4 ユーザー、アクセス・ロールおよび権限の設定
Oracle Blockchain Platformでサービスを設定した後に完了する最初のタスクの1つは、サービスを使用するすべてのユーザーに対してOracle Identity Cloud Service (IDCS)またはIdentity and Access Management (IAM)アイデンティティ・ドメインでユーザー・アカウントを追加し、サービスで適切な権限を割り当てることです。
IAMアイデンティティ・ドメインをまだサポートしていないリージョンを持つ既存の顧客または新規顧客の場合、IDCSはOracle Blockchain Platformアカウントで使用できます。IDCSを使用してユーザーおよびグループを追加し、それらにOracle Blockchain Platformの使用を制御するためのロールを割り当てます。Oracle Identity Cloud Serviceユーザーの管理およびOracle Identity Cloud Serviceグループの管理を参照してください
新しいお客様で、OCIリージョンがIAMアイデンティティ・ドメインを使用するように移行されている場合は、インスタンスとともにデフォルト・ドメインが作成されます。これを使用してユーザーおよびグループを追加し、それらにOracle Blockchain Platformの使用を制御するためのロールを割り当てることができます。「ユーザーの管理」および「グループの管理」を参照してください。
認証でのOracle Identity Cloud Serviceの使用
Oracle Blockchain Platformは、アイデンティティ管理および認証にOracle Identity Cloud Serviceを使用します。
Oracle Identity Cloud Serviceは、Oracle Cloud管理者に、ユーザーとアプリケーションとの関係をOracle Blockchain Platformのような他のOracle Cloudサービスとの関係も含めて管理するための一元的なセキュリティ・プラットフォームを提供します。Oracle Identity Cloud Serviceを使用すると、カスタム・パスワード・ポリシーおよび電子メール通知の作成、新規ユーザーのオンボード、アプリケーションへのユーザーおよびグループの割当て、セキュリティ・レポートの実行を行うことができます。『Oracle Identity Cloud Serviceの管理』の次のトピックを参照してください:
アカウント内の各Oracle Cloudサービス・インスタンスは、Oracle Identity Cloud Serviceセキュリティ・アプリケーションに関連付けられます。各セキュリティ・アプリケーションは、1つ以上のアプリケーション・ロールを定義します。サービスへの管理アクセス権を付与するために、これらのアプリケーション・ロールにユーザーおよびグループを割り当てます。『Oracle Identity Cloud Serviceの管理』の次のトピックを参照してください:
Oracle Cloud InfrastructureコンソールでのOracle Identity Cloud Serviceへの接続
Oracle Blockchain Platformテナンシは、自動的にOracle Identity Cloud Serviceとフェデレートされ、Oracle Cloud Infrastructureでフェデレーテッド・ユーザーをプロビジョニングするように構成されます。
Oracle Cloud InfrastructureコンソールでのOracle Identity Cloud Serviceユーザーおよびグループの管理の説明に従って、Oracle Identity Cloud Serviceを使用してユーザーおよびグループを管理します。
ノート:
以前のバージョンのOracle Identity Cloud Serviceでは、ブロックチェーン・プラットフォーム・アプリケーションは「アプリケーション」の下のナビゲーション・ドロワーに含まれていました。Oracle Identity Cloud ServiceがOracle Cloud Infrastructureと統合されたため、別のURLがなくなりました。ブロックチェーン・プラットフォーム・アプリケーションは、「アイデンティティとセキュリティ」、「ドメイン」のナビゲーション・ドロワーのOracle Cloud Servicesの下にあります。- Oracle Cloud Infrastructureで、「アイデンティティとセキュリティ」に移動して「ドメイン」を選択します。必要なユーザーを作成します。
- 1つ以上のグループを作成し、必要に応じてユーザーを適切なグループに割り当てます。
- アクセスを制御するために必要なポリシーを定義します。
- Oracle Cloud Infrastructureのユーザーに、特定のコンパートメントおよびOracle Blockchain Platformインスタンスにアクセスするための適切な権限を付与します。
Oracle Identity Cloud Serviceユーザーの追加
認証にOracle Identity Cloud Serviceを使用するOracle Blockchain Platformインスタンスにアクセスするには、Oracle Blockchain Platformユーザーはまず有効なOracle Identity Cloud Service資格証明を持っている必要があります。管理者は、Oracle Identity Cloud Serviceでユーザーのプロビジョニングを管理し、ユーザーを追加するタスクを実行します。
認証のためのIdentity and Access Managementアイデンティティ・ドメインの使用
インスタンスでアイデンティティ管理にアイデンティティ・ドメインを使用している場合は、Oracle Cloud Infrastructure Consoleを使用して、Oracle Blockchain Platformを使用する予定の全員についてユーザー・アカウントを設定および管理します。ユーザーおよびグループを設定した後、適切な権限(アプリケーション・ロールとも呼ばれる)を割り当てます
クラウド・アカウントでアイデンティティ・ドメインを提供するかどうかを確認するには、Oracle Cloud Infrastructure Consoleで「アイデンティティとセキュリティ」に移動します。「アイデンティティ」で、「ドメイン」を検索します。
認証にアイデンティティ・ドメインを使用するOracle Blockchain Platformインスタンスにアクセスするには、まずOracle Blockchain Platformユーザーが有効なドメイン資格証明を持っている必要があります。アイデンティティ・ドメイン管理者は、ドメイン内のユーザーのプロビジョニングを管理し、ユーザーを追加するタスクを実行します。
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。
- 作業するアイデンティティ・ドメインを選択し、「ユーザー」をクリックします。
- 「ユーザーの作成」をクリックします。ユーザー情報を入力します。
Oracle Blockchain PlatformネットワークおよびREST APIのロールの割当て
この概要では、Oracle Blockchain Platformネットワーク・ユーザー、管理者およびコンソールREST APIユーザーに関連するロールについて説明します。Oracle Blockchain Platformを使用または管理するすべてのユーザーは、Oracle Identity Cloud ServiceまたはIdentity and Access Managementで追加し、適切なユーザー・ロールを付与する必要があります。
ユーザーへの役割の関連付け方法
IDCSを使用している場合は、IDCSの各ユーザーに適切なロールを追加する必要があります。IDCSでユーザー・ロールを追加または管理する方法の詳細は、ユーザーのOracle Identity Cloud Serviceロールの管理を参照してください。
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」、「ドメイン」の順にクリックします。
- 作業するアイデンティティ・ドメインを選択し、「Oracle Cloud Services」を選択してから、リストからサービスを選択します。
- 「リソース」で、「アプリケーション・ロール」を選択します。
- ユーザーに割り当てるロールを選択し、ロールの右側にある「詳細」アイコンをクリックして、ユーザーの割当てを選択します。
ネットワークまたはREST APIを使用または管理するために必要なロール
Oracle Blockchain Platformで使用可能なロールは次のとおりです。
ユーザー・ロール | インスタンス作成者に自動的に付与されるか | 説明 |
---|---|---|
管理 | ○ |
このロールは、Oracle Blockchain Platformクラウド・アプリケーションの全体的な管理者です。 このユーザー・ロールで使用可能なコンソール機能の完全なリストは、ユーザー・ロール別コンソール機能のアクセス制御リストの表を参照してください。 管理ブロックチェーン・ネットワークREST APIを使用するには、このロールをユーザーIDに関連付ける必要があります。 管理Blockchain Platform (コントロール・プレーン) REST APIでは、Oracle Cloud Infrastructureドキュメント: REST APIで説明されているように、OCIの認証メカニズムが使用されることに注意してください。この表で説明するADMINロールは、ネットワーク管理、アプリケーション操作および統計REST APIコールにのみ適用されます。 |
ユーザー | このユーザー・ロールで使用可能なコンソール機能の完全なリストは、ユーザー・ロール別コンソール機能のアクセス制御リストの表を参照してください。 | |
CA_USER | ○ | このユーザー・ロールは、認証局APIをコールするためのアクセス権をユーザーに付与するために、Oracle Blockchain Platform参加者に割り当てられます。 |
REST_CLIENT | ○ |
RESTプロキシ・ノードで使用可能なすべてのRESTプロキシ・エンドポイントを同じ番号でコールするためのアクセス権をユーザーに付与します。 管理Blockchain Platform (コントロール・プレーン) REST APIでは、Oracle Cloud Infrastructureドキュメント: REST APIで説明されているように、OCIの認証メカニズムが使用されることに注意してください。この表で説明されているREST_CLIENTロールは、ネットワーク管理、アプリケーション操作および統計REST APIコールにのみ適用されます。 |
ユーザー・ロール別コンソール機能のアクセス制御リスト
次の表に、ADMINおよびUSERロールで使用可能なコンソール機能を示します。
機能 | ADMIN | USER |
---|---|---|
ダッシュボード |
○ |
○ |
ネットワーク: 組織のリスト |
○ |
○ |
ネットワーク: 組織の追加 |
○ |
× |
ネットワーク: オーダー・サービスの設定 |
○ |
× |
ネットワーク: 証明書のエクスポート |
○ |
× |
ネットワーク: オーダラ設定のエクスポート |
○ |
× |
ネットワーク: OSNの追加 |
○ |
× |
ネットワーク: ネットワーク構成ブロックのエクスポート |
○ |
× |
ノード: リスト |
○ |
○ |
ノード: 起動/停止/再起動 |
○ |
× |
ノード: 追加/削除 |
○ |
× |
ノード: 属性の表示 |
○ |
○ |
ノード: 属性の編集 |
○ |
× |
ノード: メトリックの表示 |
○ |
○ |
ノード: ログの表示 |
○ |
○ |
ノード: ピアのエクスポート/インポート |
○ |
× |
ノード: VMの配置の表示 |
○ |
○ |
ピア・ノード: チャネルのリスト |
○ |
○ |
ピア・ノード: チャネルへの参加 |
○ |
× |
ピア・ノード: チェーンコードのリスト |
○ |
○ |
オーダラ: OSN設定のエクスポート |
○ |
× |
オーダラ: ネットワーク構成ブロックのインポート |
○ |
× |
チャネル: リスト |
○ |
○ |
チャネル: 作成 |
○ |
× |
チャネル: チャネルへの組織の追加 |
○ |
× |
チャネル: オーダリング・サービス設定の更新 |
○ |
× |
チャネル: 台帳の表示/問合せ |
○ |
○ |
チャネル: インスタンス化されたチェーンコードのリスト |
○ |
○ |
チャネル: 参加したピアのリスト |
○ |
○ |
チャネル: アンカー・ピアの設定 |
○ |
× |
チャネル: チェーンコードのアップグレード |
○ |
× |
チャネル: OSN管理者の管理 |
○ |
× |
チャネル: チャネルへのオーダラの参加 |
○ |
× |
チャネル: チャネルからのオーダラの削除 |
○ |
× |
チェーンコード: リスト |
○ |
○ |
チェーンコード: インストール |
○ |
× |
チェーンコード: インスタンス化 |
○ |
× |
サンプル・チェーンコード: インストール |
○ |
× |
サンプル・チェーンコード: インスタンス化 |
○ |
× |
サンプル・チェーンコード: 呼出し |
○ |
○ |
CRL |
○ |
× |
権限とポリシーを使用したOracle Blockchain Platformの管理
Oracle Cloud Infrastructureの各サービスは、すべてのインタフェース(コンソール、SDKまたはCLI、およびREST API)で、認証および認可のためにアイデンティティおよびアクセス管理(IAM)と統合されます。IAM認可ポリシーを使用して、テナンシ内のリソースへのアクセスを制御します。たとえば、ユーザーにOracle Blockchain Platformインスタンスの作成と管理を認可するポリシーを作成できます。
ポリシーはOracle Cloud Infrastructureコンソールを使用して作成します。IAMポリシーの詳細は、Oracle Cloud InfrastructureドキュメントのOracle Cloud Infrastructure Identity and Access Managementの概要を参照してください。ポリシーの記述の詳細は、ポリシー構文およびポリシー・リファレンスを参照してください。
Oracle Blockchain Platformのリソース・タイプ
リソースの種類 | 権限 | 説明 |
---|---|---|
blockchain-platforms |
|
1つ以上のOracle Blockchain Platformインスタンス。 |
blockchain-platform-work-requests |
|
Oracle Blockchain Platformの単一の作業リクエスト。
Oracle Blockchain Platformインスタンスで実行する操作ごとに、作業リクエストが作成されます。たとえば、作成、起動、停止などの操作です。 |
操作と権限のマップ
次の表に、Oracle Blockchain Platformに固有のIAM操作を示します。これらの操作を含むIAMポリシーを記述することも、これらの操作をカプセル化する定義済動詞を使用したポリシーを記述することもできます。
操作ID | 操作の使用に必要な権限 | API操作 |
---|---|---|
createBlockchainPlatform | BLOCKCHAIN_PLATFORM_CREATE | CreateBlockchainPlatform |
deleteBlockchainPlatform | BLOCKCHAIN_PLATFORM_DELETE | DeleteBlockchainPlatform |
getAllPlatformsInCompartment | BLOCKCHAIN_PLATFORM_INSPECT | GetBlockchainPlatforms |
getBlockchainPlatformInformation | BLOCKCHAIN_PLATFORM_READ | GetBlockchainPlatformInformation |
getWorkRequest | BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ | GetWorkRequest |
getWorkRequestErrors | BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ | ListWorkRequestErrors |
getWorkRequestLogs | BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ | ListWorkRequestLogs |
listWorkRequests | BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT | ListWorkRequests |
restartBlockchainPlatform | BLOCKCHAIN_PLATFORM_UPDATE | RestartBlockchainPlatform |
startBlockchainPlatform | BLOCKCHAIN_PLATFORM_UPDATE | StartBlockchainPlatform |
stopBlockchainPlatform | BLOCKCHAIN_PLATFORM_UPDATE | StopBlockchainPlatform |
updateBlockchainPlatform | BLOCKCHAIN_PLATFORM_UPDATE | UpdateBlockchainPlatform |
動詞とリソース・タイプの組合せの詳細
Oracle Cloud Infrastructureでは、Oracle Cloud Infrastructureリソース全体の権限を定義する動詞の標準セットを提供しています(Inspect、Read、Use、Manage)。次の表は、各動詞に関連付けられているOracle Blockchain Platform権限を示しています。アクセスのレベルは、InspectからRead、Use、Manageの順に累積します。
INSPECT
リソース・タイプ | INSPECT権限 |
---|---|
|
|
|
|
読取り
リソース・タイプ | READ権限 |
---|---|
|
|
|
|
使用
リソース・タイプ | USE権限 |
---|---|
|
|
|
|
管理
リソース・タイプ | MANAGE権限 |
---|---|
|
|
|
|
操作固有の属性
これらの変数の値は、Oracle Blockchain Platformによって提供されます。さらに、他の一般的な変数もサポートされています。すべてのリクエストの一般的な変数を参照してください。
特定のリソースの種類について、すべての操作(get、list、deleteなど)で同じ属性セットを使用する必要があります。ただし、create
操作の場合は例外で、そのオブジェクトのIDはまだないため、create
でtarget.RESOURCE-KIND.ID
属性を使用することはできません。
リソースの種類 | 名前 | タイプ | ソース: |
---|---|---|---|
blockchain-platforms | |||
blockchain-platform-work-requests |