MySQLデータベース接続の場合
データベース・ツールのポリシーの例
データベース・ツールを使用できる5つの異なるペルソナを次に示します。各ペルソナは、次の表に示すように、付随するOracle Cloud Infrastructureサービスに異なるレベルの管理アクセス権を持つことができます:
表7-8サンプル・ポリシー
| ペルソナ | 仮想ネットワーク・ファミリ | MySQLデータベース・ファミリ | ボールト | キー | シークレット・ファミリ | データベース・ツール・ファミリ | データベース・ツール接続 |
|---|---|---|---|---|---|---|---|
| データベース・ツール管理者 | 管理 | 管理 | 管理 | 管理 | 管理 | 管理 | -- |
| データベース・ツール・マネージャ | 管理 | 読取り | 使用 | 使用 | 管理 | 管理 | -- |
| データベース・ツール接続マネージャ | 使用 | 読取り | 使用 | 使用 | 管理 | 使用 | 管理 |
| 認証済プリンシパル・ユーザーとのデータベース・ツール接続 | -- | 読取り | -- | -- | 読取り | 読取り | 使用 |
| リソース・プリンシパル・ランタイム・アイデンティティを使用したデータベース・ツール接続 | -- | 読取り | -- | -- | -- | 読取り | 使用 |
データベース・ツール管理者
データベース・ツール管理者は、サービスのすべての側面を管理できます。次のポリシーは、特定のコンパートメント内のネットワーキング、ボールト、キー、シークレット、データベースおよびデータベース・ツールの管理に必要な権限を付与します。
<group_name>および<compartment_name>を独自の値に置き換えます。
表7-9データベース・ツール管理者ポリシー
| ポリシー | アクセス・レベル |
|---|---|
|
仮想クラウド・ネットワーク(VCN)、サブネット、仮想ネットワーク・インタフェース・カード、ネットワーク・セキュリティ・グループを管理する |
|
MySQLデータベース・サービスを管理するには |
|
ボルトを管理する |
|
キーを管理する |
|
秘密を管理する |
|
データベース・ツールを管理する |
データベース・ツール・マネージャ
データベース・ツール・マネージャは、ネットワーキング(プライベート・エンドポイントを含む)、シークレットおよびデータベース・ツール接続を管理できますが、Oracle Cloud Infrastructureボールトおよび データベース・サービスへのアクセスは制限されています。
<group_name>および<compartment_name>を独自の値に置き換えます。
表7-10データベース・ツール・マネージャ・ポリシー
| ポリシー | アクセス・レベル |
|---|---|
|
仮想クラウド・ネットワーク(VCN)、サブネット、仮想ネットワーク・インタフェース・カードおよびネットワーク・セキュリティ・グループを使用する |
|
MySQLデータベース・サービスを読み取るには |
|
ボールトを使用する(シークレットの作成など) |
|
キーを使用する(シークレットの作成など) |
|
秘密を管理する |
|
データベース・ツールを管理する |
データベース・ツール接続マネージャ
データベース・ツール接続マネージャは、データベース・サービスへの接続の作成を管理し、他のサービスに対する読取り専用アクセス権を持ちます。
<group_name>および<compartment_name>を独自の値に置き換えます。
ポリシーでwhere句を使用して接続OCIDに基づいてアクセスを制限する場合は、次を使用します:
where target.resource.id != <connection-ocid>表7-11データベース・ツール接続マネージャ・ポリシー
| ポリシー | アクセス・レベル |
|---|---|
|
仮想クラウド・ネットワーク(VCN)、サブネット、仮想ネットワーク・インタフェース・カードおよびネットワーク・セキュリティ・グループを使用する |
|
MySQLデータベース・サービスを読み取るには |
|
ボールトを使用する(シークレットの作成など) |
|
キーを使用する(シークレットの作成など) |
|
秘密を管理する |
|
データベース・ツールのプライベート・エンドポイント、エンドポイント・サービスを使用する |
|
データベース・ツール接続を管理する |
認証済プリンシパル・ユーザーとのデータベース・ツール接続
これらのポリシーは、ランタイム・アイデンティティがAUTHENTICATED_PRINCIPALを使用するデータベース・ツール接続に適用されます。
ユーザーがシークレットを読み取らないようにするには、かわりにリソース・プリンシパル・ランタイム・アイデンティティでデータベース・ツール接続を使用します。リソース・プリンシパル・ランタイム・アイデンティティを使用したデータベース・ツール接続を参照してください。
次の表に、認証されたプリンシパル・ランタイム・アイデンティティを持つデータベース・ツール接続のポリシーおよび関連するアクセス・レベルを示します。
表7-12認証済プリンシパル・ランタイム・アイデンティティを使用したデータベース・ツール接続のポリシー
| ポリシー | アクセス・レベル |
|---|---|
|
Database Cloud Service (仮想マシンおよびベア・メタルDBシステム、Exadata Cloud Service VMクラスタ).を読み取る |
|
秘密を読み取る |
|
データベース・ツールのプライベート・エンドポイント、エンドポイント・サービスを読み取る |
|
データベース・ツール接続を使用する |
<group_name>および<compartment_name>は、使用している環境に基づく値に置き換えます。
リソース・プリンシパル・ランタイム・アイデンティティを使用したデータベース・ツール接続
これらのポリシーは、ランタイム・アイデンティティがRESOURCE_PRINCIPALを使用するデータベース・ツール接続に適用されます。
ユーザーがシークレットを読み取らないようにするには、リソース・プリンシパル・ランタイム・アイデンティティでデータベース・ツール接続を使用します。リソース・プリンシパル・ランタイム・アイデンティティを持つデータベース・ツール接続のユーザーは、OCIデータベース・ツールで作成された事前作成済のデータベース接続のみを使用でき、ユーザーはシークレット値を表示できません。リソース・プリンシパルを参照してください。
次の表に、リソース・プリンシパル・ランタイム・アイデンティティを持つデータベース・ツール接続のポリシーおよび関連するアクセス・レベルを示します。
表7-13リソース・プリンシパル・ランタイム・アイデンティティを使用したデータベース・ツール接続のポリシー
| ポリシー | アクセス・レベル |
|---|---|
|
Database Cloud Service (仮想マシンおよびベア・メタルDBシステム、Exadata Cloud Service VMクラスタ).を読み取る |
|
共有と専用の両方のExadataインフラストラクチャでAutonomous Databaseを読み取る |
|
データベース・ツール・プライベート・エンドポイント、接続およびエンドポイント・サービスを読み取るため。 |
|
データベース・ツールの接続を使用する。 |
|
動的グループ・メンバーにシークレットの読取りへのアクセス権を付与するには |
<group_name>、<compartment_name>、<connection_ocid>および<dynamic_group_name>を独自の値に置き換えます。