ユーザー・アカウントの作成および管理
デフォルトでは、テナンシは管理者グループに管理ユーザーを持ち、ポリシーによって管理者グループがテナンシを管理できます。 ユーザーがテナンシまたは別のコンパートメント内のリソースのサブセットのみを管理するように制限する場合、または一部のリソースへのフル・マネジメント・アクセス権未満にユーザーを制限するには、ユーザー・アカウントを作成し、1つ以上のグループにユーザー・アカウントを追加し、それらのグループに1つ以上のポリシーを作成します。
ユーザー・アカウントは、自動的にどのグループのメンバーでもありません。 どのグループのメンバーでもないユーザーはテナンシに表示されますが、どのリソースにもアクセスできません。
ユーザー・アカウントおよびグループの概念の詳細は、「Oracle Private Cloud Applianceコンセプト・ガイド」の「Identity and Access Management概要」を参照してください。
ユーザーの作成
ユーザーを作成すると、そのユーザーはテナンシに自動的に作成されます。 ユーザーに対して別のコンパートメントを指定することはできません。
「コンピュートWeb UI」の使用
-
ナビゲーション・メニューで、アイデンティティをクリックし、ユーザーをクリックします。
-
「ユーザーの作成」ボタンをクリックします。
-
「ユーザーの作成」ダイアログで、次の情報を入力します:
-
名前: このユーザー・アカウントの名前。 ユーザー名には次の特性があります:
-
テナンシ内で一意である必要があります。 削除されたユーザーと同じ名前のユーザーを作成できます。
-
大文字と小文字は区別されません。
-
後で変更できません。
-
少なくとも2文字以上100文字以下である必要があります。
-
英数字、ピリオド(.)、ハイフン(-)、アンダースコア(_)、プラス記号(+)およびアットマーク(@)のみを使用できます。
-
-
摘要: 個人の氏名やアカウントの簡単な説明など、このユーザーの説明。 説明には次の特性があります:
-
1-400文字にする必要があります。
-
一意である必要はありません。
-
後で変更できます。
-
-
電子メール・アドレス: (オプション)ユーザーの電子メール・アドレス。 後で更新できます。
-
パスワード: (オプション)このユーザーがコンピュートWeb UIにログインできるようにするには、「このユーザーの一時パスワードの生成」というラベルのボックスにチェックマークを入れます。
パスワードは後で指定できます。 「一時コンピュートWeb UIパスワードの指定」を参照してください。
ノート:
フェデレーテッド・ユーザーのパスワードはこのサービスを介して管理されません。 フェデレーテッド・アイデンティティ・プロバイダの情報を参照してください。
-
タグ付け: (オプション) リソース作成時のタグの追加の説明に従って、このユーザー・アカウントの定義済タグまたはフリー・フォーム・タグを追加します。 タグは後で適用することもできます。
-
-
「ユーザーの作成」ダイアログで「ユーザーの作成」ボタンをクリックします。
「このユーザーの一時パスワードの生成」というラベルの付いたボックスを選択した場合は、「新規ユーザー」ダイアログの一時パスワードが表示され、一時パスワードが表示されます。 このダイアログを閉じた後は、このパスワードを再度取得できません。 一時パスワードをコピーし、ユーザーに配信するための安全な場所にパスワードを保存し、"I have made a note of the password"ボタンをクリックします。
新しいユーザーの詳細ページが表示されます。
次のステップ:
-
ユーザーが独自の永続「コンピュートWeb UI」パスワードを設定できるように、ユーザーに一時パスワードを指定します。
-
「このユーザーの一時パスワードの生成」というラベルが付いたボックスを選択した場合は、「新規ユーザー」の一時パスワード」ダイアログからコピーした一時パスワードを指定します。
-
「このユーザーの一時パスワードを生成」というラベルのボックスにチェックマークを付けなかったか、そのパスワードを保存しなかった場合は、「一時コンピュートWeb UIパスワードの指定」の手順に従ってユーザーの一時パスワードを生成します。
-
-
このユーザーを少なくとも1つのグループに追加します。 「ユーザーの更新によるグループへのユーザーの追加」を参照してください。
-
ユーザーがOCI CLIを使用する場合は、「OCI CLIのインストール」を参照してください。
-
OCI CLIの使用
-
次の情報を取得します:
-
ユーザーの名前と説明。 パラメータについては、「コンピュートWeb UI」プロシージャを参照してください。 OCI CLIでは説明を指定する必要がありますが、値は空の文字列にできます。
-
(オプション)ユーザーのテナンシのOCID。 デフォルトでは、構成ファイルのルート・コンパートメントOCIDが使用されます。
-
-
ユーザーcreateコマンドを実行します。
構文:
oci iam user create --name text --description text
名前および説明の値の特性については、「コンピュートWeb UI」プロシージャを参照してください。 定義済タグおよびフリー・フォーム・タグを追加するには、「リソース作成時のタグの追加」を参照してください。
例:
$ oci iam user create --name flast --description "First Last" --email first.last@example.com
このコマンドの出力は、
user get
コマンドの出力と同じです。次のステップ:
-
ユーザーが独自の永続「コンピュートWeb UI」パスワードを設定できるように、ユーザーに一時パスワードを指定します。 「一時コンピュートWeb UIパスワードの指定」を参照してください。
-
このユーザーを少なくとも1つのグループに追加します。 「ユーザーの更新によるグループへのユーザーの追加」を参照してください。
-
ユーザーがOCI CLIを使用する場合は、「OCI CLIのインストール」を参照してください。
-
一時的な「コンピュートWeb UI」パスワードの指定
新規ユーザーおよびパスワードを忘れたユーザーに対して、この手順を実行します。 この手順では、一時ワンタイム・パスワードを生成します。 ユーザーがこのパスワードを使用してサインインすると、続行する前にパスワードを変更する必要があります。 生成された一時パスワードは7日後に期限切れになります。
テナンシ管理者は、任意のユーザーに一時パスワードを指定できます。 ユーザーは、「独自のコンピュートWeb UIパスワードの設定」の手順に従って、独自の永続パスワードを設定する必要があります。
ノート:
フェデレーテッド・ユーザーのパスワードは、IAMサービスを介して管理されません。 フェデレーテッド・アイデンティティ・プロバイダの情報を参照してください。
「コンピュートWeb UI」の使用
-
ナビゲーション・メニューで、アイデンティティをクリックし、ユーザーをクリックします。
新しいパスワードが必要なユーザーが「非アクティブ」状態の場合は、「ユーザーのロック解除」を参照してください。
-
新しいパスワードが必要なユーザーに対して、アクション・メニューをクリックし、「パスワードの変更」オプションをクリックします。
-
「パスワードの変更」ダイアログで、一時パスワードの作成ボタンをクリックします。
「パスワードが変更されました」ダイアログがポップアップします。 「新しいパスワード」フィールドには、一時パスワードが含まれます。
-
この一時パスワードをコピーして保存します。
このダイアログを閉じた後は、このパスワードを再度取得できません。 一時パスワードをコピーし、ユーザーに配信するための安全な場所にパスワードを保存します。
-
ダイアログの閉じるボタンをクリックします。
-
この一時的なワンタイム・パスワードをユーザーに提供します。 ユーザーは、新しいパスワードを設定するときに、「独自のコンピュートWeb UIパスワードの設定」に記載されているルールに従う必要があります。
OCI CLIの使用
-
パスワードが必要なユーザーのOCID (
oci iam user list
)を取得します。 -
ユーザーがアクティブであることを確認します。
ユーザーの
lifecycle-state
がINACTIVE
の場合は、「ユーザーのロック解除」を参照してください。 -
コマンドを実行して、ユーザーの「コンピュートWeb UI」パスワードを作成またはリセットします。
例:
$ oci iam user ui-password create-or-reset --user-id ocid1.user.unique_ID { "data": { "inactive-status": null, "lifecycle-state": "ACTIVE", "password": "N59%fP9uTq6\\", "time-created": "2021-10-13T22:10:49.290000+00:00", "user-id": "ocid1.user.unique_ID" } }
-
コマンド出力から
password
値をコピーし、この一時的なワンタイム・パスワードをユーザーに提供します。 ユーザーは、新しいパスワードを設定するときに、「独自のコンピュートWeb UIパスワードの設定」に記載されているルールに従う必要があります。
自分の「コンピュートWeb UI」パスワードの設定
ユーザーは、独自の「コンピュートWeb UI」パスワードを設定または変更するためのアクセス・ポリシーを必要としません。
パスワードの設定
この手順を使用して、最初に「コンピュートWeb UI」パスワードを設定するか、パスワードを忘れた場合はパスワードをリセットします。
「コンピュートWeb UI」の使用
-
生成された一時パスワードを取得します。
-
「コンピュートWeb UI」のログイン画面で、ユーザー名を入力します。
-
一時パスワードを入力します。
パスワードの有効期限が切れており、新しいパスワードを作成する必要があることを示すダイアログが表示されます。
-
Change my passwordボタンをクリックします。
-
「パスワードの変更」画面で、「現在のパスワード」フィールドに一時パスワードを入力します。
-
「新規パスワード」フィールドに新しいパスワードを入力し、Confirm「新規パスワード」フィールドに再度入力します。
パスワードは12文字以上で、次のそれぞれが少なくとも1つ含まれている必要があります: 大文字、小文字、数字および記号。
-
Save Changesボタンをクリックします。
パスワードが正常に更新されたことを示すダイアログが表示されます。
-
「続行」ボタンをクリックします。
-
新しいパスワードを使用してログインします。
パスワードの変更
現在のパスワードがまだ機能している間に「コンピュートWeb UI」パスワードを変更するには、この手順を使用します。
「コンピュートWeb UI」の使用
-
「コンピュートWeb UI」の右上隅で、ユーザー・メニューをクリックします。
-
「パスワード変更」をクリックします
-
「パスワードの変更」画面で、「現在のパスワード」フィールドに現在のパスワードを入力します。
-
「新規パスワード」フィールドに新しいパスワードを入力し、Confirm「新規パスワード」フィールドに再度入力します。
パスワードは12文字以上で、次のそれぞれが少なくとも1つ含まれている必要があります: 大文字、小文字、数字および記号。
-
Save Changesボタンをクリックします。
パスワードが正常に更新されたことを示すダイアログが表示されます。
-
「続行」ボタンをクリックします。
ユーザー情報およびグループ・メンバーシップの表示
「コンピュートWeb UI」の使用
-
ナビゲーション・メニューで、アイデンティティをクリックし、ユーザーをクリックします。
「ユーザー」ページには、ユーザー・アカウントを異なるコンパートメントに配置できないため、テナンシのすべてのユーザーが表示されます。 すべてのユーザーがテナンシ内にあります。
-
詳細情報を表示するユーザーの名前をクリックします。
-
そのユーザー・アカウントの詳細ページで、Resourcesセクションまでスクロール・ダウンします。
-
グループ・リソースをクリックします。
このユーザーがメンバーであるグループのリストが表示されます。
-
グループのメンバーの完全なリストを表示するには、グループ・リストでグループの名前をクリックします。
そのグループのResourcesセクションまでスクロールし、Group Membersをクリックします。
OCI CLIの使用
-
グループのリストが必要なユーザー・アカウントのOCID (
oci iam user list
)を取得します。 -
list groupコマンドを実行します。
構文:
oci iam user list-groups --user-id user_OCID
list-groups
コマンドの出力は、このユーザーがメンバーである各グループのgroup get
コマンドの出力と同じです。user get
コマンドは、グループ・メンバーシップを表示しません。
ユーザーの更新によるグループへのユーザーの追加
ユーザーがリソースにアクセスできるようにするには、少なくとも1つのグループのメンバーである必要があります。
「コンピュートWeb UI」の使用
ユーザー「コンピュートWeb UI」ページを使用するかわりに、「グループの更新によるグループへのユーザーの追加」の説明に従ってグループ・ページを使用できます。
-
ナビゲーション・メニューで、アイデンティティをクリックし、ユーザーをクリックします。
-
グループに追加するユーザーの名前をクリックします。
-
詳細ページで、リソース・セクションまでスクロール・ダウンし、グループをクリックします。
-
グループ・リストの上部にあるユーザーをグループに追加ボタンをクリックします。
-
ユーザーをグループに追加ダイアログで、ドロップダウン・リストからグループを選択し、OKボタンをクリックします。
選択したグループがユーザー・グループ・リストに追加されます。
OCI CLIの使用
-
OCI CLIプロシージャについては、「グループの更新によるグループへのユーザーの追加」を参照してください。
-
user list-groups
コマンドを使用して、このユーザーがメンバーであるグループを表示します。user list-groups
コマンドの出力は、このユーザーがメンバーである各グループのgroup get
コマンドの出力と同じです。
ユーザーの更新によるグループからのユーザーの削除
すべてのグループからユーザーを削除すると、ユーザーはどのリソースにもアクセスできません。
「コンピュートWeb UI」の使用
ユーザー「コンピュートWeb UI」ページを使用するかわりに、「グループの更新によるグループからのユーザーの削除」の説明に従ってグループ・ページを使用できます。
-
ナビゲーション・メニューで、アイデンティティをクリックし、ユーザーをクリックします。
-
グループから削除するユーザーの名前をクリックします。
-
Resourcesセクションまでスクロールし、Groupsをクリックします。
-
ユーザーを削除するグループに対して、アクション・メニューをクリックし、グループから削除オプションをクリックします。
選択したグループがユーザー・グループ・リストから削除されます。
OCI CLIの使用
-
OCI CLIプロシージャについては、「グループの更新によるグループからのユーザーの削除」を参照してください。
-
user list-groups
コマンドを使用して、このユーザーがメンバーであるグループを表示します。user list-groups
コマンドの出力は、このユーザーがメンバーである各グループのgroup get
コマンドの出力と同じです。
ユーザーの変更
ユーザー・アカウントの説明および電子メール・アドレスを変更できます。 「既存のリソースへのタグの適用」の説明に従って、タグを追加、変更または削除できます。
「コンピュートWeb UI」の使用
-
ナビゲーション・メニューで、アイデンティティをクリックし、ユーザーをクリックします。
-
変更するユーザー・アカウントについて、アクション・メニューをクリックし、編集オプションをクリックします。
-
username
の編集ダイアログで、アカウントの説明、電子メール・アドレスまたはタグを変更します。 -
「変更の保存」をクリックします。
OCI CLIの使用
-
変更するユーザー・アカウントのOCID (
oci iam user list
)を取得します。 -
ユーザー更新コマンドを実行します。
構文:
oci iam user update --user-id user_OCID [ --description desc ] \ [ --email email ] [ --defined-tags tags ] [ --freeform-tags tags ]
このコマンドの出力は、
user get
コマンドの出力と同じです。
ユーザーのロック解除
このプロシージャは、非アクティブ状態のユーザーのロックを解除します。 不正なログイン試行回数が多すぎると、ユーザーは非アクティブ状態になる可能性があります。
「コンピュートWeb UI」の使用
-
ナビゲーション・メニューで、アイデンティティをクリックし、ユーザーをクリックします。
-
ロック解除するユーザー・アカウントについて、「アクション」メニューをクリックし、「ブロック解除」オプションをクリックします。
ユーザーは「非アクティブ」状態から「アクティブ」状態に遷移します。
OCI CLIの使用
-
ロック解除するユーザー・アカウントのOCIDを取得します(
oci iam user list
)。ユーザーの
lifecycle-state
がINACTIVE
であることを確認します。 -
update user stateコマンドを実行します。
構文:
$ oci iam user update-user-state --user-id ocid1.user.unique_ID \ --blocked false
user get
コマンドを使用して、ユーザーのlifecycle-state
がACTIVE
であることを確認します。
ユーザーの削除
ユーザーが任意のグループのメンバーである場合は、ユーザーを削除できません。 自分のユーザーは削除できません。
ユーザーを削除すると、そのユーザー・アカウントに関連付けられているすべてのAPIキーも削除されます。
「コンピュートWeb UI」の使用
-
ナビゲーション・メニューで、アイデンティティをクリックし、ユーザーをクリックします。
-
削除するユーザーの名前をクリックします。
-
ユーザーがどのグループのメンバーでもないことを確認します。
ユーザーの詳細ページで、リソース・セクションまでスクロール・ダウンし、グループをクリックします。 このユーザーをグループから削除するには、グループ・リストのグループのアクション・メニューをクリックし、グループから削除オプションをクリックします。
-
ユーザー詳細ページの上部にある削除ボタンをクリックします。
-
Delete User確認ダイアログで、Confirmボタンをクリックします。
OCI CLIの使用
-
削除するユーザー・アカウントのOCID (
oci iam user list
)を取得します。 -
user list-groups
コマンドを使用して、ユーザーがどのグループのメンバーでもないことを確認します。 -
ユーザー削除コマンドを実行します。
構文:
oci iam user delete --user-id user_OCID
例:
$ oci iam user delete --user-id ocid1.user.unique_ID Are you sure you want to delete this resource? [y/N]: y
確認せずにユーザーを削除するには、
--force
オプションを使用します。