Exadata Cloud Infrastructureのポリシー詳細
このトピックでは、Exadata Cloud Infrastructureリソースへのアクセスを制御するポリシーの作成の詳細を説明します。
ポリシーの詳細は、「ポリシーの仕組み」を参照してください。
サンプル・ポリシーは、「データベース管理者によるExadata Cloud Infrastructureインスタンスの管理」を参照してください。
- リソース・タイプについて
ポリシーで使用できるリソース・タイプについて学習します。 - Exadata Cloud Serviceインスタンスのリソース・タイプ
- サポートされる変数
ポリシーに条件を追加する場合は、変数を使用します。 - 動詞+リソース・タイプの組合せの詳細
各動詞でカバーされる権限およびAPI操作のリストを確認します。
リソース・タイプについて
ポリシーで使用できるリソース・タイプについて学習します。
集約リソース・タイプは、すぐ後に続く個別リソース・タイプのリストをカバーします。たとえば、あるグループにdatabase-family
へのアクセスを許可するポリシーを記述することは、そのグループに対してcloud-exadata-infrastructures
、cloud-vmclusters
、db-nodes
、db-homes
、databases
、database-software-image
およびbackups
リソース・タイプへのアクセスを付与する個別のポリシーを記述することと同じです。詳細は、リソース・タイプを参照してください。
Exadata Cloud Serviceインスタンスのリソース・タイプ
database-family
cloud-exadata-infrastructures
cloud-vmclusters
db-nodes
db-homes
databases
pluggable-databases
db-backups
application-vips
dbnode-console-connection
サポートされる変数
ポリシーに条件を追加する場合は、変数を使用します。
Exadata Cloud Infrastructureでは、一般的な変数のみがサポートされます。詳細は、「すべてのリクエストの一般的な変数」を参照してください。
関連トピック
動詞+リソース・タイプの組合せの詳細
各動詞でカバーされる権限およびAPI操作のリストを確認します。
詳細は、「権限」、「動詞」および「リソース・タイプ」を参照してください。
- database-familyリソース・タイプ
各動詞のアクセス・レベルを理解します。 - cloud-exadata-infrastructures
cloud-exadata-infrastructures
リソース・タイプの権限およびAPI操作のリストを確認します。 - cloud-vmclusters
cloud-vmclusters
リソース・タイプの権限およびAPI操作のリストを確認します。 - db-nodes
db-nodes
リソース・タイプの権限およびAPI操作のリストを確認します。 - dbnode-console-connection
dbnode-console-connection
リソース・タイプの権限およびAPI操作のリストを確認します。 - db-homes
db-homes
リソース・タイプの権限およびAPI操作のリストを確認します。 - dbServers
dbServers
リソース・タイプの権限およびAPI操作のリストを確認します。 - database-software-images
database-software-images
リソース・タイプの権限およびAPI操作のリストを確認します。 - pluggable-databases (PDB)
pluggable-databases
リソース・タイプの権限およびAPI操作のリストを確認します。 - databases (CDB)
databases
リソース・タイプの権限およびAPI操作のリストを確認します。 - db-backups
db-backups
リソース・タイプの権限およびAPI操作のリストを確認します。 - data-guard-association
data-guard-association
リソース・タイプの権限およびAPI操作のリストを確認します。 - key-stores
key-store
リソース・タイプの権限およびAPI操作のリストを確認します。 - application-vips
application-vips
リソース・タイプの権限およびAPI操作のリストを確認します。 - oneoffPatch
oneoffPatch
リソース・タイプの権限およびAPI操作のリストを確認します。 - API操作ごとに必要な権限
次の表に、Exadata Cloud InfrastructureインスタンスのAPI操作をリソース・タイプ別にグループ化して論理的順序で示します。
database-familyリソース・タイプ
各動詞のアクセス・レベルを理解します。
アクセス・レベルは、inspect
> read
> use
> manage
の順に累積します。表のセルのプラス記号(+)は、そのすぐ上のセルと比較して増分アクセスを示しますが、「追加なし」は増分アクセスを示しません。
たとえば、vmclusters
リソース・タイプに対するread
動詞は、inspect
動詞と比較して、追加の権限またはAPI操作をカバーしていません。ただし、use
動詞は、1つの追加権限を含んでおり、1つの追加操作を全部カバーし、もう1つの追加操作を一部カバーしています。
親トピック: 動詞+リソース・タイプの組合せの詳細
cloud-exadata-infrastructures
cloud-exadata-infrastructures
リソース・タイプの権限およびAPI操作のリストを確認します。
動詞 | 権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
---|---|---|---|
inspect | CLOUD_EXADATA_INFRASTRUCTURE_INSPECT |
|
なし |
read | 増分なし | 増分なし | なし |
use | CLOUD_EXADATA_INFRASTRUCTURE_UPDATE |
増分なし | ChangeCloudExadataInfrastructureCompartment (use cloud-vmclusters, use db-homes, use databases およびinspect db-backups も必要)
|
manage |
USE +
|
UpdateCloudExadataInfrastructure
|
CreateCloudExadataInfrastructure, DeleteCloudExadataInfrastructure, AddStorageCapacityCloudExadataInfrastructure (use cloud-vmclusters も必要)
|
親トピック: 動詞+リソース・タイプの組合せの詳細
cloud-vmclusters
cloud-vmclusters
リソース・タイプの権限およびAPI操作のリストを確認します。
動詞 | 権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
---|---|---|---|
inspect | CLOUD_VM_CLUSTER_INSPECT |
|
なし |
read | 増分なし | 増分なし | なし |
use | CLOUD_VM_CLUSTER_UPDATE |
増分なし | ChangeCloudVmClusterCompartment (use db-homes, use databases およびinspect db-backups も必要)
|
manage |
USE +
|
UpdateCloudVmCluster
|
CreateCloudVmCluster, DeleteCloudVmCluster (両方ともmanage db-homes, manage databases, use vnics およびuse subnets も必要) ; RemoveVmFromCloudVmCluster, AddVmToCloudVmCluster (両方ともuse cloud_exadata_infrastructure_update も必要) |
親トピック: 動詞+リソース・タイプの組合せの詳細
db-nodes
db-nodes
リソース・タイプの権限およびAPI操作のリストを確認します。
Exadata Cloud Infrastructure VMクラスタの場合、データベース・ノードは仮想マシンとも呼ばれます。
動詞 | 権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
---|---|---|---|
inspect |
|
|
なし |
read |
増分なし |
増分なし |
なし |
use | DB_NODE_UPDATE |
UpdateDbNode |
なし |
manage |
USE +
|
|
なし |
親トピック: 動詞+リソース・タイプの組合せの詳細
dbnode-console-connection
dbnode-console-connection
リソース・タイプの権限およびAPI操作のリストを確認します。
動詞 | 権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
---|---|---|---|
inspect |
|
|
なし |
read | 増分なし | 増分なし | なし |
use |
READ +
|
|
なし |
manage |
USE +
|
|
なし |
親トピック: 動詞+リソース・タイプの組合せの詳細
db-homes
db-homes
リソース・タイプの権限およびAPI操作のリストを確認します。
動詞 | 権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
---|---|---|---|
inspect | DB_HOME_INSPECT |
|
なし |
read | 増分なし | 増分なし | なし |
use | DB_HOME_UPDATE |
UpdateDBHome
|
ChangeCloudVmClusterCompartment (use cloud-vmclusters, use databases およびinspect backups も必要)
|
manage |
USE +
|
追加なし |
|
親トピック: 動詞+リソース・タイプの組合せの詳細
dbServers
dbServers
リソース・タイプの権限およびAPI操作のリストを確認します。
表6-5 INSPECT
権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
---|---|---|
|
なし |
|
表6-6 READ
権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
---|---|---|
追加なし |
なし |
なし |
表6-7 USE
権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
---|---|---|
READ +
|
なし |
|
表6-8 MANAGE
権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
---|---|---|
追加なし |
なし |
なし |
親トピック: 動詞+リソース・タイプの組合せの詳細
database-software-images
database-software-images
リソース・タイプの権限およびAPI操作のリストを確認します。
動詞 | 権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
---|---|---|---|
inspect | DB_SOFTWARE_IMG_INSPECT |
|
なし |
read | 追加なし | なし | なし |
use |
READ +
|
|
なし |
manage |
USE +
|
|
なし |
親トピック: 動詞+リソース・タイプの組合せの詳細
pluggable-databases (PDB)
pluggable-databases
リソース・タイプの権限およびAPI操作のリストを確認します。
動詞 | 権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
---|---|---|---|
inspect | PLUGGABLE_DATABASE_INSPECT |
|
|
|
増分なし |
|
|
read |
INSPECT +
|
増分なし |
|
use |
READ +
|
増分なし |
|
|
増分なし |
|
|
|
増分なし |
|
|
manage |
USE +
|
増分なし |
|
|
増分なし |
|
親トピック: 動詞+リソース・タイプの組合せの詳細
databases (CDB)
databases
リソース・タイプの権限およびAPI操作のリストを確認します。
動詞 | 権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
---|---|---|---|
inspect | DATABASE_INSPECT |
|
|
read |
INSPECT+
|
増分なし | 増分なし |
use |
READ +
|
|
|
manage |
USE +
|
増分なし |
|
親トピック: 動詞+リソース・タイプの組合せの詳細
db-backups
db-backups
リソース・タイプの権限およびAPI操作のリストを確認します。
動詞 | 権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
---|---|---|---|
inspect | DB_BACKUP_INSPECT |
|
ChangeCloudVmClusterCompartment (use cloud-vmclusters, use db-homes, およびuse databases も必要)
|
read |
INSPECT +
|
なし | RestoreDatabase (use databases も必要)
|
use | 増分なし | 増分なし | なし |
manage |
USE +
|
DeleteBackup
|
CreateBackup (read databases も必要)
|
親トピック: 動詞+リソース・タイプの組合せの詳細
data-guard-association
data-guard-association
リソース・タイプの権限およびAPI操作のリストを確認します。
表6-9 INSPECT
権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
---|---|---|
|
|
|
表6-10 READ
権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
---|---|---|
増分なし |
増分なし |
増分なし |
表6-11 USE
権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
---|---|---|
READ +
|
|
|
表6-12 MANAGE
権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
---|---|---|
USE +
|
|
なし |
親トピック: 動詞+リソース・タイプの組合せの詳細
key-stores
key-store
リソース・タイプの権限およびAPI操作のリストを確認します。
表6-13 INSPECT
権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
---|---|---|
|
|
|
表6-14 READ
権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
---|---|---|
増分なし |
増分なし |
増分なし |
表6-15 USE
権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
---|---|---|
READ +
|
なし なし なし
|
なし |
表6-16 MANAGE
権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
---|---|---|
USE +
|
|
なし なし なし |
親トピック: 動詞+リソース・タイプの組合せの詳細
アプリケーションVIPS
application-vips
リソース・タイプの権限およびAPI操作のリストを確認します。
動詞 | 権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
---|---|---|---|
inspect | APPLICATION_VIP_INSPECT |
|
なし |
read |
INSPECT + |
増分なし |
なし |
use |
READ + |
増分なし |
なし |
manage |
USE +
|
|
なし |
親トピック: 動詞+リソース・タイプの組合せの詳細
oneoffPatch
oneoffPatch
リソース・タイプの権限およびAPI操作のリストを確認します。
動詞 | 権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
---|---|---|---|
inspect | ONEOFF_PATCH_INSPECT |
|
|
read |
INSPECT + 増分なし |
|
なし |
use |
READ +
|
増分なし |
|
manage |
USE +
|
増分なし |
|
関連トピック
親トピック: 動詞+リソース・タイプの組合せの詳細
API操作ごとに必要な権限
次の表に、Exadata Cloud InfrastructureインスタンスのAPI操作をリソース・タイプ別にグループ化して論理的順序で示します。
データベースAPI操作
権限の詳細は、次を参照してください:
権限。
次の表に、API操作およびAPI操作ごとの権限を示します。
表6-17クラウドExadataインフラストラクチャ・リソース
API操作 | 操作の使用に必要な権限 |
---|---|
ListCloudExadataInfrastructures
|
CLOUD_EXADATA_INFRASTRUCTURE_INSPECT |
GetCloudExadataInfrastructure
|
CLOUD_EXADATA_INFRASTRUCTURE_INSPECT |
CreateCloudExadataInfrastructure
|
CLOUD_EXADATA_INFRASTRUCTURE_CREATE |
UpdateCloudExadataInfrastructure
|
CLOUD_EXADATA_INFRASTRUCTURE_UPDATE |
ChangeCloudExadataInfrastructureCompartment
|
CLOUD_EXADATA_INFRASTRUCTURE_UPDATE |
DeleteCloudExadataInfrastructure
|
CLOUD_EXADATA_INFRASTRUCTURE_DELETE |
AddStorageCapacityCloudExadataInfrastructure |
CLOUD_EXADATA_INFRASTRUCTURE_UPDATE |
表6-18クラウドVMクラスタ
API操作 | 操作の使用に必要な権限 |
---|---|
ListCloudVmClusters
|
CLOUD_VM_CLUSTER_INSPECT |
GetCloudVmCluster |
CLOUD_VM_CLUSTER_INSPECT |
CreateCloudVmCluster |
CLOUD_VM_CLUSTER_CREATE 、CLOUD_EXADATA_INFRASTRUCTURE_UPDATE 、VNIC_CREATE and VNIC_ATTACH およびSUBNET_ATTACH (プライベートDNSが使用される場合に必要: DNS_ZONE_READ 、DNS_RECORD_UPDATE 、DNS_ZONE_CREATE DNS_VIEW_INSPECT )
|
ChangeCloudVmClusterCompartment |
CLOUD_VM_CLUSTER_UPDATE |
UpdateCloudVmCluster |
CLOUD_VM_CLUSTER_UPDATE およびCLOUD_EXADATA_INFRASTRUCTURE_UPDATE |
GetCloudVmClusterIormConfig |
CLOUD_VM_CLUSTER_INSPECT |
UpdateCloudVmClusterIormConfig |
CLOUD_VM_CLUSTER_UPDATE |
DeleteCloudVmCluster |
CLOUD_VM_CLUSTER_DELETE 、CLOUD_EXADATA_INFRASTRUCTURE_UPDATE 、DB_HOME_DELETE 、VNIC_DELETE 、SUBNET_DETACH およびVNIC_DETACH 、および(プライベートDNSが使用されている場合は、DNS_ZONE_READ 、DNS_RECORD_UPDATE 、DNS_ZONE_DELETE )
|
AddVmToCloudVmCluster |
CLOUD_VM_CLUSTER_UPDATE およびCLOUD_EXADATA_INFRASTRUCTURE_UPDATE (プライベートDNSが使用される場合に必要: DNS_ZONE_READ 、DNS_RECORD_UPDATE 、DNS_ZONE_CREATE 、DNS_VIEW_INSPECT )
|
RemoveVmFromCloudVmCluster |
CLOUD_VM_CLUSTER_UPDATE およびCLOUD_EXADATA_INFRASTRUCTURE_UPDATE (プライベートDNSが使用される場合に必要: DNS_ZONE_READ 、DNS_RECORD_UPDATE 、DNS_ZONE_DELETE )
|
表6-19クラウドVMクラスタ・メンテナンス更新および更新履歴
API操作 | 操作の使用に必要な権限 |
---|---|
ListCloudVmClusterUpdates |
CLOUD_VM_CLUSTER_INSPECT |
GetCloudVmClusterUpdate |
CLOUD_VM_CLUSTER_INSPECT |
ListCloudVmClusterUpdateHistoryEntries |
CLOUD_VM_CLUSTER_INSPECT |
GetCloudVmClusterUpdateHistoryEntry |
CLOUD_VM_CLUSTER_INSPECT |
表6-20仮想マシン/ノード
API操作 | 操作の使用に必要な権限 |
---|---|
ListDbNodes |
DB_NODE_INSPECT |
GetDbNode |
DB_NODE_INSPECT |
DbNodeAction |
DB_NODE_POWER_ACTIONS |
表6-21データベース・ホーム
API操作 | 操作の使用に必要な権限 |
---|---|
ListDbHomes |
DB_HOME_INSPECT |
GetDbHome |
DB_HOME_INSPECT |
ListDbHomePatches |
DB_HOME_INSPECT |
ListDbHomePatchHistoryEntries |
DB_HOME_INSPECT |
GetDbHomePatch |
DB_HOME_INSPECT |
GetDbHomePatchHistoryEntry |
DB_HOME_INSPECT |
CreateDbHome |
データベースの自動バックアップを有効にするには、 |
UpdateDbHome |
DB_HOME_UPDATE |
DeleteDbHome |
自動バックアップが有効になっている場合は、 終了時に最終バックアップを実行する場合は、 |
表6-22データベース(CDB)
API操作 | 操作の使用に必要な権限 |
---|---|
ListDatabases |
DATABASE_INSPECT |
GetDatabase |
DATABASE_INSPECT |
CreateDatabase |
自動バックアップを有効にするには、 |
UpdateDatabase |
自動バックアップを有効にするには、 |
DeleteDatabase |
VMクラスタ・リソースを使用する新しいリソース・モデルの場合:
|
enableDatabaseManagement |
DATABASE_INSPECT およびDATABASE_UPDATE |
disableDatabaseManagement |
DATABASE_INSPECT およびDATABASE_UPDATE |
disableDatabaseManagement |
DATABASE_INSPECT およびDATABASE_UPDATE |
表6-23プラガブル・データベース(PBD)
API操作 | 操作の使用に必要な権限 |
---|---|
ListPluggableDatabase |
PLUGGABLE_DATABASE_INSPECT |
GetPluggableDatabase |
PLUGGABLE_DATABASE_INSPECT |
CreatePluggableDatabase |
PLUGGABLE_DATABASE_CREATE 、DATABASE_INSPECT およびDATABASE_UPDATE |
UpdatePluggableDatabase |
PLUGGABLE_DATABASE_INSPECT およびPLUGGABLE_DATABASE_UPDATE |
StartPluggableDatabase |
PLUGGABLE_DATABASE_INSPECT およびPLUGGABLE_DATABASE_UPDATE |
StopPluggableDatabase |
PLUGGABLE_DATABASE_INSPECT およびPLUGGABLE_DATABASE_UPDATE |
DeletePluggableDatabase |
PLUGGABLE_DATABASE_DELETE 、DATABASE_INSPECT およびDATABASE_UPDATE |
LocalClonePluggableDatabase |
PLUGGABLE_DATABASE_INSPECT 、PLUGGABLE_DATABASE_UPDATE 、PLUGGABLE_DATABASE_CONTENT_READ 、PLUGGABLE_DATABASE_CONTENT_WRITE 、PLUGGABLE_DATABASE_CREATE 、DATABASE_INSPECT およびDATABASE_UPDATE |
RemoteClonePluggableDatabase |
PLUGGABLE_DATABASE_INSPECT 、PLUGGABLE_DATABASE_UPDATE 、PLUGGABLE_DATABASE_CONTENT_READ 、PLUGGABLE_DATABASE_CONTENT_WRITE 、PLUGGABLE_DATABASE_CREATE 、DATABASE_INSPECT およびDATABASE_UPDATE |
enableDatabaseManagement |
DATABASE_INSPECT およびDATABASE_UPDATE |
disableDatabaseManagement |
DATABASE_INSPECT およびDATABASE_UPDATE |
disableDatabaseManagement |
DATABASE_INSPECT およびDATABASE_UPDATE |
表6-24システム・シェイプおよびデータベース・バージョン
API操作 | 操作の使用に必要な権限 |
---|---|
ListDbSystemShapes |
(権限不要ですべてのユーザーが使用可能) |
ListDbVersions |
(権限不要ですべてのユーザーが使用可能) |
表6-25 Oracle Data Guardアソシエーション
API操作 | 操作の使用に必要な権限 |
---|---|
GetDataGuardAssociation |
DATABASE_INSPECT |
ListDataGuardAssociations |
DATABASE_INSPECT |
CreateDataGuardAssociation |
DB_SYSTEM_UPDATE 、DB_HOME_CREATE 、DB_HOME_UPDATE 、DATABASE_CREATE およびDATABASE_UPDATE |
SwitchoverDataGuardAssociation |
DATABASE_UPDATE |
FailoverDataGuardAssociation |
DATABASE_UPDATE |
ReinstateDataGuardAssociation |
DATABASE_UPDATE |
表6-26バックアップおよびデータベース・リストア
API操作 | 操作の使用に必要な権限 |
---|---|
GetBackup |
DB_BACKUP_INSPECT |
ListBackups |
DB_BACKUP_INSPECT |
CreateBackup |
DB_BACKUP_CREATE およびDATABASE_CONTENT_READ |
DeleteBackup |
DB_BACKUP_DELETE およびDB_BACKUP_INSPECT |
RestoreDatabase |
DB_BACKUP_INSPECT 、DB_BACKUP_CONTENT_READ およびDATABASE_CONTENT_WRITE |
表6-27アプリケーションVIP
API操作 | 操作の使用に必要な権限 |
---|---|
CreateApplicationVip |
APPLICATION_VIP_CREATE 、CLOUD_VM_CLUSTER_UPDATE 、PRIVATE_IP_CREATE 、PRIVATE_IP_ASSIGN 、VNIC_ASSIGN およびSUBNET_ATTACH |
DeleteApplicationVip |
APPLICATION_VIP_DELETE 、CLOUD_VM_CLUSTER_UPDATE 、PRIVATE_IP_DELETE 、PRIVATE_IP_UNASSIGN 、VNIC_UNASSIGN およびSUBNET_DETACH |
ListApplicationVips |
APPLICATION_VIP_INSPECT |
ListApplicationVips |
APPLICATION_VIP_INSPECT |
表6-28 VMへのシリアル・コンソール・アクセス
API操作 | 操作の使用に必要な権限 |
---|---|
AddVirtualMachineToVmCluster |
VM_CLUSTER_UPDATE およびEXADATA_INFRASTRUCTURE_UPDATE |
RemoveVirtualMachineFromVmCluster |
VM_CLUSTER_UPDATE およびEXADATA_INFRASTRUCTURE_UPDATE |
CreateDbNodeConsoleConnection |
DBNODE_CONSOLE_CONNECTION_CREATE およびDBNODE_CONSOLE_CONNECTION_INSPECT |
GetDbNodeConsoleConnection |
DBNODE_CONSOLE_CONNECTION_INSPECT |
ListDbNodeConsoleConnections |
DBNODE_CONSOLE_CONNECTION_INSPECT |
DeleteDbNodeConsoleConnection |
DBNODE_CONSOLE_CONNECTION_DELETE |
UpdateDbNodeConsoleConnection |
DBNODE_CONSOLE_CONNECTION_UPDATE |
UpdateDbNode |
DB_NODE_UPDATE |
親トピック: 動詞+リソース・タイプの組合せの詳細