機械翻訳について

OCI Identity and Access Managementについて

Oracle Cloud Infrastructure Identity and Access Management (IAM)は、クラウド・ネイティブのセキュリティおよびアイデンティティ・プラットフォームです。 ユーザー、グループおよび権限を管理するためのツールが提供され、Oracle Cloud Infrastructure (OCI)リソースへのアクセス権を持つユーザー、およびユーザーが実行できるアクションを制御できます。 IAMでは、コンパートメント、ポリシー、ロールなどの概念を使用して、アクセス制御を定義および実施します。

さらに、IAMは、既存のアイデンティティ・システム、外部プロバイダおよびアプリケーションをクラウドかオンプレミスかにかかわらず統合することで、ユーザーのシームレスなアクセスを保証します。

IAMの主な機能の理解

IAMは、クラウド・リソースへのアクセスを管理するための堅牢で柔軟なフレームワークを提供します。 これは、2つのコア機能によって実現されます: アイデンティティ管理とアクセス管理。

アイデンティティ管理

この機能では、Oracle Integrationなど、Oracle Cloud Infrastructureリソースと対話するユーザーおよびアプリケーションのIDを管理します。 作成から廃止まで、これらのアイデンティティのライフサイクル全体をカバーしています。 この機能の主な側面は次のとおりです:

  • 認証サービス: IAMは、次のような様々なメソッドでユーザーおよびアプリケーションを認証することで、リソースへのアクセスを保護します:
    • インバウンド認証: 従来のユーザー名/パスワード・ログインを使用します。多くの場合、マルチ・ファクタ認証(MFA)で拡張され、セキュリティが向上します。
    • アウトバウンド認証: Oracle Cloud Infrastructureサービスを容易にして、外部システムまたはアプリケーションとの認証を行い、セキュアな統合を保証します。
    • シングル・サインオン(SSO): 企業アイデンティティ・プロバイダとシームレスに統合することで、ユーザーは既存の資格証明を使用してOracle Cloud Infrastructureリソースにアクセスできます。

    認証に使用できる様々な資格証明タイプの詳細は、「ユーザー資格証明の操作」を参照してください。

  • アイデンティティ・ライフサイクル管理: IAMは、アカウントの作成、変更、無効化、削除、パスワードのリセットなど、ユーザー・アカウントとその属性を管理するための一元化されたプラットフォームを提供します。 これにより、管理の簡素化と一貫性のあるポリシー適用が保証されます。 「ユーザー管理のライフサイクル」を参照してください。
  • 他のアイデンティティ・プロバイダとのフェデレーション: IAMは、既存のアイデンティティ・プロバイダおよびストア(たとえば、Microsoft Active Directory、Azure AD、SAML 2.0プロバイダ)とシームレスに統合されるため、既存のユーザー・ディレクトリを使用し、アカウントの重複を回避できます。 これにより、オーバーヘッドが削減され、ユーザー・エクスペリエンスが向上します。 「アイデンティティ・プロバイダによるフェデレート」を参照してください。

アクセス管理

ユーザーまたはアプリケーションが認証されると、アクセス管理機能によって、Oracle Cloud Infrastructure環境内で実行できる操作が決まります。 これにより、リソース・アクセスを詳細に制御できます。

  • 承認: これがアクセス管理のコア機能です。 誰がどのリソースにアクセスできるかを定義します。 設計上、IAMの許可メカニズムでは最小権限の原則が使用され、特定のタスクの実行に必要な最小限の権限のみがユーザーに付与されます。
  • ロールベースのアクセス制御(RBAC): IAMはRBACを使用します。ここで、権限はロールにグループ化され、ユーザーはこれらのロールに割り当てられます。 ポリシーは、人間が読める形式で記述され、これらのロールおよび特定のリソースに対する権限を定義します。 「ロールへのユーザーの割当て」「ポリシーの管理」を参照してください。
  • ポリシー施行: ユーザーがリソースに対するアクション(たとえば、Oracle Cloud Infrastructureコンピュート・インスタンスの起動)を試行すると、IAMはユーザーのロールに関連付けられたポリシーをチェックします。 ポリシーがその特定のアクションおよびリソースに対する権限を明示的に付与すると、アクションが許可されます。それ以外の場合は拒否されます。 この動的評価により、Oracle Cloud Infrastructure環境全体で一貫性のある安全なアクセス制御が保証されます。 「ポリシーの仕組み」を参照してください。

主要なIAMコンポーネントの理解

Oracle Integrationのロールおよびアクセスを管理する前に、これらの主要なIAMコンポーネントについて理解してください。

  • アイデンティティ・ドメイン: ユーザー、グループまたはアプリケーション、およびテナンシ内のリソースへのアクセスを管理するための論理グループ。 各テナンシには「デフォルト」アイデンティティ・ドメインが含まれ、必要に応じて追加のアイデンティティ・ドメインを作成して、様々なユーザー集団を保持できます。 各アイデンティティ・ドメインは、基本的に個別のIAMソリューションです。 「アイデンティティ・ドメインの管理」を参照してください。
  • コンパートメント: Oracle Cloud Infrastructureリソースの論理グループ。 コンパートメントを使用して、従業員リソース用に1つ、顧客リソース用に1つなど、異なるユーザーへのアクセスを分離できます。 コンパートメントの理解を参照してください。
  • ユーザー: Oracle Cloud Infrastructureリソースと対話する個人またはアプリケーションを表すアイデンティティ。 ユーザーの管理を参照してください。
  • グループ: リソースのセットに対して同じタイプのアクセスを必要とするユーザーの集合。 「グループの管理」を参照してください。
  • ポリシー: 誰がどのOracle Cloud Infrastructureリソースにアクセスできるか、および実行できるアクションを指定する文。 「ポリシーの管理」を参照してください。
  • ロール: アイデンティティ・ドメイン内のユーザーに割り当てられる権限のセット。 「ロールへのユーザーの割当て」を参照してください。

IAMの包括的な概要については、Oracle Cloud Infrastructureドキュメントの「IAMの概要」を参照してください。