Autonomous DatabaseのIAMポリシー
Autonomous DatabaseでのAPI操作に必要なIAMポリシーに関する情報を提供します。
Oracle Autonomous Databaseは、IAM (Identity and Access Management)サービスを利用してクラウド・ユーザーを認証し、Oracle Cloud Infrastructureインタフェース(コンソール、REST API、CLIまたはSDK)を使用する操作を実行する権限を付与します。
IAMサービスでは、グループ、コンパートメント,およびポリシーを使用して、どのクラウド・ユーザーがどのリソースにアクセスできるかを制御します。
- Autonomous Databaseのポリシー詳細
このトピックでは、Autonomous Databaseリソースへのアクセスを制御するポリシーの書込みの詳細を説明します。 - Autonomous DatabaseのIAM権限およびAPI操作
このトピックでは、Autonomous Databaseでの操作に使用可能なIAM権限について説明します。 - Autonomous Databaseを管理するためのIAMポリシーでの特定の権限の指定
認可動詞で使用できるIAMポリシーと、より詳細な操作をグループに付与する条件をリストします。
親トピック: セキュリティ
Autonomous Databaseのポリシー詳細
このトピックでは、Autonomous Databaseリソースへのアクセスを制御するポリシーの作成の詳細を説明します。
ポリシーは、個々のコンパートメント内の特定のリソースに対するユーザーのグループのアクセスの種類を定義します。詳細は、ポリシーの開始を参照してください。
リソース・タイプ
集約リソース・タイプは、すぐ後に続く個別リソース・タイプのリストをカバーします。たとえば、グループでautonomous-database-family
にアクセスできるようにするポリシーを1つ記述することは、autonomous-databases
およびautonomous-backups
リソース・タイプへのアクセスを付与するグループの4つの個別のポリシーを作成することと同じです。詳細は、リソース・タイプを参照してください。
集約リソース・タイプ:
autonomous-database-family
個々のリソース・タイプ:
autonomous-databases
autonomous-backups
動詞+リソース・タイプの組合せの詳細
アクセス・レベルは、inspect > read > use > manage
の順に累積します。表のセルのプラス記号(+)は、そのすぐ上のセルと比較して増分アクセスを示しますが、「追加なし」は増分アクセスを示しません。
たとえば、autonomous-databases
リソース・タイプに対するread
動詞には、inspect
動詞と同じ権限およびAPI操作に加えてAUTONOMOUS_DATABASE_CONTENT_READ
権限もも含まれます。read
動詞はCreateAutonomousDatabaseBackup
操作を部分的にカバーしているため、autonomous-backups
に対する管理権限も必要です。
次の表に、各動詞の対象となるアクセス権およびAPI操作を示しています。権限の詳細は、権限を参照してください。
autonomous-database-familyでカバーされるリソース・ファミリを使用すると、すべてのAutonomous Databaseワークロード・タイプに関連付けられたデータベース・リソースへのアクセス権を付与できます。
動詞 | 権限 | 完全に対象となるAPI | 一部カバーされたAPI |
---|---|---|---|
inspect |
|
|
なし |
読取り |
|
|
|
使用 |
|
|
|
管理 |
|
|
なし |
Autonomous Databaseインスタンスを管理するために必要な操作およびIAMポリシーのリスト
工程 | 必要なIAMポリシー |
---|---|
ピア・データベースの追加 |
|
セキュリティ属性の追加 |
|
コンピュート・モデルの変更 |
|
データベース・モードの変更 |
|
ネットワークの変更 |
|
ワークロード・タイプの変更 |
|
Autonomous Databaseのクローニング |
Autonomous Databaseに対する追加のクローニング権限については、Autonomous DatabaseのIAM権限およびAPI操作を参照してください。 |
Autonomous Databaseの作成 |
|
データベース・ツール構成の編集 |
|
開始/停止スケジュールの編集 |
|
エラスティック・プールの有効化 |
|
Autonomous Databaseの自動スケーリングの有効化または無効化 |
|
エラスティック・プールの結合 |
|
顧客連絡先の管理 |
|
暗号化キーの管理 |
|
別のコンパートメントへのAutonomous Databaseの移動 |
データベースの現在のコンパートメントおよび移動先のコンパートメントの
|
Autonomous Databaseの名前変更 |
|
Autonomous Databaseの再起動 |
|
Autonomous Databaseのリストア |
|
Autonomous DatabaseのECPU数またはストレージのスケーリング |
|
ADMINユーザー・パスワードの設定 |
|
Autonomous Databaseの停止または起動 |
|
スイッチオーバー |
|
Autonomous Databaseの終了 |
|
ディザスタ・リカバリの更新 |
|
表示名の更新 |
|
ライセンスとOracle Databaseエディションの更新 |
|
ACLのネットワーク・アクセスの更新 |
|
プライベート・エンドポイントのネットワーク・アクセスの更新 |
|
Autonomous Databasesのリストの表示 |
|
Autonomous Databaseの詳細の表示 |
|
自律バックアップ
動詞 | 権限 | 完全に対象となるAPI | 一部カバーされたAPI |
---|---|---|---|
inspect |
|
|
なし |
管理 |
|
|
|
読取り |
|
余分なし |
|
使用 |
READ + 余分なし |
余分なし |
なし |
サポートされる変数
OCI Identity and Access Managementの一般的な変数はすべてサポートされています。詳細は、すべてのリクエストの一般的な変数を参照してください。
また、次の表に示すように、データベースの作成後にtarget.id
変数をデータベースのOCIDとともに使用し、target.workloadType
変数を値とともに使用できます。
target.workloadType値 | 摘要 |
---|---|
OLTP |
オンライン・トランザクション処理。トランザクション処理ワークロードを使用するAutonomous Databasesに使用されます。 |
DW |
データ・ウェアハウス。データ・ウェアハウス・ワークロードを使用するAutonomous Databasesに使用されます。 |
AJD |
JSONワークロードを使用するAutonomous Databasesに使用されるAutonomous JSON Database。 |
APEX |
Autonomous Database APEXサービスに使用されるAPEXサービス。 |
target.id
変数を使用したポリシーの例:
Allow group ADB-Admins to manage autonomous-databases in tenancy where target.id = 'OCID'
target.workloadType
変数を使用したポリシーの例:
Allow group ADB-Admins to manage autonomous-databases in tenancy where target.workloadType = 'AJD'
親トピック: Autonomous DatabaseのIAMポリシー
Autonomous DatabaseのIAM権限およびAPI操作
このトピックでは、Autonomous Databaseでの操作に使用可能なIAM権限について説明します。
Autonomous DatabaseのIAM権限を次に示します:
-
AUTONOMOUS_DATABASE_CONTENT_READ
-
AUTONOMOUS_DATABASE_CONTENT_WRITE
-
AUTONOMOUS_DATABASE_CREATE
追加のクローニングの制限については、クローニング権限を参照してください。
-
AUTONOMOUS_DATABASE_DELETE
-
AUTONOMOUS_DATABASE_INSPECT
-
AUTONOMOUS_DATABASE_UPDATE
-
AUTONOMOUS_DB_BACKUP_CONTENT_READ
-
AUTONOMOUS_DB_BACKUP_CREATE
-
AUTONOMOUS_DB_BACKUP_INSPECT
-
NETWORK_SECURITY_GROUP_UPDATE_MEMBERS
-
VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP
コンパートメントにAutonomous Databaseを作成する権限を持つグループのポリシーの例:
Allow group group-name to manage autonomous-database in compartment id compartment-ocid
where all{request.permission = 'AUTONOMOUS_DATABASE_UPDATE'}
工程の使用に必要な権限 | API操作 |
---|---|
AUTONOMOUS_DATABASE_CONTENT_READ |
|
AUTONOMOUS_DATABASE_CREATE |
|
AUTONOMOUS_DATABASE_DELETE |
|
AUTONOMOUS_DATABASE_INSPECT |
|
AUTONOMOUS_DATABASE_UPDATE |
|
AUTONOMOUS_DB_BACKUP_INSPECT |
|
AUTONOMOUS_DB_BACKUP_UPDATE |
|
AUTONOMOUS_DB_BACKUP_CREATE
|
|
AUTONOMOUS_DB_BACKUP_INSPECT
|
|
|
|
ソースおよびターゲット・コンパートメントで必須:
プライベート・エンドポイントが有効な場合、ソース・コンパートメントとターゲット・コンパートメントの両方で必要です:
|
|
次の3つのケースがあります。
|
|
changeAutonomousDatabaseSubscription が必要です |
|
|
|
updateSaasAdminUser が必要です |
|
クローニング権限
Autonomous Databaseでは、一般的なIAM権限がサポートされています。さらに、次の表に示すように、サポートされている権限値とともにtarget.autonomous-database.cloneType
を使用してアクセス・レベルを制御できます。
target.autonomous-database.cloneType値 | 摘要 |
---|---|
CLONE-FULL |
フル・クローンのみを許可します。 |
CLONE-METADATA |
メタデータ・クローンのみを許可します。 |
CLONE-REFRESHABLE |
リフレッシュ可能クローンのみを許可します。 |
/CLONE*/ |
任意の種類のクローンを許可します。 |
サポートされているtarget.autonomous-database.cloneType
権限値を持つポリシーの例:
Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
where all {request.permission = 'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-FULL'}
Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
where all {request.permission = 'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-METADATA'}
Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
where all {request.permission = 'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = 'CLONE-REFRESHABLE'}
Allow group group-name to manage autonomous-databases in compartment id compartment-ocid
where all {request.permission = 'AUTONOMOUS_DATABASE_CREATE', target.autonomous-database.cloneType = /CLONE*/}
詳細は、Permissionsを参照してください。
親トピック: Autonomous DatabaseのIAMポリシー
Autonomous Databaseを管理するためのIAMポリシーでの特定の権限の提供
認可動詞で使用できるIAMポリシーと、より詳細な操作をグループに付与する条件をリストします。
たとえば、グループMyGroup
がStartAutonomousDatabase
APIを使用してAutonomous Databasesを起動できるようにするには:
Allow MyGroup to manage autonomous-databases where request.operation = 'StartAutonomousDatabase'
承認動詞リスト |
---|
autonomousDatabaseManualRefresh |
changeAutonomousDatabaseCompartment |
changeAutonomousDatabaseSubscription |
changeDisasterRecoveryConfiguration |
configureAutonomousDatabaseVaultKey |
configureSaasAdminUser |
createAutonomousDatabase |
createAutonomousDatabaseBackup |
deleteAutonomousDatabase |
deleteAutonomousDatabaseBackup |
deregisterAutonomousDatabaseDataSafe |
disableAutonomousDatabaseManagement |
disableAutonomousDatabaseOperationsInsights |
enableAutonomousDatabaseManagement |
enableAutonomousDatabaseOperationsInsights |
failOverAutonomousDatabase |
generateAutonomousDatabaseWallet |
getAutonomousDatabase |
getAutonomousDatabaseBackup |
getAutonomousDatabaseRegionalWallet |
getAutonomousDatabaseWallet |
listAutonomousDatabaseBackups |
listAutonomousDatabaseCharacterSets |
listAutonomousDatabaseClones |
listAutonomousDatabaseMaintenanceWindows |
listAutonomousDatabasePeers |
listAutonomousDatabaseRefreshableClones |
listAutonomousDatabases |
registerAutonomousDatabaseDataSafe |
resourcePoolShapes |
restartAutonomousDatabase |
restoreAutonomousDatabase |
rotateAutonomousDatabaseEncryptionKey |
SaasAdminUserStatus |
shrinkAutonomousDatabase |
startAutonomousDatabase |
stopAutonomousDatabase |
switchoverAutonomousDatabase |
updateAutonomousDatabase |
updateAutonomousDatabaseBackup |
updateAutonomousDatabaseRegionalWallet |
updateAutonomousDatabaseWallet |
認可動詞updateAutonomousDatabase
は、複数のAPI操作を使用するための権限をグループ化します。
工程 |
---|
DeregisterAutonomousDatabaseDataSafe |
DisableAutonomousDatabaseOperationsInsights |
DisableDatabaseManagement |
EnableAutonomousDatabaseOperationsInsights |
RegisterAutonomousDatabaseDataSafe |
たとえば:
Allow MyGroup to manage autonomous-databases where request.operation = 'updateAutonomousDatabase'
親トピック: Autonomous DatabaseのIAMポリシー