Skip to content
OraDBSec

OCI IAM DBクレデンシャル

概要

Section titled “概要”

OCI IAM Identity Domainsには、Databaseへの認証に特化した 「DBパスワード」 というパラメータが用意されています。
このDBパスワードを設定することで、IAMユーザー名と、ここで設定したDBパスワードを使用してOracle Databaseにログインすることが可能になります。

https://docs.oracle.com/ja-jp/iaas/Content/Identity/Concepts/usercredentials_topic-iam_database_passwords.htm

主な特徴とメリットは以下の通りです。

  • コンソールログインに使用するクレデンシャルとは別のものを使用
    • OCIの管理画面(コンソール)にログインするパスワードとは別のパスワードを設定します。これにより、役割に応じた使い分けが可能です。
  • 管理が簡易に
    • データベースごとに個別のユーザーを作成・管理する必要がなくなります。OCI IAM側でユーザーを一元管理できます。
    • 管理者はOCIコンソールでユーザーを管理することになるので、管理画面への二要素認証やアクセス元IP制限等、セキュリティを強化することができます。
  • 透過的なアクセス
    • SQL PlusやSQL Developerなどの既存のデータベース接続ツールをそのまま使い、IDには「IAMユーザー名*」、パスワードにこの「IAM DBパスワード」を入力して接続できます。

(*) デフォルトではOCI IAMのユーザー名と同じものが設定されていますが、変更することも可能です。

実施内容

Section titled “実施内容”

本チュートリアルでは、以下の手順を実施します。

  1. OCI IAM Identity Domain環境をセットアップし、「DBパスワード」を設定します。
  2. Databaseのユーザーをセットアップします。
  3. 設定したDBパスワードを使用して Autonomous Database にログインし、接続を確認します。

DBの監査ログではどのように記録されているかを確認します。

前提条件

Section titled “前提条件”

本手順を実施するために、以下の条件を満たしている必要があります。

Database環境

Section titled “Database環境”
  • データベースがTLS接続できるように構成されていること。
  • 今回はAutonomous Databaseを使用します。Autonomous AI DatabaseはmTLS接続を使用するため、追加のセットアップは不要です。
  • Autonomous AI Database の作成方法等については
    OCIチュートリアル「101: ADBインスタンスを作成してみよう」 を参照ください。
  • また、mTLS接続には Wallet(クライアント証明書)が必要になりますので、OCI コンソールからダウンロードしておきます。

クライアント環境

Section titled “クライアント環境”
  • 本手順では、DBクライアントとしてSQLclを使用します。
  • バージョン情報は以下の通りです:
    • SQLcl: Release 25.3 Production on Sat Nov 08 19:04:26 2025