OCIキャッシュ・ユーザー
OCI Cacheのユーザーを作成して管理し、アクセス制御リスト(ACL)機能を使用して、特定のアプリケーションまたはワークロードに合せたユーザー・レベルでアクセス制限を定義および適用します。
OCIキャッシュACL機能を使用すると、ユーザー・アクセスを必要なコマンド、キーおよびデータのみに制限できます。複数のアプリケーション間で単一のOCIキャッシュ・クラスタを安全に共有しながら、分離を確保し、異なるアプリケーションのデータ間の相互アクセスを防止できます。多くの場合、各アプリケーションはキー競合を回避するために一意キー接頭辞を使用します。
OCI Cacheでは、1人以上のOCI Cacheユーザーを作成できます。ACL文字列を使用してこれらのユーザーの権限をカスタマイズし、1つ以上のキャッシュ・クラスタに関連付けることができます。OCIキャッシュ・ユーザーとクラスタの間には多対多の関係があります。1人のユーザーを多数のクラスタに関連付けることができ、1つのクラスタに多数のユーザーが関連付けることができます。さらに、OCIキャッシュでは、それぞれ異なるACL文字列を持つ同じユーザー名を持つ複数のユーザーを作成できます。ユーザーを同じユーザー名で区別するには、ユーザーの説明フィールドを使用して、ユーザーのロールまたは権限を明確にします。
すべてのOCIキャッシュ・クラスタには、ユーザー名がdefaultのシステム定義ユーザーが含まれます。このユーザーはクラスタに不可欠ですが、OCIキャッシュ・ユーザー・リストに表示されず、パスワードが関連付けられていません。その結果、このシステム定義ユーザーにACL権限を割り当てることはできません。ただし、ユーザー名がdefaultの新しいOCIキャッシュ・ユーザーを作成し、認証用のパスワードを設定できます。この新しいユーザーをクラスタに関連付けると、システム定義ユーザーを新しいユーザーに置き換えて、適切なACL文字列を使用して権限をカスタマイズできます。元のシステム定義ユーザーをリストアする必要がある場合は、カスタムOCIキャッシュのデフォルト・ユーザーをクラスタから削除できます。
この構造により、OCIキャッシュ・ユーザーの柔軟な管理が可能になり、様々なセキュリティおよび運用要件を満たすシステム定義およびカスタマイズ可能なユーザー・オプションが提供されます。
OCIキャッシュACLを使用すると、次の利点があります。
- 信頼できないクライアントがアクセスできず、信頼できるクライアントがデータに対する最低限のアクセスレベルを持つように、コマンドと鍵へのアクセスを制限することによってセキュリティーを向上させます。たとえば、特定のユーザーが
readコマンドのみを実行するように制限できます。 - 運用上の安全性を高め、OCIキャッシュ・クラスタにアクセスする個人またはプロセスがデータを危険にさらさないようにします。
OCIキャッシュ・ユーザーを作成しています
コンソール、CLI、SDKまたはTerraformを使用して、OCI Cacheユーザーの標準タスク操作を実行できます。OCIキャッシュ・ユーザーを作成するには、ユーザーの名前、説明、ACL文字列、認証モードおよびステータスの情報を指定する必要があります。
認可は、アクセス制御リスト(ACL)文字列を使用して定義されます。この文字列は通常、OCIキャッシュ・ユーザーに付与される権限を指定する多くのコンポーネントで構成されます。
- パスワードベース認証: パスワードベース認証の場合、最大2つのパスワードを指定できます。詳細は、OCIキャッシュ・ユーザーのパスワードの管理を参照してください。
- IAMベースの認証: IAMベースの認証では、短期間のIAMトークンを作成し、パスワードが不要になります。認証に成功すると、接続はそのOCIキャッシュ・ユーザーとその定義済権限に関連付けられます。IAMベース認証の詳細は、IAM認証を参照してください。
クラスタへのキャッシュ・ユーザーのアタッチ
キャッシュ・ユーザーを作成した後、それらをクラスタにアタッチできます。詳細は、OCIキャッシュ・クラスタの作成およびOCIキャッシュ・クラスタへのユーザーの追加を参照してください。