Autonomous DatabaseのIAMポリシー

Autonomous DatabaseでのAPI操作に必要なIAMポリシーに関する情報を提供します。

Oracle Autonomous Databaseは、IAM (Identity and Access Management)サービスを利用してクラウド・ユーザーを認証し、Oracle Cloud Infrastructureインタフェース(コンソール、REST API、CLIまたはSDK)を使用する操作を実行する権限を付与します。

IAMサービスでは、グループ、コンパートメント,およびポリシーを使用して、どのクラウド・ユーザーがどのリソースにアクセスできるかを制御します。

Autonomous DatabaseのIAM権限およびAPI操作
このトピックでは、Autonomous Databaseでの操作に使用可能なIAM権限について説明します。
Autonomous Databaseのポリシー詳細
このトピックでは、Autonomous Databaseリソースへのアクセスを制御するポリシーの作成の詳細を説明します。
Autonomous Databasesを管理するポリシー
クラウド・ユーザーがAutonomous Databasesで管理操作を実行するために必要なIAMポリシーのリストを提供します。

親トピック: セキュリティ

Autonomous DatabaseのIAM権限およびAPI操作

このトピックでは、Autonomous Databaseでの操作に使用可能なIAM権限について説明します。

Autonomous DatabaseのIAM権限を次に示します:

AUTONOMOUS_DATABASE_CONTENT_READ
AUTONOMOUS_DATABASE_CONTENT_WRITE
AUTONOMOUS_DATABASE_CREATE

クローニングに関するその他の制限事項については、クローニング権限を参照してください。
AUTONOMOUS_DATABASE_DELETE
AUTONOMOUS_DATABASE_INSPECT
AUTONOMOUS_DATABASE_UPDATE
AUTONOMOUS_DB_BACKUP_CONTENT_READ
AUTONOMOUS_DB_BACKUP_CREATE
AUTONOMOUS_DB_BACKUP_INSPECT
NETWORK_SECURITY_GROUP_UPDATE_MEMBERS
VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP

API操作および認可動詞	操作の使用に必要な権限
`AutonomousDatabaseManualRefresh` `manualRefreshAutonomousDatabase`	`AUTONOMOUS_DATABASE_UPDATE`
`CancelAutonomousDatabaseSession` `cancelAutonomousDatabaseSession`	`AUTONOMOUS_DATABASE_CONTENT_WRITE`
`ChangeAutonomousDatabaseCompartment` `changeAutonomousDatabaseCompartment`	ソースおよびターゲット・コンパートメントで必要です: `AUTONOMOUS_DATABASE_UPDATE` `AUTONOMOUS_DB_BACKUP_CONTENT_READ` `AUTONOMOUS_DB_BACKUP_INSPECT` `AUTONOMOUS_DB_BACKUP_CREATE` `AUTONOMOUS_DATABASE_CONTENT_WRITE` プライベート・エンドポイントが有効になっている場合、ソースとターゲットの両方のコンパートメントで必要です: `VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP` `NETWORK_SECURITY_GROUP_UPDATE_MEMBERS`
`ChangeAutonomousDatabaseSubscription`
`ChangeDisasterRecoveryConfiguration` `changeDisasterRecoveryConfiguration`	`AUTONOMOUS_DATABASE_UPDATE`
`ConfigureAutonomousDatabaseVaultKey` `configureAutonomousDatabaseVaultKey`	`AUTONOMOUS_DATABASE_UPDATE`
`ConfigureSaasAdminUser`
`CreateAutonomousDatabaseBackup` `createAutonomousDatabaseBackup`	`AUTONOMOUS_DB_BACKUP_CREATE` `AUTONOMOUS_DATABASE_CONTENT_READ`
`CreateAutonomousDatabase` `createAutonomousDatabase`	`AUTONOMOUS_DATABASE_CREATE`
`DeleteAutonomousDatabaseBackup` `deleteAutonomousDatabaseBackup`	`AUTONOMOUS_DB_BACKUP_INSPECT` `AUTONOMOUS_DB_BACKUP_DELETE`
`DeleteAutonomousDatabase` `deleteAutonomousDatabase`	`AUTONOMOUS_DATABASE_DELETE`
`DeregisterAutonomousDatabaseDataSafe` `updateAutonomousDatabase`	`AUTONOMOUS_DATABASE_UPDATE`
`DisableAutonomousDatabaseOperationsInsights` `updateAutonomousDatabase`	`AUTONOMOUS_DATABASE_UPDATE`
`DisableDatabaseManagement` `updateAutonomousDatabase`	`AUTONOMOUS_DATABASE_UPDATE`
`EnableAutonomousDatabaseOperationsInsights` `updateAutonomousDatabase`	`AUTONOMOUS_DATABASE_UPDATE`
`EnableDatabaseManagement` `updateAutonomousDatabase`	`AUTONOMOUS_DATABASE_UPDATE`
`FailOverAutonomousDatabase` `failOverAutonomousDatabase`	`AUTONOMOUS_DATABASE_UPDATE`
`GenerateAutonomousDatabasePerformanceData` `generateAutonomousDatabasePerformanceData`	`AUTONOMOUS_DATABASE_CONTENT_READ`
`GenerateAutonomousDatabaseWallet` `generateAutonomousDatabaseWallet`	`AUTONOMOUS_DATABASE_CONTENT_READ`
`GetAutonomousDatabaseBackupConfig` `getAutonomousDatabaseBackupConfig`	`AUTONOMOUS_DATABASE_INSPECT`
`GetAutonomousDatabaseBackup` `getAutonomousDatabaseBackup`	`AUTONOMOUS_DB_BACKUP_INSPECT`
`GetAutonomousDatabaseCapability` `getAutonomousDatabaseCapabilities`	`AUTONOMOUS_DATABASE_INSPECT`
`GetAutonomousDatabaseConsoleToken` `getAutonomousDatabaseConsoleToken`	`AUTONOMOUS_DATABASE_CONTENT_WRITE`
`GetAutonomousDatabase` `getAutonomousDatabase`	`AUTONOMOUS_DATABASE_INSPECT`
`GetAutonomousDatabaseRegionalWallet` `getAutonomousDatabaseRegionalWallet`	`AUTONOMOUS_DATABASE_CONTENT_READ`
`GetAutonomousDatabaseWallet` `getAutonomousDatabaseWallet`	`AUTONOMOUS_DATABASE_CONTENT_READ`
`GetKeyDetail` `getDatabaseKeyDetails`	N/A
`ListAutonomousDatabaseBackups` `listAutonomousDatabaseBackups`	`AUTONOMOUS_DB_BACKUP_INSPECT`
`ListAutonomousDatabaseClones` `listAutonomousDatabaseClones`	`AUTONOMOUS_DATABASE_INSPECT`
`ListAutonomousDatabasePeers`	`AUTONOMOUS_DATABASE_INSPECT`
`ListAutonomousDatabaseRefreshableClones` `ListAutonomousDatabaseRefreshableClones`	`AUTONOMOUS_DATABASE_INSPECT`
`ListAutonomousDatabases` `ListAutonomousDatabases`	`AUTONOMOUS_DATABASE_INSPECT`
`RegisterAutonomousDatabaseDataSafe` `updateAutonomousDatabase`	`AUTONOMOUS_DATABASE_UPDATE`
`ResourcePoolShapes`	`AUTONOMOUS_DATABASE_INSPECT`
`RestartAutonomousDatabase` `restartAutonomousDatabase`	`AUTONOMOUS_DATABASE_UPDATE`
`RestoreAutonomousDatabase` `restoreAutonomousDatabase`	`AUTONOMOUS_DB_BACKUP_INSPECT` `AUTONOMOUS_DB_BACKUP_CONTENT_READ` `AUTONOMOUS_DATABASE_CONTENT_WRITE`
`RetrieveDatabasePerformanceBulkData` `retrieveAutonomousDatabasePerformanceBulkData`	`AUTONOMOUS_DATABASE_CONTENT_READ`
`RotateAutonomousDatabaseEncryptionKey` `rotateDatabaseEncryptionKey`	`AUTONOMOUS_DATABASE_UPDATE`
`SaasAdminUserStatus`
`ShrinkAutonomousDatabase` `shrinkAutonomousDatabase`	`AUTONOMOUS_DATABASE_UPDATE`
`StartAutonomousDatabase` `startAutonomousDatabase`	`AUTONOMOUS_DATABASE_UPDATE`
`StopAutonomousDatabase` `stopAutonomousDatabase`	`AUTONOMOUS_DATABASE_UPDATE`
`SwitchOverAutonomousDatabase` `switchoverAutonomousDatabase`	`AUTONOMOUS_DATABASE_UPDATE`
`UpdateAutonomousDatabaseBackup` `updateAutonomousDatabaseBackup`	`AUTONOMOUS_DB_BACKUP_UPDATE`
`UpdateAutonomousDatabaseRegionalWallet` `updateAutonomousDatabaseRegionalWallet`	`AUTONOMOUS_DATABASE_UPDATE`
`UpdateAutonomousDatabase` `updateAutonomousDatabase`	考えられる3つのケース: 「ワークロード」が`NULL`の場合: `AUTONOMOUS_DATABASE_UPDATE` ワークロードがNULLでない場合: `AUTONOMOUS_DATABASE_CREATE` `AUTONOMOUS_DATABASE_UPDATE` タグ付けが有効な場合: `AUTONOMOUS_DATABASE_UPDATE` `AUTONOMOUS_DATABASE_INSPECT`
`UpdateAutonomousDatabaseWallet` `updateAutonomousDatabaseWallet`	`AUTONOMOUS_DATABASE_UPDATE`

クローニング権限

Autonomous Databaseでは、一般的なIAM権限がサポートされています。また、次の表に示すように、サポートされている権限値でtarget.autonomous-database.cloneTypeを使用してアクセスのレベルを制御できます。

target.autonomous-database.cloneType値	説明
`CLONE-FULL`	フルクローンのみを許可します。
`CLONE-METADATA`	メタデータ・クローンのみを許可します。
`CLONE-REFRESHABLE`	リフレッシュ可能クローンのみを許可します。
`/CLONE*/`	任意の種類のクローンを許可します。

サポートされているtarget.autonomous-database.cloneType権限値を持つポリシーの例:

Allow group group-name to manage autonomous-databases in compartment id compartment-ocid 
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-FULL'}

Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-METADATA'}

Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-REFRESHABLE'}

Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
    where all {request.permission =  'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = /CLONE*/}

詳細は、権限を参照してください。

親トピック:: Autonomous DatabaseのIAMポリシー

Autonomous Databaseのポリシー詳細

このトピックでは、Autonomous Databaseリソースへのアクセスを制御するポリシーの作成の詳細を説明します。

ポリシーは、個々のコンパートメント内の特定のリソースに対するユーザーのグループのアクセス権の種類を定義します。詳細は、ポリシーの開始を参照してください。

リソース・タイプ

集約リソース・タイプは、すぐ後に続く個別リソース・タイプのリストをカバーします。たとえば、グループにautonomous-database-familyへのアクセスを許可するポリシーを1つ記述することは、autonomous-databases、autonomous-backupsリソース・タイプへのアクセスを付与するグループの4つの個別のポリシーを記述することと同じです。詳細は、リソース・タイプを参照してください。

Autonomous Databaseのリソース・タイプ

集約リソース・タイプ:

autonomous-database-family

個別のリソース・タイプ:

autonomous-databases

autonomous-backups

サポートされている変数

一般的な変数がサポートされています。詳細については、General Variables for All Requestsを参照してください。

また、次の表に示すようにtarget.workloadType変数を使用できます:

target.workloadType値	説明
`OLTP`	オンライン・トランザクション処理(トランザクション処理ワークロードを使用するAutonomous Databasesで使用)。
`DW`	Data Warehouse。Data Warehouseワークロード向けAutonomous Databasesに使用されます。
`AJD`	JSONワークロードを使用するAutonomous Databasesに使用されるAutonomous JSON Database。
`APEX`	Autonomous Database APEXサービスに使用されるAPEXサービス。

target.workloadType変数を使用したポリシーの例:

Allow group ADB-Admins to manage autonomous-databases in tenancy where target.workloadType = 'AJD'

動詞+リソース・タイプの組合せの詳細

アクセス・レベルは、inspect > read > use > manageの順に累積します。表のセルのプラス記号(+)は、そのすぐ上のセルと比較して増分アクセスを示しますが、「追加なし」は増分アクセスを示しません。

たとえば、autonomous-databasesリソース・タイプに対するread動詞には、inspect動詞と同じ権限およびAPI操作に加えてAUTONOMOUS_DATABASE_CONTENT_READ権限も含まれます。read動詞はCreateAutonomousDatabaseBackup操作を部分的にカバーしているため、autonomous-backupsに対する管理権限も必要です。

次の表に、各動詞の対象となる権限およびAPI操作を示します。権限の詳細は、権限を参照してください。

ノート

autAutonomous-database-familyでカバーされるリソース・ファミリを使用して、すべてのAutonomous Databaseワークロード・タイプに関連付けられたデータベース・リソースへのアクセス権を付与できます。

autonomous-databasesリソース・タイプ

動詞	権限	完全にカバーされるAPI	部分的にカバーされるAPI
検査する	`AUTONOMOUS_DATABASE_INSPECT`	`GetAutonomousDatabase, ListAutonomousDatabases`	指定しない
読取り	`INSPECT +` `AUTONOMOUS_DATABASE_CONTENT_READ`	追加なし	`CreateAutonomousDatabaseBackup` (`manage autonomous-backups`も必要)
使用	`READ +` `AUTONOMOUS_DATABASE_CONTENT_WRITE` `AUTONOMOUS_DATABASE_UPDATE`	`UpdateAutonomousDatabase`	`RestoreAutonomousDatabase` (`read autonomous-backups`も必要) `ChangeAutonomousDatabaseCompartment` (`read autonomous-backups`も必要)
管理	`USE +` `AUTONOMOUS_DATABASE_CREATE` `AUTONOMOUS_DATABASE_DELETE`	`CreateAutonomousDatabase`	指定しない

自律型バックアップ

動詞	権限	完全にカバーされるAPI	部分的にカバーされるAPI
検査する	`AUTONOMOUS_DB_BACKUP_INSPECT`	`ListAutonomousDatabaseBackups, GetAutonomousDatabaseBackup`	指定しない
管理	`USE +` `AUTONOMOUS_DB_BACKUP_CREATE` `AUTONOMOUS_DB_BACKUP_DELETE`	`DeleteAutonomousDatabaseBackup`	`CreateAutonomousDatabaseBackup` (`read autonomous-databases`も必要)
読取り	`INSPECT +` `AUTONOMOUS_DB_BACKUP_CONTENT_READ`	追加なし	`RestoreAutonomousDatabase` (`use autonomous-databases`も必要) `ChangeAutonomousDatabaseCompartment` (`use autonomous-databases`も必要)
使用	読む + 追加なし	追加なし	なし

親トピック:: Autonomous DatabaseのIAMポリシー

Autonomous Databasesを管理するためのポリシー

クラウド・ユーザーがAutonomous Databasesで管理操作を実行するために必要なIAMポリシーのリストを提供します。

操作	必要なIAMポリシー
データベースの作成	`manage autonomous-databases` `read autonomous-databases`
データベース・リストの表示	`inspect autonomous-databases`
データベースの詳細の表示	`inspect autonomous-databases`
データベースのADMINユーザーのパスワードの設定	`use autonomous-databases`
データベースのCPUコア数またはストレージのスケーリング	`use autonomous-databases`
データベースの自動スケーリングの有効化または無効化	`use autonomous-databases`
別のコンパートメントへのデータベースの移動	`use autonomous-databases` (データベースの現在のコンパートメントおよび移動先のコンパートメント) `read autonomous-backups`
データベースの停止または起動	`use autonomous-databases`
データベースを再起動します。	`use autonomous-databases`
データベースの手動バックアップ	`read autonomous-databases` `manage autonomous-backups`
データベースをリストアします	`use autonomous-databases` `read autonomous-backups`
データベースのクローニング	`manage autonomous-databases` Autonomous Databaseでの追加のクローニング権限については、Autonomous DatabaseのIAM権限およびAPI操作を参照してください。
データベースの終了	`manage autonomous-databases`

親トピック:: Autonomous DatabaseのIAMポリシー

Oracle Cloud Infrastructureドキュメント

Autonomous DatabaseのIAM権限およびAPI操作

Autonomous Databaseのポリシー詳細

Autonomous Databasesを管理するためのポリシー