Oracle NoSQL Database Cloud Serviceのセキュリティ・モデルについて

Oracle NoSQL Database Cloud Serviceのセキュリティ・モデルについて学習します。

ポリシー

Oracle NoSQL Database Cloud Serviceは、ポリシーに基づいて構築されたOracle Cloud Infrastructure Identity and Access Managementセキュリティ・モデルを使用します。ポリシーとは、会社が所有するNoSQL表などのどのOracle Cloud Infrastructureリソースに誰がアクセスできるか、およびそのリソースへのアクセス方法を指定するドキュメントです。ポリシーによって、グループは、特定のコンパートメント内の特定のタイプのリソース(NoSQL表など)で特定の方法で動作することが許可されます。

表の制御を行うために、会社には少なくとも1つのポリシーがあります。各ポリシーは、この基本構文に従う1つ以上のポリシー・ステートメントで構成されています。

Allow group <group_name> to <verb> <resource-type> in compartment <compartment_name>

ポリシーの仕組みの詳細は、Oracle Cloud Infrastructureドキュメントポリシーの概要を参照してください。

グループ

Oracle Cloud Infrastructure Identity and Access Managementでは、グループ内のユーザーを編成し、通常、NoSQL表またはコンパートメントの特定のセットに対する同じタイプのアクセス権を共有します。

グループ・レベルおよびコンパートメント・レベルでNoSQL表へのアクセス権を付与するには、特定のコンパートメント内またはテナント自体への特定のアクセスのタイプを付与するポリシーを記述します。テナンシへのグループ・アクセス権を付与する場合、グループはテナント内のすべてのコンパートメントへの同じアクセスのタイプを自動的に取得します。たとえば、コンパートメントProjectAに表を作成した後、表を管理または使用するグループにアクセス権限を付与するポリシーを記述する必要があります。そうしないと、アクセス権のないグループには表が表示されなくなります。たとえば、DeveloperグループですべてのNoSQLリソースを管理できるようにするには、次のポリシーを作成します:
allow group Developers to manage nosql-family in compartment ProjectA

動詞

動詞は、ポリシーによって付与されるアクセスのタイプを指定します。たとえば、inspect nosql-tablesを指定するとNoSQL表をリストできます。調査、読取り、使用および管理は、Oracle NoSQL Database Cloud Serviceでサポートされている動詞です。Oracle Cloud Infrastructureドキュメント動詞を参照してください。

リソース・タイプ

リソースとは、Oracle Cloud Infrastructure (OCI)と対話する際に、会社の従業員が作成して使用するクラウド・オブジェクトです。Oracleは、ポリシーで使用可能なリソース・タイプを定義します。nosql-tablesnosql-rowsおよびnosql-indexesは、NoSQL Database Cloud Serviceでサポートされる3つの個別のリソース・タイプです。

ポリシーにリソース・タイプを指定することで、そのリソース・タイプのみにアクセス権限を付与します。たとえば、テナント内のすべてのNoSQL表の行に対する読取り権限をビューア・グループに付与するには、次のようにポリシーを作成します:
allow group viewers to read nosql-rows in tenancy
ポリシーの記述を容易にするために、NoSQL Database Cloud Serviceでは、nosql-familyという集約リソース・タイプも提供されます。nosql-familyには、多くの場合、相互に管理されるnosql-tablesnosql-indexesおよびnosql-rowsが含まれます。たとえば、テナント内のNoSQL表への完全なアクセス権をビューア・グループに付与するには、次のようにポリシーを記述します:
allow group viewers to manage nosql-family in tenancy

区分

コンパートメントは、Oracle Cloud Infrastructureの基本的なコンポーネントです。Oracle NoSQL Database Cloud Serviceリソースをコンパートメント内に編成できます。コンパートメントは、使用量と請求の測定、アクセスの定義、および異なるプロジェクトやビジネス・ユニット間のリソースの区別を行う際に、表を分離するために使用されます。

ノート:

テナンシは、組織のすべてのOracle Cloud Infrastructureリソースを含むルート・コンパートメントです。
Oracle Cloud Infrastructure Identity and Access Managementのすべてのリソース、ユーザー、グループ、コンパートメントおよびポリシーは、グローバルで、すべてのリージョンで使用できますが、定義のマスター・セットは、単一のリージョンであるホーム・リージョンにあります。IAMリソースに対するすべての変更は、ホーム・リージョンで行う必要があります。To learn more about the IAM components, see Overview of Oracle Cloud Infrastructure Identity and Access Management.次のノートでは、どのバージョンのドキュメントを読むべきかについて説明します。

ノート:

Oracle NoSQL Database Cloud Serviceのユーザーおよびグループを管理する方法は、アイデンティティ・ドメインを使用するように更新されたOCIリージョンにクラウド・アカウントまたはテナンシがあるかどうかによって異なります。一部のOCIリージョンは、アイデンティティ・ドメインを使用するように更新されています。これらのOCIリージョンの1つにクラウド・アカウントまたはテナンシがある場合は、アイデンティティ・ドメインを使用して、Oracle Cloud Infrastructureでタスクを実行するユーザーを管理できます。Oracle NoSQL Database Cloud Serviceのユーザーおよびグループの設定方法の詳細は、アイデンティティおよびアクセス管理を使用したユーザー、グループおよびポリシーの設定を参照してください。

ヒント :

アイデンティティおよびアクセス管理(IAM)アイデンティティ・ドメインを使用するようにOCIリージョンが更新されているかどうかは、簡単に判断できます。詳細は、アイデンティティ・ドメインへのアクセス権がありますか。を参照してください

関連項目