管理者権限の管理
管理者は、許可グループまたはグループのメンバーシップを通じて権限を付与されます。 管理者アカウントを作成するときは、新しい管理者を追加する承認グループを選択します。 ただし、管理者が属している承認グループはいつでも変更できます。
詳細は、「Oracle Private Cloud Appliance概要ガイド」の「アプライアンス管理の概要」セクションの「アクセスの管理」を参照してください。
「サービスWeb UI」の使用
追加の認可グループに管理者を追加するには:
-
ナビゲーション・メニューを開き、認可グループをクリックします。
-
管理者を追加する承認グループをクリックします。
-
Resourcesの下のUsersをクリックし、Add User to Groupをクリックします。
-
ユーザーをグループに追加フォームから管理者を選択し、OKをクリックします。
認可グループから管理者を削除する前に、その管理者が少なくとも他の1つのグループに属していることを確認する必要があります。 承認グループから管理者を削除するには:
-
管理者を削除する認可グループにのみ属している場合は、その管理者を別の認可グループに追加
. -
ナビゲーション・メニューを開き、認可グループをクリックします。
-
管理者を削除する承認グループをクリックします。
-
Resourcesの下のUsersをクリックします。 承認グループ内のユーザーのリストが表示されます。
-
リストから、削除するユーザーのアクション・メニューをクリックし、グループからユーザーを削除をクリックします。
「サービスCLI」の使用
-
変更する管理者アカウントのIDと、構成の変更に関与する承認グループを収集します。
PCA-ADMIN> list User Command: list User Status: Success Time: 2021-08-25 09:22:01,064 UTC Data: id name -- ---- 401fce73-5bee-48b1-b86d-fba1d85e049b admin 682ebc19-8493-4e9a-817c-148acea4b1d4 testadmin PCA-ADMIN> list AuthorizationGroup Command: list AuthorizationGroup Status: Success Time: 2021-08-25 08:38:58,632 UTC Data: id name -- ---- 587fc90d-3312-41d9-8be3-1ce21b8d9b41 MonitorGroup c18cc6af-4ef8-4b1c-b85d-ee3b065f503e DrAdminGroup 8f03faf2-c321-4455-af21-75cbffc269ef AdminGroup 5ac65f5d-1f8c-42ea-a1de-95a1941f009f Day0ConfigGroup 365ece7b-0a09-4a04-853c-7a0f6c4789f0 InitialGroup 7da8be67-758c-4cd6-8255-e9d2900c788e SuperAdminGroup
-
管理者を認可グループに追加するには、
add Userコマンドを使用します。PCA-ADMIN> add User id=682ebc19-8493-4e9a-817c-148acea4b1d4 to AuthorizationGroup id=587fc90d-3312-41d9-8be3-1ce21b8d9b41 Command: add User id=682ebc19-8493-4e9a-817c-148acea4b1d4 to AuthorizationGroup id=587fc90d-3312-41d9-8be3-1ce21b8d9b41 Status: Success Time: 2021-08-25 08:49:54,062 UTC JobId: 3facde6d-acb6-4fc4-84dc-93de88eea25c
-
管理者アカウント詳細を表示して、行った変更を確認します。
PCA-ADMIN> show User name=testadmin Command: show User name=testadmin Status: Success Time: 2021-08-25 08:50:04,245 UTC Data: Id = 682ebc19-8493-4e9a-817c-148acea4b1d4 Type = User Name = testadmin Default User = false AuthGroupIds 1 = id:365ece7b-0a09-4a04-853c-7a0f6c4789f0 type:AuthorizationGroup name:InternalGroup AuthGroupIds 2 = id:587fc90d-3312-41d9-8be3-1ce21b8d9b41 type:AuthorizationGroup name:MonitorGroup UserPreferenceId = id:1321249c-0651-49dc-938d-7764b9638ea9 type:UserPreference name:
-
認可グループから管理者を削除するには、
remove Userコマンドを使用します。PCA-ADMIN> remove User name=testadmin from AuthorizationGroup id=587fc90d-3312-41d9-8be3-1ce21b8d9b41 Command: remove User name=testadmin from AuthorizationGroup id=587fc90d-3312-41d9-8be3-1ce21b8d9b41 Status: Success Time: 2021-08-25 09:10:39,249 UTC JobId: 44110d28-70af-4a42-8eb7-7d59a3bc8295
認可グループの使用
管理者として実行できる特定の機能は、ユーザーが属する「承認グループ」によって異なります。 各認可グループには、このグループに属するユーザーがリソースにアクセスできるようにするポリシー・ステートメントが少なくとも1つアタッチされている必要があります。 ポリシー・ステートメントのない認可グループは有効ですが、そのユーザーはどのリソースにもアクセスできません。
認可グループの作成直後にポリシー・ステートメントを作成することも、後でポリシー・ステートメントを追加することもできます。 「サービスWeb UI」と「サービスCLI」の両方を使用して、ポリシー・ステートメントをリストまたは削除することもできます。 また、「サービスCLI」を使用してポリシー・ステートメントを非アクティブ化できます。
ノート:
ポリシー・ステートメントは変更できません。 ポリシー・ステートメントを変更する必要がある場合は、ポリシー・ステートメントを削除してから再作成する必要があります。詳細は、「Oracle Private Cloud Appliance概要ガイド」の「アプライアンス管理の概要」セクションの「アクセスの管理」を参照してください。
「サービスWeb UI」の使用
-
ナビゲーション・メニューを開き、認可グループをクリックします。
-
「グループの作成」をクリックします。
-
1から255文字を使用して名前を入力し、認可グループの作成をクリックします。
新しい承認グループの詳細ページが表示されます。
- Add Policy Statementをクリックします。 認可ポリシー・ステートメント・フォーム・ウィンドウが表示されます。
- 1文字から255文字で名前を入力します。
- アクションの選択: 検査、読取り、使用または管理します。
- ポリシー・アプリケーションを選択します:
- リソース - ポリシーを適用するリソースを入力します。
- 機能ファミリ - ドロップダウンから1つを選択します。
- リソース・ファミリ - ドロップダウンから1つを選択します。
ノート:
リソースおよびファンクション・オプションの検索方法の詳細は、「サービスCLI」の使用の項を参照してください。 - Create Policy Statementをクリックします。
新しいポリシー・ステートメントが詳細ページに表示されます。 最大100の追加ポリシー・ステートメント。
「サービスCLI」の使用
-
新しい承認グループを作成します。
PCA-ADMIN> create AuthorizationGroup name=authors Status: Success Time: 2022-05-22 13:10:12,463 UTC JobId: 14ea4d22-acf1-455d-a7a1-ec0a30f29671 Data: id:c672d9c6-90ec-4776-bccb-caae128e86db name:authors
create authpolicyStatementコマンドのヘルプを表示します。PCA-ADMIN> create authpolicyStatement ? *action activeState functionFamily resourceFamily resources *on
- リソースのオプションを表示するには
showcustomcmds ?と入力し、関数のオプションを表示するにはshowallcustomcmdsと入力します。たとえば:PCA-ADMIN> showcustomcmds ? ASRBundle ASRPhonehome BackupJob CnUpdateManager ComputeInstance ComputeNode [...] PCA-ADMIN> showallcustomcmds Operation Name: <Related Object(s)> ----------------------------------- [...] backup: BackupJob changeIlomPassword: ComputeNode, ManagementNode changePassword: ComputeNode, LeafSwitch, ManagementNode, ManagementSwitch, SpineSwitch, User, ZFSAppliance clearFirstBootError: NetworkConfig configZFSAdDomain: ZfsAdDomain configZFSAdWorkgroup: ZfsAdDomain createAdminAccount: createUserInGroup: User deletePlatformImage: PlatformImage deprovision: ComputeNode disableVmHighAvailability: PcaSystem drAddComputeInstance: ComputeInstance drAddSiteMapping: DrSiteMapping [...]ノート:
リソースおよびファンクションの詳細は、「コマンド構文」および「基本コマンドとカスタム・コマンド」を参照してください。 -
resources、functionFamilyまたはresourceFamilyを使用してポリシー・ステートメントを作成します。PCA-ADMIN> create authpolicyStatement action=manage resources=ComputeNode on authorizationGroup id=c672d9c6-90ec-4776-bccb-caae128e86db
PCA-ADMIN> create authpolicyStatement action=manage authresourceFamily=rackops on authorizationGroup id=c672d9c6-90ec-4776-bccb-caae128e86db
PCA-ADMIN> create authpolicyStatement action=manage authfunctionFamily=computeops on authorizationGroup id=c672d9c6-90ec-4776-bccb-caae128e86db
- 承認グループの詳細を表示します。
PCA-ADMIN> show authorizationGroup name=authors Command: show authorizationGroup name=authors Status: Success Time: 2022-05-23 11:32:42,335 UTC Data: Id = c672d9c6-90ec-4776-bccb-caae128e86db Type = AuthorizationGroup Name = authors Policy Statements 1 = dea601bf-9bfc-4b2c-a135-d98378e69c87(ACTIVE)-Allow authors to MANAGE ComputeNode Is Predefined Authorization Group = false AuthPolicyStatementIds 1 = id:4adde579-1f6a-49eb-a783-9478465f135e type:AuthPolicyStatement name: AuthPolicyStatementIds 2 = id:be498a4e-3e0a-4cfa-9013-188542adb8e3 type:AuthPolicyStatement name:
ポリシー・ステートメントを非アクティブ化するには:
edit authpolicyStatementコマンドのヘルプを表示します。PCA-ADMIN> edit authpolicyStatement ? id=<object identifier>
show authorizationGroup name=group-nameコマンドを使用して、ポリシー・ステートメントIDを検索します。PCA-ADMIN> show authorizationGroup name=authors Command: show authorizationGroup name=authors [â¦] Policy Statements 1 = dea601bf-9bfc-4b2c-a135-d98378e69c87(ACTIVE)-Allow authors to MANAGE ComputeNode Is Predefined Authorization Group = false AuthPolicyStatementIds 1 = id:4adde579-1f6a-49eb-a783-9478465f135e type:AuthPolicyStatement name: AuthPolicyStatementIds 2 = id:be498a4e-3e0a-4cfa-9013-188542adb8e3 type:AuthPolicyStatement name:
- ポリシー・ステートメントのID (
AuthPolicyStatementIds Number = id:unique-identifier)を使用して、ポリシー・ステートメントをアクティブ化または非アクティブ化するコマンドを表示します。PCA-ADMIN> edit authpolicyStatement id=be498a4e-3e0a-4cfa-9013-188542adb8e3 ? activeState
- ポリシー・ステートメントを非アクティブ化します。
PCA-ADMIN> edit authpolicyStatement id=be498a4e-3e0a-4cfa-9013-188542adb8e3 activeState=inactive Command: edit authpolicyStatement id=be498a4e-3e0a-4cfa-9013-188542adb8e3 activeState=inactive Status: Success Time: 2022-05-23 11:42:11,446 UTC JobId: 842c444e-060d-461d-a4e0-c9cdd9f1d3c3
- ポリシー・ステートメントが非アクティブであることを確認します。
PCA-ADMIN> show authorizationGroup name=authors Command: show authorizationGroup name=authors Status: Success Time: 2022-05-23 11:42:26,995 UTC Data: Id = c672d9c6-90ec-4776-bccb-caae128e86db Type = AuthorizationGroup Name = authors Policy Statements 1 = 4adde579-1f6a-49eb-a783-9478465f135e(ACTIVE)-Allow authors to MANAGE ComputeNode Policy Statements 2 = be498a4e-3e0a-4cfa-9013-188542adb8e3(INACTIVE)-Allow authors to MANAGE ComputeNode Is Predefined Authorization Group = false AuthPolicyStatementIds 1 = id:4adde579-1f6a-49eb-a783-9478465f135e type:AuthPolicyStatement name: AuthPolicyStatementIds 2 = id:be498a4e-3e0a-4cfa-9013-188542adb8e3 type:AuthPolicyStatement name:
認可ファミリの操作
認可ファミリを使用すると、アプライアンスの管理において論理的に意味のあるリソースと機能をグループ化できます。 ポリシー・ステートメントで使用できる認可ファミリには2つのタイプがあります: 機能ファミリおよびリソース・ファミリ。
リソースおよびファンクションの詳細は、「コマンド構文」および「基本コマンドとカスタム・コマンド」を参照してください。
認可グループ、ポリシーおよびファミリの概念情報は、「Oracle Private Cloud Appliance概要ガイド」の「アクセスの管理」を参照してください。
「サービスWeb UI」の使用
-
ナビゲーション・メニューを開き、認可ファミリをクリックします。
-
認可ファミリの作成をクリックします。
-
いずれかの認可ファミリ・タイプを選択: 機能ファミリまたはリソース・ファミリ。
-
名前を入力します。
-
ファミリに含めるリソースを入力します。
ノート:
リソースおよびファンクション・オプションの検索方法の詳細は、「サービスCLI」の使用の項を参照してください。 -
ファミリの作成をクリックします。
「サービスCLI」の使用
認可ファンクション・ファミリを作成します。-
create authfunctionFamilyコマンドのオプションを表示します。PCA-ADMIN> create authfunctionFamily ? *name *resources
- 関数のオプションを表示するには、
showallcustomcmdsと入力します。たとえば:PCA-ADMIN> showallcustomcmds Operation Name: <Related Object(s)> ----------------------------------- [...] backup: BackupJob changeIlomPassword: ComputeNode, ManagementNode changePassword: ComputeNode, LeafSwitch, ManagementNode, ManagementSwitch, SpineSwitch, User, ZFSAppliance clearFirstBootError: NetworkConfig configZFSAdDomain: ZfsAdDomain configZFSAdWorkgroup: ZfsAdDomain createAdminAccount: createUserInGroup: User deletePlatformImage: PlatformImage deprovision: ComputeNode disableVmHighAvailability: PcaSystem drAddComputeInstance: ComputeInstance drAddSiteMapping: DrSiteMapping [...] - 認可ファンクション・ファミリを作成します。
PCA-ADMIN> create authfunctionFamily name=cnops resources=ComputeNode.reset,ComputeNode.start,ComputeNode.stop Command: create authfunctionFamily name=cnops resources=ComputeNode.reset,ComputeNode.start,ComputeNode.stop Status: Success Time: 2022-05-23 12:29:40,651 UTC JobId: 4cd37ea7-161f-4b11-952f-ffa992a37d5f Data: id:ae0216da-20d1-4e03-bf65-c7898c6079b2 name:cnops
- 認可ファンクション・ファミリをリストします。
PCA-ADMIN> list authfunctionFamily Command: list authfunctionFamily Status: Success Time: 2022-05-23 12:29:57,164 UTC Data: id name -- ---- 7f1ac922-571a-4253-a120-e5d15a877a1e Initial 2185058a-3355-48be-851c-2fa0e5a896bd SuperAdmin 7f092ddd-1a51-4a17-b4e2-96c4ece005ec Day0 ae0216da-20d1-4e03-bf65-c7898c6079b2 cnops
認可リソース・ファミリを作成します。
-
create authresourceFamilyコマンドのオプションを表示します。PCA-ADMIN> create authresourceFamily ? *name *resources
- リソースのオプションを表示するには、
showcustomcmds ?と入力します。たとえば:PCA-ADMIN> showcustomcmds ? ASRBundle ASRPhonehome BackupJob CnUpdateManager ComputeInstance ComputeNode [...]ノート:
リソースおよびファンクションの詳細は、「コマンド構文」および「基本コマンドとカスタム・コマンド」を参照してください。 - 認可リソース・ファミリを作成します。
PCA-ADMIN> create authresourceFamily name=rackops resources=ComputeNode,RackUnit Command: create authresourceFamily name=rackops resources=ComputeNode,RackUnit Status: Success Time: 2022-05-23 11:52:37,751 UTC JobId: eb49ac48-e3f3-4c2f-bf11-d5d18a066788 Data: id:b54e4413-15bd-440e-b399-e2ab75f17c35 name:rackops
- 認可リソース・ファミリをリストします。
PCA-ADMIN> list authresourceFamily Command: list authresourceFamily Status: Success Time: 2022-05-23 11:57:37,464 UTC Data: id name -- ---- 9aefc9c8-556d-42a4-9369-d7cdf0bf0c52 SuperAdmin b591cc7b-b117-449e-af35-cb4fc6f0c213 Day0 87633db2-d724-45b6-97a5-30babb6c4869 cnops b54e4413-15bd-440e-b399-e2ab75f17c35 rackops a45c08b4-f895-4da8-87f4-c81ca0b2bf27 Initial