Oracle Cloud Infrastructureドキュメント

ユーザーの管理

このトピックでは、ユーザーの作業の基本について説明します。

重要

テナンシがOracle Identity Cloud Serviceとフェデレートする場合は、「Oracle Cloud Infrastructure ConsoleでのOracle Identity Cloud Serviceユーザーおよびグループの管理」を参照してユーザーを管理してください。

必要なIAMポリシー

管理者グループに所属している場合は、ユーザーを管理するために必要なアクセス権があります。

誰かに新しいユーザーと資格証明を作成する権限を与えるポリシーを作成できますが、そのユーザーが属するグループを制御することはできません。 「ヘルプ・デスクにユーザーを管理させる」を参照してください。

逆の場合: ユーザーがどのグループに属しているかを判断する権限を与えますが、ユーザーの作成や削除はできません。 「グループ管理者にグループ・メンバーシップを管理させる」を参照してください。

新しいポリシーの場合は、「ポリシーの開始」「共通ポリシー」を参照してください。 ユーザーや他のIAMコンポーネントの記述ポリシーを詳しく調べたい場合は、「IAMの詳細」を参照してください。

リソースのタギング

リソースにタグを適用して、ビジネス・ニーズに合わせてタグを整理するのに役立てることができます。 リソースを作成するときにタグを適用することも、後でそのタグを使用してリソースを更新することもできます。 タグの適用に関する一般的な情報は、「リソース・タグ」を参照してください。

ユーザーの操作

ユーザーを作成するときは、そのユーザーに対して一意の変更不可能なnameを指定する必要があります。 名前は、テナンシ内のすべてのユーザーで一意でなければなりません。 コンソールへのユーザー・ログインです。 会社独自のアイデンティティ・システム(たとえば、Active Directory、LDAPなど)によってすでに使用されている名前を使用することもできます。 description (空の文字列でもかまいません)をユーザーに提供する必要があります。これは、一意ではなく、変更可能なユーザーの説明です。 これは、ユーザーの完全な名前、ニックネーム、またはその他の記述的な情報です。 また、Oracleには、Oracle Cloud ID (OCID)という一意のIDが割り当てられます。 詳細は、「リソース識別子」を参照してください。

ノート

ユーザーを削除してから、同じ名前の新しいユーザーを作成すると、別のユーザーと見なされます。これらのユーザーは異なるOCIDを持つためです。

Oracleでは、ユーザーにパスワード・リカバリ用の電子メール・アドレスを指定することをお薦めします。 ユーザーがパスワードを忘れた場合、サインオン・ページの「パスワードを忘れた場合」リンクを使用して一時パスワードを送信するようにリクエストできます。 ユーザーの電子メール・アドレスがない場合、管理者はパスワードをリセットするために介入する必要があります。

新規ユーザーは、ユーザーを1つ以上のグループに配置するまで権限を持ちません。このグループ権限をテナンシまたはコンパートメントに付与するポリシーが少なくとも1つあります。 例外: 各ユーザーは、有効になっている「彼ら自身」資格証明を管理できます。 管理者は、その能力をユーザーに与えるためのポリシーを作成する必要はありません。 詳細は、「ユーザーの資格証明」を参照してください。

重要

新しいユーザーを作成してグループに入れたら、アクセスできるコンパートメントをユーザーに知らせてください。

また、Oracle Cloud Infrastructureにアクセスできるように、新しいユーザーにいくつかの資格証明を与える必要があります。 ユーザーは、必要なアクセスのタイプに応じて、次のいずれかまたは両方の資格証明を持つことができます: コンソールを使用するためのパスワードと、APIを使用するためのAPI署名キー。

ユーザー機能について

Oracle Cloud Infrastructureにアクセスするには、必要な資格証明がユーザーに必要です。 コンソールを使用する必要があるユーザーには、パスワードが必要です。 APIを介したアクセスが必要なユーザーには、APIキーが必要です。 一部のサービス機能には、認証トークン、SMTP資格証明、「Amazon S3互換性API」キーなどの追加の資格証明が必要です。 ユーザーがこれらの資格証明を取得するには、資格証明タイプを持つ権限がユーザーに付与されている必要があります。

ユーザー機能は、ユーザーの詳細で管理者が管理します。 各ユーザーは各自の機能を表示できますが、有効または無効にできるのは管理者のみです。 ユーザー機能は次のとおりです:

  • コンソール・パスワードを使用できます(ネイティブ・ユーザーのみ)
  • APIキーを使用できます
  • 認証トークンを使用可能
  • SMTP資格証明を使用できます
  • 顧客秘密キーを使用可能

デフォルトでは、これらのすべての機能は、新規ユーザーを作成すると有効になり、ユーザーは自分自身のためにこれらの資格証明を作成できます。 ユーザー資格証明の操作については、「ユーザー資格証明の管理」を参照してください。

ユーザーのマルチ・ファクタ認証の有効化

詳細については、「マルチ・ファクタ認証の管理」を参照してください。

サインイン失敗後にユーザーをブロック解除

ユーザーがコンソールにサインインするために連続して10回試行すると、それ以降のサインインの試行が自動的にブロックされます。 管理者は、コンソール (「ユーザーをブロック解除するには」を参照)またはUpdateUserState API操作でユーザーをブロック解除できます。

ユーザーの削除

ユーザーを削除することはできますが、そのユーザーがどのグループのメンバーでもない場合に限ります。

ユーザーの制限

ユーザー数については、「サービス制限」を参照してください。

コンソールの使用

警告

Oracle Cloud Infrastructureコンソール、APIまたはCLIを使用してクラウド・リソースに説明、タグまたはわかりやすい名前を割り当てるときは、機密情報を入力しないでください。

ユーザーを作成するには
グループにユーザーを追加するには
グループからユーザーを削除するには
ユーザーを削除するには
ユーザーをブロック解除するには
ユーザーの説明を変更するには
ユーザーの電子メールを編集するには
ユーザー機能を編集するには
ユーザーにタグを適用するには

コンソールのユーザー資格証明の管理については、「ユーザー資格証明の管理」を参照してください。

APIの使用

APIおよび署名リクエストの使用については、REST APIおよび「セキュリティ資格証明」を参照してください。 SDKの詳細は、「ソフトウェア開発キットとコマンドライン・インタフェース」を参照してください。

ノート

更新プログラムはすべてのリージョンで即時に実行されるわけではありません

IAMリソースはホーム・リージョンにあります。 すべてのリージョンにポリシーを適用するため、IAMサービスは各リージョンのリソースを複製します。 ポリシー、ユーザー、またはグループを作成または変更するたびに、変更はホーム・リージョンで最初に有効になり、その後、他のリージョンに反映されます。 すべてのリージョンで変更が有効になるまで数分かかることがあります。 たとえば、テナンシでインスタンスを起動する権限を持つグループがあるとします。 このグループにUserAを追加すると、UserAは1分以内にホーム・リージョン内のインスタンスを起動できます。 ただし、複製プロセスが完了するまで、UserAは他のリージョンでインスタンスを起動することはできません。 このプロセスには数分かかることがあります。 レプリケーションが完了する前にUserAがインスタンスを起動しようとすると、認可されていないエラーが発生します。

ユーザーを管理するには、次のAPI操作を使用します:

ユーザーの資格証明を管理するためのAPI操作については、「ユーザー資格証明の管理」を参照してください。