4 ユーザー、アクセス・ロールおよび権限の設定
Oracle Blockchain Platformでサービスを設定した後に完了する最初のタスクの1つは、Oracle Identity Cloud Service (IDCS)またはIdentity and Access Management (IAM)アイデンティティ・ドメインでユーザー・アカウントを追加して、サービスで適切な権限を割り当てることです。
IAMアイデンティティ・ドメインをまだサポートしていないリージョンを持つ既存の顧客または新規顧客の場合、IDCSはOracle Blockchain Platformアカウントで使用できます。IDCSを使用してユーザーおよびグループを追加し、それらにOracle Blockchain Platformの使用を制御するためのロールを割り当てます。Oracle Identity Cloud Serviceユーザーの管理およびOracle Identity Cloud Serviceグループの管理を参照してください
新規顧客で、OCIリージョンがIAMアイデンティティ・ドメインを使用するように移行されている場合、インスタンスとともにデフォルト・ドメインが作成されます。これを使用してユーザーおよびグループを追加してから、Oracle Blockchain Platformの使用を制御するためのロールを割り当てることができます。ユーザーの管理およびグループの管理を参照してください。
認証でのOracle Identity Cloud Serviceの使用
Oracle Blockchain Platformは、アイデンティティ管理および認証にOracle Identity Cloud Serviceを使用します。
Oracle Identity Cloud Serviceは、Oracle Cloud管理者に、ユーザーとアプリケーションとの関係をOracle Blockchain Platformのような他のOracle Cloudサービスとの関係も含めて管理するための一元的なセキュリティ・プラットフォームを提供します。Oracle Identity Cloud Serviceを使用すると、カスタム・パスワード・ポリシーおよび電子メール通知の作成、新規ユーザーのオンボード、アプリケーションへのユーザーおよびグループの割当て、セキュリティ・レポートの実行を行うことができます。『Oracle Identity Cloud Serviceの管理』の次のトピックを参照してください:
アカウント内の各Oracle Cloudサービス・インスタンスは、Oracle Identity Cloud Serviceセキュリティ・アプリケーションに関連付けられます。各セキュリティ・アプリケーションは、1つ以上のアプリケーション・ロールを定義します。サービスへの管理アクセス権を付与するために、これらのアプリケーション・ロールにユーザーおよびグループを割り当てます。『Oracle Identity Cloud Serviceの管理』の次のトピックを参照してください:
Oracle Cloud InfrastructureコンソールでのOracle Identity Cloud Serviceへの接続
Oracle Blockchain Platformテナンシは、自動的にOracle Identity Cloud Serviceとフェデレートされ、Oracle Cloud Infrastructureでフェデレーテッド・ユーザーをプロビジョニングするように構成されます。
Oracle Cloud InfrastructureコンソールでのOracle Identity Cloud Serviceユーザーおよびグループの管理の説明に従って、Oracle Identity Cloud Serviceを使用してユーザーおよびグループを管理します。
ノート:
Oracle Identity Cloud Serviceの以前のバージョンでは、ブロックチェーン・プラットフォーム・アプリケーションは「アプリケーション」のナビゲーション・ドロワーに含まれていました。これで、ナビゲーション・ドロワーのOracle Cloud Servicesにあります。Oracle Identity Cloud Serviceユーザーの追加
認証にOracle Identity Cloud Serviceを使用するOracle Blockchain Platformインスタンスにアクセスするには、Oracle Blockchain Platformユーザーはまず有効なOracle Identity Cloud Service資格証明を持っている必要があります。管理者は、Oracle Identity Cloud Serviceでユーザーのプロビジョニングを管理し、ユーザーを追加するタスクを実行します。
認証でのIdentity and Access Managementアイデンティティ・ドメインの使用
インスタンスでアイデンティティ管理にアイデンティティ・ドメインを使用している場合、Oracle Cloud Infrastructure Consoleを使用して、Oracle Blockchain Platformを使用する予定の全員についてユーザー・アカウントを設定および管理します。ユーザーおよびグループを設定した後、適切な権限(アプリケーション・ロールとも呼ばれる)を割り当てます。
クラウド・アカウントがアイデンティティ・ドメインを提供するかどうかを確認するには、Oracle Cloud Infrastructure Consoleで、「アイデンティティとセキュリティ」に移動します。「アイデンティティ」で、「ドメイン」を探します。
認証にアイデンティティ・ドメインを使用するOracle Blockchain Platformインスタンスにアクセスするには、まずOracle Blockchain Platformユーザーが有効なドメイン資格証明を持っている必要があります。アイデンティティ・ドメイン管理者は、ドメイン内のユーザーのプロビジョニングを管理し、ユーザーを追加するタスクを実行します。
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。
- 作業するアイデンティティ・ドメインを選択し、「ユーザー」をクリックします。
- 「ユーザーの作成」をクリックします。ユーザー情報を入力します。
Oracle Blockchain PlatformネットワークおよびREST APIに対するロールの割当て
この概要では、Oracle Blockchain Platformネットワーク・ユーザー、管理者およびREST APIユーザーに関連するロールについて説明します。Oracle Blockchain Platformを使用または管理する任意のユーザーをOracle Identity Cloud ServiceまたはIdentity and Access Managementに追加し、適切なユーザー・ロールを付与する必要があります。
ユーザーにロールを関連付ける方法
IDCSを使用している場合は、IDCSで各ユーザーに適切なロールを追加する必要があります。IDCSでユーザー・ロールを追加または管理する方法の詳細は、ユーザーのOracle Identity Cloud Serviceロールの管理を参照してください。
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。
- 作業するアイデンティティ・ドメインを選択し、「Oracle Cloud Services」を選択してから、リストからサービスを選択します。
- 「リソース」で、「アプリケーション・ロール」を選択します。
- ユーザーに割り当てるロールを選択し、ロールの右側にある「詳細」アイコンをクリックして、「ユーザーの割当て」を選択します。
ネットワークAPIまたはREST APIを使用または管理するために必要なロール
Oracle Blockchain Platformで使用可能なロールは次のとおりです。
| ユーザー・ロール | インスタンス作成者に自動的に付与されるか | 説明 |
|---|---|---|
| 管理者 | はい |
このロールは、Oracle Blockchain Platformクラウド・アプリケーションの全体的な管理者です。 このユーザー・ロールで使用可能なコンソール機能の完全なリストは、ユーザー・ロール別コンソール機能のアクセス制御リストの表を参照してください。 |
| ユーザー | このユーザー・ロールで使用可能なコンソール機能の完全なリストは、ユーザー・ロール別コンソール機能のアクセス制御リストの表を参照してください。 | |
| CA_USER | はい | このユーザー・ロールは、認証局APIをコールするためのアクセス権をユーザーに付与するために、Oracle Blockchain Platform参加者に割り当てられます。 |
| REST_CLIENT | はい | RESTプロキシ・ノードで使用可能なすべてのRESTプロキシ・エンドポイントを同じ番号でコールするためのアクセス権をユーザーに付与します。 |
ユーザー・ロール別コンソール機能のアクセス制御リスト
次の表に、ADMINおよびUSERロールで使用可能なコンソール機能を示します。
| 機能 | ADMIN | USER |
|---|---|---|
|
ダッシュボード |
はい |
はい |
|
ネットワーク: 組織のリスト |
はい |
はい |
|
ネットワーク: 組織の追加 |
はい |
いいえ |
|
ネットワーク: オーダー・サービスの設定 |
はい |
いいえ |
|
ネットワーク: 証明書のエクスポート |
はい |
いいえ |
|
ネットワーク: オーダラ設定のエクスポート |
はい |
いいえ |
|
ネットワーク: OSNの追加 |
はい |
いいえ |
|
ネットワーク: ネットワーク構成ブロックのエクスポート |
はい |
いいえ |
|
ノード: リスト |
はい |
はい |
|
ノード: 起動/停止/再起動 |
はい |
いいえ |
|
ノード: 追加/削除 |
はい |
いいえ |
|
ノード: 属性の表示 |
はい |
はい |
|
ノード: 属性の編集 |
はい |
いいえ |
|
ノード: メトリックの表示 |
はい |
はい |
|
ノード: ログの表示 |
はい |
はい |
|
ノード: ピアのエクスポート/インポート |
はい |
いいえ |
|
ノード: VMの配置の表示 |
はい |
はい |
|
ピア・ノード: チャネルのリスト |
はい |
はい |
|
ピア・ノード: チャネルへの参加 |
はい |
いいえ |
|
ピア・ノード: チェーンコードのリスト |
はい |
はい |
|
オーダラ: OSN設定のエクスポート |
はい |
いいえ |
|
オーダラ: ネットワーク構成ブロックのインポート |
はい |
いいえ |
|
チャネル: リスト |
はい |
はい |
|
チャネル: 作成 |
はい |
いいえ |
|
チャネル: チャネルへの組織の追加 |
はい |
いいえ |
|
チャネル: オーダリング・サービス設定の更新 |
はい |
いいえ |
|
チャネル: 台帳の表示/問合せ |
はい |
はい |
|
チャネル: インスタンス化されたチェーンコードのリスト |
はい |
はい |
|
チャネル: 参加したピアのリスト |
はい |
はい |
|
チャネル: アンカー・ピアの設定 |
はい |
いいえ |
|
チャネル: チェーンコードのアップグレード |
はい |
いいえ |
|
チャネル: OSN管理者の管理 |
はい |
いいえ |
|
チャネル: チャネルへのオーダラの参加 |
はい |
いいえ |
| チャネル: チャネルからのオーダラの削除 |
はい |
いいえ |
|
チェーンコード: リスト |
はい |
はい |
|
チェーンコード: インストール |
はい |
いいえ |
|
チェーンコード: インスタンス化 |
はい |
いいえ |
|
サンプル・チェーンコード: インストール |
はい |
いいえ |
|
サンプル・チェーンコード: インスタンス化 |
はい |
いいえ |
|
サンプル・チェーンコード: 呼出し |
はい |
はい |
|
CRL |
はい |
いいえ |
権限およびポリシーを使用したOracle Blockchain Platformの管理
Oracle Cloud Infrastructureの各サービスは、すべてのインタフェース(コンソール、SDKまたはCLI、およびREST API)で、認証および認可のためにアイデンティティおよびアクセス管理(IAM)と統合されます。IAM認可ポリシーを使用して、テナンシ内のリソースへのアクセスを制御します。たとえば、ユーザーにOracle Blockchain Platformインスタンスの作成と管理を認可するポリシーを作成できます。
ポリシーはOracle Cloud Infrastructureコンソールを使用して作成します。IAMポリシーの詳細は、Oracle Cloud InfrastructureドキュメントのOracle Cloud Infrastructure Identity and Access Managementの概要を参照してください。ポリシーの記述の詳細は、ポリシー構文およびポリシー・リファレンスを参照してください。
Oracle Blockchain Platformのリソース・タイプ
| リソースの種類 | 権限 | 説明 |
|---|---|---|
|
blockchain-platforms |
|
1つ以上のOracle Blockchain Platformインスタンス。 |
|
blockchain-platform-work-requests |
|
Oracle Blockchain Platformの単一の作業リクエスト。
Oracle Blockchain Platformインスタンスで実行する操作ごとに、作業リクエストが作成されます。たとえば、作成、起動、停止などの操作です。 |
操作と権限のマップ
次の表に、Oracle Blockchain Platformに固有のIAM操作を示します。これらの操作を含むIAMポリシーを記述することも、これらの操作をカプセル化する定義済動詞を使用したポリシーを記述することもできます。
| 操作ID | 操作の使用に必要な権限 | API操作 |
|---|---|---|
| createBlockchainPlatform | BLOCKCHAIN_PLATFORM_CREATE | CreateBlockchainPlatform |
| deleteBlockchainPlatform | BLOCKCHAIN_PLATFORM_DELETE | DeleteBlockchainPlatform |
| getAllPlatformsInCompartment | BLOCKCHAIN_PLATFORM_INSPECT | GetBlockchainPlatforms |
| getBlockchainPlatformInformation | BLOCKCHAIN_PLATFORM_READ | GetBlockchainPlatformInformation |
| getWorkRequest | BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ | GetWorkRequest |
| getWorkRequestErrors | BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ | ListWorkRequestErrors |
| getWorkRequestLogs | BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ | ListWorkRequestLogs |
| listWorkRequests | BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT | ListWorkRequests |
| restartBlockchainPlatform | BLOCKCHAIN_PLATFORM_UPDATE | RestartBlockchainPlatform |
| startBlockchainPlatform | BLOCKCHAIN_PLATFORM_UPDATE | StartBlockchainPlatform |
| stopBlockchainPlatform | BLOCKCHAIN_PLATFORM_UPDATE | StopBlockchainPlatform |
| updateBlockchainPlatform | BLOCKCHAIN_PLATFORM_UPDATE | UpdateBlockchainPlatform |
動詞とリソース・タイプの組合せの詳細
Oracle Cloud Infrastructureでは、Oracle Cloud Infrastructureリソース全体に対して権限を定義するための動詞の標準セット(検査、読取り、使用、管理)。次の表は、各動詞に関連付けられているOracle Blockchain Platform権限を示しています。アクセス・レベルは、検査から読取り、使用、管理の順に累積されます。
INSPECT
| リソース・タイプ | INSPECT権限 |
|---|---|
|
|
|
|
読取り
| リソース・タイプ | READ権限 |
|---|---|
|
|
|
|
使用
| リソース・タイプ | USE権限 |
|---|---|
|
|
|
|
管理
| リソース・タイプ | MANAGE権限 |
|---|---|
|
|
|
|
操作固有の属性
これらの変数の値は、Oracle Blockchain Platformによって提供されます。さらに、他の一般的な変数もサポートされています。すべてのリクエストの一般的な変数を参照してください。
特定のリソースの種類について、すべての操作(get、list、deleteなど)で同じ属性セットを使用する必要があります。ただし、create操作の場合は例外で、そのオブジェクトのIDはまだないため、createでtarget.RESOURCE-KIND.ID属性を使用することはできません。
| リソースの種類 | 名前 | タイプ | ソース |
|---|---|---|---|
| blockchain-platforms | |||
| blockchain-platform-work-requests |