Googleサービス・アカウントを使用したGoogle Cloud Platformリソースへのアクセス

Googleサービス・アカウントを使用して、Autonomous DatabaseインスタンスからGoogle Cloud Platform (GCP)リソースにアクセスできます。

Googleサービス・アカウントを使用したGoogle Cloudリソースへのアクセスについて

Autonomous DatabaseでGoogleサービス・アカウント・ベースの認証を使用すると、アプリケーションは、GCPリソースの長期IAMアクセス・キーに基づいて資格証明を作成および保存することなく、Google Cloud Platform (GCP)リソースに安全にアクセスできます。

Googleサービス・アカウントは、アプリケーションによって使用される特殊なGCPアカウントです。Googleサービス・アカウントを使用して、認可されたGCP REST APIコールをアプリケーションから実行できます(サービス・アカウントにIAMロール構成を介したアクセス権限が付与された後)。アプリケーションがGCPサービス・アカウント・ベースの認証でコールを行うと、初期コールはOAuth2.0を介して一時アクセス・トークンを生成します。OAuth2.0アクセス・トークンの有効期間は1時間です。1時間以内の後続のリクエストでは、OAuth2.0アクセス・トークンを使用して、認可されたGCP REST APIコールを行います。

たとえば、Google Cloud StorageからAutonomous Databaseにデータをロードし、データに対してなんらかの操作を実行してから、変更したデータをGoogle Cloud Storageに書き戻すことができます。Google Cloud StorageにアクセスするためのGCPユーザー資格証明がある場合は、サービス・アカウントを使用せずにこれを実行できます。ただし、ロールベースのGoogleサービス・アカウントを使用してAutonomous DatabaseからGCPリソースにアクセスするには、次の利点があります:

  • Autonomous DatabaseインスタンスからGCPリソースにアクセスする必要があるユーザーやスキーマごとに異なるポリシーを使用して、ロールベースのアクセスを作成できます。これにより、ポリシーを設定して、ロール別にリソースへのアクセスを制限できます。たとえば、ロール別の読取り専用アクセスに制限されるポリシーをGoogle Cloud Storageバケットに設定します。
  • Googleサービス・アカウント・ベースの資格証明は、アプリケーションがGCPリソースにアクセスするときにコードに長期的なユーザー資格証明を指定する必要がないため、より優れたセキュリティを提供します。Autonomous Databaseは、Googleサービス・アカウントの一時資格証明を管理するため、GCPリソース・ユーザー資格証明をデータベースに格納する必要はありません。

Googleサービス・アカウントの詳細は、「サービス・アカウント」を参照してください。

Googleサービス・アカウントの有効化とGCPサービス・アカウントの検索

Googleサービス・アカウントでGoogle Cloud Platform (GCP)リソースを使用する前に、Autonomous DatabaseインスタンスのGCPアクセスを有効にする必要があります。

  1. DBMS_CLOUD_ADMIN.ENABLE_PRINCIPAL_AUTHを使用してGoogleサービス・アカウント認証を有効にします。

    たとえば、ADMINユーザーに対してGoogleサービス・アカウント認証を有効にするには:

    BEGIN
        DBMS_CLOUD_ADMIN.ENABLE_PRINCIPAL_AUTH(
            provider => 'GCP' );
    END;
    /

    次のように、ADMIN以外のユーザーadb_userに対してGoogleサービス・アカウント認証を有効にします。

    BEGIN
        DBMS_CLOUD_ADMIN.ENABLE_PRINCIPAL_AUTH(
            provider => 'GCP',
            username => 'adb_user');
    END;
    /

    指定したユーザーに、他のユーザーのGoogleサービス・アカウント認証を有効にする権限を付与する場合は、paramsパラメータのgrant_optionTRUEに設定します。

    BEGIN
        DBMS_CLOUD_ADMIN.ENABLE_PRINCIPAL_AUTH(
            provider => 'GCP',
            username => 'adb_user',
            params   => JSON_OBJECT('grant_option' value TRUE));
    END;
    /

    grant_optionTRUEに設定してDBMS_CLOUD_ADMIN.ENABLE_PRINCIPAL_AUTHを実行した後、adb_userは別のユーザーのGoogleサービス・アカウント認証を有効にできます。たとえば、adb_userとして接続する場合、次のコマンドを実行して、adb_user2のGCPサービス・アカウント・アクセスを有効にできます:

    BEGIN
        DBMS_CLOUD_ADMIN.ENABLE_PRINCIPAL_AUTH(
            provider => 'GCP',
            username => 'adb_user2');
    END;
    /
  2. DBMS_CLOUD_ADMIN.ENABLE_PRINCIPAL_AUTHを実行すると、Googleサービス・アカウントが作成されます。CLOUD_INTEGRATIONSを問い合せて、Autonomous Databaseインスタンスのサービス・アカウントの詳細を取得します。
    SELECT * FROM CLOUD_INTEGRATIONS WHERE param_name = 'gcp_service_account';
    
    PARAM_NAME           PARAM_VALUE
    ---------------------------------------------------------------------------
    gcp_service_account  GCP-SA-22222-32222@gcp-example.iam.gserviceaccount.com
  3. GCPリソースの構成時にこの値を指定する必要があるため、gcp_service_accountパラメータ値に注意してください。

詳細は、ENABLE_PRINCIPAL_AUTHプロシージャを参照してください。

Googleサービス・アカウントへのロールの割当てとGCPリソースへのアクセスの提供

Autonomous DatabaseインスタンスからGoogle Cloud Platform (GCP)リソースを使用するには、ユーザーまたはGoogle Cloud管理者が、アプリケーションがアクセスするGoogleサービス・アカウントにロールおよび権限を割り当てる必要があります。Googleサービス・アカウントにロールを割り当てるだけでなく、Google Cloud管理者を使用するGCPリソースに対してGoogle IAMプリンシパルを追加する必要があります。

前提条件として、まずAutonomous DatabaseインスタンスでGoogleサービス・アカウントを有効にします。詳細については、Enable Google Service Account and Find the GCP Service Account Nameを参照してください。

  1. アカウントのGoogle Cloudコンソールを開きます。
  2. 指定された権限を持つロールを作成します。
    1. ナビゲーション・メニューから、「IAMおよび管理」を選択します。
    2. IAMおよび管理ナビゲータから、「ロール」を選択します。
    3. ロール・ページで、「その他のアクション」をクリックし、「+ CREATE ROLE」を選択します。

    たとえば、オブジェクト・ストア読取りおよび書込みロールを作成して、オブジェクト・ストア・バケットの使用を制御できます。

    gcp_iam_roles_create.pngの説明が続きます
  3. 「ロールの作成」ページで、「+ ADD PERMISSIONS」をクリックします。
    1. フィルタを選択して、権限のリストを制限します。

      たとえば、フィルタ権限: Storage.Objectsを入力して、オブジェクト・ストアの権限のみを表示します。

      gcp_iam_roles_add_permissions.pngの説明が続きます
    2. 「権限の追加」ダイアログで、「追加」をクリックします。
  4. ロールの作成ページで、「CREATE」をクリックします
    gcp_iam_roles_create_assigned.pngの説明が続きます
  5. アクセスするリソースのロールおよびプリンシパルを追加します。

    たとえば、作成したロールオブジェクト・ストア読取り/書込みを使用してGoogle Cloud Storageにアクセスする場合:

    1. ナビゲータから、「クラウド・ストレージ」を選択し、「バケット」を選択します。
    2. 使用するバケットを選択し、「PERMISSIONS」をクリックします。
    3. 「+ ADD PRINCIPAL」をクリックします。
  6. bucketnameへのアクセス権の付与」ダイアログで、選択したリソースのロールおよびプリンシパルを追加します。
    1. 「プリンシパルの追加」で、Autonomous Databaseインスタンスからgcp_service_accountパラメータの値を追加します。
    2. bucketnameへのアクセス権の付与」ダイアログで、「ロールの割当て」の下にロールを入力し、「SAVE」をクリックします。
      gcp_iam_bucket_permissions.pngの説明が続きます

これらのステップを完了すると、ロールとプリンシパルが割り当てられます。これにより、Autonomous Databaseインスタンスで実行されているアプリケーションは、Googleサービス・アカウントを使用してGCPリソースにアクセスできます。

DBMS_CLOUDでのGoogleサービス・アカウントの使用

DBMS_CLOUDをコールしてGoogle Cloud Platform (GCP)リソースにアクセスし、資格証明名をGCP$PAとして指定すると、Google Cloud Platform側の認証はGoogleサービス・アカウントを使用して行われます。

まだ実行していない場合は、前提条件ステップを実行します。

Googleサービス・アカウント認証でDBMS_CLOUDプロシージャまたはファンクションを使用するには:

  1. 資格証明名としてGCP$PAを使用します。
  2. 仮想hosted-styleを使用してGCPリソースにアクセスするためのURIを作成します。

    https://BUCKET_NAME.storage.googleapis.com/OBJECT_NAME

    たとえば、次のようにGoogleサービス・アカウントの資格証明を使用してGoogle Cloud Storageにアクセスできます。

    SELECT * FROM DBMS_CLOUD.LIST_OBJECTS('GCP$PA', 'https://treetypes.storage.googleapis.com/' );
    
    OBJECT_NAME BYTES CHECKSUM                         CREATED LAST_MODIFIED
    ----------- ----- -------------------------------- ------- ------------------------
    trees.txt      58 682075a8c38f5686c32c25c6fb67dcbe         2022-10-05T20:03:55.253Z 
    

詳細は、次を参照してください:

Googleサービス・アカウントの無効化

Google Cloud Platform (GCP)リソースへのGoogleサービス・アカウント・アクセスを無効にするには、DBMS_CLOUD_ADMIN.DISABLE_PRINCIPAL_AUTHを使用します。

provider値がGCPで、usernameADMINユーザー以外のユーザーである場合、プロシージャは指定されたユーザーから権限を取り消します。この場合、ADMINユーザーおよび他のユーザーは、引き続きGCP$PAを使用できます。

たとえば、adb_userの権限を取り消すには:

BEGIN
    DBMS_CLOUD_ADMIN.DISABLE_PRINCIPAL_AUTH(
        provider => 'GCP',
        username => 'adb_user');
END;
/

provider値がGCPで、usernameADMINの場合、プロシージャはAutonomous DatabaseインスタンスでのGoogleサービス・アカウント・アクセスを無効にします。usernameのデフォルト値はADMINです。

次に例を示します。

BEGIN
    DBMS_CLOUD_ADMIN.DISABLE_PRINCIPAL_AUTH(
        provider => 'GCP' );
END;
/

詳細は、DISABLE_PRINCIPAL_AUTHプロシージャを参照してください。

Googleサービス・アカウント・ノート

Googleサービス・アカウントの使用に関するノート。

  • Google Cloud Platform (GCP)の文字制限: DBMS_CLOUDは、Google Cloud Storageバケット名にアクセスするための"_"を含むURIをサポートしていません。Google Cloud Storageバケット名に「_」が含まれている場合、次のエラーが表示されることがあります。

    SELECT * FROM DBMS_CLOUD.LIST_OBJECTS('GCP$PA', 'https://app_bucket.storage.googleapis.com/');
    
    ORA-20006: Unsupported object store URI - https://app_bucket.storage.googleapis.com/
    ORA-06512: at "C##CLOUD$SERVICE.DBMS_CLOUD", line 1306
  • Googleサービス・アカウントを使用したAutonomous Databaseインスタンスのクローニング: Googleサービス・アカウントを有効にしてインスタンスをクローニングする場合、Googleサービス・アカウント構成はクローンに継承されません。クローニングされたインスタンスでGoogleサービス・アカウントを有効にする場合は、クローンでGoogleサービス・アカウントを有効にするステップを実行します。