この記事はGustavo Saurez、Kasey ParkerによるHow to Customize Oracle Database@Google Cloud RBAC Integrationを日本語に翻訳したものです。
2026年2月23日
🎯 概要
Oracle Database@Google Cloud(ODBG)は、企業がGoogle Cloud(GCP)デプロイメント全体でOracleワークロードを管理する方法を大きく変えつつあります。しかし、大きな力には大きな責任が伴います。特にアクセス制御についてはなおさらです。
ODBGをオンボーディングする際に、ODBGのドキュメントで説明されているデフォルトのRBAC設定以外のアクセス権限をユーザーに付与する必要がある場合、たとえばGCPプロジェクト・レベルで権限を付与したい場合、本ガイドでは、それを実現するためにGoogleグループ、対応するOCIグループおよびポリシーをカスタマイズする方法を説明します。
この記事は、オンボーディング時に対応する場合でも、デプロイ後に調整する場合でも利用できる成功のためのランブックです。
🔧 前提条件
開始する前に、以下が整っていることを確認してください。
- ✅ ODBGのオンボーディング手順1〜6が完了していること
- ✅ GCPオペレータが以下の権限を持っていること
- GCPグループを作成 / 管理する権限
- 該当するプロジェクト内のグループにロールを割り当てる権限
- ✅ OCIオペレータがTenancy AdminまたはIdentity Domain Admin権限を持っていること
👥 カスタムODBGグループ: なぜ必要で、どのように作成するか
ドキュメントに従ってODBG用に設定されるGoogleグループは、デフォルトでは厳密な命名規則に従います。これは、マルチクラウド・リンクの確立時に自動化によって作成される、対応するOCIグループおよびポリシーに、それらの名前が直接マッピングされるためです。これらのデフォルトOCIポリシーは、ODBG private offer / OCIテナンシ・レベルで該当するグループにアクセス権を付与します。つまり、そのアクセス権は、GCPプロジェクトに関係なく、OCIテナンシ内にプロビジョニングされたすべてのODBGリソースに適用されます。
しかし、もう少し細かく制御したい場合はどうでしょうか。たとえば、複数のGCPプロジェクトにODBGリソースをデプロイしている場合です。GCPではODBGロールはプロジェクト・レベルで定義されます。そのため、OCI側のポリシーでも同じ粒度、つまりGCPプロジェクトにマッピングされるOCIコンパートメント単位で権限を付与したい場合があります。このプロセスはドキュメントで簡単に説明されていますが、カスタマイズを行うためのより詳しい手順を探しているなら、本記事がその答えになります。
🎯 目標: ODBGユーザーに対して、GCPプロジェクト / OCIコンパートメントというより細かいスコープでOCI権限を割り当てる
✅ 実施方法:
- GCPグループ名に使用するカスタム接頭辞を決めます。例: acmeco-finance
- この命名規則を使用してGCPグループを作成します。下の表1を参照してください
- オンボーディングドキュメントのタスク7に従って、定義済みのODBG GCPロールを新しいグループに割り当てます
- オンボーディングドキュメントのタスク8に従って、アイデンティティ・フェデレーションを完了または更新し、グループをOCIアイデンティティ同期に追加します。その際、属性マッピング手順に記載されているデフォルト・グループ名を、上で新しく作成したグループ名に置き換えます。
- OCIポリシーをカスタマイズして、新しいグループに権限を割り当てます。詳細は下記セクションを参照してください
🧠 プロのヒント:
- GCPプロジェクトごとに個別のGoogleグループを作成します。
- OCIポリシーを更新する前に、GoogleグループをGCPからOCIへ作成または同期します。OCIグループが存在しない場合、そのグループを参照するポリシーは有効になる前に更新が必要になります。
- この記事の手順では、デフォルト・グループ名にカスタム接頭辞を付加する命名規則を使用しています。独自の命名規則を使用することもできますが、名前の一部としてデフォルト・グループ名を保持しておくと、デフォルト構成からどのような変更が加えられたかを識別しやすくなります。これは、将来の問題修正時やOracle Supportと作業する際にも役立ちます。
表1
| GCP / OCIグループ名 | サービス | 説明 |
|---|---|---|
| <prefix>-odbg-exa-infra-administrators | ExaDB-D | Exadata InfrastructureおよびVM Clusterリソースへのフル・アクセス。 |
| <prefix>-odbg-vm-cluster-administrators | ExaDB | Exadata VM Clusterリソースへのフル・アクセス |
| <prefix>-odbg-db-family-administrators | ExaDB、ADB-S | ExaDBおよびADB全体のすべてのOraDB@GCPリソースに対するフルの所有者アクセス |
| <prefix>-odbg-db-family-readers | ExaDB、ADB-S | すべてのOraDB@GCPリソースへの読取り専用アクセス |
| <prefix>-odbg-exa-cdb-administrators | ExaDB | Container Database(CDB)への管理者アクセス |
| <prefix>-odbg-exa-pdb-administrators | ExaDB | Pluggable Database(PDB)への管理者アクセス |
| <prefix>-odbg-network-administrators | ExaDB、ADB-S | OCI内のOraDB@GCPネットワーク・リソースへの管理者アクセス |
| <prefix>-odbg-costmgmt-administrators | ExaDB、ADB-S | OCI内のコスト・ガバナンス機能への管理者アクセス |
| <prefix>-odbg-adbs-db-administrators | ADB-S | ADB-Sリソースへの管理者アクセス |
| <prefix>-odbg-adbs-db-readers | ADB-S | ADB-Sリソースへの読取り専用アクセス |
| <prefix>-odbg-exascale-db-storage-vault-administrators | ExaDB-XS | Exascale Storage Vaultリソースへの管理者アクセス |
| <prefix>-odbg-exascale-db-storage-vault-readers | ExaDB-XS | Exascale Storage Vaultリソースへの読取り専用アクセス |
🔐 OCIポリシーのカスタマイズ: ステップ・バイ・ステップ
新しいGCPプロジェクトにODBGリソースをプロビジョニングすると、マルチクラウド・リンク・コンパートメントの下に新しいOCI子コンパートメントが作成されます。
デフォルトでは、デフォルトのODBG OCIポリシーとそれによって付与される権限は、マルチクラウド・リンク・コンパートメント配下のすべてのコンパートメントに適用されます。つまり、すべてのプロジェクトのODBGリソースに同じ権限が適用されます。
OCIポリシーをカスタマイズし、上で作成したカスタム・グループを使用して新しいコンパートメント / プロジェクトのみにアクセスを付与するには、OCIコンソールでIdentity & Security → Policiesに移動し、ルート・コンパートメントでMulticloudLink_ODBG接頭辞を持つポリシーを検索します。これらのポリシーは、デフォルトのodbg-グループを参照しています。例として下のスクリーンショットを参照してください。
✍️ カスタム・ポリシーの作成:
- 既存の各ポリシーについて、上記のグループ名に使用したものと同じ接頭辞を持つ新しいポリシーを作成します。例: acmeco-finance-MulticloudLink_ODBG_YYYYMMDDHHMMSS_DbFamilyPolicy
- 元のポリシー文をコピーし(advanced editorを使用)、新しいポリシーに貼り付けます
- 各ポリシー文を編集して、以下を行います。
- 対応するカスタム・グループ名と一致させる
- MultiCloudLinkコンパートメントではなく、GCPプロジェクトにリンクされた適切なコンパートメントを参照する
- 構文例:
allow group acmeco-finance-odbg-exa-infra-administrators to manage <resource> in compartment <multicloudlink compartment name>:<project sub-compartment name>⏳ 注: 通常のサービス運用に影響を与える可能性があるため、既存のポリシーは変更しないでください。ドキュメントを参照してください。既存のポリシーは、新しい顧客ポリシーのテンプレートとして使用します。
🔐 Default以外のアイデンティティ・ドメインを使用する場合
OCIアイデンティティ・ドメインは、OCIでユーザー、グループ、フェデレーション、その他のアクセス制御を管理する場所です。OCIテナンシにはDefaultという名前のアイデンティティ・ドメインが含まれており、マルチクラウド・リンクの自動化によってデフォルトのODBGグループが作成される場所です。別のアイデンティティ母集団を維持するために、追加のアイデンティティ・ドメインを作成することもできます。たとえば、OCIのセキュリティ・ベスト・プラクティスとして、Defaultドメインはブレークグラス・アカウントに使用し、OraDB@GCPユーザー、グループ、フェデレーションなど他のアイデンティティ用途には別のアイデンティティ・ドメインを使用する方法があります。
新しいアイデンティティ・ドメインを導入する場合、そのドメイン内のグループに適用されるカスタムIAMポリシーでは、各ポリシー文にドメイン名を明示的に含めてください。たとえば、GCPという名前のアイデンティティ・ドメインを使用する場合は、次のようになります。
allow group 'GCP'/'acmeco-finance-odbg-db-family-administrators' to manage <resource> in compartment <multicloudlink compartment name>:<project sub-compartment name>また、新しいアイデンティティ・ドメインでGoogle Cloud IAMフェデレーションと同期が構成されていることも確認してください。
🧩 まとめ
グループとOCIポリシーをカスタマイズすることで、次のことが可能になります。
- 組織にきめ細かなアクセス制御を提供する
- Oracle Database@Google Cloudに対するマルチプロジェクトのアクセス制御の柔軟性を実現する
- ユーザー・アクセスをクリーンで、スコープが明確で、安全な状態に保つ
🧠 参考リソース
Oracle Database@Google Cloud Onboarding Guide
Google Groups Management
Oracle Guide for Oracle Database@Google Cloud RBAC
Google Guide for Oracle Database@Google IAM
Overview of Working with OCI Policies
OCI Identity Domains