ユーザー資格証明
様々なタイプの資格証明は、Identity and Access Management (IAM)サービスを介して管理されます:
-
アカウント・パスワード: テナンシのクラウド・リソースを操作するには、「コンピュートWeb UI」にサインインします。 フェデレーテッド・ユーザーのパスワードは、アイデンティティ・プロバイダがログイン・アクティビティを制御するため、IAMを介して管理されないことに注意してください。
-
API署名キー: 認証を必要とするAPIリクエストの送信用。 これらのキーはPEM形式で作成する必要があります。
アカウント・パスワード
新しいユーザー・アカウントを作成する場合、テナンシ管理者はワンタイム・パスワードを生成し、安全な方法でユーザーに提供します。 ユーザーが初めてサインインすると、このパスワードを変更するよう求められます。 7日後にワンタイム・パスワードが期限切れになり、管理者は新しいパスワードを生成する必要があります。
新しいパスワードを使用して正常にサインインすると、付与されている権限に従って、ユーザーはテナンシ内のクラウド・リソースの操作を開始できます。
すべてのユーザーは自分のパスワードを変更できます。これは、「コンピュートWeb UI」を使用して実行できます。 パスワードを忘れたユーザーは、テナンシ管理者にパスワードのリセットをリクエストする必要があります。
1行へのログイン試行が10回失敗すると、ユーザーはシステムから自動的にロックアウトされます。 テナンシ管理者は、アカウントのブロックを解除する必要があります。
API署名キー
APIリクエストを行う必要があるユーザーは、ユーザー・プロファイルにRSA公開キーを追加する必要があります。 秘密キーと公開キーはどちらもPEM形式であり、最小長は2048ビットです。 ユーザーは、ローカル・マシンで秘密キーと公開キーのペアを生成し、自分のプロファイルに公開キーをアップロードする必要があります。
あるいは、テナンシ管理者はAPIキーを生成し、すべてのユーザーのプロファイル設定を完了できます。 これは非ヒューマン・ユーザー・アカウントの要件です: 人間が操作しなくてもAPIリクエストを作成するシステム。 このようなシステムでは、管理者は署名キーを使用してパスワードなしでユーザー・アカウントを作成する必要があります。
APIリクエストが送信されるシステムでは、ユーザー・ホーム・ディレクトリ内に.oci
という名前のディレクトリを作成する必要があります。 .oci
ディレクトリには、APIサーバーとの対話に必要なパラメータを含む構成ファイルが含まれている必要があります。 秘密キー・ファイルが同じディレクトリにない場合、その格納場所への正しいパスがリストされていることを確認します。 APIリクエストは秘密キーを使用して署名されます。
ユーザー・アカウントには、一度に最大3つのAPI署名キーを含めることができます。 API署名キーは、コンピュート・インスタンスへのアクセスに使用するSSHキーとは異なります。