Autonomous Databaseサーバーレスのポリシー詳細
このトピックでは、Autonomous Databaseサーバーレス上のリソースへのアクセスを制御するIAMポリシーの概要の書込みの詳細を説明します。
リソース・タイプ
集約リソース・タイプには、直接使用される個々のリソース・タイプのリストが含まれます。たとえば、グループでautonomous-database-family
にアクセスできるようにするポリシーを1つ記述することは、autonomous-databases
およびautonomous-backups
リソース・タイプへのアクセスを付与するグループの4つの個別のポリシーを記述することと同じです。詳細は、「リソース」を参照してください。
Autonomous Databaseのリソース・タイプ
集約リソース・タイプ
autonomous-database-family
個々のリソース・タイプ:
autonomous-databases
autonomous-backups
database-connections
サポートされている変数
一般的な変数がサポートされています。詳細は、すべてのリクエストの一般的な変数を参照してください。
また、次の表に示すようにtarget.workloadType
変数を使用できます:
target.workloadTypeの値 | 説明 |
---|---|
OLTP
|
オンライン・トランザクション処理(Autonomous Transaction Processingデータベースで使用)。 |
DW
|
データ・ウェアハウス(Autonomous Data Warehouseデータベースで使用) |
AJD
|
Autonomous JSON Database |
APEX
|
Oracle APEXアプリケーション開発 |
target.workloadType変数を使用したポリシーの例:
Allow group ADB-Admins to manage autonomous-database in tenancy where target.workloadType = 'workload_type'
動詞とリソース・タイプの組合せの詳細
inspect
> read
> use
> manage
の順に累積されます。たとえば、リソースを使用できるグループは、そのリソースを検査して読み取ることもできます。表セル内のプラス記号(+)は、その上のセルと比較して増分アクセスを示しますが、「余分なし」は増分アクセスを示しません。
たとえば、autonomous-databases
リソース・タイプに対するread
動詞には、inspect
動詞と同じ権限およびAPI操作に加えてAUTONOMOUS_DATABASE_CONTENT_READ権限も含まれます。read
動詞はCreateAutonomousDatabaseBackup
操作を部分的にカバーしているため、autonomous-backups
に対する管理権限も必要です。
autonomous-database-familyリソース・タイプの場合
autonomous-database-familyでカバーされるリソース・ファミリを使用して、すべてのAutonomous Databaseワークロード・タイプに関連付けられたデータベース・リソースへのアクセス権を付与できます。
動詞 | 権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
---|---|---|---|
inspect | AUTONOMOUS_DATABASE_INSPECT |
GetAutonomousDatabase, ListAutonomousDatabases
|
なし |
read | INSPECT + AUTONOMOUS_DATABASE_CONTENT_READ |
追加なし | CreateAutonomousDatabaseBackup (manage autonomous-backups も必要)
|
use | READ + AUTONOMOUS_DATABASE_CONTENT_WRITE AUTONOMOUS_DATABASE_UPDATE |
UpdateAutonomousDatabase
|
|
manage | USE + AUTONOMOUS_DATABASE_CREATE AUTONOMOUS_DATABASE_DELETE |
|
なし |
動詞 | 権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
---|---|---|---|
inspect | AUTONOMOUS_DB_BACKUP_INSPECT |
ListAutonomousDatabaseBackups, GetAutonomousDatabaseBackup
|
なし |
read | INSPECT + AUTONOMOUS_DB_BACKUP_CONTENT_READ |
追加なし |
|
use | 追加なし | 追加なし | なし |
manage | USE + AUTONOMOUS_DB_BACKUP_CREATE AUTONOMOUS_DB_BACKUP_DELETE |
DeleteAutonomousDatabaseBackup
|
CreateAutonomousDatabaseBackup (read autonomous-databases も必要)
|
各API操作に必要な権限
次の表に、Autonomous DatabaseリソースのAPI操作をリソース・タイプ別にグループ化して論理的順序で示します。
権限の詳細は、権限を参照してください。
Autonomous Database APIの操作
API操作 | 操作の使用に必要な権限 |
---|---|
GetCloudAutonomousVmCluster |
CLOUD_AUTONOMOUS_VM_CLUSTER_INSPECT |
GetAutonomousDatabase
|
AUTONOMOUS_DATABASE_INSPECT |
ListAutonomousDatabases
|
AUTONOMOUS_DATABASE_INSPECT |
CreateAutonomousDatabase
|
AUTONOMOUS_DATABASE_CREATE Autonomous Database Serverless上のデータベースでプライベート・エンドポイント機能を使用するには、次も必要です:
|
UpdateAutonomousDatabase
|
AUTONOMOUS_DATABASE_UPDATE プライベート・エンドポイント機能を使用するAutonomous Databaseサーバーレスでデータベースを更新するには、Autonomous Databaseのコンパートメント内にも次が必要です:
|
ChangeAutonomousDatabaseCompartment
|
AUTONOMOUS_DATABASE_UPDATE、AUTONOMOUS_DB_BACKUP_INSPECT、AUTONOMOUS_DB_BACKUP_CONTENT_READ、AUTONOMOUS_DATABASE_CONTENT_WRITE |
DeleteAutonomousDatabase
|
AUTONOMOUS_DATABASE_DELETE プライベート・エンドポイント機能を使用するAutonomous Databaseサーバーレスでデータベースを更新するには、Autonomous Databaseのコンパートメント内にも次が必要です:
|
StartAutonomousDatabase
|
AUTONOMOUS_DATABASE_UPDATE |
StopAutonomousDatabase
|
AUTONOMOUS_DATABASE_UPDATE |
RestoreAutonomousDatabase
|
AUTONOMOUS_DB_BACKUP_CONTENT_READとAUTONOMOUS_DATABASE_CONTENT_WRITE |
CreateAutonomousDatabaseBackup
|
AUTONOMOUS_DB_BACKUP_CREATEとAUTONOMOUS_DATABASE_CONTENT_READ |
DeleteAutonomousDatabaseBackup
|
AUTONOMOUS_DB_BACKUP_DELETE |
ListAutonomousDatabaseBackups
|
AUTONOMOUS_DB_BACKUP_INSPECT |
GetAutonomousDatabaseBackup
|
AUTONOMOUS_DB_BACKUP_INSPECT |