Oracle Cloud Infrastructureドキュメント

アイデンティティ・ドメインを使用するクラウド・アカウントでのユーザーおよびグループの設定

クラウド・アカウントの作成前にアイデンティティ・ドメインを使用するように更新されたリージョン内のクラウド・アカウントの場合、ユーザーおよびグループはOracle Cloud Infrastructure (IAM)でのみ設定されます。

ノート

このセクションは、アイデンティティ・ドメインを使用するクラウド・アカウントにのみ適用されます。クラウド・アカウントでアイデンティティ・ドメインが使用されているかどうかがわからない場合は、ユーザーおよびグループの設定についてを参照してください。

Oracle Cloud Infrastructure IAMおよび必要な情報を提供するドキュメントの詳細は、Oracle Cloud Infrastructureドキュメントのクラウド・アイデンティティに使用するドキュメンテーションを参照してください。IAMの概要

アイデンティティ・ドメインでは、次の図に示すように、ロールがドメイン内のOracle Cloud Infrastructure IAMグループに割り当てられます。

identity-domain-config.pngの説明が続きます
図identity-domain-config.pngの説明

アイデンティティ・ドメインの作成

ユーザーおよびグループを構成するアイデンティティ・ドメインを作成します。

Oracle Cloud Infrastructureテナンシ(クラウド・アカウント)では、環境の構成方法に応じて、ルート(デフォルト)コンパートメント、および場合によっては他のいくつかのコンパートメントが環境に含まれます。コンパートメントを作成するには、Visual Builderのコンパートメントの作成を参照してください。各コンパートメント内で、ユーザーおよびグループを作成できます。たとえば、ベスト・プラクティスとして、次のようにします:

  • ルート(デフォルト)コンパートメントで、管理者専用のデフォルト・ドメインを作成します。
  • 別のコンパートメント(たとえば、Dev)で、開発環境でユーザーおよびグループのドメインを作成します
  • 別のコンパートメント(たとえば、Prod)で、本番環境でユーザーおよびグループのドメインを作成します。

1つのコンパートメントに複数のドメインを作成することもできます。

  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。
    「ドメイン」ページが表示されます。
  2. まだ選択していない場合は、ドメインを作成するコンパートメントを選択します。
  3. 「ドメインの作成」をクリックします。
  4. 「ドメインの作成」ページで必要な情報を入力します。Oracle Cloud Infrastructureドキュメントのアイデンティティ・ドメインの作成 を参照してください。

アイデンティティ・ドメインでのOracle Cloud Infrastructureグループの作成

アイデンティティ・ドメインに、インスタンス管理者や読取り専用グループなどのグループを作成します。

  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。
    「ドメイン」ページが表示されます。
  2. まだ選択されていない場合は、グループを作成するドメインが存在するコンパートメントを選択します。
  3. 「名前」列で、インスタンスを作成および管理するためのグループを作成するドメインをクリックします。
    ドメインの概要ページが表示されます。
  4. 「グループ」をクリックします。
    ドメインの「グループ」ページが表示されます。
  5. 「グループの作成」をクリックします。
  6. 「グループの作成」画面で、グループに名前(たとえば、oci-visualbuilder-admins)を割り当て、説明を入力します。
  7. 「作成」をクリックします

アイデンティティ・ドメインでのOracle Cloud Infrastructureポリシーの作成

指定されたテナンシまたはコンパートメント内のOracle Cloud Infrastructureインスタンスを操作する権限をドメイン・グループのユーザーに付与するポリシーを作成します。

  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ポリシー」をクリックします
  2. 「ポリシーの作成」をクリックします。
  3. 「ポリシーの作成」ウィンドウで、名前(たとえば、VisualBuilderGroupPolicy)および説明を入力します。
  4. 「ポリシー・ビルダー」で、「手動エディタの表示」を選択し、必要なポリシー・ステートメントを入力します。

    構文:

    • allow group domain-name/group_name to verb resource-type in compartment compartment-name

    • allow group domain-name/group_name to verb resource-type in tenancy

    : allow group admin/oci-visualbuilder-admins to manage visualbuilder-instances in compartment VBCompartment

    ノート

    ドメイン名を省略すると、デフォルト・ドメインとみなされます。

    このポリシー・ステートメントにより、adminドメインのoci-visualbuilder-adminsグループが、コンパートメントVBCompartmentmanageインスタンスvisualbuilder-instancesに許可されます。

    read権限を持つグループのみなど、様々な権限に対して個別のグループを作成できます。

    ポリシーについてさらに知りたいですか。ポリシーの仕組みおよびポリシー参照を参照してください。または、ウィンドウの「ヘルプ」をクリックしてください。

    • ポリシー・ステートメントを定義する場合、(これらのステップで使用される)動詞または(パワー・ユーザーによってよく使用される)権限を指定できます。

    • readおよびmanage動詞は、Visual Builderに最も適用されます。manage動詞は、最高の権限(createdeleteeditmoveおよびview)を持ちます。

      動詞 アクセス

      read

      Oracle Visual Builderインスタンスとその詳細を表示する権限を含みます。

      manage

      Oracle Visual Builderインスタンスに対するすべての権限が含まれます。
  5. カスタム・エンドポイントを使用する場合は、1つ以上のポリシー・ステートメントを追加します。または、このステップをスキップします。
    ボールトおよびシークレットが存在するコンパートメントを指定し、管理グループにシークレットの管理を許可するポリシーを追加します。カスタム・エンドポイントの作成と構成を参照してください。
    Vaultサービスの詳細の説明に従って、resource-typeで返すリソースを指定する必要があります。また、Oracle Visual Builderではread動詞のみが必要ですが、同じグループがシークレット(アップロード/ライフサイクル操作)も管理する場合は、manageをお薦めします。

    例:

    • allow group admin/oci-visualbuilder-admins to manage secrets in compartment SecretsCompartment

    • allow group admin/oci-visualbuilder-admins to manage vaults in compartment SecretsCompartment

  6. 「作成」をクリックします
    ポリシー・ステートメントが検証され、構文エラーが表示されます。

アイデンティティ・ドメインでのユーザーの作成

Oracle Cloud Infrastructureアイデンティティ・ドメイン内のグループに割り当てるユーザーを作成します。

  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。
    「ドメイン」ページが表示されます。
  2. まだ選択されていない場合は、新しいユーザーを追加するグループを含むドメインが存在するコンパートメントを選択します。
  3. 「名前」列で、ユーザーを作成するグループのドメインをクリックします。
    ドメインの概要ページが表示されます。
  4. 「ユーザー」をクリックします。
    ドメインの「Users」ページが表示されます。
  5. 「ユーザーの作成」をクリックします。
  6. 「ユーザーの作成」画面で、ユーザーの姓名とそのユーザー名を入力し、ユーザーに割り当てる1つ以上のグループを選択します。
  7. 「作成」をクリックします
    新しいユーザーが選択したグループに追加され、ポリシー・ステートメントによってグループに割り当てられた権限があります。
  8. 表示されるユーザー詳細ページで、必要に応じてユーザー情報を編集し、ユーザーのパスワードをリセットできます。
  9. クラウド・アカウントへのサインインに必要な資格証明を新しいユーザーに提供します。サインイン時に、新しいパスワードを入力するように求められます。

アイデンティティ・ドメインのグループへのVisual Builderサービス・ロールの割当て

Visual Builderインスタンスの作成後、Oracle Visual Builderサービス・ロールをユーザーのグループに割り当てて、インスタンスの機能を使用できるようにします。

ノート

Oracle Visual Builderサービス・ロールを個々のユーザーではなく選択したグループに割り当てることをお薦めします。

Oracle Visual Builderには、機能へのアクセスを制御するサービス・ロール・セットの標準セットが用意されています。組織で使用するOracle Visual Builder機能に応じて、付与されるサービス・ロールの名前が付けられるグループの作成を選択できます。たとえば、Oracle Visual BuilderのServiceAdministratorロールの場合はVisualBuilderServiceAdministratorsです。

  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。
    「ドメイン」ページが表示されます。
  2. まだ選択されていない場合は、Oracle Visual Builderロールを割り当てるグループを含むドメインが存在するコンパートメントを選択します。
  3. 「名前」列で、ロールを割り当てるグループのドメインをクリックします。
    ドメインの概要ページが表示されます。
  4. ナビゲーション・ペインで、「Oracle Cloud Services」をクリックします。
    「Oracle Cloud Services」ページが表示されます。
  5. 「名前」列で、グループ・ロールを割り当てるOracle Visual Builderインスタンスをクリックします。
    インスタンス詳細ページが表示されます。
  6. ナビゲーション・ペインで、「アプリケーション・ロール」をクリックします。
  7. 「アプリケーション・ロール」リストで、グループに割り当てるロールを見つけます。右端のタスク・メニューをクリックし、「グループの割当て」を選択します。
  8. グループの割当てページで、サービス・ロールを割り当てるグループを選択し、「割当て」をクリックします。