Oracle Cloud Infrastructureドキュメント

ユーザーの資格証明

Oracle Cloud Infrastructure Identity and Access Management (IAM)で管理する資格証明には、いくつかのタイプがあります:

  • コンソール・パスワード: コンソールへのサインインのために、Oracle Cloud Infrastructureと対話するためのユーザー・インタフェース。 フェデレーテッド・ユーザーはIdプロバイダを通じてサイン・インするため、コンソール・パスワードを持つことはできません。 「アイデンティティ・プロバイダのフェデレート」も参照してください。
  • API署名キー(PEM形式): 認証が必要なAPIリクエストを送信する場合。
  • 認証トークン: サードパーティのAPIで認証するために使用できるOracle生成のトークン。 たとえば、Recovery Manager (RMAN)を使用してOracle Databaseシステム(DBシステム)データベースをオブジェクト・ストレージにバックアップするときに、authトークンを使用してSwiftクライアントで認証します。
  • 顧客秘密キー: オブジェクト・ストレージAmazon S3互換性APIを使用する場合。 「Amazon S3互換性API」を参照してください。
  • SMTP資格証明: 電子メール配信サービスを使用する場合。

重要

コンピュート・インスタンスにアクセスする際に使用するSSHキーと、API署名キーが異なります(「セキュリティ資格証明」を参照)。
API署名キーの詳細については、「必要なキーとOCID」を参照してください。 インスタンスSSHキーの詳細については、「キー・ペアの管理」を参照してください。

ユーザー・パスワード

IAMで新規ユーザーを作成する管理者は、ユーザー用に1回限りのコンソール・パスワードも生成する必要があります(「別のユーザー・コンソール・パスワードを作成またはリセットするには」を参照)。 管理者は、パスワードを口頭で提供したり、印刷したり、安全な電子メール・サービスを通じて送信することによって、ユーザーに安全にパスワードを配信する必要があります。

ユーザーが最初にコンソールにサインインすると、すぐにパスワードの変更を求めるプロンプトが表示されます。 ユーザーが最初にサインインしてパスワードを変更するまで7日以上待っているとパスワードは失効し、管理者はそのユーザーの新しいワンタイム・パスワードを作成する必要があります。

ユーザーがコンソールに正常にサインインすると、Oracle Cloud Infrastructureリソースは、ポリシーによって付与された権限に従って使用できます。

ノート

ユーザーは自動的にコンソールでパスワードを変更することができます。 管理者は、その能力をユーザーに与えるためのポリシーを作成する必要はありません。

パスワードの変更

ユーザーが自分のパスワードを変更したい場合は、最初のワンタイム・パスワードを変更する必要があります。コンソールでパスワードを変更できます。 ユーザーは自動的に「彼ら自身」パスワードを変更できることを覚えておいてください。管理者は、その能力をユーザーに与えるためのポリシーを作成する必要はありません。

詳細は、「コンソールのパスワードを変更するには」を参照してください。

ユーザーがコンソール・パスワード・リセットを必要とする場合

ユーザーがコンソール・パスワードを忘れた場合で、そのAPIにアクセスできない場合は、コンソール 「パスワードを忘れた場合」リンクを使用して、一時パスワードを送信できます。 このオプションは、ユーザー・プロファイルに電子メール・アドレスがある場合に使用できます。

ユーザーのユーザー・プロファイルに電子メール・アドレスがない場合は、管理者にパスワードのリセットを依頼する必要があります。 すべての管理者(およびテナンシに対する権限がある他のすべてのユーザー)が、コンソール・パスワードをリセットできます。 パスワードをリセットするプロセスにより、管理者がユーザーに配信する必要がある新しいワンタイム・パスワードが生成されます。 ユーザーは、次回コンソールにサインインしたときにパスワードを変更する必要があります。

ユーザーのコンソール・パスワードをリセットする必要がある管理者の場合は、「別のユーザー・コンソール・パスワードを作成またはリセットするには」を参照してください。

ユーザーがコンソールへのサインインをブロックされた場合

ユーザーがコンソールにサインインするために連続して10回試行しても失敗した場合、それ以上の試行は自動的にブロックされます。 ブロックされないようにするには管理者に連絡する必要があります(「ユーザーをブロック解除するには」参照)。

API署名キー

APIリクエストを行う必要があるユーザーが、「PEM形式のRSA公開キー(最低2048ビット)」IAMにアップロードし、対応する秘密キーでAPIリクエストに署名する必要があります(「必要なキーとOCID」を参照)。

重要

ユーザーは、コンソールまたはAPIで「彼ら自身」 APIキーを自動的にアップロードおよび管理できます。
管理者は、その能力をユーザーに与えるためのポリシーを作成する必要はありません。 ユーザーは、APIを使用して自分自身がコンソールにキーをアップロードするまで、または管理者がそのユーザーのキーをコンソールまたはAPIにアップロードするまで、自分の資格証明を変更または削除できないことに注意してください。

人間以外のシステムでAPIリクエストを行う必要がある場合、管理者はそのシステムのユーザーを作成し、そのシステムの公開キーをIAMサービスにアップロードする必要があります。 ユーザーのコンソール・パスワードを生成する必要はありません。

APIキーをアップロードする手順は、「API署名キーをアップロードするには」を参照してください。

認証トークン

認証トークンは、Oracleによって生成された認証トークンです。 認証トークンを使用して、Oracle Cloud Infrastructureシグネチャ・ベースの認証をサポートしていないサードパーティのAPI (たとえば、Swift API)で認証します。 サービスで認証トークンが必要な場合は、サービス固有のドキュメントで、サービス・トークンを生成して使用するように指示します。