Autonomous DatabaseでのIAMユーザーの追加

IAMユーザーを追加してAutonomous Databaseへのアクセスを許可するには、データベース・グローバル・ユーザーをCREATE USERまたはALTER USER文(IDENTIFIED GLOBALLY AS句を使用)でIAMグループまたはユーザーにマップします。

IAMユーザーのAutonomous Databaseインスタンスへの認可は、IAMグローバル・ユーザー(スキーマ)をIAMユーザー(排他的マッピング)またはIAMグループ(共有スキーマ・マッピング)にマップすることで機能します。

Autonomous DatabaseインスタンスでIAMユーザーを認可するには:

  1. IAMの使用が有効になっているデータベースにADMINユーザーとしてログインします(ADMINユーザーには、このステップに必要なCREATE USERおよびALTER USERシステム権限があります)。
  2. CREATE USERまたはALTER USER文を使用してAutonomous Databaseユーザー(スキーマ)間のマッピングを作成し、IAMグループ名を指定してIDENTIFIED GLOBALLY AS句を含めます。

    グローバル・ユーザーをIAMグループにマップするには、次の構文を使用します:

    CREATE USER global_user IDENTIFIED GLOBALLY AS 'IAM_GROUP_NAME=IAM_GROUP_NAME';

    たとえば、db_sales_groupという名前のIAMグループをsales_groupという名前の共有データベース・グローバル・ユーザーにマップするには:

    CREATE USER sales_group IDENTIFIED GLOBALLY AS
         'IAM_GROUP_NAME=db_sales_group';
    

    これにより、共有グローバル・ユーザー・マッピングが作成されます。グローバル・ユーザーsales_groupを使用したマッピングは、IAMグループ内のすべてのユーザーに対して有効です。したがって、db_sales_groupのユーザーは、IAM資格証明を使用してデータベースにログインできます(sales_groupグローバル・ユーザーの共有マッピングを使用)。

    次の例は、非デフォルト・ドメインでこれを実現する方法を示しています。

    CREATE USER shared_sales_schema IDENTIFIED GLOBALLY AS
         'IAM_GROUP_NAME=sales_domain/db_sales_group';
  3. 他のIAMグループまたはユーザーの追加のグローバル・ユーザー・マッピングを作成する場合は、各IAMグループまたはユーザーについて次のステップに従います。
ノート

IDENTIFIED GLOBALLYではないデータベース・ユーザーは、IAM認証に対してAutonomous Databaseが有効になっている場合でも、以前と同じようにログインできます。

ローカルIAMユーザーをOracle Databaseグローバル・ユーザーに排他的にマップするには:

  1. IAMの使用が有効になっているデータベースにADMINユーザーとしてログインします(ADMINユーザーには、このステップに必要なCREATE USERおよびALTER USERシステム権限があります)。

  2. CREATE USERまたはALTER USER文を使用してAutonomous Databaseユーザー(スキーマ)間のマッピングを作成し、IAMユーザー名を指定してIDENTIFIED GLOBALLY AS句を含めます。

    たとえば、peter_fitchという名前の新しいデータベース・グローバル・ユーザーを作成し、このユーザーをpeterfitchという名前の既存のローカルIAMユーザーにマップするには:

    CREATE USER peter_fitch IDENTIFIED GLOBALLY AS 'IAM_PRINCIPAL_NAME=peterfitch'

    次の例に、デフォルト以外のドメインsales_domainを指定してユーザーを作成する方法を示します:

    CREATE USER peter_fitch2 IDENTIFIED GLOBALLY AS
    'IAM_PRINCIPAL_NAME=sales_domain/peterfitch';