2.1.2.4 格納済資格証明

「格納済資格証明」タブでは、EDQがクラウド・データ、ストレージ・システムなどの高セキュリティの外部システムにアクセスするために使用できる資格証明のセットを格納して、EDQで構成されたファイルのダウンロードおよびアップロード・タスクで、また同じ認証を必要とするWebサービスを呼び出すときに、それらを使用できます。

このタブには、格納済資格証明の次の詳細が表示されます。

• 名前 - 格納済資格証明のセットの名前。この名前は、ディレクタで使用するタスクを構成する際に資格証明を選択するために使用されます。
• 資格証明のタイプ - EDQが認証できる既知の外部システム・タイプの1つ(Oracle Object Store (OCI)、AWS、Azure Storage、OAuth2 Client Credentials、Google Cloud Platformなど)。
• 説明 - 格納済資格証明のセットの短い説明。

このタブでは、次の機能を実行できます。

• 新しい格納済資格証明の作成
• 既存の格納済資格証明の編集
• 既存の格納済資格証明の削除

2.1.2.4.1 格納済資格証明の作成

格納済資格証明の新規セットを作成するには、格納済資格証明表の上にある「格納済資格証明の追加」アイコンをクリックします。

「格納済資格証明の作成」画面で:

「資格証明のタイプ」リスト・ボックスから、作成する必要がある格納済資格証明のタイプを選択します。次の格納済資格証明タイプのいずれでも選択でき、選択した資格証明タイプに基づいて新規に作成した格納済資格証明のセットの詳細を構成できます。

• オブジェクト・ストアを含むOracle Cloud Infrastructure (OCI) API
• S3を含むAmazon Web Services (AWS) API
• AWS Roles Anywhere格納済資格証明の作成
• Microsoft Azureストレージ・アカウント
• 汎用OAuth2クライアント資格証明
• オブジェクト・ストレージを含むGoogle Cloud Platform (GCP) API

格納済資格証明へのアクセスをユーザー・グループ別に制限するには、「グループ別にアクセスを制限」チェック・ボックスを選択します。

アスタリスク(*)でマークされたすべての必須フィールドに入力した後でのみ、「OK」をクリックして、作成した格納済資格証明セットを保存できます。

新規に作成した格納済資格証明セットが、「格納済資格証明」表にリストされている既存の格納済資格証明セットに追加されます。

2.1.2.4.1.1 OCI格納済資格証明の作成

「資格証明のタイプ」リスト・ボックスから「OCI」を選択すると、次のオプションが表示されます。

1. 資格証明名 - OCI格納済資格証明のセットの名前。この名前は、ディレクタで使用するタスクを構成する際に資格証明を選択するために使用されます。
2. 説明 - OCI格納済資格証明のセットの短い説明。
3. テナンシOCID - OCIテナンシの一意のOracle Cloud ID。これはOCIコンソールの「管理」の下のテナンシ詳細ページにあります。例 - ocid1.tenancy.oc1..aaaaaaaaba3pv6wkcr4jqae5f44n2b2m2yt2j6rx32uzr4h25vqstifsfdsq
4. ユーザーOCID - Oracleがユーザーに割り当てた一意ID。ユーザーの詳細を表示しているコンソールのページでユーザーのOCIDを取得します。このページに移動するには:
   • ユーザーとしてサインインしている場合: 「プロファイル」メニュー(「ユーザー」メニュー・アイコン)を開き、「ユーザー設定」をクリックします。
   • これを別のユーザーのために行っている管理者の場合: ナビゲーション・メニューを開きます。ガバナンスと管理で、「アイデンティティ」に移動し、「ユーザー」をクリックします。リストからユーザーを選択します。OCIDの詳細は、「リソース識別子」を参照してください。
5. 秘密キー・ファイル - 秘密キーは、公開キーと対になって、テキスト暗号化および復号化を通じてサーバーを認証します。OpenSSLコマンドを使用して、必要なPEM形式でキー・ペアを生成します。Windowsを使用している場合、Git Bash for Windowsをインストールして、そのツールでコマンドを実行する必要があります。詳細は、「必要なキーとOCID」を参照してください。「秘密キー・ファイル」テキスト・ボックスをクリックして、生成された秘密キー・ファイルをアップロードします。
6. パスフレーズ - パスフレーズは、秘密キー・ファイルの保護に役立つ単語または語句です。これにより、承認されていないユーザーが自身をロック解除するのを防ぎます。秘密キーが暗号化されている場合は、パスフレーズをここに入力します。

必要な詳細を入力した後で、「OK」をクリックします。

2.1.2.4.1.2 AWS格納済資格証明の作成

「資格証明のタイプ」リスト・ボックスから「AWS」を選択すると、次のオプションが表示されます。

1. 資格証明名 - AWS格納済資格証明のセットの名前。この名前は、ディレクタで使用するタスクを構成する際に資格証明を選択するために使用されます。
2. 説明 - AWS格納済資格証明のセットの短い説明。
3. アクセス・キー - AWS アカウントに関連付けられているアクセス・キーIDを入力します。アクセス・キーの管理の詳細は、「Managing Access Keys for IAM Users」を参照してください。
4. アクセス・シークレット - アクセス・キーに関連付けられているアクセス・シークレットを入力します。
5. リージョン - AWSリージョン。大半のAWSサービスURLには、リージョンとサービス名が含まれます。例: https://bucket.s3.us-east-2.amazonaws.com/test.html。このリージョンはus-east-2で、サービスはS3です。使用しているURLにリージョンとサービスが含まれる場合は、これらのフィールドを空のままにすることができます。一部のサービス(APIゲートウェイなど)では、URL内でカスタム・ドメイン名を使用できます。これらのURLでは、リージョンとサービスをURLから取得することはできず、ここで入力する必要があります。
6. サービス - 必要なAWSシンプル・ストレージ・サービスの名前を指定するか、サービス詳細をURLから取得できる場合はこのフィールドを空のままにします。

必要な詳細を入力した後で、「OK」をクリックします。

2.1.2.4.1.3 AWS Roles Anywhere格納済資格証明の作成

AWS Roles Anywhereは、標準のアクセス・キー・ベースのAWS資格証明の使用に代わるものです。認証システムでは、IAMコンソールに登録されている信頼アンカーから導出されたX.509証明書を使用します。

「資格証明のタイプ」リスト・ボックスから「AWS Roles Anywhere」を選択すると、次のオプションが表示されます。

1. 資格証明名 - AWS Roles Anywhere格納済資格証明のセットの名前。この名前は、ディレクタで使用するタスクを構成する際に資格証明を選択するために使用されます。
2. 説明 - AWS Roles Anywhere格納済資格証明のセットの短い説明。
3. 証明書 - PEM形式のX.509証明書で、中間CA証明書にバンドルされています。入力ボックスに証明書をドラッグ・アンド・ドロップするか、場所を参照します。
4. 秘密キー - PEM形式の秘密キー。入力ボックスにキー・ファイルをドラッグ・アンド・ドロップするか、場所を参照します。
5. 信頼アンカーARN - 信頼アンカー定義のARN。
6. ロールARN - 必要なロールのARN。
7. プロファイルARN - 必要なプロファイルのARN。

必要な詳細を入力した後で、「OK」をクリックします。

2.1.2.4.1.4 Azureストレージ資格証明の作成

「資格証明のタイプ」リスト・ボックスから「Azure Storage」を選択すると、次のオプションが表示されます。

1. 資格証明名 - Azure格納済資格証明のセットの名前。この名前は、ディレクタで使用するタスクを構成する際に資格証明を選択するために使用されます。
2. 説明 - Azure格納済資格証明のセットの短い説明。
3. アカウント名 - Azureストレージ・アカウント名の詳細を「アカウント名」テキスト・ボックスに入力します。
4. アクセス・キー - Azureストレージ・アカウントのアクセス・キーを入力します。
5. APIバージョン - EDQをAzureストレージに接続するAzure APIのバージョン番号。デフォルト値は、2018-03-28です。

必要な詳細を入力した後で、「OK」をクリックします。

2.1.2.4.1.5 OAuth2クライアント資格証明の作成

OAuth2格納済資格証明では、主にREST APIの呼出しに使用されるクライアント資格証明付与メカニズムがサポートされます。「資格証明のタイプ」リスト・ボックスから「OAuth2クライアント資格証明」を選択すると、次のオプションが表示されます。

1. 資格証明名 - OAuth2クライアント格納済資格証明のセットの名前。この名前は、ディレクタで使用するタスクを構成する際に資格証明を選択するために使用されます。
2. 説明 - OAuth2クライアント格納済資格証明のセットの短い説明。
3. 「クライアントID」および「クライアント・シークレット」 - クライアント・アプリケーションがOAuth2で保護されたアプリケーションに登録されている場合、クライアントIDとクライアント・シークレットが生成されます。
4. 範囲 - ターゲット・リソースにアクセスするために必要な範囲文字列を入力します。範囲はAPIに依存し、特定のサービス・ドキュメントから取得できます。
5. トークン・リクエストURI - ターゲット・リソースのトークン・リクエスト・サービスのURIを入力します。URIは特定のサービス・ドキュメントから取得できます。
6. クライアントIDの指定 - クライアント情報は2つの方法で(リクエスト・パラメータの一部として、または認証ヘッダー内で)送信できます。この2つのオプションの間で選択します。

必要な詳細を入力した後で、「OK」をクリックします。

2.1.2.4.1.6 Google Cloud Platform格納済資格証明の作成

「資格証明のタイプ」リスト・ボックスから「Google Cloud Platform」を選択すると、次のオプションが表示されます。

1. 資格証明名 - Google Cloud Platform格納済資格証明のセットの名前。この名前は、ディレクタで使用するタスクを構成する際に資格証明を選択するために使用されます。
2. 説明 - Google Cloud Platform格納済資格証明のセットの短い説明。
3. 認証方式 - Google Cloud Platform格納済資格証明の認証方式を選択します。次を指定できます。
   • OAuth2 - この認証方式は、Google Cloud REST APIを呼び出すために使用されます。範囲は、呼出しに必要な権限を識別するために必要です。
   • OpenID Connect - この認証方式は、Identity-Aware Proxy (IAP)によって保護されたリソースをコールし、関数を呼び出すために使用されます。対象読者の要求は、ターゲットを特定するために必要です。

4. ノート:

   このフィールドは、OAuth2認証方法にのみ適用されます。
   範囲 - 範囲は、リソースへのアプリケーションのアクセスを制限するOAuth 2.0のメカニズムです。必要な範囲をここで指定します。たとえば、範囲https://www.googleapis.com/auth/cloud-platformはすべてのリソースへのアクセス権を付与します。

5. ノート:

   このフィールドは、Open ID Connect認証方法にのみ適用されます。
   対象読者 - ユーザーがサインインするターゲット・アプリケーションのアプリケーションID。対象読者をここで指定します。
6. サービス・アカウント・キー・ファイル - サービス・アカウントは、GCP APIのデータにアクセスする必要のある人間以外のユーザーを表すことを意図した特殊なタイプのGoogleアカウントです。詳細は、「サービス・アカウント」を参照してください。サービス・アカウントにはJSONキー・ファイルが関連付けられています。入力ボックスにキー・ファイルをドラッグ・アンド・ドロップするか、場所を参照します。

必要な詳細を入力した後で、「OK」をクリックします。

2.1.2.4.2 格納済資格証明の編集

既存の格納済資格証明の詳細を編集するには、編集する格納済資格証明のセットを選択し、格納済資格証明表の上にある「格納済資格証明の編集」アイコンをクリックします。

格納済資格証明の既存のセットの詳細を編集できる「格納済資格証明の編集」画面が表示されます。

必要な資格証明詳細を編集した後で、「OK」をクリックします。

2.1.2.4.3 格納済資格証明の削除

格納済資格証明のセットを削除するには、削除する格納済資格証明のセットを選択し、格納済資格証明表の上にある「格納済資格証明の削除」アイコンをクリックします。

確認を求める「格納済資格証明の削除」確認ダイアログが表示されます。「OK」をクリックします。

選択した格納済資格証明のセットが削除されます。