Oracle Cloud Infrastructureドキュメント

クロス・テナンシおよびクロスリージョン・クローニング

Autonomous AI Databaseインスタンスは、1つのテナンシ(ソース・テナンシ)から別のテナンシ(宛先テナンシ)にクローニングできます。

親トピック: Autonomous AIデータベース・インスタンスのクローニング、移動またはアップグレード

クロス・テナンシ・クローニングについて

クロス・テナンシ・クローンを作成する場合は、クローンがソース・テナンシと同じリージョンに作成されているか、ソース・テナンシ(クロス・リージョン)とは異なるリージョンに作成されているかを選択できます。

ノート

クロス・テナンシ・クローニング・オプションは、CLIまたはAutonomous AI Database REST APIを使用してのみ使用できます。このオプションは、Oracle Cloud Infrastructure Consoleでは使用できません。

クロス・テナンシ・クローニングについては、次の点に注意してください:

  • クローン・データベースには、フル・クローン、メタデータ・クローンまたはリフレッシュ可能クローンなど、すべてのクローン・タイプがサポートされています。

  • クローンは、ソースのAutonomous AI Databaseインスタンスから、またはバックアップから(最新のバックアップ、指定されたバックアップを使用するか、長期バックアップを選択することで)作成できます。

  • ソースAutonomous AI Databaseインスタンスは、ECPUまたはOCPUコンピュート・モデルのいずれかを使用できます。ワークロード・タイプに応じて、OCPUコンピュート・モデルを使用するソースから、ECPUコンピュート・モデルを使用するクローンにクローニングできます(これは、データ・ウェアハウスおよびトランザクション処理ワークロード・タイプで許可されます)。

  • クローニングされたデータベースは、同じリージョンまたは別のリージョン(クロスリージョン)に存在できます。

  • デフォルトでは、クロス・テナンシ・クローンは、ソース・データベースの暗号化方法(Oracle管理暗号化キーまたは顧客管理暗号化キー)を継承します。

  • ソース・データベースで顧客管理暗号化キーを使用する場合、クローニングされたデータベース上の暗号化キーにはいくつかのオプションがあります。詳細は、「テナンシ間クローニングの暗号化キー・オプション」を参照してください。

クロス・テナンシ・クローニングの前提条件

ソース・データベースが1つのテナンシにあり、クローン・データベースが別のテナンシにあるクロス・テナンシ・クローンを作成するための前提条件について説明します。

コマンドを実行して、宛先テナンシにクロス・テナンシ・クローンを作成する必要があります。クロス・テナンシ・クローンを作成する前に、ソース・テナンシ、クローニングするインスタンスを含むテナンシおよび宛先テナンシでOCI Identity and Access Managementのグループおよびポリシーを定義する必要があります。定義したグループおよびポリシーにより、宛先テナンシにクローンを作成するためのコマンドを実行でき、ソースAutonomous AI Databaseインスタンスが存在するソース・テナンシに宛先テナンシが接続できるようになります。

追加するOCI Identity and Access Managementグループおよびポリシーでは、次のものがサポートされます。

  • ソース・テナンシ内のグループのメンバーを使用すると、宛先テナンシのグループがソース・テナンシ上のソースAutonomous AI Databaseインスタンスにアクセス(読取り)できます。

    ソースAutonomous AI Databaseインスタンスに対する他のアクション(起動、停止、書込み操作など)を許可する必要はありません。

  • 宛先テナンシ内のグループのメンバーは、ソース・テナンシのAutonomous AI Databaseインスタンスをクローン・ソースとして使用して、宛先テナンシにクローンを作成できます。

    宛先テナンシで、グループがソース・テナンシのAutonomous AI Databaseインスタンスを管理できるようにするポリシーも追加します。たとえば、このポリシーにより、グループはクローン・データベースを作成でき、リフレッシュ可能クローンで、ソース・テナンシに接続するコマンド(「リフレッシュ」「切断」など)を実行できます。

クロス・テナンシ・クローンを作成するには、OCI Identity and Access Managementを使用して、必要なグループを作成し、クロス・テナンシ・クローニングを認可するポリシーを定義します:

  1. クローンの作成を許可されるユーザーを含む、宛先テナンシにグループを作成します。
    1. 宛先テナンシで、Oracle Cloud Infrastructure Consoleで「アイデンティティとセキュリティ」をクリックします。
    2. 「アイデンティティ」で、「ドメイン」をクリックし、アイデンティティ・ドメインを選択します(または新しいアイデンティティ・ドメインを作成します)。
    3. 「アイデンティティ・ドメイン名」で、「グループ」をクリックします。
    4. グループを追加するには、「グループの作成」をクリックします。
    5. 「グループの作成」ページで、「名前」と「摘要」を入力します。

      たとえば、DestinationGroupという名前を入力します。

    6. グループの作成ページで、「作成」をクリックします。
    7. グループを保存するには、「作成」をクリックします。
    8. 「グループ」ページで、「ユーザーをグループに割り当てる」をクリックし、グループに追加するユーザーを選択します。
    9. 「追加」をクリックします。
    10. 「グループ」ページで、「グループ情報」タブから、ステップ2で使用するOCIDをコピーします。
  2. ソース・テナンシで、ソースAutonomous AI DatabaseインスタンスのOCI Identity and Access Managementポリシーを定義します。
    1. ソース・テナンシで、Oracle Cloud Infrastructure Consoleで「アイデンティティとセキュリティ」をクリックします。
    2. 「アイデンティティ」で、「ポリシー」をクリックします。
    3. ポリシーを記述するには、「ポリシーの作成」をクリックします。
    4. 「ポリシーの作成」ページで、「名前」と「説明」を入力します。
    5. ポリシーの作成ページで、「手動エディタの表示」を選択します。
    6. ポリシー・ビルダーで、宛先テナンシのグループが、ソース・テナンシのAutonomous AI Databaseインスタンスをクローン・ソースとして使用してクローンを作成できるようにポリシーを追加します。

      たとえば、次の汎用ポリシーを定義します。

      define tenancy DestinationTenancy as ocid1.tenancy.oc1..unique_ID
define group DestinationGroup as ocid1.group.region1..unique_ID
admit group DestinationGroup of tenancy DestinationTenancy to read autonomous-database-family
       in compartment ocid1.compartment.region1..unique_ID 
       where target.id = 'oc1.autonomousdatabase.oc1..unique_ID'

      このポリシーでは、次を指定します:

      • 行1: OCIDは宛先テナンシのOCIDです。これは、クローンを作成するテナンシです。

      • 2行目: OCIDは、クローンを作成するユーザーが属するグループのOCIDです。これは、ステップ1で作成したOCIDです。

      • 行3: 最初のOCIDは、ソース・データベースが存在するコンパートメントのOCIDです。where句の後の2番目のOCIDは、ソースAutonomous AI DatabaseインスタンスのOCIDです。

      ノート

      where句はオプションであり、特定のデータベースへのアクセス権を付与するためのより詳細な方法を提供します。

      たとえば、クロス・テナンシ・クローニングを許可するには、ソース・テナンシで次のポリシーを設定します:

      define tenancy DestinationTenancy as ocid1.tenancy.oc1..aaa_example_rcyx2a
define group DestinationGroup as ocid1.group.oc1..aaa_example_6vctn6xsaq
admit group DestinationGroup of tenancy DestinationTenancy to read autonomous-database-family in compartment 
   ocid1.compartment.region1..bbb_example_rcyx2b where target.id = 'oc1.autonomousdatabase.oc1.aaaabbbbcccc'

      このポリシーは、指定されたコンパートメント(ソース・テナンシ上)の特定のAutonomous AI Databaseインスタンスから読み取れるDestinationTenancyDestinationGroup内のユーザーを指定します。クロス・テナンシ・クローンを作成するには、ソースAutonomous AI Databaseインスタンスでの読取りのみを許可する必要があります。

    7. ポリシーを保存するには、「作成」をクリックします。
  3. 宛先テナンシのポリシーを定義します。
    1. 宛先テナンシで、Oracle Cloud Infrastructure Consoleで「アイデンティティとセキュリティ」をクリックします。
    2. 「アイデンティティ」で、「ポリシー」をクリックします。
    3. ポリシーを記述するには、「ポリシーの作成」をクリックします。
    4. 「ポリシーの作成」ページで、「名前」と「説明」を入力します。
    5. ポリシーの作成ページで、「手動エディタの表示」を選択します。
    6. ポリシー・ビルダーで、ソース・テナンシでAutonomous AI Databaseを管理するためにグループが承認されるようにポリシーを追加します。

      たとえば:

      Define tenancy SourceTenancy as ocid1.tenancy.oc1..unique_ID
Endorse group DestinationGroup to manage autonomous-database-family in tenancy SourceTenancy

      このポリシーでは、次を指定します:

      • 行1: OCIDはソース・テナンシOCIDです。これは、ソースAutonomous AI Databaseインスタンスが存在するテナンシです。

      • 行2: DestinationGroupグループがソース・テナンシ内のAutonomous AIデータベースを管理できることを指定します。

    宛先テナンシのポリシーを定義するためのノート:

    • 次のポリシーの場合:

      Endorse group DestinationGroup to manage autonomous-database-family in tenancy SourceTenancy

      このポリシーにより、グループDestinationGroupは、ソース・テナンシにAutonomous DatabasesおよびAutonomous Databaseクローンを作成できます。クローニング権限を制限して、グループがAutonomous Databasesのみをクローニングできるが、Autonomous Databasesを作成できないようにしたり、特定のタイプのクローン(フル・クローン、メタデータ・クローンまたはリフレッシュ可能クローン)のみを作成する権限をさらに制限できます。詳細および例は、Autonomous AI DatabaseのIAM権限およびAPI操作を参照してください。

    • これらのポリシーが取り消されると、クロス・テナンシ・クローニングは許可されなくなります。

詳細は、ポリシーの開始を参照してください。

クロス・テナンシまたはクロスリージョン・クローンの作成

ソース・データベースとクローン・データベースが同じリージョンにある場合、またはソース・データベースとクローン・データベースが異なるリージョン(クロスリージョン)にある場合に、クロス・テナンシ・クローンを作成するステップを示します。

クロスリージョン・クローニングは、無料層またはAutonomous Database for Developersインスタンスではサポートされていません。

これらのステップでは、フル・クローンまたはメタデータ・クローンの作成について説明します。クロス・テナンシ・リフレッシュ可能クローンの作成の詳細は、クロス・テナンシまたはクロスリージョン・リフレッシュ可能クローンの作成を参照してください。

ノート

クロス・テナンシ・クローニング・オプションは、CLIまたはAutonomous AI Database REST APIを使用してのみ使用できます。このオプションは、Oracle Cloud Infrastructure Consoleでは使用できません。

クロス・テナンシ・クローンを作成するには:

  1. クロス・テナンシ・クローニングを承認するためのOCI Identity and Access Managementポリシーを定義するための前提条件ステップを実行します。

    詳細は、クロス・テナンシ・クローニングの前提条件を参照してください。

  2. クローンを作成するテナンシで、宛先リージョンの宛先テナンシで、CLIを使用するか、有効なクローン・タイプがFULLまたはMETADATAのREST APIをコールして、ソース・データベースが別のテナンシ(ソース・テナンシ)にあるソース・データベースのOCIDを指定します。

    たとえば、CLIでは次のようになります。

    oci db autonomous-database create-from-clone 
      --clone-type metadata 
      --compartment-id ocid1.tenancy.oc1..unique_ID 
      --source-id ocid1.autonomousdatabase.oc1.iad.unique_ID
      --db-name dbnameclone 
      --admin-password password 
      --data-storage-size-in-tbs 1
      --compute-model ECPU 
      --compute-count 4

    詳細は、create-from-cloneを参照してください。

    CreateAutonomousDatabase APIを使用して、クロス・テナンシ・クローンを作成します。

    REST APIの追加情報については、次を参照してください。

バックアップからのクロス・テナンシ・クローンの作成

バックアップからクロス・テナンシ・クローンを作成するステップを示します。

これらのステップでは、フル・クローンまたはメタデータ・クローンの作成について説明します。クロス・テナンシ・リフレッシュ可能クローンの作成の詳細は、クロス・テナンシまたはクロスリージョン・リフレッシュ可能クローンの作成を参照してください。

ノート

クロス・テナンシ・クローニング・オプションは、CLIまたはAutonomous AI Database REST APIを使用してのみ使用できます。このオプションは、Oracle Cloud Infrastructure Consoleでは使用できません。

バックアップからクロス・テナンシ・クローンを作成するには:

  1. クロス・テナンシ・クローニングを承認するためのOCI Identity and Access Managementポリシーを定義するための前提条件ステップを実行します。

    詳細は、クロス・テナンシ・クローニングの前提条件を参照してください。

  2. クローンを作成するテナンシで、宛先リージョンの宛先テナンシで、CLIを使用するか、有効なクローン・タイプFULLまたはMETADATAを使用してREST APIをコールし、ソース・データベースが別のテナンシ(ソース・テナンシ)に存在するバックアップのOCID (ソース・テナンシ)を指定します。
    ノート

    クロス・テナンシのリフレッシュ可能クローンの作成については、クロス・テナンシまたはクロス・リージョンのリフレッシュ可能クローンの作成を参照してください。

    たとえば、CLIでは次のようになります。

    oci db autonomous-database create-from-backup-timestamp 
     --autonomous-database-id ocid1.autonomousdatabase.oc1.iad.anuw_example
     --clone-type full 
     --compartment-id ocid1.tenancy.oc1..fcue4_example
     --admin-password password 
     --compute-model ECPU 
     --compute-count 2 
     --db-name ExampleTest1
     --timestamp 2023-12-15T19:30:00Z 
     --data-storage-size-in-tbs 1

    詳細は、create-from-backup-timestampおよびcreate-from-backup-idを参照してください。

    CreateAutonomousDatabase APIを使用して、既存のAutonomous Databaseのバックアップからクローニングすることで、クロス・テナンシ・クローンを作成します。

    REST APIの詳細は、次を参照してください。

クロス・テナンシのクローニング暗号化キー・オプション

Autonomous AI Databaseには、クロス・テナンシ・クローンの暗号化キーのタイプと場所に関する複数のオプションが用意されています。

クロス・テナンシ・クローニング・オプションは、CLIまたはAutonomous AI Database REST APIを使用してのみ使用できます。このオプションは、Oracle Cloud Infrastructure Consoleでは使用できません。

ノート

デフォルトでは、クロス・テナンシ・クローンは、ソースの暗号化キー方法(Oracle管理暗号化キーまたは顧客管理暗号化キー)を継承します。顧客管理暗号化キーを使用するクロス・テナンシ・クローンを作成するには、クロス・テナンシ・クローンを作成するときに、OCI CLIコマンドに顧客管理暗号化キーの詳細を明示的に含める必要があります。

ソース・データベースで顧客管理暗号化キーを使用する場合、クロス・テナンシ・クローンの作成時に暗号化キーのタイプと場所を指定するための次のオプションがあります:

暗号化キーのクローニング 摘要

ソースと同じキーを使用

クロス・テナンシ・クローンで同じ顧客管理暗号化キー(ソース・データベースのOCI Vaultのキー)を使用する場合は、次のものを作成する必要があります。必要なOracle Cloud Infrastructure Identity and Access Management動的グループおよびポリシーにより、クローンがソース・テナンシの暗号化キーに到達でき、暗号化キーがクロス・テナンシ・クローンと同じリージョンに存在する必要があります。詳細は、データベースとは異なるテナンシでのVaultを使用した顧客管理キーの動的グループおよびポリシーの作成を参照してください。

クローンと同じテナンシのVaultで異なるキーを使用

クロス・テナンシ・クローンで別の顧客管理暗号化キーを使用する場合、クロス・テナンシ・クローンの暗号化キーはクローンのOCI Vaultにありますテナンシでは、必要なOracle Cloud Infrastructure Identity and Access Management動的グループおよびポリシーを作成して、クローンが暗号化キーに到達できるようにし、暗号化キーがクローンと同じリージョンにある必要があります。詳細は、データベースと同じテナンシでのVaultを使用した顧客管理キーの動的グループおよびポリシーの作成を参照してください。

サード・テナンシでのVaultでの異なるキーの使用

別の顧客管理暗号化キーを使用する場合、ソース・データベースのテナンシまたはテナンシのテナンシではない3番目のテナンシのOCI Vaultに暗号化キーが存在するクローン・データベースでは、クローンがリモート・テナンシのOCI Vaultに到達できるように、必要なOracle Cloud Infrastructure Identity and Access Management動的グループおよびポリシーを作成する必要があります。また、OCI Vaultはクローンと同じリージョンに存在する必要があります。詳細は、データベースとは異なるテナンシでのVaultを使用した顧客管理キーの動的グループおよびポリシーの作成を参照してください。

Oracle管理鍵の使用

ソース・データベースで顧客管理暗号化キーが使用されている間に、リモート・クローンでOracle管理キーを使用する場合は、このオプションもサポートされます。

クローニングされたデータベースでリモート・テナンシの顧客管理暗号化キーを使用する場合:

  • 動的グループおよびポリシーが定義されている場合、Oracle Cloud Infrastructure Consoleの「Autonomous AI Databaseの詳細」ページに、暗号化キー名とキーOCIDが表示されます。

  • 動的グループおよびポリシーがない(または無効)場合、またはクローンのテナンシのIAMユーザーにリモート・キーの詳細を表示するための十分な権限がない場合、「Autonomous AI Databaseの詳細」ページに暗号化キー顧客管理キーとして表示されます。

ノート

顧客管理キーを使用したクロス・テナンシ・リフレッシュ可能クローンの作成はサポートされていません。