Oracle NoSQL Database Cloud Serviceのセキュリティ・モデルについて
Oracle NoSQL Database Cloud Serviceのセキュリティ・モデルについて学習します。
ポリシー
Oracle NoSQL Database Cloud Serviceでは、ポリシーに基づいて構築されたOracle Cloud Infrastructure Identity and Access Managementセキュリティ・モデルが使用されます。ポリシーとは、会社が所有するNoSQL表などのどのOracle Cloud Infrastructureリソースに誰がアクセスできるか、およびそのリソースへのアクセス方法を指定するドキュメントです。ポリシーにより、グループは特定のタイプのリソース(特定のコンパートメント内のNoSQL表など)を一定の方法で操作できるようになります。
表の制御を行うために、会社には少なくとも1つのポリシーがあります。各ポリシーは、次の基本構文に従う1つ以上のポリシー・ステートメントで構成されます。
Allow group <group_name> to <verb> <resource-type> in compartment <compartment_name>ポリシーの動作を学習するには、Oracle Cloud Infrastructureドキュメントのポリシーの概要を参照してください。
グループ
Oracle Cloud Infrastructure Identity and Access Managementでは、通常、NoSQL表またはコンパートメントの特定のセットに対する同じタイプのアクセス権を共有するグループ内のユーザーを整理します。
グループ・レベルおよびコンパートメント・レベルでNoSQL表へのアクセス権を付与するには、特定のコンパートメント内またはテナンシ自体への特定のアクセスのタイプをグループに付与するポリシーを記述します。テナンシへのグループ・アクセス権を付与する場合、グループはテナンシ内のすべてのコンパートメントへの同じアクセスのタイプを自動的に取得します。たとえば、コンパートメントProjectAに表を作成した後、表を管理または使用するグループにアクセス権を付与するポリシーを記述する必要があります。そうしないと、アクセス権のないグループには表が表示されなくなります。たとえば、DeveloperグループにすべてのNoSQLリソースの管理を許可するには、次のポリシーを作成します:
allow group Developers to manage nosql-family in compartment ProjectA動詞
動詞は、ポリシーによって付与されるアクセスのタイプを指定します。たとえば、inspect nosql-tablesを指定するとNoSQL表をリストできます。Oracle NoSQL Database Cloud Serviceでサポートされている動詞は、調査、読取り、使用および管理です。Oracle Cloud Infrastructureドキュメンテーションの動詞を参照してください。
生産資源タイプ
リソースとは、Oracle Cloud Infrastructure (OCI)と対話する際に、会社の従業員が作成して使用するクラウド・オブジェクトです、Oracleは、ポリシーで使用できるリソース・タイプを定義します。nosql-tables、nosql-rowsおよびnosql-indexesは、NoSQL Database Cloud Serviceでサポートされる3つの個別のリソース・タイプです
ポリシーにリソース・タイプを指定することで、そのリソース・タイプのみにアクセス権限を付与します。たとえば、テナンシ内のすべてのNoSQL表の行に対する読取り権限をビューア・グループに付与するには、次のようにポリシーを作成します:
allow group viewers to read nosql-rows in tenancyポリシーの記述を容易にするために、NoSQL Database Cloud Serviceでは、nosql-familyという集約リソース・タイプも提供されます。nosql-familyには、多くの場合、相互に管理されるnosql-tables、nosql-indexesおよびnosql-rowsが含まれます。たとえば、テナンシ内のNoSQL表への完全なアクセス権をビューア・グループに付与する場合は、次のようにポリシーを記述します:
allow group viewers to manage nosql-family in tenancy区分
コンパートメントは、Oracle Cloud Infrastructureの基本的なコンポーネントです。コンパートメント内にOracle NoSQL Database Cloud Serviceリソースを編成できます。コンパートメントは、使用量と請求の測定、アクセスの定義、および異なるプロジェクトやビジネス・ユニット間のリソースの区別を行う際に、表を分離するために使用されます。
ノート:テナンシは、組織のOracle Cloud Infrastructureリソースがすべて含まれるルート・コンパートメントです。
Oracle Cloud Infrastructure Identity and Access Managementのすべてのリソース、ユーザー、グループ、コンパートメントおよびポリシーは、グローバルで、すべてのリージョンで使用できますが、定義のマスター・セットは、単一のリージョンであるホーム・リージョンにあります。IAMリソースに対するすべての変更は、ホーム・リージョンで行う必要があります。IAMコンポーネントについてさらに学習するには、Oracle Cloud Infrastructure Identity and Access Managementの概要を参照してください。次のノートは、どのバージョンのドキュメントを読むべきかについての情報を提供します。
ノート: Oracle NoSQL Database Cloud Serviceのユーザーおよびグループを管理する方法は、クラウド・アカウントまたはテナンシが、アイデンティティ・ドメインを使用するように更新されたOCIリージョン内にあるかどうかによって異なります。一部のOCIリージョンは、アイデンティティ・ドメインを使用するように更新されました。これらのOCIリージョンのいずれかにクラウド・アカウントまたはテナンシがある場合は、アイデンティティ・ドメインを使用して、Oracle Cloud Infrastructureでタスクを実行するユーザーを管理できます。Oracle NoSQL Database Cloud Serviceのユーザーおよびグループを設定する方法の詳細は、「Identity and Access Managementを使用したユーザー、グループおよびポリシーの設定」を参照してください。
ヒント :
Identity and Access Management (IAM)アイデンティティ・ドメインを使用するようにOCIリージョンが更新されているかどうかを簡単に判断できます。詳細は、アイデンティティ・ドメインへのアクセス権がありますか。を参照してください。