この記事はGustavo Saurez、Kasey ParkerによるHow to Customize Oracle Database@AWS RBAC Integrationを日本語に翻訳したものです。
2026年4月3日
🎯 概要
Oracle Database@AWS(ODBAWS)は、企業がAWS環境全体でOracleワークロードを管理する方法を大きく変えつつあります。しかし、大きな力には大きな責任が伴います。特にアクセス制御についてはなおさらです。
ODBAWSをオンボーディングする際に、ODBAWSのドキュメントで説明されているデフォルトのRBAC設定以外のアクセス権限をユーザーに付与する必要がある場合、たとえばAWSアカウント・レベルで権限を付与したい場合、本ガイドでは、それを実現するために対応するOCIグループとポリシーをカスタマイズする方法を説明します。
この記事は、オンボーディング時に対応する場合でも、デプロイ後に調整する場合でも利用できる成功のためのランブックです。
🔧 前提条件
開始する前に、以下が整っていることを確認してください。
- ✅ ODBAWSのオンボーディング手順1〜7が完了していること
- ✅ OCIオペレータがTenancy AdminまたはIdentity Domain Admin権限を持っていること
👥 カスタムODBAWSグループ: なぜ必要で、どのように作成するか
デフォルトでは、マルチクラウド・リンクを確立すると、OCIの自動化により、事前定義された名前を使用した一連のグループとポリシーが作成されます。これらのデフォルトOCIポリシーは、ODBAWSプライベート・オファー / OCIテナンシ・レベルで各グループにアクセス権を付与します。つまり、その権限は、どのAWSアカウントにデプロイされているかに関係なく、OCIテナンシ内にプロビジョニングされたすべてのODBAWSリソースに適用されます。
しかし、もう少し細かく制御したい場合はどうでしょうか。たとえば、サブスクリプション共有を使用して複数のAWSアカウントにODBAWSリソースをデプロイしているとします。AWSの権限はアカウント・レベルで定義されるため、OCI側の権限も同じ粒度、つまりAWSアカウントに対応するOCIコンパートメント単位で管理したい場合があります。このプロセスはドキュメントでも簡単に説明されていますが、カスタマイズを行うためのより詳細な手順が必要な場合、本記事がその答えになります。
🎯 目標: OCI権限をより細かいスコープ、つまりAWSアカウント / OCIコンパートメント単位で割り当てる
✅ 実施方法:
- OCIグループ名に使用するカスタム接頭辞を決めます。例: acmeco-finance。デフォルトのOCIグループについては、ドキュメントを参考にしてください。
- この命名規則を使用してAWSグループとOCIグループを作成します。下の表1を参照してください。
- 任意で、アイデンティティ・フェデレーションを使用する場合は、オンボーディングドキュメントのフェデレーション作業を完了し、選択したIDP(Entra ID、Oktaなど)からAWSおよびOCIのユーザーとグループを管理し、それらのグループをAWSとOCIのアイデンティティ同期に追加します。
- 新しいグループに権限を割り当てるようOCIポリシーをカスタマイズします。詳細は下記セクションを参照してください。
🧠 プロのヒント:
- AWSアカウントごとに、個別のAWSグループとOCIグループを作成します。
- OCIポリシーを更新する前に、IDPからグループを手動作成または同期します。OCIグループが存在しない場合、そのグループを参照するポリシーは、効果を発揮する前に更新が必要になります。
- この記事の手順では、デフォルト・グループ名にカスタム接頭辞を追加する命名規則を使用しています。独自の命名規則を使用することもできますが、名前の一部としてデフォルト・グループ名を残しておくと、デフォルト構成からどの変更を行ったかを識別しやすくなります。これは、将来の問題対応やOracle Supportとのやり取りの際にも役立ちます。
表1
| AWS/OCIグループ名 | 説明 |
|---|---|
| <prefix>-aws-db-family-administrators | DBファミリ・アクションを管理するグループ |
| <prefix>-aws-network-administrators | ネットワーク・アクションを管理するグループ |
| <prefix>-aws-db-family-readers | DBファミリ・アクションを読み取るグループ |
| <prefix>-aws-network-readers | ネットワーク・アクションの読取り権限を持つグループ |
| <prefix>-aws-exa-infra-administrators | Exadata Infrastructureアクションを管理するグループ |
| <prefix>-aws-exadb-vm-cluster-administrators | Oracle Database Homeアクションを管理するグループ |
| <prefix>-aws-exa-cdb-administrators | Oracle Container Database(CDB)アクションを管理するグループ |
| <prefix>-aws-exa-pdb-administrators | Oracle Pluggable Database(PDB)アクションを管理するグループ |
| <prefix>-aws-vm-cluster-administrators | Exadata VM ClusterおよびOracle Database Homeアクションを管理するグループ |
| <prefix>-aws-costmgmt-administrators | 使用状況レポートを管理するグループ |
| <prefix>-aws-metrics-readers | メトリックを読み取るグループ |
| <prefix>-aws-dbmgmt-administrators | Database Managementアクション用のグループ |
| <prefix>-aws-autonomous-vm-cluster-administrators | Autonomous VM Clusterアクションを管理するグループ |
🔐 OCIポリシーのカスタマイズ: ステップ・バイ・ステップ
新しいAWSアカウントにODBAWSリソースをプロビジョニングすると、マルチクラウド・リンク・コンパートメントの下に新しいOCI子コンパートメントが作成されます。
デフォルトでは、デフォルトのODBAWS OCIポリシーとそれらが付与する権限は、マルチクラウド・リンク・コンパートメント配下のすべてのコンパートメントに適用されます。つまり、すべてのアカウントのすべてのODBAWSリソースに同じ権限が適用されます。
OCIポリシーをカスタマイズし、上で作成したカスタム・グループを使用して新しいコンパートメント / アカウントのみにアクセスを付与するには、OCIコンソールでIdentity & Security → Policiesに移動し、ルート・コンパートメントでMulticloudLink_AWS接頭辞を持つポリシーを検索します。これらのポリシーはデフォルトのawsグループを参照しています。例については下のスクリーンショットを参照してください。
✍️ カスタム・ポリシーの作成:
- “User_Group_Policies”で終わるMulticloudLink_AWSポリシーについて、上記のグループ名に使用したものと同じ接頭辞を持つ新しいポリシーを作成します。例: acmeco-finance-MulticloudLink_AWS_YYYYMMDDHHMMSS_User_Group_Policies。
- 元のポリシー文をコピーし(advanced editorを使用)、新しいポリシーに貼り付けます。
- 各ポリシー文を編集して、以下を行います。
- 対応するカスタム・グループ名と一致させる
- MultiCloudLinkコンパートメントではなく、AWSアカウントにリンクされた適切なコンパートメントを参照する
- 構文例:
allow group acmeco-finance-aws-exa-cdb-administrators to manage <resource> in compartment <multicloudlink compartment name>:<account sub-compartment name>⏳ 注: 既存のポリシーは変更しないでください。通常のサービス運用に影響する可能性があります。既存のポリシーは、新しいカスタマー・ポリシーのテンプレートとして使用してください。
🔐 Default以外のアイデンティティ・ドメインを使用する場合
OCIアイデンティティ・ドメインは、OCIでユーザー、グループ、フェデレーション、その他のアクセス制御を管理する場所です。OCIテナンシにはDefaultという名前のアイデンティティ・ドメインが含まれており、マルチクラウド・リンクの自動化によってデフォルトのODBAWSグループが作成されるのはこのドメインです。別のアイデンティティ母集団を維持するために、追加のアイデンティティ・ドメインを作成することもできます。たとえば、OCIのセキュリティ・ベスト・プラクティスでは、Defaultドメインをブレークグラス・アカウント用に使用し、OraDB@AWSのユーザー、グループ、フェデレーションを含むその他のアイデンティティ用途には別のアイデンティティ・ドメインを使用することが推奨されます。
新しいアイデンティティ・ドメインを導入する場合は、そのドメイン内のグループに適用されるカスタムIAMポリシーの各ポリシー文に、ドメイン名を明示的に含めてください。たとえば、AWSという名前のアイデンティティ・ドメインを使用する場合は、次のようになります。
allow group 'AWS'/'acmeco-finance-aws-exa-cdb-administrators' to manage <resource> in compartment <multicloudlink compartment name>:<account sub-compartment name>また、IDPを使用してOCIユーザーとグループを管理する場合は、新しいアイデンティティ・ドメインでフェデレーションと同期が構成されていることを確認してください。
🧩 まとめ
グループとOCIポリシーをカスタマイズすることで、次のことが可能になります。
- 組織にきめ細かなアクセス制御を提供する
- Oracle Database@AWSに対するマルチアカウント・アクセス制御の柔軟性を実現する
- ユーザー・アクセスをクリーンで、スコープが明確で、安全な状態に保つ
🧠 参考リソース
Oracle Database@AWS Onboarding Guide
Oracle Database@AWS RBAC
Oracle Database@AWS OCI Groups
Oracle Database@AWS AWS IAM Permissions
Overview of Working with OCI Policies
OCI Identity Domains
Oracle Database@AWS Subscription Sharing