Oracle Cloud Infrastructureドキュメント

IAMグループ

Oracle Cloud Infrastructure Identity and Access Management (IAM)では、テナンシ管理者(または必要な権限を持つユーザー)が、コンパートメントおよびリソースへのアクセスを制御するグループを作成できます。 ユーザーとグループの両方は、コンパートメント・レベルではなくテナンシ・レベルで作成されます。

Oracleでは、組織でOracle Cloudアカウントを取得するときに、テナンシAdministratorsグループおよびテナンシ管理者ユーザーが自動的に作成されます。 このグループのメンバーは、IAMでユーザーおよびグループを作成し、ポリシーを介して必要なものにアクセスする権限をグループに付与する責任を負います。 ユーザーをグループ化する方法を決定するには、特定のリソースおよびコンパートメントに対して同じタイプのアクセスを必要とするユーザーを調べます。 テナンシ管理者のみがグループを作成し、ユーザーをグループに追加できます。 ただし、テナンシ管理者は、他のユーザーと資格証明を作成する権限を通常のユーザーに付与するポリシーを作成できます。

Oracle Cloud Infrastructureでは、テナンシ管理者がIAMで、またはOracle Identity Cloud Service (IDCS)などのフェデレーテッド・アイデンティティ・プロバイダでユーザーおよびグループを作成できます。 ただし、Oracle Data Safeにアクセスするには、ユーザーはフェデレーテッド・ユーザーではなく、ネイティブのOracle Cloud Infrastructureユーザー(IAM)である必要があります。

Oracle Data Safeは、IAMグループを使用してそのリソースと機能へのアクセスを制御します。 Oracle Data Safeを有効化するには、テナンシ管理者がポリシーを介して付与できる権限がグループに必要です。 Oracle Data Safeのグループを作成する場合は、次のオプションを検討してください。 少なくとも、1つの管理者グループおよび1つのユーザー・グループを作成する必要があります。 管理者グループは、Oracle Data Safeのすべてのリソースおよび機能に対して管理タスクを有効化し、実行する必要があります。 1つのグループのみを作成するということは、そのグループのすべてのユーザーがOracle Data Safeの同じ権限を持つことを意味し、理想的ではありません。

より適切な解決策は、グループがアクセスする必要のあるOracle Data Safeリソースおよび機能に基づいて、複数のグループを作成することです。 これらの機能は、評価(セキュリティ評価とユーザー評価の両方を含む)、データ検出およびデータ・マスキングおよびアクティビティ監査に分類されます。 これらのカテゴリは、グループの作成方法に影響を与えるため、理解しておくことが重要です。

たとえば、IAMでITコンプライアンス・ユーザーとITセキュリティ・ユーザーが作成したとします。 ITコンプライアンス・ユーザーは、データ保護に関連する正当なコンプライアンスを保証する責任があり、アクティビティ監査のみを使用する必要があります。 ITセキュリティ・ユーザーは、機密データを保護する責任があり、データ・セットをテスト実施者および開発者に提供する必要があります。 データ検出およびデータ・マスキング機能へのアクセスが必要です。 この情報を使用すると、IAMでIT-ComplianceおよびIT-Securityという2つのグループを作成し、ユーザーを適切なグループに割り当てた後、Oracle Data Safeコンソールで、必要な権限をグループに付与できます。 IT-Complianceグループにはアクティビティ監査の権限が付与され、IT-Securityグループにはデータ検出およびデータ・マスキングの権限が付与されます。 また、Data-Safe-AdminsというIAM内に、Oracle Data Safe内の管理タスクを有効化して実行するユーザー用のグループを作成することもできます。 このグループは、最初はOracle Data Safeコンソールで認可ポリシーを構成する機能も持ちます。 ワークロードを合理化するために、このタスクを他のグループに委任できます。

Oracle Data Safeでは、IAMで作成されたグループが使用されることに注意してください。 Oracle Cloud Infrastructureのコンパートメントとリソースへのグループ・アクセス権を付与するには、IAMポリシーが必要です。 Oracle Data Safeの機能とリソースへのグループ・アクセスは、テナンシ管理者、Oracle Data Safe管理者または委任管理者によってOracle Data Safeの認可ポリシーで構成されます。

次のOracle Cloud Infrastructureドキュメントでは、Oracle Cloud Infrastructure Identity and Access Management (IAM)でユーザーおよびグループを作成する方法について説明します: