Oracle Cloud Infrastructureドキュメント

ロールベースのアクセス制御

Oracle Database@Google Cloudリソースへのユーザー・アクセスを制御するには、ロールベースのアクセス制御(RBAC)を使用します。

Oracle Autonomous DatabaseとOracle Exadata Database Serviceの両方にGoogle Cloud RBACを使用して、ユーザー・アクセスを制御します。

次の点に注意してください。

  • Pay as you go(パブリック・オファー)のお客様は、Autonomous Databaseの指示を完了するだけで済みます。
  • Oracle Autonomous DatabaseとExadata Database Serviceの両方をプロビジョニングするプライベート・オファーのお客様は、このトピックの手順の両方を完了する必要があります。それ以外の場合は、使用する予定のデータベース・サービスと一致する一連の指示を完了します。

Oracle Autonomous Databaseのロールベースのアクセス制御の構成

グループ、提示Eメール・アドレスおよびロール割当

次の表に、Autonomous DatabaseのGoogle Cloudグループおよびロールの詳細を示します。表に指定されているGoogle Cloud Groupの電子メール値は推奨値です。ただし、必要に応じて他のグループの電子メール名を使用できます。<email_domain>文字列は、組織の電子メール・ドメインに置き換える必要があります。例: odbg-adbs-db-administrators@example.com

Google Cloudグループ名 Google Cloud Groupの電子メール Google Cloudロール割当 目的
odbg-adbs-db-administrators odbg-adbs-db-administrators@<email_domain> Oracle Database@Google Cloud Autonomous AI Database管理 このグループは、Google CloudのすべてのOracle Autonomous Databaseリソースを管理する必要がある管理者を対象としています。
odbg-adbs-db-readers odbg-adbs-db-readers@<email_domain> Oracle Database@Google Cloud Autonomous AI Database Viewer このグループは、Google CloudのすべてのOracle Autonomous Databaseリソースを表示する必要があるビューア用です。
odbg-db-family-administrators odbg-db-family-administrators@<email_domain> Oracle Database@Google Cloud管理者

このグループは、OCIのすべてのOracle Database Serviceリソースを管理する必要がある管理者を対象としています。

このグループは、オプションのアイデンティティ・フェデレーション・プロセス中にOCIでレプリケートされます。
odbg-db-family-readers odbg-db-family-readers@<email_domain> Oracle Database@Google Cloudビューア

このグループは、OCIのすべてのOracle Databaseリソースを表示する必要があるリーダーを対象としています。

このグループは、オプションのアイデンティティ・フェデレーション・プロセス中にOCIでレプリケートされます。
odbgネットワーク管理者 odbg-network-administrators@<email_domain> 適用不可

このグループは、OCI内のすべてのネットワーク・リソースを管理する必要がある管理者を対象としています。

このグループは、オプションのアイデンティティ・フェデレーション・プロセス中にOCIでレプリケートされます。
odbg-costmgmt- 管理者 odbg-costmgmt-administrators@<email_domain> 適用不可

このグループは、OCIでコストおよび請求リソースを管理する必要がある管理者を対象としています。

このグループは、オプションのアイデンティティ・フェデレーション・プロセス中にOCIでレプリケートされます。
ステップ
  1. URL https://admin.google.com/ac/groupsを使用してGoogle Cloud管理コンソールにサインインします。
    「グループ」リスト・ビュー・ページが表示されます。
  2. 「グループ」リスト・ビュー・ページで、「グループの作成」を選択します。
    IAMグループ・インタフェースを示すGoogle Cloud管理コンソールのイメージです。
  3. 「グループ情報」タブで、作成するグループの次の詳細を入力します。

    このトピックの表の各行について、このタスクのステップを使用してグループを作成します。1つのグループのタスクのステップに従ってそのグループを作成し、表にリストされている追加グループのステップを繰り返します。

    • グループ名:前述の表の「Google Cloudグループ名」の値を使用します。たとえば: odbg-adbs-db-administrators
    • グループEメール:前述の表の「Google CloudグループのEメール」値を使用するか、必要に応じて独自の値を作成できます。例: odbg-adbs-db-administrators@example.com
    • グループの説明:前述の表の「目的」列にある説明を使用できます。たとえば、「このグループは、Google CloudですべてのOracle Autonomous Databaseリソースを管理する必要がある管理者を対象としています」などです。

    情報を入力する前に:

    Google Cloud管理コンソールの「グループの作成」フォームのイメージです。

    情報を入力した後:

    Google Cloud管理コンソールの「グループの作成」フォームのイメージです。
  4. これらの値を入力したら、「次へ」を選択します。
  5. 「グループ設定」タブで、会社のセキュリティのベスト・プラクティスに基づいてアクセス設定を更新し、「CREATE GROUP」を選択します。
    Google Cloud管理コンソールの「グループの作成」ダイアログの「グループ設定」タブのイメージです。
  6. 「別のグループの作成」を選択して、このトピックのグループの表で次のグループの作成を開始します。
    グループが正常に作成された後の「グループの作成」ダイアログのイメージです。
  7. ステップ3から6を繰り返して残りの必要なグループを作成した後、「完了」を選択します。
  8. IAMおよび管理で作成したGoogle Cloudグループにロールを割り当てます: Google Cloudコンソールで「IAMと管理」を検索し、検索結果を選択して、コンソールでこのサービスに移動します。
    Google Cloudコンソールでの「IAMおよび管理」の検索のイメージです。
  9. 「IAMおよび管理」ナビゲーション・メニューで、「IAM」を選択し、「アクセス権の付与」を選択します。
    Google Cloudコンソールの「IAM」セクションの「アクセス権限の付与」画面のイメージです。
  10. 「アクセス権の付与」ダイアログで、このタスクのステップ2から6で作成したグループにロールを割り当てます。

    次のように入力し、「保存」を選択して、このトピックの最初にある表にリストされているすべてのグループにロールを割り当てるまで、このステップを繰り返します。

    • プリンシパルの追加: 「新規プリンシパル」フィールドに、ロールを割り当てるグループのGoogle Cloudグループの電子メールを入力します。前述の表で、グループEメール名の推奨ネーミング・パターンを確認できます。例: odbg-adbs-db-administrators@example.com
    • ロールの割当て: 「ロール」フィールドで、「新規プリンシパル」フィールドに入力したグループEメールに対応する、前述の表に示したGoogleグループのロール割当てを選択します。例: 「Oracle Database@Google Cloud Autonomous AI Database Admin」
    Google Cloud IAMの「アクセスの付与」ダイアログのイメージです。

Oracle Exadata Database Serviceのロールベースのアクセス制御の構成

グループ、提示Eメール・アドレスおよびロール割当

次の表の情報を使用して、Exadata Database Serviceの新しいGoogle Cloudグループおよびロールを作成します。表に指定されているGoogle Cloud Groupの電子メール値は推奨値です。ただし、必要に応じて他のグループの電子メール名を使用できます。<email_domain>文字列は、組織の電子メール・ドメインに置き換える必要があります。たとえば: odbg-adbs-db-administrators@example.com

Google Cloudグループ名 Google Cloud Groupの電子メール Google Cloudロール割当 目的
odbg-exa-infra管理者 odbg-exa-infra-administrators@<email_domain> Oracle Database@Google Cloud Exadataインフラストラクチャ管理 このグループは、Google CloudのすべてのOracle Exadata Database Serviceリソースを管理する必要がある管理者を対象としています。
odbg-exa-infra-readers odbg-exa-infra-readers@<email_domain> Oracle Database@Google Cloud Exadataインフラストラクチャ・ビューア このグループは、Google CloudのすべてのOracle Exadata Database Serviceリソースを表示する必要がある参照者を対象としています
odbg-vm- クラスタ管理者 odbg-vm-cluster-administrators@<email_domain> Oracle Database@Google Cloud VMクラスタ管理 このグループは、Google CloudでVMクラスタ・リソースを管理する必要がある管理者を対象としています。
odbg-vm-cluster-readers odbg-vm-cluster-readers@<email_domain> Oracle Database@Google Cloud VMクラスタ・ビューア このグループは、Google CloudでVMクラスタ・リソースを表示する必要があるビューア用です
odbg-db-family-administrators odbg-db-family-administrators@<email_domain> Oracle Database@Google Cloud管理者

このグループは、OCIのすべてのOracle Database Serviceリソースを管理する必要がある管理者を対象としています。

このグループは、オプションのアイデンティティ・フェデレーション・プロセス中にOCIでレプリケートされます。
odbg-db-family-readers odbg-db-family-readers@<email_domain> Oracle Database@Google Cloudビューア

このグループは、OCIのすべてのOracle Databaseリソースを表示する必要があるリーダーを対象としています。

このグループは、オプションのアイデンティティ・フェデレーション・プロセス中にOCIでレプリケートされます。
odbg-exa-cdb管理者 odbg-exa-cdb-administrators@<email_domain> なし

このグループは、OCI内のすべてのCDBリソースを管理する必要がある管理者を対象としています。

このグループは、オプションのアイデンティティ・フェデレーション・プロセス中にOCIでレプリケートされます。
odbg-exa-pdb管理者 odbg-exa-pdb-administrators@<email_domain> なし

このグループは、OCI内のすべてのPDBリソースを管理する必要がある管理者を対象としています。

このグループは、オプションのアイデンティティ・フェデレーション・プロセス中にOCIでレプリケートされます。
odbgネットワーク管理者 odbg-network-administrators@<email_domain> なし

このグループは、OCI内のすべてのネットワーク・リソースを管理する必要がある管理者を対象としています。

このグループは、オプションのアイデンティティ・フェデレーション・プロセス中にOCIでレプリケートされます。
odbg-costmgmt- 管理者 odbg-costmgmt-administrators@<email_domain> なし

このグループは、OCIでコストおよび請求リソースを管理する必要がある管理者を対象としています。

このグループは、オプションのアイデンティティ・フェデレーション・プロセス中にOCIでレプリケートされます。
ステップ
  1. URL https://admin.google.com/ac/groupsを使用してGoogle Cloud管理コンソールにサインインします。
    「グループ」リスト・ビュー・ページが表示されます。
  2. 「グループ」リスト・ビュー・ページで、「グループの作成」を選択します。
    IAMグループ・インタフェースを示すGoogle Cloud管理コンソールのイメージです。
  3. 「グループ情報」タブで、作成するグループの次の詳細を入力します。

    このトピックの表の各行について、このタスクのステップを使用してグループを作成します。1つのグループのタスクのステップに従ってそのグループを作成し、表にリストされている追加グループのステップを繰り返します。

    • グループ名:前述の表の「Google Cloudグループ名」の値を使用します。たとえば: odbg-exa-infra-administrators
    • グループEメール:前述の表の「Google CloudグループのEメール」値を使用するか、必要に応じて独自の値を作成できます。例: odbg-exa-infra-administrators@example.com
    • グループの説明:前述の表の「目的」列にある説明を使用できます。たとえば、「このグループは、Google CloudのすべてのOracle Exadata Database Serviceリソースを管理する必要がある管理者を対象としています。」などです。

    情報を入力する前に:

    Google Cloud管理コンソールの「グループの作成」フォームのイメージです。

    情報を入力した後:

    Google Cloud管理コンソールの「グループの作成」フォームのイメージです。
  4. これらの値を入力したら、「次へ」を選択します。
  5. 「グループ設定」タブで、会社のセキュリティのベスト・プラクティスに基づいてアクセス設定を更新し、「CREATE GROUP」を選択します。
    Google Cloud管理コンソールの「グループの作成」ダイアログの「グループ設定」タブのイメージです。
  6. 「別のグループの作成」を選択して、このトピックのグループの表で次のグループの作成を開始します。
    グループが正常に作成された後の「グループの作成」ダイアログのイメージです。
  7. ステップ3から6を繰り返して残りの必要なグループを作成した後、「完了」を選択します。
  8. IAMおよび管理で作成したGoogle Cloudグループにロールを割り当てます: Google Cloudコンソールで「IAMと管理」を検索し、検索結果を選択して、コンソールでこのサービスに移動します。
    Google Cloudコンソールでの「IAMおよび管理」の検索のイメージです。
  9. 「IAMおよび管理」ナビゲーション・メニューで、「IAM」を選択し、「アクセス権の付与」を選択します。
    Google Cloudコンソールの「IAM」セクションの「アクセス権限の付与」画面のイメージです。
  10. 「アクセス権の付与」ダイアログで、このタスクのステップ2から6で作成したグループにロールを割り当てます。

    次のように入力し、「保存」を選択して、このトピックの最初にある表にリストされているすべてのグループにロールを割り当てるまで、このステップを繰り返します。

    • プリンシパルの追加: 「新規プリンシパル」フィールドに、ロールを割り当てるグループのGoogle Cloudグループの電子メールを入力します。前述の表で、グループEメール名の推奨ネーミング・パターンを確認できます。例: odbg-adbs-db-administrators@example.com
    • ロールの割当て: 「ロール」フィールドで、「新規プリンシパル」フィールドに入力したグループEメールに対応する、前述の表に示したGoogleグループのロール割当てを選択します。例: 「Oracle Database@Google Cloud Autonomous AI Database Admin」
    Google Cloud IAMの「アクセスの付与」ダイアログのイメージです。

Oracle Exadata Database Service on Exascale Infrastructureのロールベースのアクセス制御の構成

グループ、提示Eメール・アドレスおよびロール割当

次の表の情報を使用して、Oracle Exadata Database Service on Exascale Infrastructureの新しいGoogle Cloudグループおよびロールを作成します。表に指定されているGoogle Cloud Groupの電子メール値は推奨値です。ただし、必要に応じて他のグループの電子メール名を使用できます。<email_domain>文字列は、組織の電子メール・ドメインに置き換える必要があります。例: odbg-adbs-db-administrators@example.com

Google Cloudグループ名 Google Cloud Groupの電子メール Google Cloudロール割当 目的
odbg-exascale-db-storage-vault管理者 odbg-exascale-db-storage-vault-administrators@<email_domain> Oracle Database@Google Cloud Exadata Database Service on Exascaleインフラストラクチャ・ストレージVault管理 このグループは、Google CloudのすべてのOracle Exascale Storage Vaultリソースを管理する必要がある管理者を対象としています。
odbg-exascale-db-storage-vault-readers odbg-exascale-db-storage-vault-readers@<email_domain> Oracle Database@Google Cloud Exadata Database Service on Exascaleインフラストラクチャ・ストレージVaultビューア このグループは、Google CloudのすべてのOracle Exascale Storage Vaultリソースを表示する必要があるビューア用です
odbg-exadb-vm-cluster-administrators odbg-exadb-vm-cluster-administrators@<email_domain> Oracle Database@Google Cloud Exascaleインフラストラクチャ上のExadata Database Service VMクラスタ管理 このグループは、Google CloudでOracle ExaDB VMクラスタ・リソースを管理する必要がある管理者を対象としています。
odbg-exadb-vm-cluster-readers odbg-exadb-vm-cluster-readers@<email_domain> Oracle Database@Google Cloud Exadata Database Service on ExascaleインフラストラクチャVMクラスタ・ビューア このグループは、Google CloudでOracle ExaDB VMクラスタ・リソースを表示する必要があるビューア用です
odbg-db-family-administrators odbg-db-family-administrators@<email_domain> Oracle Database@Google Cloud管理者

このグループは、OCIのすべてのOracle Database Serviceリソースを管理する必要がある管理者を対象としています。

このグループは、オプションのアイデンティティ・フェデレーション・プロセス中にOCIでレプリケートされます。
odbg-db-family-readers odbg-db-family-readers@<email_domain> Oracle Database@Google Cloudビューア

このグループは、OCIのすべてのOracle Databaseリソースを表示する必要があるリーダーを対象としています。

このグループは、オプションのアイデンティティ・フェデレーション・プロセス中にOCIでレプリケートされます。
odbg-exa-cdb管理者 odbg-exa-cdb-administrators@<email_domain> なし

このグループは、OCI内のすべてのCDBリソースを管理する必要がある管理者を対象としています。

このグループは、オプションのアイデンティティ・フェデレーション・プロセス中にOCIでレプリケートされます。
odbg-exa-pdb管理者 odbg-exa-pdb-administrators@<email_domain> なし

このグループは、OCI内のすべてのPDBリソースを管理する必要がある管理者を対象としています。

このグループは、オプションのアイデンティティ・フェデレーション・プロセス中にOCIでレプリケートされます。
odbgネットワーク管理者 odbg-network-administrators@<email_domain> なし

このグループは、OCI内のすべてのネットワーク・リソースを管理する必要がある管理者を対象としています。

このグループは、オプションのアイデンティティ・フェデレーション・プロセス中にOCIでレプリケートされます。
odbg-costmgmt- 管理者 odbg-costmgmt-administrators@<email_domain> なし

このグループは、OCIでコストおよび請求リソースを管理する必要がある管理者を対象としています。

このグループは、オプションのアイデンティティ・フェデレーション・プロセス中にOCIでレプリケートされます。
ステップ
  1. URL https://admin.google.com/ac/groupsを使用してGoogle Cloud管理コンソールにサインインします。
    「グループ」リスト・ビュー・ページが表示されます。
  2. 「グループ」リスト・ビュー・ページで、「グループの作成」を選択します。
    IAMグループ・インタフェースを示すGoogle Cloud管理コンソールのイメージです。
  3. 「グループ情報」タブで、作成するグループの次の詳細を入力します。

    このトピックの表の各行について、このタスクのステップを使用してグループを作成します。1つのグループのタスクのステップに従ってそのグループを作成し、表にリストされている追加グループのステップを繰り返します。

    • グループ名:前述の表の「Google Cloudグループ名」の値を使用します。たとえば: odbg-exa-infra-administrators
    • グループEメール:前述の表の「Google CloudグループのEメール」値を使用するか、必要に応じて独自の値を作成できます。例: odbg-exa-infra-administrators@example.com
    • グループの説明:前述の表の「目的」列にある説明を使用できます。たとえば、「このグループは、Google CloudのすべてのOracle Exadata Database Serviceリソースを管理する必要がある管理者を対象としています。」などです。

    情報を入力する前に:

    Google Cloud管理コンソールの「グループの作成」フォームのイメージです。

    情報を入力した後:

    Google Cloud管理コンソールの「グループの作成」フォームのイメージです。
  4. これらの値を入力したら、「次へ」を選択します。
  5. 「グループ設定」タブで、会社のセキュリティのベスト・プラクティスに基づいてアクセス設定を更新し、「CREATE GROUP」を選択します。
    Google Cloud管理コンソールの「グループの作成」ダイアログの「グループ設定」タブのイメージです。
  6. 「別のグループの作成」を選択して、このトピックのグループの表で次のグループの作成を開始します。
    グループが正常に作成された後の「グループの作成」ダイアログのイメージです。
  7. ステップ3から6を繰り返して残りの必要なグループを作成した後、「完了」を選択します。
  8. IAMおよび管理で作成したGoogle Cloudグループにロールを割り当てます: Google Cloudコンソールで「IAMと管理」を検索し、検索結果を選択して、コンソールでこのサービスに移動します。
    Google Cloudコンソールでの「IAMおよび管理」の検索のイメージです。
  9. 「IAMおよび管理」ナビゲーション・メニューで、「IAM」を選択し、「アクセス権の付与」を選択します。
    Google Cloudコンソールの「IAM」セクションの「アクセス権限の付与」画面のイメージです。
  10. 「アクセス権の付与」ダイアログで、このタスクのステップ2から6で作成したグループにロールを割り当てます。

    次のように入力し、「保存」を選択して、このトピックの最初にある表にリストされているすべてのグループにロールを割り当てるまで、このステップを繰り返します。

    • プリンシパルの追加: 「新規プリンシパル」フィールドに、ロールを割り当てるグループのGoogle Cloudグループの電子メールを入力します。前述の表で、グループEメール名の推奨ネーミング・パターンを確認できます。例: odbg-adbs-db-administrators@example.com
    • ロールの割当て: 「ロール」フィールドで、「新規プリンシパル」フィールドに入力したグループEメールに対応する、前述の表に示したGoogleグループのロール割当てを選択します。例: 「Oracle Database@Google Cloud Autonomous AI Database Admin」
    Google Cloud IAMの「アクセスの付与」ダイアログのイメージです。

OCIマルチクラウド・ポリシー

Google Cloud環境をOracle Database@Google Cloudにオンボードすると、OCIアカウントのリンク・プロセス中に、OCIによって、サービスに必要なマルチクラウド・コンパートメントとOCI Identity and Access Management (IAM)ポリシーが作成されます。これらのリソースは、Oracle Database@Google Cloudのメンテナンスに不可欠です。OCI管理者は、自動的に作成されたこれらのリソースを変更、移動または削除しないでください。

IAMポリシーおよびコンパートメントは、MulticloudLink接頭辞で識別できます。

OCIマルチクラウド・ポリシー
OCIマルチクラウド・コンパートメント

Identity and Access Management (IAM)の拒否ポリシー

OCI IAM Denyポリシーにより、管理者は不要なアクションを明示的にブロックし、セキュリティを強化し、アクセス制御を合理化できます。

OCI IAM Denyポリシーは権限を制限するための強力なツールです。ただし、Oracle Database@Google Cloud内では十分に注意して使用する必要があります。

先頭にMulticloudLinkが付いたIAMポリシーまたはコンパートメントをターゲットにしたり、影響を与える拒否ポリシーは適用しないでください

Oracle Database@Google CloudリソースにDenyポリシーを適用すると、ODBGサービスのOCIとの統合が中断され、重大な運用障害またはサービスの完全な誤動作が発生します。

マルチクラウド関数をロックするテナンシ全体の拒否ポリシーからのリカバリ

Deny any-user to inspect all-resources in tenancyなどのテナンシ全体の拒否ポリシーは、すべてのユーザー・アクセスをブロックしたり、マルチクラウド統合をブロックしたりできます。

回復するには:

ノート

これらのステップでは、Oracle Cloudコンソールを使用します。または、OCI CLIを使用します。CLIコマンドの例:
oci iam policy update --policy-id <policy-id> --statements '["Deny group Interns to inspect all-resources in tenancy"]'
  1. デフォルトの管理者グループのメンバーとしてOracle Cloudコンソールにサインインします(拒否ポリシーを除く)。
  2. ナビゲーション・メニューを開き、「アイデンティティおよびセキュリティ」を選択します。「アイデンティティ」で、「ポリシー」を選択します。
  3. ルート・コンパートメントまたはサブ・コンパートメント(マルチクラウド・コンパートメントなど)の拒否アクションを含むポリシーを識別します。
  4. ポリシーの編集または削除。
    たとえば、問題の原因となっているDenyポリシーを削除します。
  5. ポリシーを更新した場合は、OCI IAMポリシー・シミュレータを使用してテストします。