ユーザーとグループ

テナンシが作成されると、ログインおよび初期設定タスクの実行を可能にするデフォルト・ユーザー・アカウントが追加されます。このデフォルト・ユーザーは、テナンシ内のすべてのリソースおよび操作へのフル・アクセスを提供する「管理者」という名前のグループに含まれています。グループは削除できません。常に1人以上のユーザーを含める必要があります。

ログインすると、テナンシ管理者は、ユーザーの追加を開始し、グループに編成できます。グループは、特定のリソース・セットに対して同じタイプのアクセス権を持つユーザーのセットです。一般的な原則は、ユーザーが明示的に権限を付与されていないかぎり、ユーザーがアクセス権を持っていないことです。

ユーザー・アカウントはテナンシでローカルに作成できますが、Private Cloud Applianceでは既存のアイデンティティ・プロバイダとのフェデレートもサポートされています。この構成では、テナンシ管理者がテナンシとアイデンティティ・プロバイダ間の「フェデレーション・トラスト」関係を設定し、ユーザーが既存のIDおよびパスワードでログインできるようにします。アイデンティティ・プロバイダからの既存の各ユーザー・グループをテナンシ内のグループにマップできるため、既存のグループ定義を再利用してクラウド・リソースへのアクセスを承認できます。詳細は、「アイデンティティ・プロバイダによるフェデレート」を参照してください。

リソースにアクセスして操作を実行する権限は、ポリシーで定義されます。 Administratorsグループのポリシーは、このグループのユーザーがテナンシ内のすべてのリソースを管理できることを示しています。他のすべてのユーザー・グループについても、特定の権限を管理するためにポリシーを定義する必要があります。詳細は、「ポリシーの仕組み」を参照してください。

リソースをグループ化および分離するには、リソースをコンパートメントに編成します。コンパートメントは、テナンシの主要なビルディング・ブロックです。テナンシがルート・ディレクトリと同等のファイル・システム構造のディレクトリと比較できます。コンパートメントは、リソースへのアクセスの制御および保護にも役立ちます。管理者とは異なり、通常のユーザーには、アクセス権があるコンパートメントのみが表示されます。ポリシー・ステートメントは、アクセスのタイプをさらに絞り込みます。詳細は、「コンパートメント内のリソースの編成」を参照してください。

ユーザー、グループ、コンパートメント、リソースおよびポリシーが相互にやり取りする方法の例として、次のシナリオを考えてみます。組織内の異なるチームにグループを作成し、チーム・リソースごとに個別のコンパートメントを割り当てることにしました。各チームが自分のコンパートメント内にインスタンスを作成して使用することを許可しますが、他のチームのリソースにアクセスすることはできません。また、ネットワーク管理者にテナンシ内のすべてのネットワーク・リソースの管理を許可することもできます。これを実現するには、ネットワーク管理者のみが管理できる専用ネットワーク・コンパートメントにすべてのネットワーク関連リソースを作成します。他のユーザーは、構成でのネットワーク・リソースの使用を許可する必要がありますが、ネットワーク設定を変更する権限がありません。