管理者アクセス権限の制御
管理者は、アカウントがメンバーである認可グループに基づいてアクセス権限を付与されます。認可グループにアタッチされたポリシーは、リソースおよび機能へのアクセスを定義します。有効なポリシーがない場合、認可グループのメンバーにはアクセス権限がありません。
認可グループの使用
管理アクセスを構成する場合は、デフォルトの認可グループを使用するか、新しい認可グループを作成できます。デフォルト・グループを次に示します。
-
初期
ユーザーは、サービス・エンクレーブへのアクセスが制限されています。初期管理者アカウントを作成し、アプライアンスに関する情報を表示する権限はありますが、ほかのリソースへの読み取りアクセス権はありません。
-
OCIApp
ユーザーは、OCI APIおよびアプリケーションの使用に関連する操作に特定のアクセス権を持ちます。
-
OracleServiceAdmin
ユーザーは、Private Cloud Applianceサービスの使用に関連する操作に特定のアクセス権を持ちます。
-
SuperAdmin
ユーザーはサービス・エンクレーブに無制限にアクセスできます。他の管理者アカウントの設定、承認グループおよびファミリの管理など、使用可能なすべての操作を実行する権限があります。
その他の内部認可グループが存在します。たとえば、Day0グループは、アプライアンスの初期設定に関連する操作に特定のアクセス権を提供します。
古いリリースからアップグレードされた既存のシステムでは、レガシー承認グループは削除されません。継続性のために、同じアクセス権限が保持されるように、アップグレード・プロセス中に認可ファミリおよびポリシーが作成されます。
- サービスWeb UIの使用
-
-
ナビゲーション・メニューを開き、「認可グループ」をクリックします。
-
「グループの作成」をクリックします。
-
1文字から255文字を使用して名前を入力し、「認可グループの作成」をクリックします。
新しい認可グループの詳細ページが表示されます。
-
「ポリシー・ステートメントの追加」をクリックします。「認可ポリシー・ステートメント・フォーム」ウィンドウが表示されます。
-
1文字から255文字を使用して名前を入力します。
-
処理(「検査」、「読取り」、「使用」または「管理」)を選択します。
-
ポリシー・アプリケーションを選択します。
-
リソース- ポリシーを適用するリソースを入力します。
-
機能ファミリ- ドロップダウンから1つ選択します。
-
リソース・ファミリ- ドロップダウンから1つ選択します。
-
-
「ポリシー・ステートメントの作成」をクリックします。
新しいポリシー・ステートメントが詳細ページに表示されます。最大100個の追加ポリシー・ステートメントを追加します。
-
- サービスCLIの使用
-
-
新しい承認グループを作成します。
PCA-ADMIN> create AuthorizationGroup name=authors JobId: 14ea4d22-acf1-455d-a7a1-ec0a30f29671 Data: id:c672d9c6-90ec-4776-bccb-caae128e86db name:authors -
create authpolicyStatementコマンドのヘルプを表示します。PCA-ADMIN> create authpolicyStatement ? *action activeState functionFamily resourceFamily resources *on showcustomcmds ?と入力してリソースのオプションを表示するか、showallcustomcmdsと入力してファンクションのオプションを表示します。次に例を示します。PCA-ADMIN> showcustomcmds ? ASRBundle ASRPhonehome BackupJob CnUpdateManager ComputeInstance ComputeNode [...] PCA-ADMIN> showallcustomcmds Operation Name: <Related Object(s)> ----------------------------------- [...] backup: BackupJob changeIlomPassword: ComputeNode, ManagementNode changePassword: ComputeNode, LeafSwitch, ManagementNode, ManagementSwitch, SpineSwitch, User, ZFSAppliance clearFirstBootError: NetworkConfig configZFSAdDomain: ZfsAdDomain configZFSAdWorkgroup: ZfsAdDomain createAdminAccount: createUserInGroup: User deletePlatformImage: PlatformImage deprovision: ComputeNode disableVmHighAvailability: PcaSystem drAddComputeInstance: ComputeInstance drAddSiteMapping: DrSiteMapping [...]-
resources、functionFamilyまたはresourceFamilyを使用してポリシー・ステートメントを作成します。PCA-ADMIN> create authpolicyStatement action=manage resources=ComputeNode on authorizationGroup id=c672d9c6-90ec-4776-bccb-caae128e86dbPCA-ADMIN> create authpolicyStatement action=manage authresourceFamily=rackops on authorizationGroup id=c672d9c6-90ec-4776-bccb-caae128e86dbPCA-ADMIN> create authpolicyStatement action=manage authfunctionFamily=computeops on authorizationGroup id=c672d9c6-90ec-4776-bccb-caae128e86db -
承認グループの詳細を表示します。
PCA-ADMIN> show authorizationGroup name=authors Data: Id = c672d9c6-90ec-4776-bccb-caae128e86db Type = AuthorizationGroup Name = authors Policy Statements 1 = dea601bf-9bfc-4b2c-a135-d98378e69c87(ACTIVE)-Allow authors to MANAGE ComputeNode Is Predefined Authorization Group = false AuthPolicyStatementIds 1 = id:4adde579-1f6a-49eb-a783-9478465f135e type:AuthPolicyStatement name: AuthPolicyStatementIds 2 = id:be498a4e-3e0a-4cfa-9013-188542adb8e3 type:AuthPolicyStatement name:
ポリシー・ステートメントを非アクティブ化するには:
-
edit authpolicyStatementコマンドのヘルプを表示します。PCA-ADMIN> edit authpolicyStatement ? id=<object identifier> -
show authorizationGroup name=group-nameコマンドを使用して、ポリシー・ステートメントのIDを検索します。PCA-ADMIN> show authorizationGroup name=authors [...] Policy Statements 1 = dea601bf-9bfc-4b2c-a135-d98378e69c87(ACTIVE)-Allow authors to MANAGE ComputeNode Is Predefined Authorization Group = false AuthPolicyStatementIds 1 = id:4adde579-1f6a-49eb-a783-9478465f135e type:AuthPolicyStatement name: AuthPolicyStatementIds 2 = id:be498a4e-3e0a-4cfa-9013-188542adb8e3 type:AuthPolicyStatement name: -
ポリシー・ステートメント(
AuthPolicyStatementIds Number = id:unique-identifier)のIDを使用して、コマンドを表示し、ポリシー・ステートメントをアクティブ化または非アクティブ化します。PCA-ADMIN> edit authpolicyStatement id=be498a4e-3e0a-4cfa-9013-188542adb8e3 ? activeState -
ポリシー・ステートメントを非アクティブ化します。
PCA-ADMIN> edit authpolicyStatement id=be498a4e-3e0a-4cfa-9013-188542adb8e3 activeState=inactive JobId: 842c444e-060d-461d-a4e0-c9cdd9f1d3c3 -
ポリシー・ステートメントが非アクティブであることを確認します。
PCA-ADMIN> show authorizationGroup name=authors Data: Id = c672d9c6-90ec-4776-bccb-caae128e86db Type = AuthorizationGroup Name = authors Policy Statements 1 = 4adde579-1f6a-49eb-a783-9478465f135e(ACTIVE)-Allow authors to MANAGE ComputeNode Policy Statements 2 = be498a4e-3e0a-4cfa-9013-188542adb8e3(INACTIVE)-Allow authors to MANAGE ComputeNode Is Predefined Authorization Group = false AuthPolicyStatementIds 1 = id:4adde579-1f6a-49eb-a783-9478465f135e type:AuthPolicyStatement name: AuthPolicyStatementIds 2 = id:be498a4e-3e0a-4cfa-9013-188542adb8e3 type:AuthPolicyStatement name:
-
承認ファミリの使用
認可ファミリを使用すると、認可グループ間で再利用できるポリシーを作成できます。デフォルトの認可グループでは、認可ファミリを使用して作成される事前定義済ポリシーが使用されます。ポリシー・ステートメントで使用できる認可ファミリには2つのタイプがあります。
-
リソース・ファミリは、サーバー、ストレージ、ネットワーク・インフラストラクチャなどのアプライアンス・リソースを定義するために使用されます。
-
ファンクション・ファミリは、コンパートメント、ユーザー、コンピュート管理などのアプライアンス機能を定義するために使用されます。
次の表に、事前定義済の認可ファミリと、デフォルトの認可グループ・ポリシーでの使用方法を示します。
|
承認ファミリ |
タイプ |
ポリシーで使用... |
グループ内のユーザーは... |
|---|---|---|---|
|
Day0 |
機能ファミリ |
SuperAdmin認可グループ |
|
|
初期 |
機能ファミリ |
初期認可グループ |
初期管理アカウントの作成 |
|
OCIApp |
機能ファミリ |
SuperAdmin認可グループ |
OCIアプリケーション・アカウントの作成 |
|
OracleServiceAdmin |
機能ファミリ |
SuperAdmin認可グループ |
Oracleサービス・アカウントの作成 |
|
SuperAdmin |
機能ファミリ |
SuperAdmin認可グループ |
すべてのアプライアンス機能の管理 |
|
Day0 |
リソース・ファミリ |
SuperAdmin認可グループ |
システム情報の読み取りとネットワーク構成 |
|
初期 |
リソース・ファミリ |
初期認可グループ |
システム情報の読み取り |
|
OCIApp |
リソース・ファミリ |
SuperAdmin認可グループ |
OCIアプリケーションの管理 |
|
OracleServiceAdmin |
リソース・ファミリ |
SuperAdmin認可グループ |
Oracleサービスの管理 |
|
SuperAdmin |
リソース・ファミリ |
SuperAdmin認可グループ |
アプライアンス上のすべてのリソースの管理 |
- サービスWeb UIの使用
-
-
ナビゲーション・メニューを開き、「認可ファミリ」をクリックします。
-
「認可ファミリの作成」をクリックします。
-
承認ファミリ・タイプとして「機能ファミリ」または「リソース・ファミリ」のいずれかを選択します。
-
名前を入力します。
-
ファミリに含めるリソースを入力します。
ノート
リソースおよび関数のオプションを見つける方法については、CLIの手順を参照してください。
-
[ファミリを作成]をクリックします。
-
- サービスCLIの使用
-
認可ファンクション・ファミリを作成するには:
-
create authfunctionFamilyコマンドのオプションを表示します。PCA-ADMIN> create authfunctionFamily ? *name *resources -
関数のオプションを表示するには、
showallcustomcmdsと入力します。たとえば:PCA-ADMIN> showallcustomcmds Operation Name: <Related Object(s)> ----------------------------------- [...] backup: BackupJob changeIlomPassword: ComputeNode, ManagementNode changePassword: ComputeNode, LeafSwitch, ManagementNode, ManagementSwitch, SpineSwitch, User, ZFSAppliance clearFirstBootError: NetworkConfig configZFSAdDomain: ZfsAdDomain configZFSAdWorkgroup: ZfsAdDomain createAdminAccount: createUserInGroup: User deletePlatformImage: PlatformImage deprovision: ComputeNode disableVmHighAvailability: PcaSystem drAddComputeInstance: ComputeInstance drAddSiteMapping: DrSiteMapping [...] -
承認関数ファミリを作成します。
PCA-ADMIN> create authfunctionFamily name=cnops resources=ComputeNode.reset,ComputeNode.start,ComputeNode.stop Command: create authfunctionFamily name=cnops resources=ComputeNode.reset,ComputeNode.start,ComputeNode.stop JobId: 4cd37ea7-161f-4b11-952f-ffa992a37d5f Data: id:ae0216da-20d1-4e03-bf65-c7898c6079b2 name:cnops -
承認関数ファミリを一覧表示します。
PCA-ADMIN> list authfunctionFamily Data: id name -- ---- 7f1ac922-571a-4253-a120-e5d15a877a1e Initial 2185058a-3355-48be-851c-2fa0e5a896bd SuperAdmin 7f092ddd-1a51-4a17-b4e2-96c4ece005ec Day0 ae0216da-20d1-4e03-bf65-c7898c6079b2 cnops
-
ポリシー・ステートメントの作成
認可グループが機能するにはポリシーが必要です。個々のポリシーを作成することも、認可ファミリを使用することもできます。ポリシー・ステートメントは、サービスWeb UIまたはサービスCLIから作成できます。各ポリシー・ステートメントには次のものが含まれている必要があります。
-
名前- 1文字から255文字
-
処理- 検査、読取り、使用または管理
-
リソース/認可ファミリ- 1つ以上のリソースまたは1つの認可ファミリ
-
(サービス CLIのみ)承認グループ- グループのID
ポリシー・ステートメントは変更できません。ポリシー・ステートメントを変更する必要がある場合は、ポリシー・ステートメントを削除してから再作成する必要があります。
次の表に、リソースに対して実行できるアクションに関する情報を示します。
|
アクション |
アクセス権のタイプ |
|---|---|
|
|
リソースに含まれる可能性がある機密情報やユーザー指定のメタデータはアクセスせずに、リソースをリストできる権限。 |
|
|
|
|
|
|
|
|
リソースに対するすべての権限が含まれます。 |