Oracle Cloud Infrastructureドキュメント

アウトバウンド・コネクタの管理

ファイル・ストレージでは、アウトバウンド・コネクタを使用して、外部サーバー(LDAPサーバーなど)と通信します。

アウトバウンド・コネクタには、接続、認証、およびアカウントの必須機能を実行するための認可の取得に必要なすべての情報が含まれます。現在、アウトバウンド・コネクタはLDAPサーバーとの通信にのみ使用されます。マウント・ターゲットへのLDAP認証の追加時に、コネクタの構成オプションを指定します。

LDAPサーバーに接続する場合、マウント・ターゲットは構成で指定された最初のアウトバウンド・コネクタを使用します。マウント・ターゲットが最初のアウトバウンド・コネクタを使用してLDAPサーバーにログインできない場合、2番目のアウトバウンド・コネクタが使用されます。

複数のマウント・ターゲットで同じアウトバウンド・コネクタを使用できます。アウトバウンド・コネクタをマウント・ターゲットに関連付けることができるのは、同じ可用性ドメインに存在する場合のみです。可用性ドメイン当たり最大32個のアウトバウンド・コネクタを設定できます。

アウトバウンド・コネクタ管理に関連する詳細な手順は、次のトピックを参照してください。

必須IAMポリシー

Oracle Cloud Infrastructureを使用するには、管理者によってポリシーでセキュリティ・アクセス権が付与されている必要があります。このアクセス権は、コンソール、あるいはSDK、CLIまたはその他のツールを使用したREST APIのいずれを使用している場合でも必要です。権限を持っていない、または認可されていないというメッセージが表示された場合は、持っているアクセス権のタイプと作業しているコンパートメントを管理者に確認してください。

管理者の場合: ユーザーによるファイル・システムの作成、管理および削除のポリシーにより、ユーザーはアウトバウンド・コネクタを管理できます。

アウトバウンド・コネクタでは、LDAPサーバーなどの外部サーバーに接続するためにシークレットへのアクセスも必要であるため、マウント・ターゲットを構成しているユーザーとマウント・ターゲット自体の両方に対して追加のIAMポリシーが必要です。
重要

認可にLDAPを使用するようにマウント・ターゲットを構成する前に、これらのポリシーを作成する必要があります。

マウント・ターゲット構成を有効にするポリシー

次のようなポリシーを使用して、マウント・ターゲットに対するLDAPを構成するユーザーまたはグループに権限を付与します:
allow <user|group> to read secret-family in compartment <Compartment_ID> where any { target.secret.id = <LDAP_Password_Secret_ID> }

これにより、ユーザーは、Vaultシークレットを読み取り、構成中に検証のためにシークレットの一部を表示するファイル・ストレージ・コマンドを発行できます。

マウント・ターゲットにシークレットの取得を許可するポリシー

ファイル・ストレージ・サービスには、シークレットを読み取る機能が必要です。ファイル・ストレージでは、リソース・プリンシパルを使用して、特定のマウント・ターゲットのセットにVaultシークレットへのアクセス権を付与します。これは2ステップのプロセスであり、まずアクセスが必要なマウント・ターゲットを動的グループに配置し、次にその動的グループにシークレットを読み取るアクセス権が付与されます。

  1. 次のようなポリシーを使用して、マウント・ターゲットの動的グループを作成します:

    ALL { resource.type='mounttarget', resource.compartment.id = '<mount_target_compartment_id>' }
    ノート

    動的グループに複数のルールがある場合、必ずMatch any rules defined belowオプションを使用してください。

  2. Vaultシークレットへの読取りアクセス権をマウント・ターゲットの動的グループに付与するIAMポリシーを作成します:

     allow dynamic-group <dynamic_group_name> to read secret-family in compartment <secret_compartment_name>

ポリシーを初めて使用する場合は、ポリシーの開始共通ポリシーを参照してください。

アウトバウンド・コネクタの詳細

詳細ページには、アウトバウンド・コネクタに関する次の情報が表示されます:

OCID
すべてのOracle Cloud Infrastructureリソースには、Oracle Cloud Identifier (OCID)と呼ばれるOracle割当ての一意のIDがあります。コマンドライン・インタフェース(CLI)またはAPIを使用するには、アウトバウンド・コネクタのOCIDが必要です。サポートに連絡する際、OCIDも必要です。リソース識別子を参照してください。
作成日
アウトバウンド・コネクタが作成された日時。
コンパートメント
アウトバウンド・コネクタの作成時に、アウトバウンド・コネクタが存在するコンパートメントを指定します。コンパートメントは、組織の管理者によって権限が付与されたグループのみがアクセスできる関連リソース(クラウド・ネットワーク、コンピュート・インスタンス、ファイル・システムなど)のコレクションです。コマンドライン・インタフェース(CLI)またはAPIを使用するには、アウトバウンド・コネクタのコンパートメントが必要です。詳細は、コンパートメントの管理を参照してください。
可用性ドメイン
アウトバウンド・コネクタの作成時に、アウトバウンド・コネクタが存在する可用性ドメインを指定します。可用性ドメインは、リージョン内の1つ以上のデータ・センターです。コマンドライン・インタフェース(CLI)またはAPIを使用するには、アウトバウンド・コネクタの可用性ドメインが必要です。詳細は、リージョンと可用性ドメインを参照してください。
コネクタ・タイプ
アウトバウンド・コネクタのタイプ。サポートされているタイプはLDAPBINDのみです。
サーバーDNS名
LDAPサービスが実行されているインスタンスの完全修飾ドメイン名。
PORT
LDAPサービスのLDAPSポート。
バインド識別名
LDAPサーバーへのログインに使用されるLDAP識別名。
秘密OCID
バインド識別名に関連付けられたパスワードを含むVault内のシークレットのOCID。
秘密バージョン
LDAPパスワード・シークレットのバージョン番号。