Example.comを使用したBreak Glassのサンプル・ユース・ケース

製品にAutonomous Databaseを使用しているexample.comという名前のSaaSプロバイダについて考えてみます。通常の操作では、SaaSプロバイダexample.comによって、SaaS顧客ごとにAutonomous Databaseインスタンスが作成されます。このモデルでは、SaaS顧客(たとえば、Scottという名前の顧客)は、example.com製品のエンド・ユーザー(およびデータがAutonomous Databaseインスタンスに格納されるSaaS顧客)です。プロバイダexample.comは、Scottのすべてのデータを作成してAutonomous Databaseインスタンスに格納し、顧客Scottはデータベースに直接アクセスできません。

このSaaSモデルの概要は次のとおりです。

• Autonomous Databaseインスタンスを作成するOracleの顧客は、SaaS組織(example.com)です。

• SaaSプロバイダはexample.comです。

• SaaSの顧客はScottです。

アプリケーションのパフォーマンスに関して問題が発生した場合、またはSaaSオペレーション・チームによるトラブルシューティングを必要とするその他の重要な問題がある場合、顧客Scottは、運用チームがトラブルシューティングのためにScottのデータベースにアクセスできるようにアクセス権を付与できます。SaaSオペレーション・チームは、SaaS定義の承認プロセス(つまり、example.comが顧客であるScottから権限を受け取った後)を介して、ScottのAutonomous Databaseインスタンスへの直接アクセスを確立する権限のみを持ちます。

Break GlassとAutonomous Database SAAS_ADMINユーザー

SaaSが顧客のAutonomous Databaseインスタンスで緊急アクセスAPIを起動すると、SAAS_ADMINユーザーが有効になります。その後、SaaS操作チームは、指定されたロール・セットを持つSAAS_ADMINユーザーを使用して、限られた期間、インスタンスにアクセスできます。

デフォルトでは、SAAS_ADMINユーザーはロックされています。SaaS組織で定義された承認プロセスを使用すると、SAAS_ADMINユーザーを有効にして、Autonomous Databaseインスタンスへのアクセスを許可できます。ブレークガラス名は、ユーザーがアラームをアクティブにする前に小さなガラス窓のペインを壊す必要がある手動の火災報知器から来ています(誤ってアラームがトリガーされないようにするためにガラスを壊す必要があります)。同様に、SAAS_ADMINユーザーは通常、データベースにアクセスせず、アクセスには事前定義済の承認プロセスが必要です。

付与されるアクセスのタイプに応じて、SAAS_ADMINユーザーはデータベースにアクセスして問題を調査したり、緊急イベントやその他の異常なイベントに関連する変更を行うことができます。緊急アクセスが期限切れになった場合、またはアクセスが明示的に無効になっている場合は、SAAS_ADMINアカウントのパスワード/シークレットがただちにローテーションされ、SAAS_ADMINユーザー・アクセスが取り消されます。SAAS_ADMINユーザーが実行するすべてのアクションが監査されます。

SAAS_ADMINユーザーは、次の3つのアクセス・タイプのいずれかで有効になります。

• read-only: インスタンスへの読取り専用アクセスを提供します。これはデフォルトのアクセス・タイプで、デフォルトのロールCREATE SESSION、SELECT ANY TABLE、SELECT ANY DICTIONARY、SELECT_CATALOG_ROLEが含まれます。
• read/write: インスタンスへの読取り/書込みアクセスを提供します。このタイプのデフォルトのロールは、CREATE SESSION、SELECT ANY TABLE、SELECT ANY DICTIONARY、SELECT_CATALOG_ROLE、INSERT ANY TABLEおよびUPDATE ANY TABLEです。
• admin: インスタンスへの管理者アクセスを提供します。このタイプのデフォルトのロールは、CREATE SESSIONおよびPDB_DBAです。

Break Glass API

SAAS_ADMINユーザーは、コマンドライン・インタフェース(CLI)またはAutonomous Database REST APIを使用してのみ有効化および無効化されます。

REST APIおよび署名リクエストの利用の詳細は、REST APIおよびセキュリティ資格証明に関する項を参照してください。

SDKについては、ソフトウェア開発キットとコマンドライン・インタフェースを参照してください。

緊急アクセス操作には、次のAPIを使用します。

• SAAS_ADMINを有効または無効にするには、configureSaasAdminUserを使用します。

• SAAS_ADMINユーザーが有効になっているかどうかを確認するには、getSaasAdminUserStatusを使用します。

Allow group Group_Name to manage autonomous-databases in compartment Compartment_Name

トピック

デフォルトでは、SAAS_ADMINが有効なときにdurationパラメータが設定されていない場合、アクセスは1時間後に期限切れになります。SAAS_ADMINが有効なときにdurationパラメータが設定されている場合、アクセスは指定されたduration時間後に期限切れになります。デフォルトの有効期限または指定した期間に基づいてアクセスを期限切れにするかわりに、configureSaasAdminUserを使用してSAAS_ADMINユーザー・アクセスを明示的に無効にできます。

Allow group Group_Name to manage autonomous-databases in compartment Compartment_Name

SAAS_ADMINユーザーを無効にすると、データベースへのアクセスが取り消され、Autonomous Databaseによって、データベースへのアクセスに使用されたパスワードまたはシークレットがローテーションされます。