グループの管理

このトピックでは、グループの操作の基本について説明します。

重要

テナンシがOracle Identity Cloud Serviceとフェデレートされている場合は、グループを管理するためにOracle Cloud InfrastructureコンソールでのOracle Identity Cloud Serviceユーザーおよびグループの管理を参照してください。

リソースのタグ付け

リソースにタグを適用すると、ビジネス・ニーズに応じてそれらを整理しやすくなります。リソースの作成時にタグを適用するか、後でリソースを必要なタグで更新します。タグ適用についての一般情報は、リソース・タグを参照してください。

グループの作業

グループを作成するときは、グループに一意で不変な名前を指定する必要があります。名前は、テナンシ内のすべてのグループで一意である必要があります。また、グループの説明(空の文字列でも可能)を指定する必要があります。これは、グループの一意で変更可能な説明です。また、Oracleでは、グループにOracle Cloud ID (OCID)と呼ばれる一意のIDを割り当てます。詳細は、リソース識別子を参照してください。

ノート

グループを削除してから同じ名前で新規グループを作成すると、別のOCIDがあるため、異なるグループとみなされます。

テナンシまたはコンパートメントのいずれかにそのグループ権限を付与するポリシーを少なくとも1つ書き込むまで、グループに権限はありません。ポリシーを記述するときに、一意の名前またはグループのOCIDを使用してグループを指定できます。前述のノートごとに、ポリシーにグループ名を指定した場合でも、IAMが内部でOCIDを使用してグループを特定します。ポリシーの書込みの詳細は、ポリシーの管理を参照してください。

グループを削除できますが、グループが空の場合のみ削除できます。

保有できるグループの数の詳細は、サービス制限を参照してください。

アイデンティティ・プロバイダとフェデレートしている場合は、アイデンティティ・プロバイダのグループとIAMグループ間のマッピングを作成します。詳細は、アイデンティティ・プロバイダによるフェデレートを参照してください。

コンソールの使用

グループを作成するには
  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。テナンシのグループのリストが表示されます。
  2. 「グループの作成」をクリックします。
  3. 次を入力します:
    • 名前:グループの一意の名前。名前は、テナンシ内のすべてのグループで一意である必要があります。これは後で変更できません。名前は1から100文字の長さにする必要があり、使用できる文字は小文字のaからz、大文字のAからZ、0から9、ピリオド(.)、ダッシュ(-)およびアンダースコア(_)です。スペースは使用できません。機密情報の入力は避けてください。
    • 説明: わかりやすい説明。これは必要に応じて後で変更できます。
    • タグ: リソースを作成する権限がある場合、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済のタグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用するかどうかがわからない場合は、このオプションをスキップするか、管理者に連絡してください。タグは後で適用できます。
  4. 「グループの作成」をクリックします。

グループにユーザーを追加したり、グループのポリシーを記述する場合があります。ポリシーを作成するにはを参照してください。

グループにユーザーを追加するには
  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。テナンシのグループのリストが表示されます。
  2. リストでグループを検索します。
  3. グループをクリックします。その詳細が表示されます
  4. 「ユーザーをグループに追加」をクリックします。
  5. ドロップダウン・リストからユーザーを選択して、「ユーザーの追加」をクリックします。
グループからユーザーを削除するには
  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。テナンシのグループのリストが表示されます。
  2. リストでグループを検索します。
  3. グループをクリックして、グループの詳細を表示します。グループ内のユーザーのリストが表示されます。
  4. リストでユーザーを検索します。
  5. 削除するユーザーに対して、「削除」をクリックします。
  6. プロンプトが表示されたら確認します。
グループを削除するには

前提条件:グループを削除するには、グループにユーザーが含まれていない必要があります。

  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。テナンシのグループのリストが表示されます。
  2. リストでグループを検索します。
  3. 削除するグループの「削除」をクリックします。
  4. プロンプトが表示されたら確認します。
グループの説明を更新するには

APIでのみ使用可能です。APIにアクセスできない場合に、グループの説明を更新する必要がある場合は、Oracle Supportに連絡してください。

グループにタグを適用するには

手順については、「リソース・タグ」を参照してください。

APIの使用

APIの使用およびリクエストの署名の詳細は、REST APIのドキュメントおよびセキュリティ資格証明を参照してください。SDKの詳細は、SDKおよびCLIを参照してください。

ノート

すべてのリージョンで更新が即時ではない

IAMリソースはホーム・リージョンにあります。すべてのリージョンにわたってポリシーを施行するために、IAMサービスは各リージョンにリソースをレプリケートします。ポリシー、ユーザーまたはグループを作成または変更するたびに、変更はホーム・リージョンの最初に有効になり、その後他のリージョンに伝播されます。変更がすべてのリージョンで有効になるまでに、数分かかることがあります。たとえば、テナンシ内でインスタンスを起動する権限を持つグループがあるとします。このグループにUserAを追加すると、UserAでは1分以内にホーム・リージョンのインスタンスを起動できます。ただし、UserAは、レプリケーション・プロセスが完了するまで、他のリージョンでインスタンスを起動できません。このプロセスには最大で数分かかります。レプリケーションが完了する前にUserAがインスタンスを起動しようとすると、認可されていないエラーが発生します。

グループを管理するには、次のAPI操作を使用します。

アイデンティティ・プロバイダのグループ・マッピングに関連するAPI操作については、アイデンティティ・プロバイダによるフェデレートを参照してください。