委任アクセス制御サービスを使用すると、Oracle Exadata Database Service on Cloud@CustomerおよびOracle Exadata Database Service on Dedicated Infrastructureのお客様は、VMおよびデータベースのメンテナンスおよびサポート・サービスをサブスクライブし、サービス・プロバイダへのアクセスを委任し、サービス・プロバイダがVMおよびデータベース・リソースにアクセスできるタイミングを制御できます。

図1-1アクセス制御ワークフローの委任

委任演算子は、VMおよびデータベースがサブスクライブされているサービスのサポート・チームに固有です。使用可能なサービスは次のとおりです。

• Oracle Database Cloudカスタマー・サポート
• Oracle Database Cloudの操作
• Oracle Engineered Systemsのデプロイメントおよびインフラストラクチャのサポート
• DBクラウド・プラットフォームの戦略的顧客プログラム

Delegate Access Controlを使用すると、サポート・プロバイダは、OCIプラットフォーム上に構築された包括的で堅牢なツールを使用して、マネージド・サービスを提供できます。顧客は、サービス・プロバイダの委任者がテナンシの顧客リソースにアクセスできるタイミングと実行できるアクションを制御できます。複数のテナントにまたがるリソースを管理する企業は、Delegate Access Controlを使用して管理タスクを合理化できます。

アクセス制御の委任により、Oracle Exadata Database Service on Cloud@CustomerおよびOracle Exadata Database Service on Dedicated Infrastructureのお客様は、次のことを実行できます。

• 登録されたサポート・プロバイダとともに"委任サブスクリプション"を実行し、お客様が指定した顧客所有リソースを管理できるようにします。これにより、サポート・プロバイダによる効率的で効果的な管理が保証されます。
• 顧客IAMのサポート・プロバイダのアイデンティティを維持することなく、Exadata VMsへのアクセス(SSHおよびAPIを使用)をサポート・プロバイダに委任します。
• すべての委任リソースおよびリソースにアクセスできる特定のサポート・プロバイダを表示します。
• 委任されたリソースにアクセスしたときに、委任のスコープおよびサポート・プロバイダ・オペレータに付与された権限を制御できます。
• サポート・プロバイダ・オペレータが、お客様が定義した委任管理ポリシー外の委任リソースにアクセスできないようにします。
• アクセス期間を事前定義された時間に制限します。
• サポート・プロバイダ・オペレータが委任リソースに対して行ったすべてのアクションを監査します。

アクセス制御の委任により、サポート・プロバイダ・エージェントは次のことを実行できます。

• 顧客のIAMでアイデンティティを維持することなく、委任された顧客所有システム(SSHおよびAPI経由)にアクセスできます。
• 顧客によってサポート・プロバイダに委任されたリソースを確認します。

委任アクセス制御でどのような条件が使用されるかを学習します。

• サブスクライバ:これは、リソースを所有し、リソースの側面の管理をOCIの別のテナントに委任する顧客テナントです。
• サービス・プロバイダ:これは、リソースへのアクセスを委任して一時的な方法で管理するテナントです。サービス・プロバイダには2つのタイプがあります
  1. クラウド・サービス・オペレータ:委任されたリソースにアクセスして問題をトラブルシューティングできます。メンテナンス・アクティビティ中、インフラストラクチャ・コンポーネントに対して実行されるアクションは、仮想マシンで実行されているプロセスに悪影響を及ぼすことがあります。現在、このような問題が発生した場合、Oracleはサポート担当者を通じて電子メール(または別の通信形式)で顧客に通知する必要があります。この連絡はプロセスに時間がかかり、問題解決が1日以上遅れる可能性があります。

     このプロセスを迅速化するために、オペレータ・アクセス・コントロールに似たワークフローを実装できます。これにより、クラウド・サービス・オペレータは顧客のVMに対するアクセス・リクエストを送信できます。このワークフローを通じて付与されるアクセスは、委任の定義済範囲および指定された権限に限定され、オペレータが顧客のデータベースへのアクセスを制限されます。

     オペレータ・アクセス・コントロールの詳細は、Oracleオペレータ・アクセス・コントロールの概要を参照してください。

  2. Oracleサポート事業者: Oracle Support組織は、データベース・ソフトウェアのパッチ適用およびパフォーマンスの問題のトラブルシューティングに関する豊富な専門知識を持っています。マーキーの顧客の多くは、四半期ごとのパッチ適用演習のためにExadata VMへのアクセスを委任することを希望しています。また、Oracle Platinum SupportまたはAdvanced Customer Support(ACS)は、多くの場合、問題のトラブルシューティングのためにオンデマンドで取り組んでいます。
     これらのシナリオでは、ACSエンジニアがさまざまなタスクを実行するために、顧客のVMへのアクセスが必要になることがあります。

     • 四半期ごとのパッチ適用:お客様は、仮想マシン(オペレーティング・システム、またはデータベース、Grid Infrastructure)にパッチを適用する責任をACSエンジニアに委任することがよくあります。
     • オンデマンドのトラブルシューティング:問題が発生した場合、ACSは様々なレベルの権限で顧客のデータベースにアクセスする必要がある場合があります:
       • 低い権限:アクセスは、パフォーマンス関連の問題やその他のデータベースの問題のトラブルシューティングに必要なパフォーマンスおよびデータ・ディクショナリ・ビューに制限されます。
       • 中程度の権限:システム・パッチ適用を実行する機能を含むアクセス。

     この構造化されたアクセスにより、ACSエンジニアは、お客様のセキュリティと運用の境界を尊重しながら、問題に効果的に対処および解決できます。

• 委任サブスクリプション:リソースをプロバイダに委任できるのは、そのプロバイダが提供する公開済サービスに顧客がサブスクライブした後のみです。現在、サポートされているプロバイダは次のとおりです。
  • Oracle Database Cloudカスタマー・サポート
  • Oracle Database Cloudの操作
  • Oracle Engineered Systemsのデプロイメントおよびインフラストラクチャのサポート
  • DBクラウド・プラットフォームの戦略的顧客プログラム
• 委任制御:この制御ポリシーは、委任されたリソースへのアクセスの管理方法を制御します。アクセス権が自動的に付与されるか、特定の承認ワークフローが必要かを決定します。委任コントロールは、少なくとも1つの委任サブスクリプションに関連付ける必要があります。ポリシーには、委任リソースへの次のタイプのアクセスの強制が含まれます。
  • Database Cloud Service APIアクセス
  • SSHアクセス
  • 自動化アクセス
  • オンデマンドのリモートVMレベルのコマンド・アクセス
• 委任リソース:これは、プロバイダがアクセスできる、顧客が設定した委任コントロールによって管理されるリソースです。委任リソースは、1つの委任コントロールにのみ関連付ける必要があります。
• 委任リソース・アクセス・リクエスト:サービス・プロバイダ・オペレータは、委任リソースにアクセスする前にアクセス・リクエストを発行する必要があります。このリクエストは、承認者が承認する必要があります。承認しないと、委任コントロール定義に基づいて自動的に承認されます。アクセス・リクエストは、常にサービス・プロバイダからサブスクライバに対して行われます。
• アクセス・リクエスト承認者:承認者は、サービス・プロバイダ・オペレータによって呼び出されたアクセス・リクエストを承認する権限を持つサブスクライバ・テナンシのユーザーです。アクセス リクエストに追加の承認レベルが必要な場合は、委任コントロールの作成時に設定できます。
• サービス・プロバイダ・アクション(別名)アクション:デリゲート・アクセス制御によって定義される特定のリソースに付与できる、名前付きの事前定義済コマンド、ファイルまたはネットワーク・アクセス権限のセット。

Strategic Customers Program for DB Cloud Platformsは、ExaDB-C@CおよびExaDB-D VMクラスタおよびデータベースのプロアクティブなサービスおよび運用管理を容易にするために設計されたOracle Serviceプロバイダです。

プロセスは、Oracleチームが特定のVMクラスタ・ノード、Grid Infrastructureおよびデータベースに対してDLGT_MGMT_CMD_ACCESSアクションを使用してアクセス・リクエストを開始することから始まります。顧客が委任リソース・アクセス・リクエストを承認すると、OracleチームはAutonomous Health Framework (AHF)を使用して収集アクティビティを実行します。このプロセスは非侵入的で、顧客システムが完全に動作し、影響を受けないようにします。IAMポリシーに準拠することで、最小限の権限でロールベースのアクセス制御を実施し、お客様の環境を保護します。すべてのアクションが記録され、透明性が確保され、詳細な監査が容易になります。

これらのプロアクティブなサービスは、計画されたアクティビティを効果的にサポートするために、Oracleがクライアントのシステムに必要なインサイトを得られるようにします。Oracleは、潜在的な問題を事前に特定することで、クライアントがリスクを軽減し、最適な運用パフォーマンスを維持できるよう支援します。戦略的顧客プログラムでは、共同計画、タイムリーな対応、透明性を重視し、よりスムーズなクライアント運用とより回復力のあるデータベース・インフラストラクチャに貢献しています。

委任アクセス制御を構成および実行するための前提条件を確認します。

• インストールのタイプ: Exadata Database Service on Cloud@Customer (ExaDB-C@C)およびExadata Database Service on Dedicated Infrastructure (ExaDB-D)の顧客VMクラスタ
  ノート
  
  IPv6を使用するサブネットを持つExadata Database Service on Dedicated Infrastructure (ExaDB-D)は、プライベート・エンドポイントの制限によりサポートされません。
• Oracle Exadata System Model: X8以上
• Oracle Databaseバージョン:ログ、バックアップおよび構成制御用のOracle Databaseリリース11.2.0.4以上
• 顧客VMオペレーティング・システム: Oracle Linux 7以上
• サービス・プロバイダ・エンゲージメント:委任アクセス制御サービスで委任サブスクリプションを作成する前に、希望するサービス・プロバイダと契約を結んでサービスをサブスクライブします:
  • Oracle Database Cloudカスタマー・サポート
  • Oracle Database Cloudの操作
  • Oracle Engineered Systemsのデプロイメントおよびインフラストラクチャのサポート
  • DBクラウド・プラットフォームの戦略的顧客プログラム
• 顧客ファイアウォール/ゲートウェイでの許可リスト要件:
  • URL形式: https://dactlhe.exacc.$LONGREGIONNAME.oci.$TOPLEVELDOMAIN

    $LONGREGIONNAMEをOCIリージョン名に置き換えます(たとえば、us-ashburn-1)。

    $TOPLEVELDOMAINをOCIリージョン・ドメインに置き換えます(oraclecloud.comなど)。

    たとえば、ashbhurnリージョンのURL形式はhttps://dactlhe.exacc.us-ashburn-1.oci.oraclecloud.comです

  • 許可するアウトバウンド・ポート: 443
• ExaDB-C@CおよびExaDB-DのVMクラスタへのSSHを許可するネットワーク・セキュリティ・ルール

  ExaDB-C@CとExaDB-Dの両方のVMクラスタのクライアント・サブネットでSSH (ポート22)が許可されていることを確認します。これは、VCNのネットワーク・セキュリティ・グループまたはセキュリティ・リストのいずれかを使用して実行できます。また、VMクラスタに対してゼロ・トラスト・パケット・ルーティング・ポリシーが有効になっている場合は、イングレス方向とエグレス方向の両方でSSHトラフィックが許可されていることを確認します。

  クラウドVMクラスタのクライアント・サブネット内でSSHアクセスを許可するゼロ・トラスト・パケット・ルーティング・ポリシーの例を次に示します:

  • database:Prod-VMClusterは、クラウドVMクラスタのセキュリティ属性キーおよび値を表します。
  • network:vm-cluster-vcnは、VCNのセキュリティ属性キーおよび値を表します。
  • 10.10.1.0/24は、クラウドVMクラスタのクライアント・サブネットのCIDRブロックです。

  in network: vm-cluster-vcn VCN allow '10.10.1.0/24' to connect to database:Prod-VMCluster endpoints with protocol='tcp/22'
  in network: vm-cluster-vcn VCN allow database:Prod-VMCluster endpoints to connect to '10.10.1.0/24' with protocol='tcp/22'
  

  このポリシーにより、指定されたCIDRブロックとVMクラスタの間の双方向SSHトラフィック(ポート22)が保証され、ゼロ・トラスト原則を使用したセキュア・アクセスおよび制限付きアクセスが強制されます。

• ExaDB-C@CおよびExaDB-D VMクラスタが他のOCIサービスに接続できるようにするネットワーク・セキュリティ・ルール

  ExaDB-C@CおよびExaDB-D VMクラスタが、OCI Service Gateway (ポート443)を使用して他のOCIサービスに接続できることを確認します。これは、VCNのネットワーク・セキュリティ・グループまたはセキュリティ・リストのいずれかを使用して実行できます。また、VMクラスタに対してゼロ・トラスト・パケット・ルーティング・ポリシーが有効になっている場合は、イングレス方向とエグレス方向の両方でosn-services-ip-addressesトラフィックが許可されていることを確認します。

  クラウドVMクラスタのクライアント・サブネット内のosn-services-ip-addressesトラフィックを許可するゼロ・トラスト・パケット・ルーティング・ポリシーの例を次に示します:

  • database:Prod-VMClusterは、クラウドVMクラスタのセキュリティ属性キーおよび値を表します。
  • network:vm-cluster-vcnは、VCNのセキュリティ属性キーおよび値を表します。
  • osn-services-ip-addressesは、Oracle Service Network (OSN)のIPアドレスです。

  in network: vm-cluster-vcn VCN allow osn-services-ip-addresses to connect to database:Prod-VMCluster endpoints with protocol='tcp/443'
  in network: vm-cluster-vcn VCN allow database:Prod-VMCluster endpoints to connect to osn-services-ip-addresses with protocol='tcp/443'

  このポリシーにより、OCIサービスとクラウドVMクラスタ間のポート443での双方向トラフィックが明示的に許可され、ゼロ・トラスト原則に沿ってセキュアで制限されたアクセスが強制されます。

• アクセス制御の委任のためのIAMポリシー
  • ExaDB-C@CおよびExaDB-Dの両方に適用可能

    VMクラスタのメンテナンス中に、アクセス・リクエストの承認に遅延が発生する場合があります。委任コントロールの作成時に「メンテナンス・ウィンドウ中のアクセス・リクエストの自動承認」オプションを選択すると、スケジュール済メンテナンス・ウィンドウ中の自動承認によって承認プロセスが高速化されます。サービス・プロバイダ・オペレータがアクセス・リクエストを発行すると、アクセス・コントロールの委任は、VMクラスタがメンテナンス・モードであるかどうか、またはリクエストの自動承認を行わないかどうかを確認する必要があります。

    委任アクセス制御がVMクラスタ、DBホームおよびデータベースのライフサイクル状態、表示名およびコンパートメントIDなどの情報をフェッチできるようにするには、次のポリシーを作成します:

    allow any-user TO inspect database-family IN compartment <your compartment> where ALL {
          request.principal.type='dlgtmgmtdelegationcontrol' }

    <your compartment>は、ExaDB-C@CおよびExaDB-D VMクラスタおよび委任アクセス制御によって管理されるデータベースのコンパートメントです。

    委任アクセス制御は、委任制御の作成時に指定されたONSトピックにOCI通知サービス(ONS)を介してメッセージを顧客に公開する場合があります。

    1. アクセス・リクエストが承認を待機している場合
    2. アクセス・リクエストの期間延長が承認を待機している場合
    3. オペレータがアクセスリクエストに関する詳細情報のリクエストに応答した場合
    委任アクセス制御で、委任制御で指定されたONSトピックにメッセージを公開できるようにするには、次のポリシーを作成します。

    allow any-user TO use ons-topics IN compartment <your compartment> where ALL { request.principal.type='dlgtmgmtdelegationcontrol' }

    <your compartment>は、委任コントロールで指定されたONSトピックのコンパートメントです。

  • ExaDB-Dに適用されます。

    委任アクセス制御は、プライベート・アクセスを介してSSHを使用してクラウドVMクラスタ内の仮想マシンにアクセスします。SSHキー・ペアは、委任制御の作成時に指定された顧客のOCI Vaultで生成されます。その後、SSH公開キーがクラウドVMクラスタに追加されます。

    委任アクセス制御がクラウドVMクラスタ内の仮想マシンのプライベートIPアドレスを読み取ってプライベート・エンドポイントを作成できるようにするには、次のポリシーを作成します:

    allow any-user TO {PRIVATE_IP_READ} IN compartment <your compartment> where ALL { request.principal.type='dlgtmgmtdelegationcontrol' }

    <your compartment>は、クラウドVMクラスタのクライアント・サブネットのコンパートメントです。

    委任アクセス制御によるクラウドVMクラスタ内の仮想マシンへのプライベート・エンドポイントの作成を許可するには、次のポリシーを作成します:

    allow any-user to use virtual-network-family IN compartment <your compartment> where ALL { request.principal.type='dlgtmgmtdelegationcontrol' }

    <your compartment>は、クラウドVMクラスタのクライアント・サブネットのコンパートメントです。

    委任アクセス制御がOCI Vault内のSSHキーを読み取り、クラウドVMクラスタ内の仮想マシンにアクセスできるようにするには、次のポリシーを作成します:

    allow any-user TO read secret-bundles IN compartment <your compartment> where ALL { request.principal.type='dlgtmgmtdelegationcontrol' }

    <your compartment>は、委任制御の作成時に指定されたOCI Vaultのコンパートメントです。

• 顧客ユーザーのIAMポリシー
  すべての委任アクセス制御ユーザーに、<your group>のメンバーとして次の権限を付与する必要があります。

  allow group <your group> to read delegation-management-service-providers in tenancy

  allow group <your group> to read delegation-management-service-provider-actions in tenancy

  allow group <your group> to read delegation-management-work-requests in compartment <your compartment>

  <your compartment>は、委任アクセス制御リソースのコンパートメントです。

  委任サブスクリプションを作成、更新および削除するユーザーは、<your group>のメンバーになることで次の権限を持っている必要があります。

  allow group <your group> to manage delegation-subscriptions in tenancy

  委任サブスクリプションは、特定のコンパートメントにバインドされません。かわりに、ルート・コンパートメントで作成および管理されます。

  委任コントロールを作成、更新および削除するユーザーは、<your group>のメンバーになることで次の権限を持っている必要があります。

  • アクセス制御リソースの委任を管理するには:

    allow group <your group> to manage delegation-controls in compartment <your compartment>

    <your compartment>は、委任コントロールのコンパートメントです。

  • ExaDB-DクラウドVMクラスタの仮想マシンにアクセスするためのSSHキー・ペアをOCI Vaultに作成および格納するには:

    allow group <your group> to manage secret-family in compartment <your compartment>

    <your compartment>は、委任制御で指定されたOCI Vaultのコンパートメントです。

  • ExaDB-C@C VMクラスタおよびExaDB-DクラウドVMクラスタに対するUSE権限を取得するには:

    allow group <your group> to USE database-family in compartment <your compartment>

    <your compartment>は、ExaDB-C@C VMクラスタおよびExaDB-DクラウドVMクラスタのコンパートメントです。

  委任リソース・アクセス・リクエストに関する詳細を承認、却下、取消およびリクエストするユーザーは、<your group>のメンバーとして次の権限を持っている必要があります。

  allow group <your group> to use delegated-resource-access-requests in compartment <your compartment>

  <your compartment>は、関連付けられた委任制御と同じコンパートメントである委任リソース・アクセス・リクエストのコンパートメントです。

サービス・プロバイダ・オペレータが環境で実行できる操作に対する制御の適用について学習します。

• 処理強制とは
  「アクセス・コントロールの委任」のサービス・プロバイダ・アクションによって、コマンドの実行、リソースへのアクセス、システムの状態の変更時にオペレータの権限が制限されます。
• 処置: 仮想マシン・システム診断
  仮想マシン・システム診断(DLGT_MGMT_SYS_DIAGとして識別)を使用すると、サービス・プロバイダは、ログおよび診断ファイルへの読取りアクセス権を持つ顧客のVMクラスタへのSSHアクセスを取得できます。このアクションにより、機密情報、システム構成の変更、システムの再起動、および監査システムへのアクセスが防止されます。
• 処置: 仮想マシン・システムのメンテナンス
  仮想マシン・システムのメンテナンス(DLGT_MGMT_SYS_MAINT_ACCESSとして識別)を使用すると、サービス・プロバイダは、制限された権限でVMクラスタへのSSHアクセスを取得できます。
• 処置: 仮想マシンのフル・アクセス
  仮想マシンへのフル・アクセス(DLGT_MGMT_FULL_ACCESSとして識別)により、サービス・プロバイダは顧客のVMクラスタへの完全なアクセスが可能になります。
• 処置: 仮想マシン・コマンド・アクセス
  仮想マシン・コマンド・アクセス(DLGT_MGMT_CMD_ACCESSとして識別)を使用すると、サービス・プロバイダは、REST APIを使用してVMクラスタに対して事前定義済のコマンド・セットを実行できます。オペレータは、VMクラスタへのSSHアクセスを許可されません。
• 処置: 仮想マシン・ログ・アクセス
  仮想マシン・ログ・アクセス(DLGT_MGMT_LOG_ACCESSとして識別)を使用すると、サービス・プロバイダは、VMクラスタ上のDBaaSツール、データベース・ログおよびトレース・ファイルによって生成されたログを収集できます。
• 処置: Database Cloud Service (DBaaS) APIアクセス
  Database Cloud Service (DBaaS) APIアクセス(DLGT_MGMT_DBAAS_API_ACCESSとして識別)を使用すると、サービス・プロバイダは事前定義されたOCI Database Cloud Service APIのセットにアクセスして、顧客のかわりにパッチ適用やその他のデータベース操作を開始できます。