Oracle Cloud Infrastructureドキュメント

アイデンティティ・ドメインを使用するクラウド・アカウントでのユーザーおよびグループの設定

クラウド・アカウントの作成前にアイデンティティ・ドメインを使用するように更新されたリージョン内のクラウド・アカウントの場合、ユーザーおよびグループはOracle Cloud Infrastructure (IAM)でのみ設定されます。

ノート

この項は、アイデンティティ・ドメインを使用するクラウド・アカウントにのみ適用されます。クラウド・アカウントでアイデンティティ・ドメインを使用しているかどうかがわからない場合は、ユーザーおよびグループの設定についてを参照してください。

Oracle Cloud Infrastructure IAMの詳細、および必要な情報を提供するドキュメントの詳細は、Oracle Cloud InfrastructureドキュメントのIAMの概要クラウド・アイデンティティのために使用するドキュメントを参照してください。

アイデンティティ・ドメインでは、次の図に示すように、ロールはドメイン内のOracle Cloud Infrastructure IAMグループに割り当てられます。

identity-domain-config.pngの説明が続きます
図identity-domain-config.pngの説明

アイデンティティ・ドメインを作成しています

ユーザーおよびグループを構成するアイデンティティ・ドメインを作成します。

Oracle Cloud Infrastructureテナンシ(クラウド・アカウント)では、環境の構成方法に応じて、ルート(デフォルト)コンパートメント、および場合によっては他のいくつかのコンパートメントが環境に含まれます。コンパートメントを作成するには、Visual Builderのコンパートメントの作成を参照してください。各コンパートメント内で、ユーザーおよびグループを作成できます。たとえば、ベスト・プラクティスとして、次のようにします:

  • ルート(デフォルト)コンパートメントでは、管理者専用のデフォルト・ドメインを作成します。
  • 別のコンパートメント(Devなど)で、開発環境のユーザーおよびグループ用のドメインを作成します
  • 別のコンパートメント(Prodなど)で、本番環境のユーザーおよびグループ用のドメインを作成します。

1つのコンパートメントに複数のドメインを作成することもできます。

  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。
    「ドメイン」ページが表示されます。
  2. まだ選択していない場合は、ドメインを作成するコンパートメントを選択します。
  3. 「ドメインの作成」をクリックします。
  4. 「ドメインの作成」ページで必要な情報を入力します。Oracle Cloud Infrastructureドキュメントのアイデンティティ・ドメインの作成 を参照してください。

アイデンティティ・ドメインでのOracle Cloud Infrastructureグループの作成

アイデンティティ・ドメインに、インスタンス管理者や読取り専用グループなどのグループを作成します。

  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。
    「ドメイン」ページが表示されます。
  2. まだ選択されていない場合は、グループを作成するドメインが存在するコンパートメントを選択します。
  3. 「名前」列で、インスタンスを作成および管理するためのグループを作成するドメインをクリックします。
    ドメインの「概要」ページが表示されます。
  4. 「グループ」をクリックします。
    ドメインの「グループ」ページが表示されます。
  5. 「グループの作成」をクリックします。
  6. 「グループの作成」画面で、グループに名前を(たとえば、oci-visualbuilder-admins)割り当て、説明を入力します。
  7. 「作成」をクリックします。

アイデンティティ・ドメインでのOracle Cloud Infrastructureポリシーの作成

指定されたテナンシまたはコンパートメント内のOracle Cloud Infrastructureインスタンスを操作する権限をドメイン・グループ内のユーザーに付与するためのポリシーを作成します。

  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ポリシー」をクリックします。
  2. 「ポリシーの作成」をクリックします。
  3. 「ポリシーの作成」ウィンドウで、名前(たとえば、VisualBuilderGroupPolicy)および説明を入力します。
  4. 「ポリシー・ビルダー」で、「手動エディタの表示」を選択し、必要なポリシー・ステートメントを入力します。

    構文:

    • allow group domain-name/group_name to verb resource-type in compartment compartment-name

    • allow group domain-name/group_name to verb resource-type in tenancy

    : allow group admin/oci-visualbuilder-admins to manage visualbuilder-instances in compartment VBCompartment

    ノート

    ドメイン名を省略すると、デフォルト・ドメインが想定されます。

    このポリシー・ステートメントは、adminドメインのoci-visualbuilder-adminsグループを、コンパートメントVBCompartmentmanageインスタンスvisualbuilder-instancesに許可します。

    read権限のみを持つグループなど、異なる権限に対して個別のグループを作成できます。

    ポリシーについてさらに学習しますか。ポリシーの仕組みおよびポリシー・リファレンスを参照するか、ウィンドウの「ヘルプ」をクリックしてください。

    • ポリシー・ステートメントを定義する場合、(これらのステップで使用されているような)動詞または(通常はパワー・ユーザーで使用される)権限を指定できます。

    • readおよびmanage動詞は、Visual Builderに最も適用されます。manage動詞には、最も多くの権限(createdeleteeditmoveおよびview)があります。

      動詞 アクセス

      read

      Oracle Visual Builderインスタンスとその詳細を表示する権限が含まれます。

      manage

      Oracle Visual Builderインスタンスのすべての権限が含まれます。
  5. カスタム・エンドポイントを使用する場合は、1つ以上のポリシー・ステートメントを追加します。それ以外の場合は、このステップをスキップします。
    ボールトおよびシークレットが存在するコンパートメントを指定し、管理グループにシークレットの管理を許可するポリシーを追加します。カスタム・エンドポイントの作成と構成を参照してください。
    Vaultサービスの詳細に関する項の説明に従って、resource-typeで返すリソースを指定する必要があります。また、Oracle Visual Builderではread動詞のみが必要ですが、同じグループがシークレット(アップロード/ライフサイクル操作)も管理する場合はmanageをお薦めします。

    例::

    • allow group admin/oci-visualbuilder-admins to manage secrets in compartment SecretsCompartment

    • allow group admin/oci-visualbuilder-admins to manage vaults in compartment SecretsCompartment

  6. 「作成」をクリックします。
    ポリシー・ステートメントが検証され、構文エラーが表示されます。

アイデンティティ・ドメインでのユーザー作成

Oracle Cloud Infrastructureアイデンティティ・ドメイン内のグループに割り当てるユーザーを作成します。

  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。
    「ドメイン」ページが表示されます。
  2. まだ選択されていない場合は、新しいユーザーを追加するグループを含むドメインが存在するコンパートメントを選択します。
  3. 「名前」列で、ユーザーを作成するグループのドメインをクリックします。
    ドメインの「概要」ページが表示されます。
  4. 「ユーザー」をクリックします。
    ドメインの「ユーザー」ページが表示されます。
  5. 「ユーザーの作成」をクリックします。
  6. 「ユーザーの作成」画面で、ユーザーの姓名とそのユーザー名を入力し、ユーザーに割り当てる1つ以上のグループを選択します。
  7. 「作成」をクリックします。
    新しいユーザーは選択したグループに追加され、ポリシー・ステートメントによってグループに割り当てられた権限を保有します。
  8. 表示されるユーザー詳細ページで、必要に応じてユーザー情報を編集し、ユーザーのパスワードをリセットできます。
  9. クラウド・アカウントへのサインインに必要な資格証明を新しいユーザーに提供します。サインイン時に、新しいパスワードを入力するように求められます。

アイデンティティ・ドメイン内のグループへのVisual Builderサービス・ロールの割当て

Visual Builderインスタンスの作成後、Oracle Visual Builderサービス・ロールをユーザーのグループに割り当てて、インスタンスの機能を操作できるようにします。

ノート

個々のユーザーではなく選択したグループにOracle Visual Builderサービス・ロールを割り当てることがベスト・プラクティスです。

Oracle Visual Builderには、機能へのアクセスを制御する一連のサービス・ロールの標準セットが用意されています。組織で使用するOracle Visual Builder機能に応じて、付与されるサービス・ロールに名前を付けられるグループの作成を選択できます。たとえば、Oracle Visual BuilderのServiceAdministratorロールの場合はVisualBuilderServiceAdministratorsです。

  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。
    「ドメイン」ページが表示されます。
  2. まだ選択されていない場合は、Oracle Visual Builderロールを割り当てるグループを含むドメインが存在するコンパートメントを選択します。
  3. 「名前」列で、ロールを割り当てるグループのドメインをクリックします。
    ドメインの「概要」ページが表示されます。
  4. ナビゲーション・ペインで、「Oracle Cloud Services」をクリックします。
    「Oracle Cloud Services」ページが表示されます。
  5. 「名前」列で、グループ・ロールを割り当てるOracle Visual Builderインスタンスをクリックします。
    インスタンス詳細ページが表示されます。
  6. ナビゲーション・ペインで、「アプリケーション・ロール」をクリックします。
  7. 「アプリケーション・ロール」リストで、グループに割り当てるロールを見つけます。右端のタスク・メニューをクリックし、「グループの割当て」を選択します。
  8. 「グループの割当て」ページで、サービス・ロールを割り当てるグループを選択し、「割当て」をクリックします。