4 ユーザー、アクセス・ロールおよび権限の設定

Oracle Blockchain Platformでサービスを設定した後に完了する最初のタスクの1つは、サービスを使用するすべてのユーザーに対してOracle Identity Cloud Service (IDCS)またはIdentity and Access Management (IAM)アイデンティティ・ドメインでユーザー・アカウントを追加し、サービスで適切な権限を割り当てることです。

IAMアイデンティティ・ドメインをまだサポートしていないリージョンを持つ既存の顧客または新規顧客の場合、IDCSはOracle Blockchain Platformアカウントで使用できます。IDCSを使用してユーザーおよびグループを追加し、それらにOracle Blockchain Platformの使用を制御するためのロールを割り当てます。Oracle Identity Cloud Serviceユーザーの管理およびOracle Identity Cloud Serviceグループの管理を参照してください

新しいお客様で、OCIリージョンがIAMアイデンティティ・ドメインを使用するように移行されている場合は、インスタンスとともにデフォルト・ドメインが作成されます。これを使用してユーザーおよびグループを追加し、それらにOracle Blockchain Platformの使用を制御するためのロールを割り当てることができます。「ユーザーの管理」および「グループの管理」を参照してください。

認証でのOracle Identity Cloud Serviceの使用

Oracle Blockchain Platformは、アイデンティティ管理および認証にOracle Identity Cloud Serviceを使用します。

Oracle Identity Cloud Serviceは、Oracle Cloud管理者に、ユーザーとアプリケーションとの関係をOracle Blockchain Platformのような他のOracle Cloudサービスとの関係も含めて管理するための一元的なセキュリティ・プラットフォームを提供します。Oracle Identity Cloud Serviceを使用すると、カスタム・パスワード・ポリシーおよび電子メール通知の作成、新規ユーザーのオンボード、アプリケーションへのユーザーおよびグループの割当て、セキュリティ・レポートの実行を行うことができます。『Oracle Identity Cloud Serviceの管理』の次のトピックを参照してください:

アカウント内の各Oracle Cloudサービス・インスタンスは、Oracle Identity Cloud Serviceセキュリティ・アプリケーションに関連付けられます。各セキュリティ・アプリケーションは、1つ以上のアプリケーション・ロールを定義します。サービスへの管理アクセス権を付与するために、これらのアプリケーション・ロールにユーザーおよびグループを割り当てます。『Oracle Identity Cloud Serviceの管理』の次のトピックを参照してください:

Oracle Cloud InfrastructureコンソールでのOracle Identity Cloud Serviceへの接続

Oracle Blockchain Platformテナンシは、自動的にOracle Identity Cloud Serviceとフェデレートされ、Oracle Cloud Infrastructureでフェデレーテッド・ユーザーをプロビジョニングするように構成されます。

Oracle Cloud InfrastructureコンソールでのOracle Identity Cloud Serviceユーザーおよびグループの管理の説明に従って、Oracle Identity Cloud Serviceを使用してユーザーおよびグループを管理します。

ノート:

以前のバージョンのOracle Identity Cloud Serviceでは、ブロックチェーン・プラットフォーム・アプリケーションは「アプリケーション」の下のナビゲーション・ドロワーに含まれていました。Oracle Identity Cloud ServiceがOracle Cloud Infrastructureと統合されたため、別のURLがなくなりました。ブロックチェーン・プラットフォーム・アプリケーションは、「アイデンティティとセキュリティ」「ドメイン」のナビゲーション・ドロワーのOracle Cloud Servicesの下にあります。
ユーザーの作成および権限プロセスの概要:
  1. Oracle Cloud Infrastructureで、「アイデンティティとセキュリティ」に移動して「ドメイン」を選択します。必要なユーザーを作成します。
  2. 1つ以上のグループを作成し、必要に応じてユーザーを適切なグループに割り当てます。
  3. アクセスを制御するために必要なポリシーを定義します。
  4. Oracle Cloud Infrastructureのユーザーに、特定のコンパートメントおよびOracle Blockchain Platformインスタンスにアクセスするための適切な権限を付与します。

Oracle Identity Cloud Serviceユーザーの追加

認証にOracle Identity Cloud Serviceを使用するOracle Blockchain Platformインスタンスにアクセスするには、Oracle Blockchain Platformユーザーはまず有効なOracle Identity Cloud Service資格証明を持っている必要があります。管理者は、Oracle Identity Cloud Serviceでユーザーのプロビジョニングを管理し、ユーザーを追加するタスクを実行します。

ユーザーを追加してOracle Blockchain Platformへのアクセス権を付与するには:
  1. Oracle Identity Cloud ServiceでOracle Blockchain Platformインスタンスに関連付けられているセキュリティ・アプリケーションを開きます。
  2. ページ上部の「Identity Cloud Service」「Users」タブをクリックします(Oracle Blockchain Platformインスタンスの「Users」タブではありません)。
  3. 「Add」をクリックしてユーザー詳細を指定し、「Finish」をクリックします。

    ユーザーの「詳細」ページが表示されます。ログイン情報を含む電子メールがユーザーに送信されます。

認証のためのIdentity and Access Managementアイデンティティ・ドメインの使用

インスタンスでアイデンティティ管理にアイデンティティ・ドメインを使用している場合は、Oracle Cloud Infrastructure Consoleを使用して、Oracle Blockchain Platformを使用する予定の全員についてユーザー・アカウントを設定および管理します。ユーザーおよびグループを設定した後、適切な権限(アプリケーション・ロールとも呼ばれる)を割り当てます

クラウド・アカウントでアイデンティティ・ドメインを提供するかどうかを確認するには、Oracle Cloud Infrastructure Consoleで「アイデンティティとセキュリティ」に移動します。「アイデンティティ」で、「ドメイン」を検索します。

認証にアイデンティティ・ドメインを使用するOracle Blockchain Platformインスタンスにアクセスするには、まずOracle Blockchain Platformユーザーが有効なドメイン資格証明を持っている必要があります。アイデンティティ・ドメイン管理者は、ドメイン内のユーザーのプロビジョニングを管理し、ユーザーを追加するタスクを実行します。

ユーザーを追加してOracle Blockchain Platformへのアクセス権を付与するには:
  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。
  2. 作業するアイデンティティ・ドメインを選択し、「ユーザー」をクリックします。
  3. 「ユーザーの作成」をクリックします。ユーザー情報を入力します。
詳細は、Oracle Cloud Infrastructureドキュメントの次のトピックを参照してください:

Oracle Blockchain PlatformネットワークおよびREST APIのロールの割当て

この概要では、Oracle Blockchain Platformネットワーク・ユーザー、管理者およびコンソールREST APIユーザーに関連するロールについて説明します。Oracle Blockchain Platformを使用または管理するすべてのユーザーは、Oracle Identity Cloud ServiceまたはIdentity and Access Managementで追加し、適切なユーザー・ロールを付与する必要があります。

ユーザーへの役割の関連付け方法

IDCSを使用している場合は、IDCSの各ユーザーに適切なロールを追加する必要があります。IDCSでユーザー・ロールを追加または管理する方法の詳細は、ユーザーのOracle Identity Cloud Serviceロールの管理を参照してください。

アイデンティティ・ドメインでIAMを使用している場合は、ドメイン内の各ユーザーに適切なロールを追加する必要があります。
  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」「ドメイン」の順にクリックします。
  2. 作業するアイデンティティ・ドメインを選択し、「Oracle Cloud Services」を選択してから、リストからサービスを選択します。
  3. 「リソース」で、「アプリケーション・ロール」を選択します。
  4. ユーザーに割り当てるロールを選択し、ロールの右側にある「詳細」アイコンをクリックして、ユーザーの割当てを選択します。

ネットワークまたはREST APIを使用または管理するために必要なロール

Oracle Blockchain Platformで使用可能なロールは次のとおりです。

ユーザー・ロール インスタンス作成者に自動的に付与されるか 説明
管理

このロールは、Oracle Blockchain Platformクラウド・アプリケーションの全体的な管理者です。

このユーザー・ロールで使用可能なコンソール機能の完全なリストは、ユーザー・ロール別コンソール機能のアクセス制御リストの表を参照してください。

管理ブロックチェーン・ネットワークREST APIを使用するには、このロールをユーザーIDに関連付ける必要があります。

管理Blockchain Platform (コントロール・プレーン) REST APIでは、Oracle Cloud Infrastructureドキュメント: REST APIで説明されているように、OCIの認証メカニズムが使用されることに注意してください。この表で説明するADMINロールは、ネットワーク管理、アプリケーション操作および統計REST APIコールにのみ適用されます。

ユーザー   このユーザー・ロールで使用可能なコンソール機能の完全なリストは、ユーザー・ロール別コンソール機能のアクセス制御リストの表を参照してください。
CA_USER このユーザー・ロールは、認証局APIをコールするためのアクセス権をユーザーに付与するために、Oracle Blockchain Platform参加者に割り当てられます。
REST_CLIENT

RESTプロキシ・ノードで使用可能なすべてのRESTプロキシ・エンドポイントを同じ番号でコールするためのアクセス権をユーザーに付与します。

管理Blockchain Platform (コントロール・プレーン) REST APIでは、Oracle Cloud Infrastructureドキュメント: REST APIで説明されているように、OCIの認証メカニズムが使用されることに注意してください。この表で説明されているREST_CLIENTロールは、ネットワーク管理、アプリケーション操作および統計REST APIコールにのみ適用されます。

ユーザー・ロール別コンソール機能のアクセス制御リスト

次の表に、ADMINおよびUSERロールで使用可能なコンソール機能を示します。

機能 ADMIN USER

ダッシュボード

ネットワーク: 組織のリスト

ネットワーク: 組織の追加

×

ネットワーク: オーダー・サービスの設定

×

ネットワーク: 証明書のエクスポート

×

ネットワーク: オーダラ設定のエクスポート

×

ネットワーク: OSNの追加

×

ネットワーク: ネットワーク構成ブロックのエクスポート

×

ノード: リスト

ノード: 起動/停止/再起動

×

ノード: 追加/削除

×

ノード: 属性の表示

ノード: 属性の編集

×

ノード: メトリックの表示

ノード: ログの表示

ノード: ピアのエクスポート/インポート

×

ノード: VMの配置の表示

ピア・ノード: チャネルのリスト

ピア・ノード: チャネルへの参加

×

ピア・ノード: チェーンコードのリスト

オーダラ: OSN設定のエクスポート

×

オーダラ: ネットワーク構成ブロックのインポート

×

チャネル: リスト

チャネル: 作成

×

チャネル: チャネルへの組織の追加

×

チャネル: オーダリング・サービス設定の更新

×

チャネル: 台帳の表示/問合せ

チャネル: インスタンス化されたチェーンコードのリスト

チャネル: 参加したピアのリスト

チャネル: アンカー・ピアの設定

×

チャネル: チェーンコードのアップグレード

×

チャネル: OSN管理者の管理

×

チャネル: チャネルへのオーダラの参加

×

チャネル: チャネルからのオーダラの削除

×

チェーンコード: リスト

チェーンコード: インストール

×

チェーンコード: インスタンス化

×

サンプル・チェーンコード: インストール

×

サンプル・チェーンコード: インスタンス化

×

サンプル・チェーンコード: 呼出し

CRL

×

権限とポリシーを使用したOracle Blockchain Platformの管理

Oracle Cloud Infrastructureの各サービスは、すべてのインタフェース(コンソール、SDKまたはCLI、およびREST API)で、認証および認可のためにアイデンティティおよびアクセス管理(IAM)と統合されます。IAM認可ポリシーを使用して、テナンシ内のリソースへのアクセスを制御します。たとえば、ユーザーにOracle Blockchain Platformインスタンスの作成と管理を認可するポリシーを作成できます。

ポリシーはOracle Cloud Infrastructureコンソールを使用して作成します。IAMポリシーの詳細は、Oracle Cloud InfrastructureドキュメントのOracle Cloud Infrastructure Identity and Access Managementの概要を参照してください。ポリシーの記述の詳細は、ポリシー構文およびポリシー・リファレンスを参照してください。

Oracle Blockchain Platformのリソース・タイプ

リソースの種類 権限 説明

blockchain-platforms

  • BLOCKCHAIN_PLATFORM_CREATE
  • BLOCKCHAIN_PLATFORM_UPDATE
  • BLOCKCHAIN_PLATFORM_INSPECT
  • BLOCKCHAIN_PLATFORM_READ
  • BLOCKCHAIN_PLATFORM_DELETE
1つ以上のOracle Blockchain Platformインスタンス。

blockchain-platform-work-requests

  • BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT
  • BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ
  • BLOCKCHAIN_PLATFORM_WORK_REQUEST_DELETE
Oracle Blockchain Platformの単一の作業リクエスト。

Oracle Blockchain Platformインスタンスで実行する操作ごとに、作業リクエストが作成されます。たとえば、作成、起動、停止などの操作です。

操作と権限のマップ

次の表に、Oracle Blockchain Platformに固有のIAM操作を示します。これらの操作を含むIAMポリシーを記述することも、これらの操作をカプセル化する定義済動詞を使用したポリシーを記述することもできます。

操作ID 操作の使用に必要な権限 API操作
createBlockchainPlatform BLOCKCHAIN_PLATFORM_CREATE CreateBlockchainPlatform
deleteBlockchainPlatform BLOCKCHAIN_PLATFORM_DELETE DeleteBlockchainPlatform
getAllPlatformsInCompartment BLOCKCHAIN_PLATFORM_INSPECT GetBlockchainPlatforms
getBlockchainPlatformInformation BLOCKCHAIN_PLATFORM_READ GetBlockchainPlatformInformation
getWorkRequest BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ GetWorkRequest
getWorkRequestErrors BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ ListWorkRequestErrors
getWorkRequestLogs BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ ListWorkRequestLogs
listWorkRequests BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT ListWorkRequests
restartBlockchainPlatform BLOCKCHAIN_PLATFORM_UPDATE RestartBlockchainPlatform
startBlockchainPlatform BLOCKCHAIN_PLATFORM_UPDATE StartBlockchainPlatform
stopBlockchainPlatform BLOCKCHAIN_PLATFORM_UPDATE StopBlockchainPlatform
updateBlockchainPlatform BLOCKCHAIN_PLATFORM_UPDATE UpdateBlockchainPlatform

動詞とリソース・タイプの組合せの詳細

Oracle Cloud Infrastructureでは、Oracle Cloud Infrastructureリソース全体の権限を定義する動詞の標準セットを提供しています(InspectReadUseManage)。次の表は、各動詞に関連付けられているOracle Blockchain Platform権限を示しています。アクセスのレベルは、InspectからReadUseManageの順に累積します。

INSPECT

リソース・タイプ INSPECT権限
  • blockchain-platforms
  • BLOCKCHAIN_PLATFORM_INSPECT
  • blockchain-platform-work-requests
  • BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT

読取り

リソース・タイプ READ権限
  • blockchain-platforms
  • BLOCKCHAIN_PLATFORM_INSPECT
  • BLOCKCHAIN_PLATFORM_READ
  • blockchain-platform-work-requests
  • BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT
  • BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ

使用

リソース・タイプ USE権限
  • blockchain-platforms
  • BLOCKCHAIN_PLATFORM_READ
  • BLOCKCHAIN_PLATFORM_UPDATE
  • blockchain-platform-work-requests
  • BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT
  • BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ

管理

リソース・タイプ MANAGE権限
  • blockchain-platforms
  • BLOCKCHAIN_PLATFORM_READ
  • BLOCKCHAIN_PLATFORM_UPDATE
  • BLOCKCHAIN_PLATFORM_CREATE
  • BLOCKCHAIN_PLATFORM_DELETE
  • blockchain-platform-instance-work-requests
  • BLOCKCHAIN_PLATFORM_WORK_REQUEST_INSPECT
  • BLOCKCHAIN_PLATFORM_WORK_REQUEST_READ
  • BLOCKCHAIN_PLATFORM_WORK_REQUEST_DELETE

操作固有の属性

これらの変数の値は、Oracle Blockchain Platformによって提供されます。さらに、他の一般的な変数もサポートされています。すべてのリクエストの一般的な変数を参照してください。

特定のリソースの種類について、すべての操作(get、list、deleteなど)で同じ属性セットを使用する必要があります。ただし、create操作の場合は例外で、そのオブジェクトのIDはまだないため、createtarget.RESOURCE-KIND.ID属性を使用することはできません。

リソースの種類 名前 タイプ ソース:
blockchain-platforms      
blockchain-platform-work-requests