケース:
|
|
|
クローニング権限
Autonomous Databaseでは、一般的なIAM権限がサポートされています。また、次の表に示すように、サポートされている権限値でtarget.autonomous-database.cloneType
を使用してアクセスのレベルを制御できます。
target.autonomous-database.cloneType値 | 説明 |
---|---|
CLONE-FULL |
フルクローンのみを許可します。 |
CLONE-METADATA |
メタデータ・クローンのみを許可します。 |
CLONE-REFRESHABLE |
リフレッシュ可能クローンのみを許可します。 |
/CLONE*/ |
任意の種類のクローンを許可します。 |
サポートされているtarget.autonomous-database.cloneType
権限値を持つポリシーの例:
Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
where all {request.permission = 'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-FULL'}
Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
where all {request.permission = 'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-METADATA'}
Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
where all {request.permission = 'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-REFRESHABLE'}
Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
where all {request.permission = 'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = /CLONE*/}
詳細は、権限を参照してください。
親トピック:: Autonomous DatabaseのIAMポリシー
Autonomous Databaseのポリシー詳細
このトピックでは、Autonomous Databaseリソースへのアクセスを制御するポリシーの作成の詳細を説明します。
ポリシーは、個々のコンパートメント内の特定のリソースに対するユーザーのグループのアクセス権の種類を定義します。詳細は、ポリシーの開始を参照してください。
リソース・タイプ
集約リソース・タイプは、すぐ後に続く個別リソース・タイプのリストをカバーします。たとえば、グループにautonomous-database-family
へのアクセスを許可するポリシーを1つ記述することは、autonomous-databases
、autonomous-backups
リソース・タイプへのアクセスを付与するグループの4つの個別のポリシーを記述することと同じです。詳細は、リソース・タイプを参照してください。
集約リソース・タイプ:
autonomous-database-family
個別のリソース・タイプ:
autonomous-databases
autonomous-backups
サポートされている変数
一般的な変数がサポートされています。詳細については、General Variables for All Requestsを参照してください。
また、次の表に示すようにtarget.workloadType
変数を使用できます:
target.workloadType値 | 説明 |
---|---|
OLTP |
オンライン・トランザクション処理(トランザクション処理ワークロードを使用するAutonomous Databasesで使用)。 |
DW |
Data Warehouse。Data Warehouseワークロード向けAutonomous Databasesに使用されます。 |
AJD |
JSONワークロードを使用するAutonomous Databasesに使用されるAutonomous JSON Database。 |
APEX |
Autonomous Database APEXサービスに使用されるAPEXサービス。 |
target.workloadType
変数を使用したポリシーの例:
Allow group ADB-Admins to manage autonomous-databases in tenancy where target.workloadType = 'AJD'
動詞+リソース・タイプの組合せの詳細
アクセス・レベルは、inspect > read > use > manage
の順に累積します。表のセルのプラス記号(+)は、そのすぐ上のセルと比較して増分アクセスを示しますが、「追加なし」は増分アクセスを示しません。
たとえば、autonomous-databases
リソース・タイプに対するread
動詞には、inspect
動詞と同じ権限およびAPI操作に加えてAUTONOMOUS_DATABASE_CONTENT_READ
権限も含まれます。read
動詞はCreateAutonomousDatabaseBackup
操作を部分的にカバーしているため、autonomous-backups
に対する管理権限も必要です。
次の表に、各動詞の対象となる権限およびAPI操作を示します。権限の詳細は、権限を参照してください。
autAutonomous-database-familyでカバーされるリソース・ファミリを使用して、すべてのAutonomous Databaseワークロード・タイプに関連付けられたデータベース・リソースへのアクセス権を付与できます。
動詞 | 権限 | 完全にカバーされるAPI | 部分的にカバーされるAPI |
---|---|---|---|
検査する |
|
|
指定しない |
読取り |
|
追加なし |
|
使用 |
|
|
|
管理 |
|
|
指定しない |
自律型バックアップ
動詞 | 権限 | 完全にカバーされるAPI | 部分的にカバーされるAPI |
---|---|---|---|
検査する |
|
|
指定しない |
管理 |
|
|
|
読取り |
|
追加なし |
|
使用 |
読む + 追加なし |
追加なし |
なし |
親トピック:: Autonomous DatabaseのIAMポリシー
Autonomous Databasesを管理するためのポリシー
クラウド・ユーザーがAutonomous Databasesで管理操作を実行するために必要なIAMポリシーのリストを提供します。
操作 | 必要なIAMポリシー |
---|---|
データベースの作成 |
|
データベース・リストの表示 |
|
データベースの詳細の表示 |
|
データベースのADMINユーザーのパスワードの設定 |
|
データベースのCPUコア数またはストレージのスケーリング |
|
データベースの自動スケーリングの有効化または無効化 |
|
別のコンパートメントへのデータベースの移動 |
|
データベースの停止または起動 |
|
データベースを再起動します。 |
|
データベースの手動バックアップ |
|
データベースをリストアします |
|
データベースのクローニング |
Autonomous Databaseでの追加のクローニング権限については、Autonomous DatabaseのIAM権限およびAPI操作を参照してください。 |
データベースの終了 |
|
親トピック:: Autonomous DatabaseのIAMポリシー