Oracle Cloud Infrastructureドキュメント

グループの管理

このトピックでは、グループの操作の基本について説明します。

重要

テナンシがOracle Identity Cloud Serviceとフェデレートする場合は、「Oracle Cloud Infrastructure ConsoleでのOracle Identity Cloud Serviceユーザーおよびグループの管理」を参照してグループを管理してください。

必要なIAMポリシー

管理者グループに所属している場合は、グループの管理に必要なアクセス権があります。

ユーザーのグループを決定する権限をユーザーに与えるポリシーについては、「グループ管理者にグループ・メンバーシップを管理させる」を参照してください。

新しいポリシーの場合は、「ポリシーの開始」「共通ポリシー」を参照してください。 グループやその他のIAMコンポーネントのポリシーを書くことについて詳しくは、「IAMの詳細」を参照してください。

リソースのタギング

リソースにタグを適用して、ビジネス・ニーズに合わせてタグを整理するのに役立てることができます。 リソースを作成するときにタグを適用することも、後でそのタグを使用してリソースを更新することもできます。 タグの適用に関する一般的な情報は、「リソース・タグ」を参照してください。

グループの操作

グループを作成するときは、そのグループの一意の変更不可能なnameを指定する必要があります。 名前は、テナンシ内のすべてのグループで一意でなければなりません。 また、グループには一意ではなく、変更可能なグループの説明であるdescription (空の文字列でもかまいません)をグループに提供する必要があります。 Oracleは、グループに、Oracle Cloud ID (OCID)という一意のIDも割り当てます。 詳細は、「リソース識別子」を参照してください。

ノート

グループを削除して同じ名前の新しいグループを作成すると、別のグループと見なされます。これらのグループは異なるOCIDを持つためです。

グループには、テナンシまたはコンパートメントに対する権限をグループに付与するポリシーを少なくとも1つ記述するまで権限がありません。 ポリシーの作成時に、一意の名前またはグループOCIDのいずれかを使用してグループを指定できます。 前述の注意により、ポリシーにグループ名を指定した場合でも、IAM内部ではOCIDを使用してグループを決定します。 ポリシーの書込みの詳細は、「ポリシーの管理」を参照してください。

グループが空の場合にのみ、グループを削除できます。

グループの数については、「サービス制限」を参照してください。

アイデンティティ・プロバイダと連携する場合は、アイデンティティ・プロバイダ・グループとIAMグループの間にマッピングを作成します。 詳細は、「アイデンティティ・プロバイダのフェデレート」を参照してください。

コンソールの使用

警告

Oracle Cloud Infrastructureコンソール、APIまたはCLIを使用してクラウド・リソースに説明、タグまたはわかりやすい名前を割り当てるときは、機密情報を入力しないでください。

グループを作成するには
グループにユーザーを追加するには
グループからユーザーを削除するには
グループを削除するには
グループの説明を更新するには
グループにタグを適用するには

APIの使用

APIおよび署名リクエストの使用については、REST APIおよび「セキュリティ資格証明」を参照してください。 SDKの詳細は、「ソフトウェア開発キットとコマンドライン・インタフェース」を参照してください。

ノート

更新プログラムはすべてのリージョンで即時に実行されるわけではありません

IAMリソースはホーム・リージョンにあります。 すべてのリージョンにポリシーを適用するため、IAMサービスは各リージョンのリソースを複製します。 ポリシー、ユーザー、またはグループを作成または変更するたびに、変更はホーム・リージョンで最初に有効になり、その後、他のリージョンに反映されます。 すべてのリージョンで変更が有効になるまで数分かかることがあります。 たとえば、テナンシでインスタンスを起動する権限を持つグループがあるとします。 このグループにUserAを追加すると、UserAは1分以内にホーム・リージョン内のインスタンスを起動できます。 ただし、複製プロセスが完了するまで、UserAは他のリージョンでインスタンスを起動することはできません。 このプロセスには数分かかることがあります。 レプリケーションが完了する前にUserAがインスタンスを起動しようとすると、認可されていないエラーが発生します。

グループを管理するには、次のAPI操作を使用します:

アイデンティティ・プロバイダのグループ・マッピングに関連するAPI操作については、「アイデンティティ・プロバイダのフェデレート」を参照してください。