管理者アクセス
アプライアンス管理者は、Oracle Private Cloud Applianceの物理コンポーネントにアクセスできる高度な特権ユーザーです。 アプライアンス管理者アカウントとテナンシ管理者アカウントの間に機能的な関係はありません。これらは完全に個別のエンティティです。 アプライアンス管理者はテナンシを作成および削除する権限を持っている場合がありますが、そのアカウントはテナンシへのアクセス権限またはそのリソースの使用権限を付与しません。 アプライアンス管理者は、ユーザー・データやインスタンスにはまったくアクセスできません。
管理機能へのアクセスは、個別のインタフェースを介して提供されます: 「サービスWeb UI」、「サービスCLI」およびService APIは、すべて高度に制限されています。 管理者がアクセスできるリソースおよび機能は、「ポリシー」を使用してアクセス制御用に構成された「認可グループ」によって制御されます。 詳細は、「Oracle Private Cloud Appliance管理者ガイド」の「管理者アカウント管理」の章を参照してください。
アプライアンス管理者アカウントはローカルに作成できますが、Private Cloud Applianceでは既存のアイデンティティ・プロバイダとのフェデレートもサポートされるため、ユーザーは既存のIDとパスワードを使用してログインできます。 アイデンティティ・プロバイダのユーザー・グループをアプライアンス管理者グループにマッピングして、各認可されたアカウントに管理者ロールが正しく割り当てられるようにする必要があります。
アプライアンス管理者アカウントでは、1つのフェデレーテッド・アイデンティティ・プロバイダがサポートされます。 アイデンティティ・プロバイダとのフェデレーション信頼を確立するプロセスは、テナンシ・レベルでのアイデンティティ・フェデレーションの場合と同じです。 これについては、「Identity and Access Management概要」の章を参照してください。 「アイデンティティ・プロバイダによるフェデレート」の項を参照してください。
認可グループとそのポリシー
管理者として実行できる特定の機能は、ユーザーが属する「承認グループ」によって異なります。 認可グループには、アクセス権を持つリソースおよび機能を定義するアクセス制御ポリシーがアタッチされています。 アクセス・ポリシー(ポリシー・ステートメント)を記述する場合、リソースとファンクションを個別に定義するか、「認可ファミリ」を使用できます。
Oracle Private Cloud Applianceには3つのデフォルトの認可グループがあります:
-
SuperAdmin
ユーザーは、「サービス・エンクレーブ」に無制限にアクセスできます。 他の管理者アカウントの設定や認可グループおよびファミリの管理など、使用可能なすべての操作を実行する権限があります。
-
Initial
ユーザーは、「サービス・エンクレーブ」へのアクセスが制限されています。 初期管理者アカウントを作成し、アプライアンスに関する情報を表示する権限はありますが、ほかのリソースへの読み取りアクセス権はありません。
-
Day0
ユーザーには、アプライアンスの初期設定に関連する操作への特定のアクセス権があります - プロセスは、日ゼロ構成とも呼ばれます。
追加の管理アクセスを構成する場合は、デフォルトの承認グループを使用するか、新しい承認グループを作成できます。 各認可グループには、このグループに属するユーザーがリソースにアクセスできるようにするポリシー・ステートメントが少なくとも1つ必要です。 ポリシー・ステートメントのない認可グループは有効ですが、そのユーザーはどのリソースにもアクセスできません。
以前のリリースからアプライアンスをアップグレードする場合、レガシー認可グループのユーザーが存在する可能性があります。 これらのレガシー・グループは、アップグレード後も存在します。 継続性を確保するために、アップグレード・プロセスでは、レガシー・グループのユーザーが同じレベルのアクセスを保持できるように、必要な認可ファミリおよびポリシーが作成されます。
次の表に、レガシー承認グループと、それぞれに関連付けられているアクセス権限を示します。
レガシー認可グループ | 説明 |
---|---|
管理者 |
「管理者」ロールは、実質的にサポートされているすべてのオブジェクト・タイプをリスト、作成、変更および削除する権限を付与します。 このロールから除外された権限は: 管理者アカウントと承認グループの管理、および障害リカバリ操作。 |
モニター |
「モニター」ロールを持つ管理者は、読取り専用コマンドを実行する権限があります。 たとえば、 ディザスタ・リカバリ・アイテムなど、特定の機能に関連する一部のオブジェクトは、追加の権限を必要とするため除外されます。 |
DR管理者 |
DrAdminロールは、ディザスタ・リカバリに関連するすべての操作を追加して、Adminロールと同じ権限を付与します。 |
日ゼロ構成 |
Day0Configロールは、アプライアンスの初期設定に関連する操作への特定のアクセスのみを提供 - プロセスは、日ゼロ構成とも呼ばれます。 システムの状態によって、このロールを持つ管理者が実行できる操作が決まります。 たとえば、プライマリ管理者アカウントを作成する準備ができている場合は、その特定のコマンドのみを使用できます。 その後、システム初期化データを登録する準備ができたら、それらのパラメータを設定するコマンドのみを使用できます。 |
内部 |
このロールは、内部システムで使用するために予約されています。 |
認可グループには、アクセス制御ポリシーが関連付けられている必要があります。 認可グループの個別のポリシーを作成することも、「認可ファミリ」を使用することもできます。 認可ファミリを使用すると、認可グループ間で再利用できるポリシーを作成できます。 デフォルトの認可グループでは、認可ファミリを使用して作成される事前定義済ポリシーが使用されます。
ポリシー・ステートメントは、「サービスWeb UI」または「サービスCLI」から作成できます。 各ポリシー・ステートメントには次のものが含まれている必要があります:
- 名前 - 1から255文字
- アクション - 検査、読取り、使用または管理
- リソース / 認可ファミリ - 1つ以上のリソースまたは1つの認可ファミリ
- ( 「サービスCLI」のみ)認可グループ - グループのID
次の表に、リソースに対して実行できるアクションに関する情報を示します。
アクション | アクセスのタイプ |
---|---|
|
リソースの一部である機密情報またはユーザー指定メタデータにアクセスせずに、リソースをリストする機能。 |
|
|
|
|
|
リソースのすべての権限が含まれます。 |
認可グループおよびポリシーの作成方法について学習するには、「Oracle Private Cloud Appliance管理者ガイド」の「管理者アカウント管理」の章の管理者権限の管理に関するトピックを参照してください。
認可ファミリ
認可グループには、ポリシー・ステートメントと呼ばれる少なくとも1つのアクセス制御ポリシーが関連付けられている必要があります。 各ポリシー・ステートメントは、1つ以上のリソースに対するアクションのタイプを提供します。 文内の個々のリソースをリストするか、「認可ファミリ」を使用できます。
認可ファミリを使用すると、アプライアンスの管理において論理的に意味のあるリソースと機能をグループ化できます。 ポリシー・ステートメントで使用できる認可ファミリには、次の2つのタイプがあります:
- 「リソース・ファミリ」は、サーバー、ストレージ、ネットワーク・インフラストラクチャなどのアプライアンス・リソースを定義するために使用されます。
- 「機能ファミリ」は、コンパートメント、ユーザー、コンピュート管理などのアプライアンス機能を定義するために使用されます。
デフォルトの認可グループは、事前定義されたリソースおよびファンクション・ファミリをポリシー・ステートメントで使用します。 次の表に、これらの事前定義済認可ファミリと、デフォルトの認可グループ・ポリシーでの使用方法を示します。
承認ファミリ名 | 承認ファミリ・タイプ | ポリシーで使用... | グループ内のユーザーは... |
---|---|---|---|
Day0 |
機能ファミリ |
SuperAdmin認可グループ |
|
Initial |
機能ファミリ |
Initial認可グループ |
初期管理アカウントの作成 |
SuperAdmin |
機能ファミリ |
SuperAdmin認可グループ |
すべてのアプライアンス機能の管理 |
Day0 |
リソース・ファミリ |
SuperAdmin認可グループ |
システム情報およびネットワーク構成の読み取り |
Initial |
リソース・ファミリ |
Initial認可グループ |
システム情報の読み取り |
SuperAdmin |
リソース・ファミリ |
SuperAdmin認可グループ |
アプライアンスのすべてのリソースの管理 |
認可ファミリの作成方法について学習するには、「Oracle Private Cloud Appliance管理者ガイド」の「管理者アカウント管理」の章の管理者権限の管理に関するトピックを参照してください。