ノート:

タグおよびOCIファンクションを使用したOCI IAMアイデンティティ・ドメイン・ユーザーの機能管理の自動化

イントロダクション

セキュリティのベスト・プラクティスとして、お客様はOracle Cloud Infrastructure Identity and Access Management (OCI IAM)ユーザーの未使用機能を無効にすることを検討しています。これにより、APIキー、認証トークンなどの非標準資格証明を介した攻撃を回避できます。

ユーザー機能は、管理者がユーザーの詳細で管理します。各ユーザーはそれぞれの機能を表示できますが、これらを有効または無効にできるのは管理者のみです。フェデレーテッド・ユーザーが使用できるユーザー機能は:

ノート: コンソール・パスワード機能はフェデレーション・ユーザーには使用できません。フェデレーテッド・ユーザーは、サインイン時のパスワードが管理されるアイデンティティ・プロバイダ(IdP)を介してコンソールで認証します。

デフォルトでは、これらの機能は新規ユーザーをプロビジョニングすると有効化されるため、ユーザーは自分のこれらの資格証明を作成できます。これらのユーザー資格証明の詳細は、ユーザー資格証明の使用を参照してください。

このソリューションは、タグを使用して、既存または新規ユーザーの機能管理を自動化するのに役立ちます。この自動化には次の2つのモードがあります。

OCI Events Serviceとの統合により、作成時に提供されたタグに基づいて、新規ユーザーの機能を適切に管理できます。

目的

前提条件

タスク1: 必要なポリシーとOCI IAM権限の設定

このソリューションの各コンポーネントは、相互作用するOCIリソースにアクセスできる必要があります。このチュートリアルに従うには、次の権限が必要です。

詳細なポリシーの詳細は、イベント・サービスの詳細およびファンクションの詳細を参照してください。

タスク2: タグ・ネームスペース、タグ・キーおよびタグ値の定義

タグはこのソリューションのベースであるため、必要なタグ・ネームスペースおよびタグ・キーを配置する必要があります。

タスク2.1: タグ・ネームスペースの作成

  1. OCIコンソールに移動し、「ガバナンスと管理」「テナンシ管理」に移動して、「タグ・ネームスペース」をクリックします。

  2. 現在のコンパートメントのタグ・ネームスペースのリストが表示されます。「タグ・ネームスペースの作成」をクリックします。

  3. タグ・ネームスペースの作成ページで、次の情報を入力します。

    • コンパートメントに作成:ネームスペース定義を作成するコンパートメントを選択します。
    • ネームスペース定義名:このタグの一意の名前を入力します。名前は、テナンシ内で一意にする必要があります。タグ・ネームスペースは、大文字と小文字が区別されません。この値は後で変更できません。機密情報を入力しないでください。
    • 説明:簡単な説明を入力します。この値は、必要に応じて後で変更できます。

  4. 「タグ・ネームスペースの作成」をクリックします。

タグ・ネームスペースの作成

タスク2.2: タグ・キー定義の作成

  1. 「タグ・ネームスペース」ページで、タグ・キー定義を追加するタグ・ネームスペースをクリックします。

  2. 「タグ・ネームスペースの詳細」ページで、「タグ・キー定義の作成」をクリックします。

  3. タグ・キー定義の作成ページで、次の情報を入力します。

    • タグ・キー:キーを入力します。値は、api_keysconsole_passwordauth_tokenscustomer_secret_keysdb_credentialso_auth2_client_credentialsおよびsmtp_credentialsのいずれかである必要があります。
    • 説明:簡単な説明を入力します。
    • コスト・トラッキング:選択すると、このタグがコスト・トラッキングに対して有効になります。テナンシでは最大10個のコスト・トラッキング・タグを使用できます。

  4. 「タグ値タイプ」で、「値リスト」を選択し、「値」「はい」と入力します。そうしないと、これらの機能はユーザーに対して無効になります。

  5. 「タグ・キー定義の作成」をクリックします。

タグ・キー作成

タスク2.3: ユーザーへのタグの追加

  1. 既存のユーザーにタグを追加します。

    1. OCIコンソールに移動し、「アイデンティティとセキュリティ」「アイデンティティ」に移動して、「ドメイン」をクリックします。

    2. 現在のコンパートメント内のドメインのリストが表示されます。ドメインを選択して「ユーザー」をクリックします。タグを追加するユーザーを検索してクリックします。

    3. 「他のアクション」ドロップダウン・メニューから、「タグの追加」をクリックします。

    4. 「タグの追加」ページで、次の情報を入力します。

      • 「タグ・ネームスペース」を選択します。
      • タグ・キー」を選択します。
      • 」で、リストからいずれかを選択します。
      • 別のタグを適用するには、「タグの追加」をクリックします。

    5. タグの追加が完了したら、「タグの追加」をクリックします。

  2. 新しいユーザーに追加します。新規ユーザーの作成時に、「拡張オプションの表示」からタグを追加します。

タグ・オン・ユーザー

ノート:有効にするすべての機能のタグを追加します。

タスク3: OCI関数の開発とデプロイ

この関数は、ユーザーのタグを読み取り、その機能に対してアクションを実行します。そのためには、次の操作を実行します。

GitHubからファンクション・コードをダウンロードし、コードをカスタマイズしてデプロイします。

  1. iam-user-capability-managementからGitHubリポジトリをダウンロードします。

  2. OCIファンクションの作成およびデプロイに記載されている手順に従います。

詳細は、ファンクションの作成を参照してください。

タスク4: OCIリソース・スケジューラでのスケジュールの作成

  1. OCIコンソールに移動し、「ガバナンスと管理」「リソース・スケジューラ」に移動して「スケジュール」をクリックします。

  2. スケジュールの作成をクリックします。

  3. 「基本情報」に、「スケジュール名」「スケジュールの説明」および「開始」として実行するアクションを入力し、「次へ」をクリックします。

  4. 「リソース」で、ファンクション・コンパートメントとファンクションを選択し、「次」をクリックします。

  5. 「スケジュール」で、「日次」を選択し、要件に従って他のパラメータを構成します。

    • 繰返し間隔:スケジュールを実行する頻度を入力するか、メニューを使用して間隔を選択します。最小値は1です。最大値は99です。

    • 開始時間:時間および分を24時間形式で入力します。

  6. 「次へ」をクリックし、情報を確認します。スケジュールの作成をクリックします。

これにより、スケジュールされた間隔で関数が実行されます。詳細は、スケジュールの作成を参照してください。

タスク5: OCIイベント・サービスでのイベント・ルールの設定

  1. OCIコンソールに移動し、「監視および管理」「イベント・サービス」に移動して、「ルール」をクリックします。

  2. ルート・コンパートメントを選択して、「ルールの作成」をクリックします。

  3. 「表示名」および「説明」を入力します。

  4. 「ルール条件」セクションに、次の情報を入力します。

    • 条件: 「イベント・タイプ」を選択します。
    • サービス名: 「アイデンティティ」を選択します。
    • イベント・タイプ: 「ユーザー作成」を選択します。

  5. 「処理」セクションに、次の情報を入力します。

    • アクション・タイプ: 「ファンクション」を選択します。
    • 「ファンクション・アプリケーション」および「ファンクション」を選択します。

  6. 「ルールの作成」をクリックします。

これにより、新しいユーザーが作成されたときにファンクションが起動されます。詳細は、イベント・ルールの作成を参照してください。

イベント・ルールの作成

ノート:イベント・ルールおよびファンクション・アプリケーションのログを有効にすると、追加の監視機能が提供されます。

承認

その他の学習リソース

docs.oracle.com/learnの他のラボを確認するか、Oracle Learning YouTubeチャネルで無料のラーニング・コンテンツにアクセスしてください。また、education.oracle.com/learning-explorerにアクセスしてOracle Learning Explorerになります。

製品ドキュメントは、Oracle Help Centerを参照してください。