Oracle Database@Azure の ID およびアクセス管理
この記事は、ID とアクセス管理ののガイダンスに基づいています。 この情報を使用して、Oracle Database@Azure デプロイに固有の ID およびアクセス管理の設計上の考慮事項と推奨事項を確認します。 Oracle Database@Azureの ID 要件は、Azure での実装によって異なります。 この記事では、最も一般的なシナリオに基づいて情報を提供します。
Oracle Database@Azure は、Oracle Cloud Infrastructure (OCI) 上で実行される Oracle データベース サービスであり、Microsoft の Azure データセンターに併置されています。 Microsoft と OCI は共同でこのオファリングを提供します。このオファリングでは、両方のプラットフォームで ID とロールベースのアクセス制御 (RBAC) を管理する必要があります。 このガイドでは、Oracle Database@Azureの一貫したデプロイ パターンを作成するための ID とアクセス管理のベスト プラクティスについて説明します。
考慮 事項
サブスクリプションに対して Oracle Database@Azure のプライベート オファー を Azure Marketplace で受け入れて有効化します。 Oracle Database@Azure サービスをデプロイするには、サブスクリプションの共同作成者ロールが必要です。 詳細については、「ID フェデレーションの設定」を参照してください。 運用モデルが Azure ランディング ゾーンの原則に沿っている場合、Oracle Database@Azure サービスを必要とする個々のアプリケーション開発チームがプロセスを管理します。 組織で一元化されたモデルを使用している場合は、プラットフォーム チームがプロセスの一部を処理する必要がある場合があります。
初期の Oracle Exadata Database@Azure インスタンスをデプロイすると、Microsoft Entra ID とそれに対応する OCI テナント内に特定の既定のグループが自動的に作成されます。 これらのグループの一部は、ポリシーが定義されている OCI にレプリケートされます。 これらのグループを使用して、Oracle Database@Azure サービスに必要なさまざまなアクションを管理します。 詳細については、「Oracle Database@Azure のグループとロール」を参照してください。
カスタム Oracle Exadata Database@Azureグループ名を割り当てることができますが、手動で構成する必要があります。 ポリシーは、特定のグループ名に対して作成されます。 グループ名を変更する場合は、OCI のポリシー ステートメントも変更する必要があります。
アクセス許可の細分性を高めるために、OCI 管理者に連絡して、OCI テナント内の他のグループとロールを確立してください。 OCI では、Oracle Database@Azure リソースを作成および管理できるユーザーを制御できます。
複数のクラスターを持つアーキテクチャの場合、RBAC グループのアクセス許可はサブスクリプション内のすべてのクラスターに適用されます。 個々のクラスターに RBAC を個別に割り当てるには、クラスターごとに OCI と Azure でカスタマイズされたグループ名とポリシーを作成します。
Microsoft 以外の ID プロバイダーまたは Microsoft Active Directory へのフェデレーションがサポートされています。 ID と RBAC のフェデレーション以外のセキュリティに関する推奨事項の詳細については、Oracle Database@Azure のセキュリティ ガイドライン参照してください。
設計に関する推奨事項
シングル サインオンやユーザーとグループのレプリケーションなど、Azure と OCI間のフェデレーションを実装します。
ユーザーが Microsoft Entra ID 資格情報を使用して OCI にサインインできるように、Microsoft Entra ID と OCI の間のフェデレーションを構成します。 詳細については、「Oracle Database@Azureをオンボードする手順」を参照してください。
新しいアカウントとテナントをプロビジョニングすると、OCI に管理者ユーザー ロールが作成されます。 日常的な操作には、この管理者 ID を使用しないでください。 代わりに、Microsoft Entra 管理者グループを使用して、関連する個人に昇格されたアクセス権を提供します。
Azure RBAC を使用して、Oracle Database@Azure リソースへのユーザーのアクセスを制御します。 ユーザーをDatabase@Azureロールに割り当てるときは、最小限の特権の原則に従います。
Microsoft Entra ID ベースのユーザーが安全であることを確認するには、ID 管理とアクセス制御のベストプラクティス に従ってください。 Microsoft Entra ID ベースのユーザーをセキュリティで保護する場合は、ID 保護を有効にします。 ID とアクセスの管理に関する セキュリティ チェックリスト を使用して、セキュリティ対策を検証します。