ユーザー・グループの作成と管理
クラウド・リソースへのアクセスは、ユーザーに直接付与されるのではなく、グループに付与されます。 ユーザー・アカウントは、自動的にどのグループのメンバーでもありません。 ユーザーがクラウド・リソースを操作できるようにするには、ユーザーをグループに追加し、そのグループのアクセス・ポリシーを作成する必要があります。 したがって、グループは、同じクラウド・リソースのセットに対して同じタイプのアクセス権を持つユーザーのセットです。 アクセスする必要があるコンパートメントとリソース、およびそれらのリソースを操作する方法に応じて、ユーザーをグループに編成します。 1人のユーザーが複数のグループのメンバーになることができます。
ユーザー・アカウントおよびグループの概念の詳細は、「Oracle Private Cloud Appliance概要ガイド」の「Identity and Access Management概要」を参照してください。
グループの作成
グループを作成すると、そのグループはテナンシに自動的に作成されます。 グループに別のコンパートメントを指定することはできません。
「コンピュートWeb UI」の使用
-
ナビゲーション・メニューで、「アイデンティティ」、「グループ」の順にクリックします。
-
グループの作成ボタンをクリックします。
-
「グループの作成」ダイアログで、次の情報を入力します:
-
名前: このグループの名前。 グループ名には次の特性があります:
-
テナンシ内で一意である必要があります。 削除されたグループと同じ名前のグループを作成できます。
-
大文字と小文字は区別されません。
-
後で変更できません。
-
100文字以下にしてください。
-
英数字、ピリオド(.)、ハイフン(-)およびアンダースコア(_)のみを含めることができます。
-
-
摘要: このグループの説明。 説明には次の特性があります:
-
1-400文字にする必要があります。
-
一意である必要はありません。
-
後で変更できます。
-
-
タグ付け: (オプション) リソース作成時のタグの追加の説明に従って、このグループの定義済タグまたはフリー・フォーム・タグを追加します。 タグは後で適用することもできます。
-
-
「グループの作成」ダイアログで「グループの作成」ボタンをクリックします。
新しいグループの詳細ページが表示されます。
次のステップ:
-
このグループのアクセス・ポリシーを作成するか、このグループを既存のポリシーに追加します。 グループには、少なくとも1つのポリシーの対象でないかぎり、権限がありません。 「ポリシーの管理」を参照してください。
-
このグループにユーザーを追加します。 「グループの更新によるグループへのユーザーの追加」を参照してください。
-
OCI CLIの使用
-
次の情報を取得します:
-
グループの名前と説明。 制限事項については、「コンピュートWeb UI」プロシージャを参照してください。 OCI CLIでは説明を指定する必要がありますが、値は空の文字列にできます。
-
(オプション)グループのテナンシのOCID。 デフォルトでは、構成ファイルのルート・コンパートメントOCIDが使用されます。
-
-
グループcreateコマンドを実行します。
構文:
oci iam group create --name text --description "text"
名前および説明の値の特性については、「コンピュートWeb UI」プロシージャを参照してください。 定義済タグおよびフリー・フォーム・タグを追加するには、「リソース作成時のタグの追加」を参照してください。
例:
$ oci iam group create --name Product-A --description "Resource management for Product A."
このコマンドの出力は、
group get
コマンドの出力と同じです。次のステップ:
-
このグループのアクセス・ポリシーを作成するか、このグループを既存のポリシーに追加します。 グループには、少なくとも1つのポリシーの対象でないかぎり、権限がありません。 「ポリシーの管理」を参照してください。
-
このグループにユーザーを追加します。 「グループの更新によるグループへのユーザーの追加」を参照してください。
-
グループ情報とグループ・メンバーの表示
「コンピュートWeb UI」の使用
-
ナビゲーション・メニューで、「アイデンティティ」、「グループ」の順にクリックします。
グループ定義は異なるコンパートメントに存在できないため、「グループ」ページにテナンシ内のすべてのグループが表示されます。 すべてのグループはテナンシ内にあります。
-
詳細情報を表示するグループの名前をクリックします。
-
そのグループの詳細ページで、Resourcesセクションまでスクロール・ダウンします。
-
グループ・メンバー・リソースをクリックします。
このグループに属するユーザーのリストが表示されます。
-
ユーザーがメンバーであるグループの完全なリストを表示するには、グループ・メンバー・リストでユーザーの名前をクリックします。
そのユーザーのResourcesセクションまでスクロールし、Groupsをクリックします。
OCI CLIの使用
-
ユーザーのリストを必要とするグループのOCID (
oci iam group list
)を取得します。 -
list usersコマンドを実行します。
構文:
oci iam group list-users --group-id group_OCID
list-users
コマンドの出力は、このグループのメンバーである各ユーザーのuser get
コマンドの出力と同じです。group get
コマンドはメンバー・ユーザーを表示しません。
グループの更新によるグループへのユーザーの追加
リソースにアクセスできるようにするには、ユーザーがグループのメンバーである必要があります。
「コンピュートWeb UI」の使用
-
ナビゲーション・メニューで、「アイデンティティ」、「グループ」の順にクリックします。
-
ユーザーを追加するグループの名前をクリックします。
-
詳細ページで、リソース・セクションまでスクロールし、グループ・メンバーをクリックします。
-
グループ・メンバー・リストの上部にあるユーザーをグループに追加ボタンをクリックします。
-
ユーザーをグループに追加ダイアログで、ドロップダウン・リストからユーザーを選択し、OKボタンをクリックします。
選択したユーザーがグループ・メンバー・リストに追加されます。
OCI CLIの使用
-
次の情報を取得します:
-
ユーザーを追加するグループのOCID (
oci iam group list
)。 -
このグループに追加するユーザーのOCID (
oci iam user list
)。
-
-
グループadd userコマンドを実行します。
構文:
oci iam group add-user --group-id group_OCID --user-id user_OCID
例:
$ oci iam group add-user --group-id ocid1.group.unique_ID --user-id ocid1.user.unique_ID { "data": { "compartment-id": "ocid1.tenancy.unique_ID", "group-id": "ocid1.group.unique_ID", "id": "ocid1.user_group_membership.unique_ID", "inactive-status": null, "lifecycle-state": "ACTIVE", "time-created": null, "user-id": "ocid1.user.unique_ID" } }
グループの更新によるグループからのユーザーの削除
「コンピュートWeb UI」の使用
-
ナビゲーション・メニューで、「アイデンティティ」、「グループ」の順にクリックします。
-
ユーザーを削除するグループの名前をクリックします。
-
詳細ページで、リソース・セクションまでスクロールし、グループ・メンバーをクリックします。
-
グループ・メンバー・リストで、グループから削除するユーザーのアクション・メニューをクリックし、グループから削除オプションをクリックします。
-
確認プロンプトで、「OK」をクリックします。
ユーザーがグループから削除されます。
OCI CLIの使用
-
次の情報を取得します:
-
ユーザーを削除するグループのOCID (
oci iam group list
)。 -
グループから削除するユーザーのOCID (
oci iam user list
)。
-
-
group remove userコマンドを実行します。
構文:
oci iam group remove-user --group-id group_OCID --user-id user_OCID
グループの変更
グループの説明は変更できます。 「既存のリソースへのタグの適用」の説明に従って、タグを追加、変更または削除できます。
「コンピュートWeb UI」の使用
-
ナビゲーション・メニューで、「アイデンティティ」、「グループ」の順にクリックします。
-
変更するグループのアクション・メニューをクリックし、編集オプションをクリックします。
-
「グループ名」の編集ダイアログで、グループの説明またはタグを変更します。
-
「変更の保存」をクリックします。
OCI CLIの使用
-
変更するグループのOCID (
oci iam group list
)を取得します。 -
グループ更新コマンドを実行します。
構文:
oci iam group update --group-id group_OCID [ --description desc ] \ [ --defined-tags tags ] [ --freeform-tags tags ]
このコマンドの出力は、
group get
コマンドの出力と同じです。
グループの削除
グループにメンバーがある場合、グループを削除できません。
「コンピュートWeb UI」の使用
-
ナビゲーション・メニューで、「アイデンティティ」、「グループ」の順にクリックします。
-
削除するグループの名前をクリックします。
-
グループにメンバーがいないことを確認します。
グループ詳細ページで、リソース・セクションまでスクロール・ダウンし、グループ・メンバーをクリックします。 グループからユーザーを削除するには、グループ・メンバー・リストでユーザーのアクション・メニューをクリックし、グループから削除オプションをクリックします。
-
グループ詳細ページの上部にある削除ボタンをクリックします。
-
グループの削除確認ダイアログで、確認ボタンをクリックします。
OCI CLIの使用
-
削除するグループのOCID (
oci iam group list
)を取得します。 -
group list-users
コマンドを使用して、グループにメンバーがないことを確認します。 -
グループ削除コマンドを実行します。
構文:
oci iam group delete --group-id group_OCID
例:
$ oci iam group delete --group-id ocid1.group.unique_ID Are you sure you want to delete this resource? [y/N]: y
確認せずにグループを削除するには、
--force
オプションを使用します。