証明書の管理

必要なIAMポリシー

Oracle Cloud Infrastructureを使用するには、管理者からポリシー(IAM)でセキュリティ・アクセス権が付与されている必要があります。コンソールまたは(SDK、CLIまたはその他のツールを使用した) REST APIのどれを使用しているかにかかわらず、このアクセス権が必要です。権限がない、または認可されていないというメッセージが表示された場合は、どのタイプのアクセス権があり、どのコンパートメントで作業する必要があるかを管理者に確認してください。

次のポリシーは、サンプル・グループCertificateAdminsに証明書およびCAバンドルを管理する権限を付与します。具体的には、このポリシーによって、集約リソース・タイプcertificate-authority-familyに含まれるすべてのリソースをリストする権限が付与されます(機密情報にはアクセスできません)。このポリシーは、リソース・タイプcertificate-authority-delegateを操作する権限もサンプル・グループに付与します。(サンプル・グループは、コンパートメント内の任意のCAを使用して証明書に署名できますが、CAを作成、更新または削除することはできません)。最後に、このポリシーは、集約リソース・タイプleaf-certificate-familyに含まれるすべてのリソースに対してすべての操作を実行する権限をグループに付与します。アクセスは、指定されたサンプル・コンパートメント内のリソースに制限されます。

Allow group CertificateAdmins to inspect certificate-authority-family in compartment ABC
Allow group CertificateAdmins to use certificate-authority-delegate in compartment ABC
Allow group CertificateAdmins to manage leaf-certificate-family in compartment ABC

これらのステートメントは、このセクションの後半で説明するように、証明書を使用して管理タスクを完了するために必要な最小限のアクセス権を提供します。

証明書に関連するリソースを作成、更新または削除する機能を制限しながら、証明書を操作するためのアクセス権をグループに提供する場合があります。次のポリシーは、サンプル・グループCertificateUsersに、証明書およびCAバンドルの読取りおよび更新の権限を付与します。このポリシーは、証明書を更新する権限もグループに付与します。アクセスは、指定されたサンプル・コンパートメント内のリソースに制限されます。

Allow group CertificateUsers to use leaf-certificate-family in compartment DEF
Allow group CertificateUsers to use certificate-authority-delegate in compartment DEF
Allow group CertificateUsers to manage certificate-associations in compartment DEF
Allow group CertificateUsers to inspect certificate-authority-associations in compartment DEF
Allow group CertificateUsers to manage cabundle-associations in compartment DEF
最後に、作業の一部として特定のタイプの証明書バンドルの読取りのみを許可するグループへのアクセスを提供できます。次のポリシーは、サンプル・グループCertificateDevelopersに、証明書の内容を含む証明書バンドル、PEM形式の秘密キーおよび秘密キー・パスフレーズを読み取る権限を付与します。アクセスは、指定されたサンプル・コンパートメント内のリソースに制限されます。
Allow group CertificateDevelopers to read leaf-certificate-bundles in compartment ABC where target.leaf-certificate.bundle-type='CERTIFICATE_CONTENT_WITH_PRIVATE_KEY'

権限の詳細情報が必要な場合や、より制限の厳しい、または緩やかなポリシーを記述する必要がある場合は、証明書サービスの詳細を参照してください。ポリシーを初めて使用する場合は、ポリシーの開始および共通ポリシーを参照してください。