Oracle Cloud Infrastructureドキュメント

Compute Cloud@Customerの分離されたIdentity and Access Management

Oracle Compute Cloud@Customer分離されたIdentity and Access Management Service (IAM)では、どのユーザーがローカル・インフラストラクチャ・テナンシ内のどのリソースにどのアクセス権を持つかを制御できます。

ユーザー、ユーザー・グループおよび動的グループ(インスタンス・グループ)を作成し、指定したコンパートメント内の指定したリソースに様々なタイプのアクセスを許可するポリシーを作成できます。

テナンシ管理者のタスクは、ユーザー・グループのアクセス権のタイプと、アクセス権を適用する特定のリソースを制御することです。アクセス制御を管理および保守する責任は、テナンシのサブコンパートメントへのフル・アクセス権を付与するなどして、他の特権ユーザーに委任できます。

ユーザーに加えて、インスタンス・プリンシパルにもリソースを管理する権限があります。

タスク

リンク

コンパートメントは、クラウド・リソースへのアクセスを編成および制御するための主要な構成要素です。ユーザーは、コンパートメントを作成してリソースへの個別のアクセスを行うことができます。

テナンシは、クラウド・リソースやその他のコンパートメントを作成できるルート・コンパートメントです。最大6レベルの深さでコンパートメントの階層を作成することができます。ポリシーを使用して、コンパートメント・リソースへのアクセスを指定されたユーザー・グループに制限できます。

コンパートメントの作成および管理

テナンシは管理者グループに管理ユーザーを持ち、ポリシーによって管理者グループがテナンシを管理できます。管理者は、他のユーザーのアカウントを作成します。

テナンシまたは別のコンパートメント内のリソースのサブセットのみへのアクセス権をユーザーに付与したり、一部のリソースへの完全管理アクセス権を少なくするために、テナンシ管理者はユーザー・アカウントを1つ以上のグループに追加し、それらのグループのポリシーを作成します。

テナンシ管理者は、ユーザー・アカウントを作成するときに、ユーザーに一時パスワードを提供して、自分のパスワードを設定し、アカウントをアクティブ化できるようにします。

ユーザー・アカウントの作成と管理

クラウド・リソースへのアクセスは、ユーザーに直接ではなくグループに付与されます。ユーザー・アカウントは、自動的にグループのメンバーになるわけではありません。ユーザーをグループに追加してから、そのグループのアクセス・ポリシーを作成する必要があります。

グループは、同じクラウド・リソース・セットに対して同じタイプのアクセス権を持つユーザーのセットです。アクセスする必要があるコンパートメントとリソース、およびそれらのリソースの操作方法に従って、ユーザーをグループに編成します。1人のユーザーが複数のグループのメンバーになることができます。

ユーザー・グループの作成と管理

組織ですでにMicrosoft Active Directoryを使用してユーザー資格証明を管理している場合は、ユーザーが同じ資格証明を使用して分離されたCompute Cloud@Customerにログインできるようにフェデレーションを設定できます。

Microsoft Active Directoryとのフェデレーション

インスタンス・プリンシパルは、サービス・リソースに対してアクションを実行する権限があるコンピュート・インスタンスです。インスタンス・プリンシパルで実行されるアプリケーションは、Compute Cloud@Customerの分離されたユーザーがリソースを管理するためにサービスを呼び出す方法と同様の方法でサービスをコールし、リソースを管理できますが、ユーザー資格証明を構成する必要はありません。

インスタンス・プリンシパルに認可を付与するには、動的グループのメンバーとしてインスタンスを含めます。

サービスをコールするためのインスタンスの構成

動的グループは、グループに対して定義された条件を満たすコンピュート・インスタンスのグループです。インスタンスが新しく条件を満たすか満たされなくなったため、メンバーシップが変更されます。

ポリシーを割り当てて、動的グループのインスタンスで実行されているアプリケーションの権限を定義します。

動的グループの作成と管理

基本セキュリティの前提は、明示的なアクセス権が付与されていないかぎり、すべてのアクセスが拒否されることです。ポリシーは、ポリシー・ステートメントの名前付きセットで、各ポリシー・ステートメントはリソースにアクセスする権限をユーザーに付与します。

ポリシーを作成する場合は、コンパートメントにアタッチする必要があります。アタッチされた先の対象によって、だれがそのポリシーを変更できるかが制御されます。コンパートメントは、親コンパートメントからポリシーを継承します。

すべてのポリシー・ステートメントは、同じ一般的な構文を使用して記述されます。

Allow <subject> to <verb> <resource-type> in <location> where <conditions>

ポリシーの管理

ポリシー文の構文

タグ付けでは、キーと値のペアを適用することで、リソースにメタデータを追加できます。

  • フリーフォーム・タグを使用すると、ユーザーはリソースのメタデータに関連情報を迅速かつ便利に含めることができます。

  • 定義済タグを使用すると、特定のキーおよび値の使用を強制できます。関連タグは、共通のタグ・ネームスペースにグループ化できます。

タグのデフォルトを使用して、リソースの作成時に定義済タグを自動的にリソースに適用できます。特別なリソース・タグを使用して、機能を拡張することもできます。

リソースのタグ付け

タグのデフォルトの構成

リソース・タグによる機能の拡張