Oracle Database@AWS でのリソース共有 - Oracle Database@AWS
AWS RAM の統合利点リソース共有のしくみ共有リソースに対するアクセス許可制限

Oracle Database@AWS でのリソース共有

Oracle Database@AWS を使用すると、Exadata インフラストラクチャと ODB ネットワークを同じ AWS 組織内の複数の AWS アカウント間で共有できます。これにより、インフラストラクチャを一度プロビジョニングすれば信頼できるアカウント間で再利用できるため、責任を分離しながらコストを削減できます。

リソースを共有する場合:

  • リソースを所有するアカウント (所有者アカウント) は、リソースのライフサイクルの制御を維持します。

  • 共有リソースへのアクセスを受け取るアカウント (信頼されたアカウント) は、付与されたアクセス許可に基づいて、これらのリソースを表示して使用できます。

  • 信頼されたアカウントは、共有インフラストラクチャに独自のリソースを作成できますが、基盤となる共有リソースを削除することはできません。

Oracle Database@AWS と AWS RAM の統合

Oracle Database@AWS は AWS Resource Access Manager (AWS RAM) を使用して、アカウント間でのリソースの安全かつ制御された共有を可能にします。AWS RAM を使用すると、同じ AWS 組織内の複数の AWS アカウント間で Oracle Database@AWS リソースを安全に共有できます。AWS RAM はリソース共有を簡素化し、運用オーバーヘッドを削減し、共有された Oracle Database@AWS リソースのセキュリティと可視性を提供します。

AWS RAM を使用したリソース共有。これにより、自身が所有するリソースを共有できます。リソース共有は、共有するリソースと、それらを共有する AWS アカウントを指定します。

Oracle Database@AWS でのリソース共有の利点

アカウント間で Oracle Database@AWS リソースを共有すると、次の利点があります。

  • コスト最適化 – 管理アカウントを通じて高価な Exadata インフラストラクチャを一度プロビジョニングし、複数のアカウントと共有することで、全体的なコストを削減します。

  • 責任の分離 – コラボレーションを可能にしながら、インフラストラクチャ管理者とデータベースユーザーの間の明確な境界を維持します。

  • 管理の簡素化 – 分散データベースオペレーションを有効にしながら、インフラストラクチャのプロビジョニングと管理を一元化します。

  • 一貫したガバナンス – 共有リソース全体に一貫したポリシーとコントロールを適用します。

例えば、管理者は AWS アカウントで Oracle Exadata インフラストラクチャと ODB ネットワークをプロビジョニングし、開発者アカウントと共有できます。開発者は、独自の高価なハードウェアをプロビジョニングすることなく、この共有インフラストラクチャに VM クラスターを作成できます。このアプローチにより、アカウント間の責任の適切な分離を維持しながら、コストを大幅に削減できます。

Oracle Database@AWS でのリソース共有の仕組み

以下の Oracle Database@AWS リソースを共有できます。

  • Oracle Exadata インフラストラクチャ

  • ODB ネットワーク

Oracle Database@AWS は、次のプロセスを通じて前述のリソースを共有します。

  1. 購入者アカウント (AWS Marketplace 経由で Oracle Database@AWS プライベートオファーを受け入れるアカウント) は、Exadata インフラストラクチャや ODB ネットワークなどの Oracle Database@AWS リソースをプロビジョニングします。

  2. 購入者アカウントは、AWS RAM を使用してリソース共有を作成し、共有するリソースとそれらを共有する信頼されたアカウントを指定します。

  3. 同じ組織内の信頼されたアカウントのリソース共有は自動的に受け入れられます。

  4. 共有リソースを使用する前に、信頼されたアカウントは、aws odb initialize-service コマンドを使用するか、Oracle Database@AWS コンソールで [アカウントを有効化] を選択して、アカウントの Oracle Database@AWS のサービスを初期化する必要があります。

  5. 初期化後、信頼されたアカウントは、共有 Exadata インフラストラクチャ上の VM クラスターや ODB ネットワークなど、共有インフラストラクチャ上に独自のリソースを作成できます。

信頼されたアカウントの共有リソースに対するアクセス許可

リソースを共有すると、Oracle Database@AWS はリソースタイプごとに特定のアクション (管理アクセス許可) を自動的に選択します。

Exadata インフラストラクチャの場合

Oracle Database@AWS は、信頼されたアカウントに次のアクセス許可を付与します。

  • odb:CreateCloudVmCluster

  • odb:CreateCloudAutonomousVmCluster

  • odb:GetCloudExadataInfrastructure

  • odb:ListCloudExadataInfrastructures

  • odb:GetCloudExadataInfrastructureUnallocatedResources

  • odb:ListDbServers

  • odb:GetDbServer

  • odb:ListCloudVmClusters

  • odb:ListCloudAutonomousVmClusters

ODB ネットワークの場合

信頼されたアカウントには、次のアクセス許可が付与されます。

  • odb:CreateCloudVmCluster

  • odb:CreateCloudAutonomousVmCluster

  • odb:GetOdbNetwork

  • odb:ListOdbNetworks

  • odb:CreateOdbPeeringConnection

  • odb:ListOdbPeeringConnections

リソース共有では、Oracle Database@AWS リソースの階層的な性質が尊重されます。例えば、Exadata インフラストラクチャを共有する場合、信頼されたアカウントはこのインフラストラクチャに VM クラスターを作成できますが、Exadata インフラストラクチャ自体を変更または削除することはできません。

リソースが共有解除されると、信頼されたアカウントは共有インフラストラクチャに新しいリソースを作成できなくなります。ただし、作成済みのリソースは引き続きアクセス可能で機能します。

Oracle Database@AWS リソース共有の制限

リソースを共有する前に、次の制限事項に注意してください。

リソース共有に関する制限事項

Oracle Database@AWS リソースを共有するときは、次の制限に注意してください。

  • リソースは AWS アカウント ID でのみ共有できます。

  • リソースを共有できるのは、同じ AWS 組織内の AWS アカウントのみです。

  • 特定の AWS リージョン内でリソースを共有します。リージョン間でリソースを共有するには、リージョンごとに個別のリソース共有を作成する必要があります。

  • リソース共有を作成すると、各リソースタイプのアクション (管理アクセス許可) が自動的に選択され、変更することはできません。

  • Oracle Database@AWS をリソースとして使用して、他の AWS アカウントと共有することはできません。

  • 信頼されたアカウントは、1 つの購入者アカウント (1 つのプライベートオファー) からの共有リソースのみを使用できます。したがって、2 つの購入者アカウントが同じ信頼されたアカウントとリソースを共有することはできません。

  • 購入者アカウントは、別の購入者アカウントとリソースを共有できません。

  • 信頼されたアカウントと共有されるリソースは、最初に購入者のホームリージョンの購入者アカウントによって共有される必要があります。

  • リソースの共有を解除する場合は、同じ信頼できるアカウントで同じリソースを再共有する前に、約 15 分間待つことをお勧めします。

共有リソースの作成と使用に関する制限

Oracle Database@AWS リソースを作成または使用する場合は、次の制限に注意してください。

  • 購入者アカウントのみが Exadata インフラストラクチャと ODB ネットワークリソースを作成できます。購入者アカウントは、Oracle Database@AWS プライベートオファーを受け入れるアカウントです。

  • 信頼できるアカウントは、購入者アカウントによって共有されている Exadata インフラストラクチャでのみリソースを作成できます。

  • 信頼されたアカウントは、共有リソースを使用する前に、アカウントで Oracle Database@AWS のサービスを初期化する必要があります。

共有リソースの削除に関する制限

  • 信頼できるアカウントによって作成された VM クラスターを持つ Exadata インフラストラクチャは、それらの VM クラスターが削除されるまで削除できません。

  • ODB ピアリング接続が削除されるまで、信頼されたアカウントによって作成された ODB ピアリング接続を持つ ODB ネットワークを削除することはできません。

  • 購入者アカウントは、信頼されたアカウントによって作成された Oracle Database@AWS リソースを削除することはできません。

  • 信頼されたアカウントは共有リソースを表示できますが、購入者アカウントが所有する Oracle Database@AWS リソースを変更または削除することはできません。