※ 本記事は、Pratima Chennupatiによる”Security first with guided policy setup for OCI Database Management“を翻訳したものです。

2023年2月9日

Oracle Cloud Infrastructure(OCI)のセキュリティ優先のアプローチでは、OCI Identity and Access Management(IAM)ポリシーを使用する必要があります。このポリシーでは、定義された文に基づいてアクセスが強制されます。誰がどのリソースに対してどの機能を実行できるか。ポリシーはパターンが設定された単純な文ですが、ポリシーを作成したり、エラーのあるポリシーを作成したりしないと、アクセスの問題が発生することがよくあります。

Oracle Cloud Infrastructure(OCI)Database Managementサービスでポリシーを自動的に生成および追加できるガイド・ポリシー設定をご紹介します。これにより、Oracle Databasesのデータベース管理の有効化および使用に必要なユーザーおよびサービス・ポリシーの作成プロセスが大幅に簡略化されます。

データベース管理のユーザー・ポリシーの自動生成および追加

データベース管理のユーザー・ポリシーを自動的に生成して追加するには、次を実行する必要があります。:

  • テナンシの管理者グループに属します。
  • ユーザー・グループが作成され、ユーザーがグループに追加されていることを確認します。詳細は、グループの管理を参照してください。

データベース管理で読取り操作(読取り専用アクセス)を実行するための権限が特定のユーザー・グループ(A-Users)に付与されるシナリオを次に示します。

  1. データベース管理の「概要」ページで、「ポリシーの追加」オプションをクリックします。
    Add policies option on the Overview page.
    図1: 「ポリシーの追加」をクリックして「ポリシーの追加」パネルにアクセス
  2. 「ポリシーの追加」パネルで、「現在のポリシー」の横にあるリンクをクリックして、テナンシ(ルート・コンパートメント)でデータベース管理用にすでに作成されたポリシーを表示し、その他の詳細を指定します:
    1. ユーザー・グループ: 権限を付与するユーザー・グループを選択します。
    2. アクセス: ユーザー・グループに提供するアクセスのタイプを選択します。:
      1. 読取り: 読取り専用アクセス権を付与します。
      2. 管理: データベース管理で一連のタスク全体を実行する権限を付与します。
    3. データベース・コンパートメント: リソース・タイプが存在するコンパートメントを選択します。リソース・タイプには、ポリシーで権限を定義する必要があるデータベース、データベース管理およびその他のサービス・リソース・タイプが含まれます。
    4. 「生成」をクリックします。
      次のスクリーンショットは、このシナリオで選択したオプションを示しています。ここでは、A-Usersユーザー・グループに読取りアクセス権を指定する必要があります。
      Options in the Preview section of the Add policies panel.
      図2: 推奨されるユーザー・ポリシーを生成するための詳細の指定
  3. 指定されたユーザー・グループに生成された推奨ポリシーを確認し、「ポリシーの追加」をクリックします。
    Recommended policies and the Add policies option in the Add policies panel.
    図3: 推奨されるユーザー・ポリシーを確認し、「ポリシーの追加」をクリック

OCI IAMサービスによってポリシーが作成され、各ポリシーの作成タスクのステータスが表示されます。

Status of the creation of the recommended policies.
図4:  推奨されるユーザー・ポリシーの作成および追加

これらのユーザー・ポリシーは、OCI IAMサービスのDBMgmt_User_Policyというポリシーのコレクションに追加されます。これらを編集または削除するには、OCI IAMサービスの「ポリシー」セクションに移動し、左側のペインでユーザー・ポリシーが追加されたルート・コンパートメントを選択します。詳細は、「ポリシーの管理」を参照してください。

データベース管理のサービス・ポリシーの自動生成および追加

Oracle Cloudデータベースのデータベース管理(Base Databaseサービスで実行されているOracle DatabasesおよびDedicated Infrastructure上のOracle Exadata Database Service)を有効にする場合は、データベース管理(dpd)が次のことを実行できるようにサービス・ポリシーが必要です。:

  • データベース・ユーザー・パスワードを含むOCI Vaultサービス・シークレットを確認します。
  • データベース・ウォレットを含むOCI Vaultサービス・シークレットを確認します。これは、TCPSプロトコルを使用してデータベースに接続する場合にのみ必要です。

サービス・ポリシーが以前に作成されていない場合は、「サービス・ポリシーが必要…」メッセージが「データベース管理の有効化」パネルに表示されます。メッセージの下にある「ポリシーの追加」オプションをクリックして、推奨ポリシーを表示します。

Option to automatically generate and add the service policy in the Enable Database Management panel.
図5: 「ポリシーの追加」をクリックして、推奨されるサービス・ポリシーを表示

「ポリシーの追加」パネルで、「ポリシーの追加」をクリックしてサービス・ポリシーを追加します。

Add policy panel with the recommended service policy.
図6: 推奨されるサービス・ポリシーを確認し、追加

データベース管理でジョブを作成する際には、次のことができるようにサービス・ポリシーも必要です:

  • スケジュール済ジョブの作成時に、データベース・ユーザー・パスワードを含むOCI Vaultサービス・シークレットを確認します。
  • スケジュール済ジョブの結果をOCI Object Storageバケットに書き込みます。

サービス・ポリシーが以前に作成されていない場合は、「Create job」パネルに「Service policy is required…」メッセージが表示され、サービス・ポリシーを自動的に追加するオプションが提供されます。これらのサービス・ポリシーは、OCI IAMサービスのDBMgmt_Service_Policyというポリシーのコレクションに追加されます。サービス・ポリシーを編集または削除するには、OCI IAMサービスの「ポリシー」セクションに移動し、左側のペインでサービス・ポリシーが追加されたコンパートメントを選択します。詳細は、「ポリシーの管理」を参照してください。

まとめ

Database Managementのガイド・ポリシー設定は、必要なユーザーおよびサービスのポリシーに関する必要な情報を提供し、これらのポリシーを追加するオプションを提供することで、プロセスが簡単になり、アクセス関連の問題が発生しやすくなります。
次回データベース管理を使用する場合は、この機能を試してください。詳細は、データベース管理のドキュメントを参照してください。