· 

OCIユーザへのポリシーの適用方法

こんにちは!テリロジーのY.Tです。

今回はOCIのユーザに対し、ポリシーを適用する方法についてご紹介したいと思います。

 

ポリシーを設定することで、利用可能なコンパートメントやリソースなどを指定することが可能ですが、

OCIではユーザに直接ポリシーを適用するのではなく、ユーザが所属するグループに対してポリシーを適用します。

ユーザの作成後、1つ以上のグループに追加することで、ユーザに対してポリシーを適用することができます。

 

ここでは、以下の手順で、新規にIAMユーザを作成し、ポリシーを適用していきます。

1. IAMユーザの作成

2. グループの作成

3. ポリシーをグループに適用

4. ユーザをグループに所属

1.IAMユーザの作成

OCIの左メニューから、「アイデンティティ」>「ユーザー」へと推移し、「ユーザの作成」をクリックします。

 

IDCSユーザ、IAMユーザの選択画面がございますが、IDCSユーザはOCI以外のオラクルクラウドサービスでも利用可能なユーザであり、IAMユーザはOCIのみで利用可能なユーザになります。

 

イメージは以下の通りです。

 

 

  • Oracle Identity Cloud Service(IDCS)

 Oracle Cloudの全サービスが利用できる認証の仕組み

 

  • OCI Identity and Access Management(IAM)

 OCIの環境のみが利用できる認証の仕組み

 

今回はIAMユーザを作成します。

ユーザの作成後はポリシーが適用されたグループに所属させない限り、すべての権限がありません。

Tips!

ユーザ名はOCIの中で一意になるよう設定する必要があります。大文字、小文字は区別されません。

2.グループの作成

次に、OCIの左メニューから「アイデンティティ」>「グループ」へと推移し、「グループの作成」をクリックします。グループ名と説明に「TestGroup」と、入力し、保存します。

3.ポリシーをグループに適用

次に、OCIの左メニューから「アイデンティティ」>「ポリシー」へと推移し、「ポリシーの作成」をクリックします。

ここでは、TestGroupに所属しているユーザーに対して、「Administrators」という名前のグループ以外のユーザ、グループが確認可能なポリシーを作成します。

名前は「UserAdminPolicy」とし、ポリシー・ビルダーから以下の項目を設定します。

  • ポリシー・ユース・ケース:ユーザー管理
  • 共通ポリシー・テンプレート:グループ管理者がグループ・メンバーシップを管理できるようにします
  • グループ:TestGroup
  • コンパートメント:任意

ポリシー・ユース・ケースでは管理・操作の対象をあらかじめ用意されているリストから選択します。

共通ポリシー・テンプレートでは具体的な管理・操作の内容をあらかじめ用意されているリストから選択します。

 

今回は、TestGroupに所属しているユーザーに対して、「Administrators」という名前のグループ以外のユーザ、グループが確認可能なポリシーの作成を行いたいので、ポリシー・ユース・ケースに「ユーザ管理」、共通ポリシー・テンプレートに「グループ管理者がグループ・メンバーシップを管理できるようにします」を選択し、グループを「TestGroup」、コンパートメントは「任意」に設定しました。

 

設定が完了すると、下部にポリシー・ステートメントが表示されます。

OCIのポリシー・ステートメントは以下の構文で構成されます。直接編集する場合は、右上の「カスタマイズ(拡張)」を選択することで編集可能です。

Allow <subject> to <verb> <resource-type> in <location> where <conditions>

  • <subject>:主にグループ名を指定します
  • <verb>:inspect、read、use、manageのいずれかの設定が可能です
  • <resource-type>:all-resources、database-family、dnsなどを指定します
  • <location>:テナンシーを指定します
  • <conditions>:特定のリージョンに適用するなど、適用する条件を細かく指定します

※各設定値の詳細はOracle Cloud Infrastructureドキュメントのポリシー・リファレンスをご確認ください

Tips!

OCIではポリシーで明示的にアクセスを許可しない限り、全てのアクセスは拒否されます。そのため、設定可能なポリシーは「Allow」のみとなっています。

4.ユーザをグループに所属

OCIの左メニューから「アイデンティティ」>「ユーザー」へと推移後、1.ユーザの作成で作成したユーザを

選択します。

「ユーザーをグループに追加」から、3.ポリシーをグループに適用でポリシーを適用した「TestGroup」を選択し、追加します。上部の「パスワードの作成/リセット」からパスワードを確認後、OCIからログアウトします。

作成したユーザーアカウントでログインすると、他のユーザを確認することができます。

以上がユーザへの権限の適用方法でした。

最後までお読みいただき、ありがとうございました🙇