ユーザーの追加
このトピックでは、簡単なハンズオン・チュートリアルにより、ユーザーとグループを追加して、Oracle Cloud Infrastructureリソースを使用するための権限を付与する単純なポリシーを作成します。
これらの手順を使用すると、すばやくユーザーを追加して機能を試すことができます。IAMサービスの機能とクラウド・リソースへのアクセスの管理方法を完全に理解するには、IAMの概要を参照してください。
ユーザー、グループおよびポリシーについて
Oracle Cloud Infrastructure Servicesにアクセスするためのユーザー権限は、そのユーザーが属しているグループ に基づきます。グループの権限は、ポリシー によって定義されます。ポリシーは、グループのメンバーが実行できるアクションとそのコンパートメントを定義します。ユーザーは、自分がメンバーに含まれているグループに設定されたポリシーに基づいてサービスにアクセスし、操作を実行できます。
サンプル・ユーザーおよびグループ
必要なアクセス権限を持つユーザーの設定方法を理解するには、次のタスクを実行して、これら2つの基本的なタイプのユーザーを設定します:
- 完全な管理者権限を持つユーザー
- 1つのコンパートメントのみを使用する権限を持つユーザー
Oracle Cloud Administrator権限を持つユーザーの追加
このタスクで作成するユーザーには、デフォルト管理者の完全な管理者権限が付与されます。これは、そのユーザーがすべてのコンパートメントへのアクセス権を持ち、Oracle Cloud Infrastructureのすべてのリソースを作成して管理できることを意味します。このタスクを完了するには、クラウド管理者権限が必要です。
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。
- 「デフォルト」をクリックして、デフォルトのアイデンティティ・ドメインを開きます。
- 左側の「アイデンティティ・ドメイン」リソースで、「ユーザー」をクリックします。
- 「ユーザーの作成」をクリックします。
-
「ユーザーの作成」ウィンドウの「名」および「姓」フィールドに、ユーザーの姓名を入力します。
- ユーザーが自分の電子メール・アドレスでログインできるようにするには:
- 「ユーザー名として電子メール・アドレスを使用」チェック・ボックスは選択したままにします。
- 「ユーザー名/電子メール」フィールドに、ユーザー・アカウントの電子メール・アドレスを入力します。
または
ユーザーが自分のユーザー名でログインできるようにするには:- 「ユーザー名として電子メール・アドレスを使用」チェック・ボックスの選択を解除します。
- 「ユーザー名」フィールドに、ユーザーがコンソールへのサインインに使用するユーザー名を入力します。
- 「電子メール」フィールドに、ユーザー・アカウントの電子メール・アドレスを入力します。
- 「このユーザーを割り当てるグループの選択」で、管理者のチェック・ボックスを選択します。
- 「作成」をクリックします。
新規ユーザーに指定されたアドレスにようこそ電子メールが送信されます。新しいユーザーは、電子メールに記載されているアカウントのアクティブ化手順に従ってサインインし、テナンシの使用を開始できます。
コンパートメントの作成とそのコンパートメントへのアクセス権を持つユーザーの追加
この例では、"Sandbox"というコンパートメントを作成し、そのコンパートメントのみへのアクセス権を持つユーザーを作成します。
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「コンパートメント」をクリックします。
- 「コンパートメントの作成」をクリックします。
- 次を入力します:
- 名前: Sandboxと入力します。
- 説明: 説明(必須)を入力します。例: ユーザーがOCIを試すためのサンドボックス・コンパートメント。
- デフォルトの親コンパートメントをルート・コンパートメント(またはテナンシ)として受け入れます。
-
「コンパートメントの作成」をクリックします。
コンパートメントがリストに表示されます。
次に、ポリシーの作成対象となる"SandboxGroup"を作成します。
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。
- 「デフォルト」をクリックして、デフォルトのアイデンティティ・ドメインを開きます。
- 左側の「アイデンティティ・ドメイン」リソースで、「グループ」をクリックします。
- 「グループの作成」をクリックします。
-
「グループの作成」ダイアログで:
-
名前: SandboxGroupなど、グループの一意の名前を入力します。
名前に空白を含めることはできません。
- 説明: 説明(必須)を入力します。
-
- 「作成」をクリックします。
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。
- 「デフォルト」をクリックして、デフォルトのアイデンティティ・ドメインを開きます。
- 左側の「アイデンティティ・ドメイン」リソースで、「ユーザー」をクリックします。
- 「ユーザーの作成」をクリックします。
-
「ユーザーの作成」ウィンドウの「名」および「姓」フィールドに、ユーザーの姓名を入力します。
- ユーザーが自分の電子メール・アドレスでログインできるようにするには:
- 「ユーザー名として電子メール・アドレスを使用」チェック・ボックスは選択したままにします。
- 「ユーザー名/電子メール」フィールドに、ユーザー・アカウントの電子メール・アドレスを入力します。
または
ユーザーが自分のユーザー名でログインできるようにするには:- 「ユーザー名として電子メール・アドレスを使用」チェック・ボックスの選択を解除します。
- 「ユーザー名」フィールドに、ユーザーがコンソールへのログインに使用するユーザー名を入力します。
- 「電子メール」フィールドに、ユーザー・アカウントの電子メール・アドレスを入力します。
- 「このユーザーを割り当てるグループの選択」で、作成したグループ(SandboxGroup)のチェック・ボックスを選択します。
- 「作成」をクリックします。
このユーザーがサインインすると、アクセス権を持つコンパートメントを表示できますが、Sandboxコンパートメント内のリソースの表示、作成および管理のみが可能です。このユーザーは、他のユーザーまたはグループを作成できません。
SandboxコンパートメントのSandboxGroup権限を付与するポリシーを作成します。
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ポリシー」をクリックします。
- 「リスト範囲」で、自分がルート・コンパートメントにいることを確認します。
- 「ポリシーの作成」をクリックします。
-
SandboxPolicyなど、ポリシーの一意の「名前」を入力します。
名前に空白を含めることはできません。
- 「説明」(必須)を入力します。例: Sandboxコンパートメントに対する完全な権限をユーザーに付与します。
-
次の「ステートメント」を入力します:
このステートメントにより、SandboxGroupグループのメンバーに、Sandboxコンパートメントに対する完全なアクセス権が付与されます。Allow group SandboxGroup to manage all-resources in compartment Sandbox
- 「作成」をクリックします。