ノート:

• このチュートリアルではOracle Cloudにアクセスする必要があります。無料アカウントに登録するには、Oracle Cloud Infrastructure Free Tierの使用を開始するを参照してください。
• Oracle Cloud Infrastructureの資格証明、テナンシおよびコンパートメントに例の値を使用します。演習を完了するときは、これらの値をクラウド環境に固有の値に置き換えます。

アイデンティティおよびアクセス管理

イントロダクション

Oracle Cloud Infrastructure Identity and Access Management (IAM) Serviceでは、クラウド・リソースにアクセスできるユーザーを制御できます。ユーザーのグループが所有するアクセスのタイプと、特定のリソースを制御します。このラボの目的は、IAM Serviceコンポーネントとシナリオ例の概要を説明し、これらがどのように動作するかを理解できるようにすることです。

この演習で受講する講師の記録があります。

Lab100 01 Identity Access and Managementのビデオ

前提条件

• Oracle Cloud Infrastructureアカウント資格証明(ユーザー、パスワードおよびテナント)
• コンソールにサインインするには、次が必要です:
  • テナント、ユーザー名およびパスワード
  • コンソールのURL: https://oracle.com
  • Oracle Cloud Infrastructureでは、Google Chrome、FirefoxおよびInternet Explorer 11の最新バージョンがサポートされます。

コンソールへのサインイン

このステップでは、資格証明を使用してOracle Cloud Infrastructureコンソールにサインインします。

1. cloud.oracle.comに移動。

2. 「Sign in to Cloud」をクリックします。

3. クラウド・アカウント名を入力して「次」をクリックします。これは、前のセクションでアカウントを作成する際に選択した名前です。電子メール・アドレスではありません。名前を忘れた場合は、確認の電子メールを確認してください。

4. サポートされているブラウザを開き、コンソールURL: https://oracle.comに移動します。

5. ブラウザ・ウィンドウの右上にあるポートレート・アイコンをクリックし、「クラウドにサインイン」リンクをクリックします。

6. テナンシの名前を入力し(ユーザー名ではなくアカウント名を入力してください)、「次へ」ボタンをクリックします。

7. Oracle Cloud InfrastructureはIdentity Cloud Servicesと統合されているため、アイデンティティ・プロバイダを検証する画面が表示されます。 ユーザー名とパスワードを入力します。「サインイン」をクリックします。

8. コンソールにサインインすると、Oracle Cloudダッシュボードが表示されます。

   

コンパートメントの作成

コンパートメントは、コンピュート・インスタンス、ロード・バランサ、データベースなど、クラウド・アセットのコレクションです。デフォルトでは、テナンシの作成時にルート・コンパートメントが作成されました(つまり、トライアル・アカウントに登録したとき)。ルート・コンパートメント内のすべてのものを作成できますが、Oracleでは、より効率的なリソースの管理に役立つサブコンパートメントを作成することをお薦めします。

1. メニューから、「アイデンティティ」および「コンパートメント」を選択します。青色の「コンパートメントの作成」ボタンをクリックして、サブコンパートメントを作成します。

   

2. コンパートメントにDemoという名前を付け、簡単な説明を入力します。ルート・コンパートメントが親コンパートメントとして表示されていることを確認します。準備ができたら、青色の「コンパートメントの作成」ボタンを押します。

3. すべての作業のデモ・コンパートメントを作成しました。

アクセスを制御するためのユーザー、グループおよびポリシーの管理

サービスにアクセスするためのユーザー権限は、そのユーザーが属しているグループに基づきます。グループの権限は、ポリシーによって定義されます。ポリシーは、グループのメンバーが実行できるアクションとそのコンパートメントを定義します。ユーザーは、自分がメンバーになっているグループに設定されたポリシーに基づいてサービスにアクセスし、操作を実行できます。

概念を理解するためのユーザー、グループおよびセキュリティ・ポリシーを作成します。

1. コンソールにサインインし、「メニュー」で「アイデンティティ」をクリックし、「グループ」を選択します。

   

2. 「グループの作成」をクリックします。

3. 「グループの作成」ダイアログ・ボックスで、次のように入力します:

   • 名前: "oci-group"など、グループの一意の名前を入力します。グループ名にスペースを含めることはできません。
   • 説明:説明(たとえば、OCIユーザーの新規グループ)を入力します。
   • 「作成」をクリックする。

4. 新しいグループをクリックして表示します。新しいグループが表示されます。

   

5. 割り当てられたコンパートメント内のグループ権限を付与するセキュリティ・ポリシーを作成します。たとえば、コンパートメントデモに対する権限をメンバーまたはグループoci-groupに付与するポリシーを作成します:

   1. 「メニュー」で、「アイデンティティ」、「ポリシー」の順にクリックします。

   2. 左側の「デモ」コンパートメントを選択します。

      

      ノート:サブコンパートメントデモを表示するには、メイン・コンパートメント名の横にある+記号をクリックする必要がある場合があります。サブコンパートメントがまだ表示されていない場合は、ブラウザをリフレッシュします。ブラウザでコンパートメント情報がキャッシュされ、内部キャッシュが更新されない場合があります。

   3. デモ・コンパートメントを選択したら、「ポリシーの作成」をクリックします。

      

   4. ポリシーの一意の名前(「Policy-for-oci-group」など)を入力します。名前にスペースを含めることはできません。

   5. 「説明」(たとえば、「OCIグループのポリシー」)を入力します。

   6. 次の「ステートメント」を入力します:

      Allow group oci-group to manage all-resources in compartment Demo
      

   7. 「作成」をクリックする。

6. 新規ユーザーを作成

   1. 「メニュー」で、「アイデンティティ」をクリックし、「ユーザー」をクリックします。

      

   2. 「ユーザーの作成」をクリックします。

   3. 「新規ユーザー」ダイアログ・ボックスで、次のように入力します:

      • 名前:新規ユーザーの一意の名前または電子メール・アドレスを入力します。この値はコンソールに対するユーザーのログイン名であり、テナンシ内の他のすべてのユーザー間で一意である必要があります。
      • 説明:説明を入力します。たとえば、新規ociユーザーです。
      • 電子メール:アクセス権のある個人の電子メール・アドレス(GMail、Yahooなど)を使用できます。

      

   4. 「作成」をクリックする。

7. 新しく作成したユーザーの一時パスワードを設定します。

   1. ユーザーのリストから、作成したユーザーをクリックして詳細を表示します。

   2. 「パスワードの作成/リセット」をクリックします。

      

   3. ダイアログで、「パスワードの作成/リセット」をクリックします。

   4. 新しい一時パスワードが表示されます。

      

   5. 「コピー」リンクをクリックし、「閉じる」をクリックします。このパスワードをメモ帳にコピーしてください。

   6. ユーザー・メニューから「サインアウト」をクリックし、管理ユーザー・アカウントから完全にログアウトします。

8. 別のWebブラウザまたはインコグニート・ウィンドウを使用して、新規ユーザーとしてサインインします。

   1. サポートされているブラウザを開き、コンソールURL: https://oracle.comに移動します。

   2. ブラウザ・ウィンドウの右上にあるポートレート・アイコンをクリックし、「クラウドにサインイン」リンクをクリックします。

      

   3. テナンシの名前を入力し(自分のユーザー名ではなくアカウント名を使用)、「次へ」ボタンをクリックします。

   4. 今度は、作成したユーザーとともにローカル資格証明ボックスを使用してサインインします。作成したユーザーは、Identity Cloud Servicesの一部ではないことに注意してください。

   5. コピーしたパスワードを入力します。

      

      ノート:これはユーザーとして初めてサインインするため、画面のキャプチャに示されている一時パスワードを変更するよう求められます。

   6. 新しいパスワードを Welc0me2*bmcsに設定します。「Save New Password」をクリックします。

9. ユーザー権限を確認します。

   1. 「メニュー」に移動し、「コンピュート」、「インスタンス」の順にクリックします。

   2. 左側のメニューからコンパートメントを選択してみます。

   3. 「これらのリソースを表示する権限がありません」というメッセージが表示されます。ポリシーを関連付けるグループにユーザーを追加しなかったため、これは正常です。

      

   4. コンソールからサインアウトします。

10. グループにユーザーを追加します。

    1. adminアカウントでサインインします。

    2. 「ユーザー」リストから、作成したユーザー・アカウント(user01など)をクリックして、ユーザーの詳細ページに移動します。

       

    3. 左側の「リソース」メニューで、「グループ」をクリックします。

    4. グループへのユーザーの追加をクリックします。

    5. 「グループ」ドロップダウン・リストから、作成した「oci-group」を選択します。

    6. 「追加」をクリックします。

    7. Oracle Cloud Webサイトからログアウトします。

11. ユーザーが特定のグループに属している場合は、ユーザー権限を確認します。

    1. 作成したローカルuser01アカウントでサインインします。このユーザーに割り当てた最新のパスワード(Welc0me2*bmcs)を使用してください。

    2. 「メニュー」に移動し、「コンピュート」、「インスタンス」の順にクリックします。

    3. 左側のコンパートメント・リストからコンパートメント「デモ」を選択します。

       

    4. 権限に関連するメッセージがないため、新しいインスタンスを作成できます。

    5. 「メニュー」に移動して、「アイデンティティ」をクリックし、「グループ」を選択します。

    6. メッセージ「認可が失敗したか、リクエストされたリソースが見つかりません」が表示されます。ユーザーにはグループを変更する権限がないため、これは予想されます。ノート:かわりに、「予期しないエラーが発生しました。」というメッセージが表示される場合があります。それも大丈夫です。

       

    7. サイン・アウトします。

謝辞

• 著者 - Flavio Pereira、 Larry Beausoleil

• コントリビュータ - DB製品管理、製品マネージャ、アラベラ・ヤオ

その他の学習リソース

docs.oracle.com/learnの他のラボを調べるか、Oracle Learning YouTubeチャネルでさらに無料の学習コンテンツにアクセスします。さらに、education.oracle.com/learning-explorerにアクセスしてOracle Learning Explorerにします。

製品ドキュメントは、Oracleヘルプ・センターを参照してください。

---

タイトルおよび著作権情報

Identity and Access Management

F51419-01

December 2021

Copyright © 2021, Oracle and/or its affiliates.