Oracle Cloud Infrastructureドキュメント

ユーザー資格証明の管理

このトピックでは、Oracle Cloud Infrastructure Identity and Access Management (IAM)ユーザーの資格証明を使用して作業する際の基本について説明します。 使用可能な資格証明にまだ精通していない場合は、「ユーザーの資格証明」を参照してください。

コンソールのパスワードとAPIキーの操作

各ユーザーは、自動的に「彼ら自身」 コンソールパスワードの変更やリセット、「彼ら自身」 APIキーの管理を行うことができます。 管理者は、ユーザーにその能力を与えるためのポリシーを作成する必要はありません。

自分以外のユーザーの資格証明を管理するには、Administratorsグループまたはテナンシを使用する権限を持つ他のグループに属している必要があります。 テナンシ内のコンパートメントで作業する権限を持っているだけでは不十分です。 詳細は、「管理者グループとポリシー」を参照してください。

IAM管理者(またはテナンシへのアクセス権を持つ人)は、コンソールまたはAPIのいずれかを使用して、両方のタイプの資格証明のすべての側面を自分自身と他のすべてのユーザーに管理できます。 これには、新規ユーザーの初期ワンタイム・パスワードの作成、パスワードのリセット、APIキーのアップロード、APIキーの削除などが含まれます。

管理者ではないユーザーは、1つのデータベース・アカウントを管理できます。 コンソールでは、次のことが可能です:

  • 自分のパスワードを変更またはリセットします。
  • 独自のAPIキーをコンソールにアップロードします(独自のAPIキーも削除します)。

APIを使用すると、次のことが可能になります:

  • CreateOrResetUIPasswordで自分のパスワードをリセットします。
  • 追加のAPIキーをIAMサービスにアップロードし、UploadApiKeyで独自に使用します(DeleteApiKeyで独自のAPIキーも削除します)。 ユーザーは、コンソールでキーをアップロードするか、管理者がそのユーザーのキーをコンソールまたはAPIにアップロードするまで、APIを使用して自分の資格証明を変更または削除することはできません。

ユーザーは一度に最大3つのAPIキーを持つことができます。

認証トークンの操作

ノート

認証トークンは以前は迅速なパスワードと呼ばれていました。
作成したSwiftパスワードが認証トークンとしてコンソールに一覧表示されるようになりました。 既存のパスワードを引き続き使用できます。

認証トークンは、Oracleが生成したトークン文字列で、Oracle Cloud Infrastructureシグネチャ・ベースの認証をサポートしていないサードパーティのAPIで認証するために使用できます。 IAMサービスで作成された各ユーザーは、自動的にコンソールまたはAPIで独自の認証トークンを作成、更新、および削除できます。 管理者は、ユーザーにその能力を与えるためのポリシーを作成する必要はありません。 管理者(またはテナンシへのアクセス許可を持つユーザー)は、他のユーザーの認証トークンを管理することもできます。

authトークンは、自分で選択した文字列に変更することはできません。 トークンは常にOracleが生成する文字列です。

認証トークンの有効期限はありません。 各ユーザーは、一度に最大2つの認証トークンを持つことができます。 コンソールで認証トークンを取得するには、「認証トークンを作成するには」を参照してください。

スイフトでの認証トークンの使用

SwiftはOpenStackオブジェクト・ストア・サービスです。 既存のSwiftクライアントがすでにある場合は、Recovery Manager (RMAN)とともに使用して、Oracle Databaseシステム(DBシステム)データベースをObject Storageにバックアップできます。 パスワードとして使用するには、認証トークンを取得する必要があります。 Swiftクライアントにサインインすると、次の情報が提供されます:

  • Oracle Cloud Infrastructure コンソールユーザー・ログイン
  • Oracleが提供するSwift固有の認証トークン
  • 組織のOracleテナント名

Object Storageと統合されたSwiftクライアントのユーザーは、そのサービスを操作するための権限が必要です。 権限があるかどうかわからない場合は、管理者に連絡してください。 ポリシーの詳細については、「ポリシーの仕組み」を参照してください。 Object Storageの使用を可能にする基本ポリシーについては、「共通ポリシー」を参照してください。

顧客秘密キーの使用

ノート

顧客シークレット・キーには、以前に「Amazon S3互換性API」キーという名前が付けられていました。
作成したすべてのキーが、コンソールに顧客シークレット・キーとして表示されます。 既存のキーは引き続き使用できます。

Object Storageは、Amazon S3との相互運用性を可能にするAPIを提供します。 この「Amazon S3互換性API」を使用するには、Amazon S3で認証するために必要な署名キーを生成する必要があります。 この特別な署名キーは、アクセスキー/秘密キーの対です。 Oracleは、コンソールユーザー・ログインに関連付けられているアクセス・キーを提供します。 ユーザーまたは管理者は、アクセス・キーとペアに顧客秘密キーを生成します。

IAMサービスで作成された各ユーザーは、コンソールまたはAPI内の独自の顧客シークレット・キーを自動的に作成、更新および削除できます。 管理者は、ユーザーにその能力を与えるためのポリシーを作成する必要はありません。 管理者(またはテナンシ権限を持つ任意のユーザー)も、他のユーザーの顧客秘密キーを管理できます。

Object Storageを持つ「Amazon S3互換性API」のユーザーは、そのサービスを操作する権限が必要です。 権限があるかどうかわからない場合は、管理者に連絡してください。 ポリシーの詳細については、「ポリシーの仕組み」を参照してください。 Object Storageの使用を可能にする基本ポリシーについては、「共通ポリシー」を参照してください。

顧客の秘密キーは失効しません。 各ユーザーが一度に最大2つの顧客秘密キーを持つことができます。 コンソールを使用してキーを作成するには、「顧客秘密キーを作成する手順」を参照してください。

SMTP資格証明の操作

Email Deliveryサービスを介して電子メールを送信するには、Simple Mail Transfer Protocol (SMTP)の資格証明が必要です。 各ユーザーは、最大2つのSMTP資格証明に制限されています。 3つ以上が必要な場合は、他の既存のユーザーで生成する必要があります。追加のユーザーを作成する必要があります。

ノート

SMTPユーザー名またはパスワードは、自分で選択した文字列に変更することはできません。 資格証明は常にOracle生成の文字列です。

IAMサービスで作成された各ユーザーは、自動的にコンソールまたはAPIで独自のSMTP資格証明を作成および削除できます。 管理者は、ユーザーにその能力を与えるためのポリシーを作成する必要はありません。 管理者(またはテナンシへのアクセス許可を持つユーザー)には、他のユーザーのSMTP資格証明を管理する機能もあります。

ヒント

各ユーザーが独自の資格証明を作成および削除することは可能ですが、権限がすでに割り当てられているコンソールユーザーにSMTP資格証明を生成するのではなく、新しいユーザーを作成して、このユーザーにSMTP資格証明を生成することをお薦めします。

SMTP資格証明の有効期限はありません。 各ユーザーは、一度に最大2つの資格証明を持つことができます。 コンソールでSMTP資格証明を取得するには、「SMTP資格証明を生成するには」を参照してください。

Email Deliveryサービスの使用方法については、「Email Deliveryサービスの概要」を参照してください。

コンソールの使用

コンソールのパスワードを変更するには
別のユーザー・コンソール・パスワードを作成またはリセットするには
パスワードを忘れた場合にリセットするには
ユーザーをブロック解除するには
API署名キーをアップロードするには
API署名キーを削除するには
認証トークンを作成するには
認証トークンを削除するには
顧客秘密キーを作成するには
顧客秘密キーを削除するには
SMTP資格証明を生成するには
SMTP資格証明を削除するには

APIの使用

APIおよび署名リクエストの使用については、REST APIおよび「セキュリティ資格証明」を参照してください。 SDKの詳細は、「ソフトウェア開発キットとコマンドライン・インタフェース」を参照してください。

このAPI操作を使用して、コンソールのパスワードとアクセスを管理します:

  • CreateOrResetUIPassword: これにより、ユーザーの新しいワンタイムコンソールパスワードが生成されます。 次回ユーザーがコンソールにサインインすると、パスワードの変更を求めるメッセージが表示されます。
  • UpdateUserState: 10回連続してサインインしようとしたユーザーのブロックを解除します。

API署名キーを管理するには、次のAPI操作を使用します:

認証トークンを管理するには、次のAPI操作を使用します:

次のAPI操作を使用して、顧客秘密キーを管理します。

これらのAPI操作を使用してSMTP資格証明を管理します: