Oracle Cloud Infrastructureドキュメント

特権APIコントロールの管理

Oracle Exadata Database Service on Cloud@CustomerおよびOracle Exadata Database Service on Dedicated Infrastructureによって公開されるOCI REST APIへのアクセスを制御する方法について学習します。

特権APIコントロールの作成

Oracle Cloudコンソールを使用して特権API Controlを作成するには、この手順を使用します。

  1. Oracle Cloud Infrastructureテナンシにログインします。
  2. ナビゲーション・メニューを開きます。「Oracle Database」で、「APIアクセス制御」をクリックします。
  3. 「特権APIコントロールの作成」をクリックします。
    「特権APIコントロールの作成」ウィンドウが開きます。
  4. 「コンパートメント」フィールドで、特権APIコントロールを作成するコンパートメントを選択します、
    テナンシ内のコンパートメントを見つけるには、コンパートメント名に含まれる文字列を検索できます。たとえば、コンパートメント名にExadataが含まれるコンパートメントがテナンシ内に3つある場合、Exadataという検索フレーズを入力すると、それら3つのコンパートメントすべてが返されます。
  5. 「表示の名前」フィールドに、説明的な名前を入力します。
  6. 「説明」フィールドに、このコントロールの目的を説明する情報を指定します。
  7. 「リソース・タイプ」セクションで、リソース・タイプ(「Exadataインフラストラクチャ」「Exadata Cloud Infrastructure」)を選択します。
  8. 選択したコンパートメントからインフラストラクチャを選択します。
  9. 「エンティティ・タイプ」を選択します。
    • Exadata Database Service on Cloud@CustomerのExadataインフラストラクチャ:
      • Exadata VMクラスタ
      • Exadataインフラ
      • 仮想マシン
      • プラガブル・データベース
      • データベース
      • VMクラスタ・ネットワーク
    • OCI、Azure、Google Cloud ProviderまたはAmazon Web Servicesの専用インフラストラクチャ上のExadata Database Service用のExadata Cloud Infrastructure:
      • ExadataクラウドVMクラスタ
      • Exadataクラウド・インフラ
      • 仮想マシン
      • プラガブル・データベース
      • データベース
  10. アクセスを制御するAPIおよび属性を選択します。
  11. 「別の操作の追加」をクリックして、実行する操作を追加します。
  12. 「この権限APIコントロールによって管理されているリソースへのアクセスの承認を許可されたグループ」フィールドで、システムの右側にある矢印キーをクリックして、メンバーがOracleオペレータ・メンテナンス・リクエストの承認または取消を行えるグループを追加します。承認グループはアイデンティティ・ドメインと互換性がありません。

    「IAMポリシーの使用」を選択して、APIアクセス制御サービスがIAMポリシー・ルールに基づいてユーザーにアクセス・リクエストを承認することを許可します。アイデンティティ・ドメインをサポートする「IAMポリシーの使用」を選択する必要があります。

    「IAMポリシーの使用」オプションを選択する前に、異なるアイデンティティ・ドメイン内のグループのリクエストにアクセスするための承認権限を付与するポリシーを記述しておく必要があります。

    詳細は、「リソースへのアクセスの管理」を参照してください。

  13. 2番目の承認が必要: このオペレータ・コントロールを使用してアクセス・リクエストに2番目の承認が必要な場合は、「はい」を選択します。
    ノート

    • バナーが「アクセス・リクエスト詳細」ページに表示され、このアクセス・リクエストが「承認済」状態に移行するために2つの承認が必要であることを示します。
    • 承認待ちがある場合は、バナーが表示されます。
    • 2人のユーザーのいずれかがアクセス・リクエストを拒否すると、アクセス・リクエストは「拒否済」状態に移行します。
    • あるユーザーがアクセス要求を今すぐ承認(「今すぐ承認」)し、他のユーザーが後で承認(「後で承認」)する場合は、「後で承認」が優先されます。
    • 承認プロセスを完了するには、個別のIDが必要です。このサービスにより、クラウド管理者アカウントが独自のアクセス・リクエストを承認したり、2番目の承認が必要な場合に両方の承認を実行したりできなくなります。
  14. 「通知要件」セクションで、通知トピックを選択します。JSON通知メッセージ形式のみがサポートされています。
    サポート・アクセス・リクエストに関連する通知は、選択したトピックで公開されます。有効なトピックを選択するか、トピックを作成する必要があります。詳細は、トピックの作成を参照してください。
  15. (オプション)その他の機能を指定するには、「拡張オプションの表示」を選択します。「タグ・ネームスペース」フィールドでは、タグ・ネームスペース(コンパートメントのセットに適用される識別テキスト文字列)の追加または既存のタグ・ネームスペースによる統制のタグ付けを検討します。
    詳細は、タグ付けの概要に関する項を参照してください。

親トピック: 特権API制御の管理

特権APIコントロール詳細の表示

特権APIコントロールの詳細を表示するには、この手順を使用します。

  1. Oracle Cloud Infrastructureテナンシにログインします。
  2. ナビゲーション・メニューを開きます。「Oracle Database」で、「APIアクセス制御」をクリックします。
  3. APIアクセス制御のリストから、詳細を表示するAPIアクセス制御の名前をクリックします。
  4. 結果の詳細ページで、特権操作や承認情報などの詳細を確認できます。

親トピック: 特権API制御の管理

特権API制御リソースのリストの表示

特権API制御リソースの詳細を表示するには、この手順を使用します。

  1. Oracle Cloud Infrastructureテナンシにログインします。
  2. ナビゲーション・メニューを開きます。「Oracle Database」で、「APIアクセス制御」をクリックします。
  3. APIアクセス制御のリストから、詳細を表示するAPIアクセス制御の名前をクリックします。
    このAPIアクセス制御に関連付けられたリソースのリストは、「リソース」セクションで確認できます。

親トピック: 特権API制御の管理

特権APIコントロールの編集

特権APIコントロールの名前と説明の変更、リソースの追加、および特権APIコントロールのその他の制御設定を行うには、「特権APIコントロールの編集」オプションを使用します。

ノート

APIコントロールを編集または削除すると、アクセス・リクエストが自動的に作成されます。編集または削除を続行するには、この要求を別のユーザーが承認する必要があります。
  1. Oracle Cloud Infrastructureテナンシにログインします。
  2. ナビゲーション・メニューを開きます。「Oracle Database」で、「APIアクセス制御」をクリックします。
  3. 特権APIコントロールのリストから、編集する特権APIコントロールの名前をクリックします。
  4. 特権APIコントロールの詳細ページで、「編集」をクリックします。
  5. 表示された「特権APIコントロールの編集」ページで、次の項目を編集できます。
    • 名前、説明
    • リソース情報
    • 承認情報
    • 通知トピック
  6. 「変更の保存」をクリックします。

親トピック: 特権API制御の管理

特権APIコントロールへのタグの追加

特定の目的でリソースの検索や追跡を容易にするために、特権APIコントロールにタグを追加できます。

リソースへのタグの適用はオプションです。リソースを作成する権限がある場合、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済タグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用する必要があるかどうかがわからない場合は、このオプションをスキップするか(後でタグを適用できます)、管理者に問い合せてください。
  1. Oracle Cloud Infrastructureテナンシにログインします。
  2. ナビゲーション・メニューを開きます。「Oracle Database」で、「APIアクセス制御」をクリックします。
  3. Oracle API Access Controlsのリストから、タグを追加するOracle API Access Controlを選択します。
  4. Oracle API Access Controlの詳細ページで、「タグの追加」をクリックします。

親トピック: 特権API制御の管理

コンパートメントによる特権APIコントロールのフィルタ

個々のコンパートメントに固有の特権APIコントロールを検索するには、リスト・スコープを使用して、コンパートメント別にOracle API Access Controlsをフィルタします。

  1. Oracle Cloud Infrastructureテナンシにログインします。
  2. ナビゲーション・メニューを開きます。「Oracle Database」で、「APIアクセス制御」をクリックします。
  3. 「リスト範囲」で、リストからコンパートメントを選択します。

親トピック: 特権API制御の管理

状態による特権API制御のフィルタ

割当て状態を確認するために、リクエストのワークフロー状態に基づいて割当てをフィルタできます。

  1. Oracle Cloud Infrastructureテナンシにログインします。
  2. ナビゲーション・メニューを開きます。「Oracle Database」で、「APIアクセス制御」をクリックします。
  3. 「フィルタ」で、リストから「状態」を選択します。特権APIコントロールの状態に基づいてアクションを実行できます。

    表2-1状態による特権API制御のフィルタ

    特権API制御 許可されているアクション
    CREATING アクションはありません。
    ACTIVE 「更新」、「移動」、または「削除」。
    UPDATING アクションはありません。
    DELETING アクションはありません。
    DELETED アクションはありません。
    FAILED 「更新」、「移動」、または「削除」。
    NEEDS_ATTENTION 「更新」、「移動」、または「削除」。

親トピック: 特権API制御の管理

リソース・タイプによる特権API制御のフィルタ

リソース・タイプ別に特権APIコントロールをフィルタするには、この手順を実行します。

  1. Oracle Cloud Infrastructureテナンシにログインします。
  2. ナビゲーション・メニューを開きます。「Oracle Database」で、「APIアクセス制御」をクリックします。
  3. 「フィルタ」で、リストから「リソース・タイプ」を選択します。

親トピック: 特権API制御の管理

別のコンパートメントへの特権APIコントロールの移動

特権APIコントロールを別のコンパートメントに再配置するには、この手順を使用します。

権限付きAPIコントロールを別のコンパートメントに移動すると、関連付けられたリソースには影響しません。それらは現在のコンパートメントに残ります。
  1. Oracle Cloud Infrastructureテナンシにログインします。
  2. ナビゲーション・メニューを開きます。「Oracle Database」で、「APIアクセス制御」をクリックします。
  3. 特権APIコントロールのリストから、移動する特権APIコントロールの名前をクリックします。
  4. 「権限付きAPI制御の詳細」ページで、「リソースの移動」をクリックします。
  5. 表示される「リソースの移動」ダイアログで、新しいコンパートメントを選択し、「リソースの移動」をクリックします。

親トピック: 特権API制御の管理

特権APIコントロールの削除

特権API Controlを削除するには、この手順を実行します。

ノート

特権APIコントロールを編集または削除すると、アクセス・リクエストが自動的に作成されます。編集または削除を続行するには、この要求を別のユーザーが承認する必要があります。
  1. Oracle Cloud Infrastructureテナンシにログインします。
  2. ナビゲーション・メニューを開きます。「Oracle Database」で、「APIアクセス制御」をクリックします。
  3. 特権APIコントロールのリストから、削除する特権APIコントロールの名前をクリックします。
  4. 特権APIコントロールの詳細ページで、「削除」をクリックします。
  5. 表示された「特権APIコントロールの削除」ダイアログで、「削除」をクリックします。

親トピック: 特権API制御の管理