Autonomous DatabaseでのIAMロールの追加

オプションで、複数のIAMユーザーが同じ共有グローバル・ユーザーにマップされている場合に、追加のデータベース・ロールおよび権限をIAMユーザーに提供するグローバル・ロールを作成します。

グローバル・ロールの使用は、ユーザー(スキーマ)への排他的なIAMマッピングまたはAutonomous Databaseでの共有ユーザー・マッピングを使用する場合、オプションです。たとえば、すべての権限およびロールを共有スキーマに付与できます。共有スキーマにマップされるすべてのIAMユーザーに、共有スキーマに割り当てられた権限およびロールが付与されます。

グローバル・ロールを使用して、同じ共有スキーマを使用するユーザーを任意に区別できます。たとえば、一連のユーザーがすべて同じ共有スキーマを持ち、共有スキーマにCREATE SESSION権限を設定できます。その後、グローバル・ロールを使用して、すべてのユーザーが同じ共有スキーマを使用する異なるユーザー・グループに異なる権限およびロールを割り当てることができます。

Autonomous DatabaseでIAMユーザーに追加のロールを付与するには、Autonomous Databaseグローバル・ロールをIAMグループにマップします。

Autonomous Databaseグローバル・ロールをIAMグループにマップするには:

  1. IAMの使用が有効になっているデータベースにADMINユーザーとしてログインします(ADMINユーザーには、このステップに必要なCREATE USERおよびALTER USERシステム権限があります)。
  2. CREATE ROLEまたはALTER ROLE文でAutonomous Databaseロールのデータベース認可を設定し、IAMグループ名を指定してIDENTIFIED GLOBALLY AS句を含めます。

    次の構文を使用して、グローバル・ロールをIAMグループにマップします:

    CREATE ROLE global_role IDENTIFIED GLOBALLY AS
        'IAM_GROUP_NAME=IAM_GROUP_of_WHICH_the_IAM_USER_IS_a_MEMBER';

    たとえば、ExporterGroupという名前のIAMグループをexport_roleという名前の共有データベース・グローバル・ロールにマップするには:

    CREATE ROLE export_role IDENTIFIED GLOBALLY AS
         'IAM_GROUP_NAME=ExporterGroup';
    

    次の例に、デフォルト以外のドメインsales_domainを指定してロールを作成する方法を示します:

    CREATE ROLE export_role IDENTIFIED GLOBALLY AS
         'IAM_GROUP_NAME=sales_domain/ExporterGroup';
    

    sales_domainドメイン内のExporterGroupのすべてのメンバーは、データベースにログインするときにデータベース・グローバル・ロールexport_roleで認可されます。

  3. GRANT文を使用して、必要な権限やその他のロールをグローバル・ロールに付与します。
    GRANT CREATE SESSION TO export_role;
    GRANT DWROLE TO export_role;
  4. 既存のデータベース・ロールをIAMグループに関連付ける場合は、ALTER ROLE文を使用して、既存のデータベース・ロールを変更してロールをIAMグループにマップします。次の構文を使用して、既存のデータベース・ロールを変更してIAMグループにマップします:
    ALTER ROLE existing_database_role 
       IDENTIFIED GLOBALLY AS 'IAM_GROUP_NAME=IAM_Group_Name';

他のIAMグループのグローバル・ロール・マッピングを追加する場合は、IAMグループごとに次のステップを実行します。