ユーザー・グループの作成と管理

クラウド・リソースへのアクセスは、ユーザーに直接付与されるのではなく、グループに付与されます。 ユーザー・アカウントは、自動的にどのグループのメンバーでもありません。 ユーザーがクラウド・リソースを操作できるようにするには、ユーザーをグループに追加し、そのグループのアクセス・ポリシーを作成する必要があります。 したがって、グループは、同じクラウド・リソースのセットに対して同じタイプのアクセス権を持つユーザーのセットです。 アクセスする必要があるコンパートメントとリソース、およびそれらのリソースを操作する方法に応じて、ユーザーをグループに編成します。 1人のユーザーが複数のグループのメンバーになることができます。

ユーザー・アカウントおよびグループの概念の詳細は、「Oracle Private Cloud Appliance概要ガイド」の「Identity and Access Management概要」を参照してください。

グループの作成

グループを作成すると、そのグループはテナンシに自動的に作成されます。 グループに別のコンパートメントを指定することはできません。

「コンピュートWeb UI」の使用

1. ナビゲーション・メニューで、「アイデンティティ」、「グループ」の順にクリックします。

2. グループの作成ボタンをクリックします。

3. 「グループの作成」ダイアログで、次の情報を入力します:

   • 名前: このグループの名前。 グループ名には次の特性があります:

     • テナンシ内で一意である必要があります。 削除されたグループと同じ名前のグループを作成できます。

     • 大文字と小文字は区別されません。

     • 後で変更できません。

     • 100文字以下にしてください。

     • 英数字、ピリオド(.)、ハイフン(-)およびアンダースコア(_)のみを含めることができます。

   • 摘要: このグループの説明。 説明には次の特性があります:

     • 1-400文字にする必要があります。

     • 一意である必要はありません。

     • 後で変更できます。

   • タグ付け: (オプション) リソース作成時のタグの追加の説明に従って、このグループの定義済タグまたはフリー・フォーム・タグを追加します。 タグは後で適用することもできます。

4. 「グループの作成」ダイアログで「グループの作成」ボタンをクリックします。

   新しいグループの詳細ページが表示されます。

   次のステップ:

   • このグループのアクセス・ポリシーを作成するか、このグループを既存のポリシーに追加します。 グループには、少なくとも1つのポリシーの対象でないかぎり、権限がありません。 「ポリシーの管理」を参照してください。

   • このグループにユーザーを追加します。 「グループの更新によるグループへのユーザーの追加」を参照してください。

OCI CLIの使用

1. 次の情報を取得します:

   • グループの名前と説明。 制限事項については、「コンピュートWeb UI」プロシージャを参照してください。 OCI CLIでは説明を指定する必要がありますが、値は空の文字列にできます。

   • (オプション)グループのテナンシのOCID。 デフォルトでは、構成ファイルのルート・コンパートメントOCIDが使用されます。

2. グループcreateコマンドを実行します。

   構文:

   oci iam group create --name text --description "text"

   名前および説明の値の特性については、「コンピュートWeb UI」プロシージャを参照してください。 定義済タグおよびフリー・フォーム・タグを追加するには、「リソース作成時のタグの追加」を参照してください。

   例:

   $ oci iam group create --name Product-A --description "Resource management for Product A."

   このコマンドの出力は、group getコマンドの出力と同じです。

   次のステップ:

   • このグループのアクセス・ポリシーを作成するか、このグループを既存のポリシーに追加します。 グループには、少なくとも1つのポリシーの対象でないかぎり、権限がありません。 「ポリシーの管理」を参照してください。

   • このグループにユーザーを追加します。 「グループの更新によるグループへのユーザーの追加」を参照してください。

グループ情報とグループ・メンバーの表示

「コンピュートWeb UI」の使用

1. ナビゲーション・メニューで、「アイデンティティ」、「グループ」の順にクリックします。

   グループ定義は異なるコンパートメントに存在できないため、「グループ」ページにテナンシ内のすべてのグループが表示されます。 すべてのグループはテナンシ内にあります。

2. 詳細情報を表示するグループの名前をクリックします。

3. そのグループの詳細ページで、Resourcesセクションまでスクロール・ダウンします。

4. グループ・メンバー・リソースをクリックします。

   このグループに属するユーザーのリストが表示されます。

5. ユーザーがメンバーであるグループの完全なリストを表示するには、グループ・メンバー・リストでユーザーの名前をクリックします。

   そのユーザーのResourcesセクションまでスクロールし、Groupsをクリックします。

OCI CLIの使用

1. ユーザーのリストを必要とするグループのOCID (oci iam group list)を取得します。

2. list usersコマンドを実行します。

   構文:

   oci iam group list-users --group-id group_OCID

   list-usersコマンドの出力は、このグループのメンバーである各ユーザーのuser getコマンドの出力と同じです。

   group getコマンドはメンバー・ユーザーを表示しません。

グループの更新によるグループへのユーザーの追加

リソースにアクセスできるようにするには、ユーザーがグループのメンバーである必要があります。

「コンピュートWeb UI」の使用

1. ナビゲーション・メニューで、「アイデンティティ」、「グループ」の順にクリックします。

2. ユーザーを追加するグループの名前をクリックします。

3. 詳細ページで、リソース・セクションまでスクロールし、グループ・メンバーをクリックします。

4. グループ・メンバー・リストの上部にあるユーザーをグループに追加ボタンをクリックします。

5. ユーザーをグループに追加ダイアログで、ドロップダウン・リストからユーザーを選択し、OKボタンをクリックします。

   選択したユーザーがグループ・メンバー・リストに追加されます。

OCI CLIの使用

1. 次の情報を取得します:

   • ユーザーを追加するグループのOCID (oci iam group list)。

   • このグループに追加するユーザーのOCID (oci iam user list)。

2. グループadd userコマンドを実行します。

   構文:

   oci iam group add-user --group-id group_OCID --user-id user_OCID

   例:

   $ oci iam group add-user --group-id ocid1.group.unique_ID --user-id ocid1.user.unique_ID
   {
     "data": {
       "compartment-id": "ocid1.tenancy.unique_ID",
       "group-id": "ocid1.group.unique_ID",
       "id": "ocid1.user_group_membership.unique_ID",
       "inactive-status": null,
       "lifecycle-state": "ACTIVE",
       "time-created": null,
       "user-id": "ocid1.user.unique_ID"
     }
   }

グループの更新によるグループからのユーザーの削除

「コンピュートWeb UI」の使用

1. ナビゲーション・メニューで、「アイデンティティ」、「グループ」の順にクリックします。

2. ユーザーを削除するグループの名前をクリックします。

3. 詳細ページで、リソース・セクションまでスクロールし、グループ・メンバーをクリックします。

4. グループ・メンバー・リストで、グループから削除するユーザーのアクション・メニューをクリックし、グループから削除オプションをクリックします。

5. 確認プロンプトで、「OK」をクリックします。

   ユーザーがグループから削除されます。

OCI CLIの使用

1. 次の情報を取得します:

   • ユーザーを削除するグループのOCID (oci iam group list)。

   • グループから削除するユーザーのOCID (oci iam user list)。

2. group remove userコマンドを実行します。

   構文:

   oci iam group remove-user --group-id group_OCID --user-id user_OCID

グループの変更

グループの説明は変更できます。 「既存のリソースへのタグの適用」の説明に従って、タグを追加、変更または削除できます。

「コンピュートWeb UI」の使用

1. ナビゲーション・メニューで、「アイデンティティ」、「グループ」の順にクリックします。

2. 変更するグループのアクション・メニューをクリックし、編集オプションをクリックします。

3. 「グループ名」の編集ダイアログで、グループの説明またはタグを変更します。

4. 「変更の保存」をクリックします。

OCI CLIの使用

1. 変更するグループのOCID (oci iam group list)を取得します。

2. グループ更新コマンドを実行します。

   構文:

   oci iam group update --group-id group_OCID [ --description desc ] \
   [ --defined-tags tags ] [ --freeform-tags tags ]

   このコマンドの出力は、group getコマンドの出力と同じです。

グループの削除

グループにメンバーがある場合、グループを削除できません。

「コンピュートWeb UI」の使用

1. ナビゲーション・メニューで、「アイデンティティ」、「グループ」の順にクリックします。

2. 削除するグループの名前をクリックします。

3. グループにメンバーがいないことを確認します。

   グループ詳細ページで、リソース・セクションまでスクロール・ダウンし、グループ・メンバーをクリックします。 グループからユーザーを削除するには、グループ・メンバー・リストでユーザーのアクション・メニューをクリックし、グループから削除オプションをクリックします。

4. グループ詳細ページの上部にある削除ボタンをクリックします。

5. グループの削除確認ダイアログで、確認ボタンをクリックします。

OCI CLIの使用

1. 削除するグループのOCID (oci iam group list)を取得します。

2. group list-usersコマンドを使用して、グループにメンバーがないことを確認します。

3. グループ削除コマンドを実行します。

   構文:

   oci iam group delete --group-id group_OCID

   例:

   $ oci iam group delete --group-id ocid1.group.unique_ID
   Are you sure you want to delete this resource? [y/N]: y

   確認せずにグループを削除するには、--forceオプションを使用します。