管理者アクセス

アプライアンス管理者は、Oracle Private Cloud Applianceの物理コンポーネントにアクセスできる高度な特権ユーザーです。 アプライアンス管理者アカウントとテナンシ管理者アカウントの間に機能的な関係はありません。これらは完全に個別のエンティティです。 アプライアンス管理者はテナンシを作成および削除する権限を持っている場合がありますが、そのアカウントはテナンシへのアクセス権限またはそのリソースの使用権限を付与しません。 アプライアンス管理者は、ユーザー・データやインスタンスにはまったくアクセスできません。

管理機能へのアクセスは、個別のインタフェースを介して提供されます: 「サービスWeb UI」「サービスCLI」およびService Enclave APIは、すべて高度に制限されています。 管理者がアクセスできるリソースおよび機能は、「ポリシー」を使用してアクセス制御用に構成された「認可グループ」によって制御されます。 詳細は、Oracle Private Cloud Appliance管理者ガイド「管理者アカウント管理」の章を参照してください。

アプライアンス管理者アカウントはローカルに作成できますが、Private Cloud Applianceでは既存のアイデンティティ・プロバイダとのフェデレートもサポートされるため、ユーザーは既存のIDとパスワードを使用してログインできます。 アイデンティティ・プロバイダのユーザー・グループをアプライアンス管理者グループにマッピングして、各認可されたアカウントに管理者ロールが正しく割り当てられるようにする必要があります。

アプライアンス管理者アカウントでは、1つのフェデレーテッド・アイデンティティ・プロバイダがサポートされます。 アイデンティティ・プロバイダとのフェデレーション信頼を確立するプロセスは、テナンシ・レベルでのアイデンティティ・フェデレーションの場合と同じです。 これについては、「Identity and Access Management概要」の章を参照してください。 「アイデンティティ・プロバイダによるフェデレート」の項を参照してください。

認可グループとそのポリシー

管理者として実行できる特定の機能は、ユーザーが属する「承認グループ」によって異なります。 認可グループには、アクセス権を持つリソースおよび機能を定義するアクセス制御ポリシーがアタッチされています。 アクセス・ポリシー(ポリシー・ステートメント)を記述する場合、リソースとファンクションを個別に定義するか、「認可ファミリ」を使用できます。

Oracle Private Cloud Applianceには、4つのデフォルトの認可グループがあります:

  • Initial

    ユーザーは、「サービス・エンクレーブ」へのアクセスが制限されています。 初期管理者アカウントを作成し、アプライアンスに関する情報を表示する権限はありますが、ほかのリソースへの読み取りアクセス権はありません。

  • OCIApp

    ユーザーは、OCI APIおよびアプリケーションの使用に関連する操作に特定のアクセス権を持ちます。

  • OracleServiceAdmin

    ユーザーは、Oracle Private Cloud Applianceサービスの使用に関連する操作に特定のアクセス権を持ちます。

  • SuperAdmin

    ユーザーは、「サービス・エンクレーブ」に無制限にアクセスできます。 他の管理者アカウントの設定や認可グループおよびファミリの管理など、使用可能なすべての操作を実行する権限があります。

特別な目的を持つグループもあります。 たとえば、Day0グループは、アプライアンスの初期設定に関連する操作への特定のアクセス権をユーザーに付与 - プロセスは、「Day0構成」とも呼ばれます。

追加の管理アクセスを構成する場合は、デフォルトの承認グループを使用するか、新しい承認グループを作成できます。 各認可グループには、このグループに属するユーザーがリソースにアクセスできるようにするポリシー・ステートメントが少なくとも1つ必要です。 ポリシー・ステートメントのない認可グループは有効ですが、そのユーザーはどのリソースにもアクセスできません。

以前のリリースからアプライアンスをアップグレードする場合、レガシー認可グループのユーザーが存在する可能性があります。 これらのレガシー・グループは、アップグレード後も存在します。 継続性を確保するために、アップグレード・プロセスでは、レガシー・グループのユーザーが同じレベルのアクセスを保持できるように、必要な認可ファミリおよびポリシーが作成されます。

次の表に、レガシー承認グループと、それぞれに関連付けられているアクセス権限を示します。

レガシー認可グループ 説明

Admin

Adminロールは、実質的にサポートされているすべてのオブジェクト・タイプをリスト、作成、変更および削除する権限を付与します。 このロールから除外された権限は: 管理者アカウントと承認グループの管理、およびディザスタ・リカバリ操作。

Monitor

Monitorロールを持つ管理者は、読取り専用コマンドを実行する権限があります。 たとえば、get APIコールを使用すると、特定のタイプのオブジェクトをリストおよびフィルタできます。

ディザスタ・リカバリ・アイテムなど、特定の機能に関連する一部のオブジェクトは、追加の権限を必要とするため除外されます。

DR Admin

DrAdminロールは、ディザスタ・リカバリに関連するすべての操作を追加して、Adminロールと同じ権限を付与します。

Day Zero Config

Day0Configロールは、アプライアンスの初期設定に関連する操作への特定のアクセスのみを提供 - プロセスは、「Day0構成」とも呼ばれます。

システムの状態によって、このロールを持つ管理者が実行できる操作が決まります。 たとえば、プライマリ管理者アカウントを作成する準備ができている場合は、その特定のコマンドのみを使用できます。 その後、システム初期化データを登録する準備ができたら、それらのパラメータを設定するコマンドのみを使用できます。

Internal

このロールは、内部システムで使用するために予約されています。

認可グループには、アクセス制御ポリシーが関連付けられている必要があります。 認可グループの個別のポリシーを作成することも、「認可ファミリ」を使用することもできます。 認可ファミリを使用すると、認可グループ間で再利用できるポリシーを作成できます。 デフォルトの認可グループでは、認可ファミリを使用して作成される事前定義済ポリシーが使用されます。

ポリシー・ステートメントは、「サービスWeb UI」または「サービスCLI」から作成できます。 各ポリシー・ステートメントには次のものが含まれている必要があります:

  • 名前 - 1から255文字
  • アクション - 検査、読取り、使用または管理
  • リソース / 認可ファミリ - 1つ以上のリソースまたは1つの認可ファミリ
  • ( 「サービスCLI」のみ)認可グループ - グループのID

次の表に、リソースに対して実行できるアクションに関する情報を示します。

アクション アクセスのタイプ

inspect

リソースの一部である機密情報またはユーザー指定メタデータにアクセスせずに、リソースをリストする機能。

read

inspectに加えて、ユーザー指定のメタデータと実際のリソース自体を取得する機能が含まれます。

use

readに加えて、既存のリソースを操作する機能が含まれます。 アクションはリソース・タイプによって異なります。

manage

リソースのすべての権限が含まれます。

認可グループおよびポリシーの作成方法について学習するには、Oracle Private Cloud Appliance管理者ガイド「管理者アカウント管理」の章の管理者権限の管理に関するトピックを参照してください。

認可ファミリ

認可グループには、ポリシー・ステートメントと呼ばれる少なくとも1つのアクセス制御ポリシーが関連付けられている必要があります。 各ポリシー・ステートメントは、1つ以上のリソースに対するアクションのタイプを提供します。 文内の個々のリソースをリストするか、「認可ファミリ」を使用できます。

認可ファミリを使用すると、アプライアンスの管理において論理的に意味のあるリソースと機能をグループ化できます。 ポリシー・ステートメントで使用できる認可ファミリには、次の2つのタイプがあります:

  • 「リソース・ファミリ」は、サーバー、ストレージ、ネットワーク・インフラストラクチャなどのアプライアンス・リソースを定義するために使用されます。
  • 「機能ファミリ」は、コンパートメント、ユーザー、コンピュート管理などのアプライアンス機能を定義するために使用されます。

デフォルトの認可グループは、事前定義されたリソースおよびファンクション・ファミリをポリシー・ステートメントで使用します。 次の表に、これらの事前定義済認可ファミリと、デフォルトの認可グループ・ポリシーでの使用方法を示します。

承認ファミリ名 承認ファミリ・タイプ ポリシーで使用... グループ内のユーザーは...

Day0

機能ファミリ

SuperAdmin認可グループ

  • Day0システム、静的ルーティング、動的ルーティング、およびネットワーク・パラメータを設定
  • ILOMから管理ノード、コンピュート・ノード、およびZFSの健全性を取得
  • アプライアンスのロック解除とロック

Initial

機能ファミリ

Initial認可グループ

初期管理アカウントの作成

OCIApp

機能ファミリ

SuperAdmin認可グループ

OCIアプリケーション・アカウントの作成

OracleServiceAdmin

機能ファミリ

SuperAdmin認可グループ

Oracleサービス・アカウントの作成

SuperAdmin

機能ファミリ

SuperAdmin認可グループ

すべてのアプライアンス機能の管理

Day0

リソース・ファミリ

SuperAdmin認可グループ

システム情報およびネットワーク構成の読み取り

Initial

リソース・ファミリ

Initial認可グループ

システム情報の読み取り

OCIApp

リソース・ファミリ

SuperAdmin認可グループ

OCIアプリケーションの管理

OracleServiceAdmin

リソース・ファミリ

SuperAdmin認可グループ

Oracleサービスの管理

SuperAdmin

リソース・ファミリ

SuperAdmin認可グループ

アプライアンスのすべてのリソースの管理

認可ファミリの作成方法について学習するには、Oracle Private Cloud Appliance管理者ガイド「管理者アカウント管理」の章の管理者権限の管理に関するトピックを参照してください。