IAMの概要

次を行う必要があります:

• Oracle Cloud Infrastructure Identity and Access Management (IAM)のポリシー、構成およびアーティファクトを理解します。
• すべてのIAM機能に、独自のポリシー、構成およびアーティファクトを実装します。
• IAMを使用して、ユーザー、ポリシー、構成およびアーティファクトを作成および管理します。
• NIST 800-63のすべての要件およびガイドライン(IAL3、AAL3およびFAL3を含む)に準拠します。

すべてのIAM機能について、独自の構成値を使用し、独自のアーティファクトを構成する必要があります。

IAMでは、この項で説明するコンポーネントが使用されます。コンポーネントがどのように適合するかをより深く理解するには、シナリオ例を参照してください。

コンパートメント

関連するリソースの集まり。コンパートメントは、クラウド・リソースを編成および分離するためのOracle Cloud Infrastructureの基本コンポーネントです。使用と請求の測定、アクセス(ポリシーの使用による)、および分離(あるプロジェクトまたはビジネス・ユニットのリソースを別のプロジェクトまたはビジネス・ユニットと区別)のために、リソースを明確に区別するために使用できます。一般的な方法は、組織の主要部分ごとにコンパートメントを作成することです。詳細は、テナンシを設定するためのベスト・プラクティスについて学習を参照してください。

動的グループ

定義するルールに一致するリソース(コンピュート・インスタンスなど)を含む特別なタイプのグループ(このため、メンバーシップは、一致するリソースの作成または削除時に動的に変更される可能性があります)。これらのインスタンスは「プリンシパル」のアクターとして機能し、動的グループ向けに記述するポリシーに従ってサービスにAPIコールを行うことができます。

フェデレーション

管理者がアイデンティティ・プロバイダとサービス・プロバイダの間で構成する関係。Oracle Cloud Infrastructureをアイデンティティ・プロバイダとフェデレートする場合、アイデンティティ・プロバイダ内のユーザーとグループを管理します。Oracle Cloud InfrastructureのIAMサービスで認可を管理します。

グループ

同様のアクセス権限セットを共有するユーザーのコレクション。管理者は、テナンシ内のリソースを消費または管理できるようにグループを認可するアクセス・ポリシーを付与できます。同じグループのすべてのユーザーは、同じ権限セットを継承します。

ホーム・リージョン

IAMリソースが存在するリージョン。すべてのIAMリソースはグローバルで、すべてのリージョンで使用できますが、定義のマスター・セットは、単一のリージョンであるホーム・リージョンにあります。ホーム・リージョン内のIAMリソースを変更する必要があります。変更は、すべてのリージョンに自動的に伝播されます。詳細は、リージョンの管理を参照してください。

アイデンティティ・ドメイン

アイデンティティ・ドメインとは、ユーザーとロールの管理、ユーザーのフェデレートとプロビジョニング、Oracle Single Sign-On (SSO)構成を使用したセキュアなアプリケーション統合、およびOAuth管理を行うためのコンテナです。これは、Oracle Cloud Infrastructureのユーザー人口と、それに関連付けられた構成およびセキュリティ設定(MFAなど)を表します。

アイデンティティ・プロバイダ

フェデレーテッドIDプロバイダとの信頼できる関係。Oracle Cloud Infrastructureコンソールに対して認証を試みるフェデレーテッド・ユーザーは、構成されているアイデンティティ・プロバイダにリダイレクトされます。正常に認証されると、フェデレーテッド・ユーザーはネイティブのIAMユーザーと同様にコンソールでOracle Cloud Infrastructureリソースを管理できます。

ムファ

多要素認証(MFA)は、ユーザーのアイデンティティを検証するために複数の要素を使用する必要がある認証方法です。

ネットワーク・ソース

テナンシ内のリソースへのアクセスが許可されたIPアドレスのグループ。IPアドレスは、パブリックIPアドレスか、テナンシ内のVCNからのIPアドレスです。ネットワーク・ソースの作成後、ネットワーク・ソース内のIPから発生したリクエストのみにアクセスを制限するポリシーを使用します。

リソース

Oracle Cloud Infrastructureサービスと対話する際に作成および使用するクラウド・オブジェクト。たとえば、コンピュート・インスタンス、ブロック・ストレージボリューム、仮想クラウド・ネットワーク(VCN)、サブネット、データベース、サードパーティ・アプリケーション、Software-as-a-Service (SaaS)アプリケーション、オンプレミス・ソフトウェアおよび小売Webアプリケーションです。

ロール

アイデンティティ・ドメイン内のユーザーに割り当てることができる一連の管理権限。

セキュリティ・ポリシー

どのユーザーがどのリソースにアクセスできるか、およびその方法を指定するドキュメントです。ポリシーを記述して、Oracle Cloud Infrastructure内のすべてのサービスへのアクセスを制御できます。アクセス権はグループ・レベルおよびコンパートメント・レベルで付与されるため、特定のコンパートメント内またはテナンシ自体への特定のアクセスのタイプをグループに付与するポリシーを記述できます。テナンシへのグループ・アクセス権を付与する場合、グループはテナンシ内のすべてのコンパートメントへの同じアクセスのタイプを自動的に取得します。詳細は、シナリオ例とポリシーの仕組みを参照してください。「ポリシー」の用法は様々です。ポリシー言語で記述された個々のステートメントを意味する場合、"policy"という名前の(Oracle Cloud ID (OCID)が割り当てられている)単一ドキュメント内のステートメントの集合を意味する場合、リソースへのアクセスを制御するために組織で使用されるポリシーの本文全体を意味する場合があります。

ポリシーを適用すると、ポリシーが有効になるまでに少し時間がかかる場合があります。

サインオン・ポリシー

サインオン・ポリシーを使用すると、アイデンティティ・ドメイン管理者、セキュリティ管理者およびアプリケーション管理者は、ユーザーにアイデンティティ・ドメインへのサインインを許可するかどうかを決定する基準を定義できます。

タグ

タグを使用すると、レポートまたは一括処理のために、複数のコンパートメントにまたがるリソースを整理できます。

テナンシ

組織のOracle Cloud Infrastructureリソースすべてを含むルート・コンパートメント。Oracleによって、会社のテナンシが自動的に作成されます。テナンシの中に、IAMエンティティ(ユーザー、グループ、コンパートメントおよびいくつかのポリシー)があります。また、テナンシ内のコンパートメントにポリシーを入れることもできます。作成するコンパートメント内に他のタイプのクラウド・リソース(インスタンス、仮想ネットワーク、ブロック・ストレージ・ボリュームなど)を配置します。

テナンシ管理者は、ユーザーとグループを作成し、コンパートメントにパーティション化されるリソースへのアクセス権を最小限に抑えることができます。

ユーザー

会社のOracle Cloud Infrastructureリソースを管理または使用する必要がある個々の従業員またはシステム。ユーザーには、インスタンスの起動、リモート・ディスクの管理、仮想クラウド・ネットワークの使用などが必要な場合があります。アプリケーションのエンド・ユーザーは、通常、IAMユーザーではありません。ユーザーには1つ以上のIAM資格証明があります(ユーザー資格証明を参照)。

会社がOracleアカウントおよびアイデンティティ・ドメインにサインアップすると、Oracleはアカウントのデフォルト管理者を設定します。このユーザーは、会社の最初のIAMユーザーとなり、管理者の追加設定を担当します。テナンシには管理者というグループが含まれ、デフォルト管理者はこのグループに自動的に所属します。このグループは削除できないため、常に少なくとも1人のユーザーが必要です。

また、テナンシには、管理者グループに対してすべてのOracle Cloud Infrastructure API操作およびテナンシ内のすべてのクラウド・リソースへのグループ・アクセス権を付与するポリシーも自動的に含まれます。このポリシーは変更も削除もできません。管理者グループにユーザーを配置した場合、そのユーザーはすべてのサービスに完全にアクセスできます。つまり、グループ、ポリシー、コンパートメントなどのIAMリソースの作成および管理が可能です。また、仮想クラウド・ネットワーク(VCN)、インスタンス、ブロック・ストレージ・ボリューム、および将来使用可能になるその他の新しいタイプのOracle Cloud Infrastructureリソースなどのクラウド・リソースを作成および管理できます。

デフォルト管理者およびデフォルト・ポリシーとは別に、管理責任を委任するために、ユーザー・アカウントを事前定義済の管理者ロールに割り当てることができます。管理者ロールは、アイデンティティ・ドメイン内に存在します。アイデンティティ・ドメインの任意のユーザー・アカウントを、そのアイデンティティ・ドメインの1つ以上の管理者ロールに割り当てることができます。ポリシーによってコンパートメントおよびそれらのコンパートメント内のリソースへのアクセス権が付与されますが、管理者ロールを使用すれば、ポリシー言語を学習したり、ポリシーを記述および管理したりすることなく、リソースへのアクセス権を付与できます。

IAMは、ユーザーがリソースにアクセスできるかどうかと、ユーザーがそれらのリソースに対して実行できる操作を決定する場合、ポリシーと管理者ロールを一緒に評価します。テナンシがすでにポリシーに依存している場合は、引き続きそれらを使用できます。特定のアイデンティティ・ドメインへのアクセス権を付与するポリシーを記述することもできます。ただし、Oracleでは、管理者ロールの使用から開始して、将来的にアイデンティティ・ドメイン内のリソースへのアクセス権をユーザーに付与することをお薦めします。

Oracle Cloud Infrastructureには、コンソール(ブラウザベースのインタフェース)またはREST APIを使用してアクセスできます。コンソールのための手順は、このガイド全体を通してトピックに含まれています。使用可能なSDKのリストは、ソフトウェア開発キットとコマンドライン・インタフェースを参照してください。

コンソールにアクセスするには、サポートされているブラウザを使用する必要があります。コンソールのサインイン・ページに移動するには、このページ上部のナビゲーション・メニューを開き、「インフラストラクチャ・コンソール」をクリックします。クラウド・テナント、ユーザー名およびパスワードの入力を求められます。

IAM APIのREST APIリファレンスは、Identity and Access Management Service APIを参照してください。IAMアイデンティティ・ドメインAPIのREST APIリファレンスは、IAMアイデンティティ・ドメインAPIを参照してください。APIの使用の詳細は、REST APIを参照してください。