リソース・プリンシパルを使用したOracle Cloud Infrastructureリソースへのアクセス
Oracle Cloud Infrastructureリソース・プリンシパルは、Autonomous Databaseで使用できます。ユーザーまたはテナンシ管理者は、Oracle Cloud Infrastructureポリシー、およびリソース・プリンシパルを使用してOracle Cloud Infrastructureリソースにアクセスできる動的グループを定義します。資格証明オブジェクトを作成する必要はなく、Autonomous Databaseによって、指定したOracle Cloud Infrastructureリソースへのアクセスに使用するリソース・プリンシパル資格証明が作成および保護されます。
- リソース・プリンシパルを使用したOracle Cloud Infrastructureリソースへのアクセスについて
リソース・プリンシパルを使用して、Oracle Cloud Infrastructureリソースを認証およびアクセスできます。 - Autonomous Databaseでリソース・プリンシパルを使用するための前提条件の実行
リソース・プリンシパルを使用してOracle Cloud Infrastructureリソースをコールする前に、Oracle Cloud Infrastructureテナンシ管理者は、リソース・プリンシパル権限を定義するOracle Cloud Infrastructureポリシー、動的グループおよびルールを作成する必要があります。 - リソース・プリンシパルのOracle Cloud Infrastructureリソースへのアクセスの有効化
Autonomous Databaseでリソース・プリンシパルを有効にするには、次のステップを実行します。 - Autonomous Databaseでのリソース・プリンシパルの無効化
すべてのAutonomous Databaseユーザーまたは指定したユーザーのリソース・プリンシパルを無効にするステップを示します。 - DBMS_CLOUDでのリソース・プリンシパルの使用
DBMS_CLOUD
コールでリソース・プリンシパル資格証明を指定すると、データベースはOracle Cloud Infrastructureリクエストを認証し、データベースはOracle Cloud Infrastructureリソースにアクセスするための資格証明を提供します。
親トピック: リソースにアクセスするためのポリシーとロールの構成
リソース・プリンシパルを使用したOracle Cloud Infrastructureリソースへのアクセスについて
リソース・プリンシパルを使用して、Oracle Cloud Infrastructureリソースを認証し、これにアクセスできます。
リソース・プリンシパルは、データベースが他のOracle Cloud Infrastructureサービスに対して自身を認証できるようにする一時セッション・トークンおよびセキュアな資格証明で構成されます。リソース・プリンシパルを使用してサービスにアクセスすると、Autonomous Databaseの資格証明とともに格納されたトークンは、動的グループがアクセス権を付与されているリソースに対してのみ有効です。
リソース・プリンシパルを使用するには、ユーザーまたはテナンシ管理者が、Oracle Cloud Infrastructureポリシー、およびリソース・プリンシパルを使用してOracle Cloud Infrastructureリソースにアクセスできる動的グループを定義します。資格証明オブジェクトを作成する必要はなく、Autonomous Databaseによって、指定したOracle Cloud Infrastructureリソースへのアクセスに使用するリソース・プリンシパル資格証明が作成および保護されます。
たとえば、Autonomous Databaseの使用中に、Oracle Cloud Infrastructureリソースを使用して次を実行できます:
- オブジェクト・ストレージ・バケットからデータにアクセスし、データに対してなんらかの操作を実行し、変更したデータをオブジェクト・ストレージ・バケットに書き戻します。
-
ボルト、キーまたはシークレットにアクセスします。
- 作業リクエストをリストするか、作業リクエスト・エラーをリストします。
データベースを操作する場合、データベース・ユーザーとして認証し、データベースにアクセスします。Autonomous DatabaseユーザーにはOracle Cloud Infrastructure Identity and Access Management (IAM)アイデンティティがないため、Autonomous Databaseユーザーとして、データベース資格証明を使用してOracle Cloud Infrastructureサービスにアクセスすることはできません。リソース・プリンシパルがない場合は、Oracle Cloud Infrastructureリソースにアクセスするには資格証明を取得し、Autonomous Databaseからリソースにアクセスするための資格証明オブジェクトを作成する必要があります。
リソース・プリンシパルを使用すると、リソースを認可してOracle Cloud Infrastructureサービスに対するアクションを実行できます。各リソースには独自のアイデンティティがあり、リソースは、追加された証明書を使用して認証します。これらの証明書は自動的に作成され、リソースに割り当てられ、ローテーションされるため、リソースにアクセスするために独自の資格証明を作成および管理する必要はありません。
Autonomous Databaseでは、リソース・プリンシパルを使用して、次のインタフェースでOracle Cloud Infrastructure APIに対して認証できます:
- 資格証明引数を取る
DBMS_CLOUD
プロシージャおよびファンクション - Oracle Cloud Infrastructure PL/SQL SDK API
リソース・プリンシパルを使用して認証する場合、Autonomous Databaseでは、Oracle Cloud Infrastructureリソースにアクセスするためのセキュアな方法が提供されます。
Autonomous Databaseでリソース・プリンシパルを設定するには、いくつかのステップが必要です:
-
Oracle Cloud Infrastructureインフラストラクチャ・アイデンティティおよびアクセス管理(IAM)ポリシーを定義する必要があります。詳細は、Autonomous Databaseでリソース・プリンシパルを使用するための前提条件の実行を参照してください。
-
ADMINユーザーのリソース・プリンシパルの有効化、およびオプションでデータベース・ユーザーのリソース・プリンシパルの有効化が必要です。詳細は、Oracle Cloud Infrastructureリソースにアクセスするためのリソース・プリンシパルの有効化を参照してください。
リソース・プリンシパルを使用して認証する場合、Oracle Cloud Infrastructureリソースにアクセスするための資格証明を作成および管理する必要はありません。Autonomous Databaseにより、リソース・プリンシパルが使用可能になり、リソース・プリンシパルが自動的に保護されます。
Autonomous Databaseでリソース・プリンシパルを使用するための前提条件の実行
リソース・プリンシパルを使用してOracle Cloud Infrastructureリソースをコールする前に、Oracle Cloud Infrastructureテナンシ管理者は、リソース・プリンシパル権限を定義するOracle Cloud Infrastructureポリシー、動的グループおよびルールを作成する必要があります。
Autonomous Databaseでリソース・プリンシパルを使用する前に、次のステップを実行します:
Oracle Cloud Infrastructureリソースにアクセスするためのリソース・プリンシパルの有効化
Autonomous Databaseでリソース・プリンシパルを有効にするには、次のステップを実行します。
前提条件として、動的グループおよびポリシーを構成します。詳細は、Autonomous Databaseでリソース・プリンシパルを使用するための前提条件の実行を参照してください。
Autonomous Databaseでリソース・プリンシパルを有効にするには:
Autonomous Databaseインスタンスでリソース・プリンシパルを有効にすることは、1回かぎりの操作です。DBMS_CLOUD_ADMIN.DISABLE_RESOURCE_PRINCIPAL
を実行してリソース・プリンシパルを無効にしないかぎり、リソース・プリンシパルを再度有効にする必要はありません。
Autonomous Databaseでのリソース・Principalの無効化
すべてのAutonomous Databaseユーザーまたは指定したユーザーのリソース・プリンシパルを無効にするステップを示します。
指定したデータベース・ユーザーのリソース・プリンシパル資格証明へのアクセスを削除するには、username
パラメータを含めます。これにより、指定されたユーザーによるOCI$RESOURCE_PRINCIPAL
資格証明へのアクセスが拒否されます。
次に例を示します。
EXEC DBMS_CLOUD_ADMIN.DISABLE_RESOURCE_PRINCIPAL
(username => 'ADB_USER');
詳細は、DISABLE_RESOURCE_PRINCIPALプロシージャを参照してください。
リソース・プリンシパルとDBMS_CLOUDの使用
DBMS_CLOUD
コールでリソース・プリンシパル資格証明を指定すると、データベースはOracle Cloud Infrastructureリクエストを認証し、データベースはOracle Cloud Infrastructureリソースにアクセスするための資格証明を提供します。
まだ実行していない場合は、必要な前提条件ステップを実行します:
-
Oracle Cloud Infrastructureリソースへのアクセスは、Oracle Cloud Infrastructureポリシーおよび動的グループで設定した動的グループ・ルールおよびポリシーによって異なります。詳細は、Autonomous Databaseでリソース・プリンシパルを使用するための前提条件の実行を参照してください。
-
動的グループおよびポリシーを定義したら、ADMINスキーマまたは別のスキーマがリソース・プリンシパルを使用できるようにします。詳細は、Oracle Cloud Infrastructureリソースにアクセスするためのリソース・プリンシパルの有効化を参照してください。
リソース・プリンシパル資格証明でDBMS_CLOUD
プロシージャを使用するには:
オブジェクト・ストレージへのアクセスに必要なステップを比較する場合(資格証明の作成および既存表へのデータのコピーを参照)、システム定義のOCI$RESOURCE_PRINCIPAL
資格証明を使用しているため、リソース・プリンシパルを使用する場合、ステップ1の資格証明の作成は必要ありません。