Oracle Cloud Infrastructureドキュメント

役割ベースのアクセス制御

Oracle AI Database@AWSでロールベースのアクセス制御を使用してリソースへのアクセスを制御する方法について学習します。

Oracle AI Database@AWSチームは、将来の新機能、機能強化、修正に期待しています。更新のため、このページを見ることをお勧めします。

OCIマルチクラウド・ポリシー

AWS環境をOracle AI Database@AWSにオンボーディングすると、OCIアカウント・リンク・プロセス中に、OCIによって、サービスに必要なマルチクラウド・コンパートメントとOCI Identity and Access Management (IAM)ポリシーが作成されます。これらのリソースは、Oracle AI Database@AWSのメンテナンスに不可欠です。OCI管理者は、これらの自動作成されたリソースを変更、移動または削除しないでください。

IAMポリシーおよびコンパートメントは、MulticloudLink接頭辞で識別できます。

OCIマルチクラウド・ポリシー
OCIマルチクラウド・コンパートメント

Identity and Access Management (IAM)の拒否ポリシー

OCI IAM Denyポリシーにより、管理者は不要なアクションを明示的にブロックし、セキュリティを強化し、アクセス制御を合理化できます。

OCI IAM Denyポリシーは権限を制限するための強力なツールですが、Oracle AI Database@AWS内では細心の注意を払って使用する必要があります。

先頭にMulticloudLinkが付いたIAMポリシーまたはコンパートメントをターゲットにしたり、影響を与える拒否ポリシーは適用しないでください

Oracle AI Database@AWSリソースにDenyポリシーを適用すると、ODBGサービスのOCIとの統合が中断され、重大な運用障害またはサービスの完全な不具合が発生します。

マルチクラウド関数をロックするテナンシ全体の拒否ポリシーからのリカバリ

Deny any-user to inspect all-resources in tenancyなどのテナンシ全体の拒否ポリシーは、すべてのユーザー・アクセスをブロックしたり、マルチクラウド統合をブロックしたりできます。

回復するには:

ノート

これらのステップでは、Oracle Cloudコンソールを使用します。または、OCI CLIを使用します。CLIコマンドの例:
oci iam policy update --policy-id <policy-id> --statements '["Deny group Interns to inspect all-resources in tenancy"]'
  1. デフォルトの管理者グループのメンバーとしてOracle Cloudコンソールにサインインします(拒否ポリシーを除く)。
  2. ナビゲーション・メニューを開き、「アイデンティティおよびセキュリティ」を選択します。「アイデンティティ」で、「ポリシー」を選択します。
  3. ルート・コンパートメントまたはサブ・コンパートメント(マルチクラウド・コンパートメントなど)の拒否アクションを含むポリシーを識別します。
  4. ポリシーの編集または削除。
    たとえば、問題の原因となっているDenyポリシーを削除します。
  5. ポリシーを更新した場合は、OCI IAMポリシー・シミュレータを使用してテストします。