データベース
 Computer >> コンピューター >  >> プログラミング >> データベース

OracleCloudInfrastructureのIAMの概要

このブログ投稿では、Oracle®Cloud Infrastructure(OCI)Identityand Access Management(IAM)コンポーネントを紹介し、Oracleクラウドリソースの管理に役立ついくつかの機能を示しています。

この投稿では、ユーザーのグループに割り当てることができる特定のリソースへのアクセスの種類と、OCIをOracle Identity Cloud Service(IDCS)と統合する方法を特定しています。

IAMのコンポーネント

IAMには、次のコンポーネントが含まれています。

  • リソース :リソースは、Computeinstances、ブロック、仮想クラウドネットワーク(VCN)、サブネットなど、OCIで作成されたオブジェクトです。

  • ユーザー :ユーザーは、グループのテナンシーおよびコンパートメントポリシーに従って、制限された特権とOCIリソースへのアクセスを提供するグループに割り当てられます。

  • グループ :グループは、同じOCIリソースにアクセスできるユーザーのコレクションです。ユーザーは1つ以上のグループのメンバーになることができます。

  • 動的グループ :動的グループはセキュリティを提供し、サーバー側ではなくクライアント側でキーを管理できるようにします。動的グループは、コンパートメント内の特定のインスタンスをリンクできます。ポリシーを動的グループに割り当てて、アプリケーションプログラマーインターフェイス(API)を介してアクセスする特定のインスタンスへのアクセスを提供できます。

  • コンパートメント :コンパートメントは、ポリシーを適用し、コンピューティング、ストレージ、ネットワーク、ロードバランサー、およびその他のリソースへの制御アクセスを提供できるグローバル論理コンテナーです。たとえば、ポリシーを使用して、管理者以外のユーザーがそのコンパートメントで作成されたリソースを使用できないようにすることができます。

  • テナント :テナンシーはデフォルトのルートコンパートメントであり、すべてのOCIリソースが含まれています。テナンシー内で、管理者は1つ以上のコンパートメント、ユーザー、およびグループを作成できます。管理者は、グループがコンパートメント内のリソースを使用できるようにするポリシーを割り当てることができます。

  • ポリシー :ポリシーは、次のアクセスレベルでグループおよびコンパートメントレベルのリソースにアクセスできるユーザーを定義します。

    • 検査

    • 読む

    • 使用

    • 管理

  • 地域 :リージョンは、IAMリソースが存在する地理的な場所です。IAMサービスリソースはグローバルであり、複数のリージョンにまたがる単一のテナンシーを持つことができます。 Oracleは、ホームリージョンで行われた変更をすべてのリージョンに伝播します。

  • フェデレーション :フェデレーションは、IDプロバイダーとサービスプロバイダーとして機能する2つ以上のパーティ間のメカニズムです。 IDプロバイダーのユーザーとグループを管理します。 IDCSは、デフォルトでOCIのフェデレーションを提供します。

IAMリソース

このセクションでは、リソースのソース、リソース識別子、およびリソース制限について説明します。

リソースの範囲

IAMはリソースをグローバルとして定義しているため、すべてのリージョンと可用性ドメインコンポーネントで利用できます。

リソース識別子

OCIリソースは、次の構文で一意の名前(OCID)を使用します。

ocid1.<resource-type>.<realm>.[region][.future-use].<unique-ID>

OCIDプレースホルダーには、次の要素が含まれます。

  • ocid1 :OCIDバージョン。

  • リソースタイプ :インスタンス、ボリューム、VCN、サブネット、ユーザー、グループなどのリソースのタイプ。

  • レルム :レルムには一連のリージョンが含まれ、可用性ドメインとエンティティを共有します。レルムには次の値を指定できます。

    • oc1 :商用領域
    • oc2 :GovernmentCloudレルム
    • oc3 :連邦政府のクラウドレルム。
リソース制限

IAM制限は、可用性ドメイン内のComputeインスタンスの最大数を制御するIAMリソースクォータです。

リージョンごとのテナンシーの制限と使用状況を表示するには、次の手順を実行します。

  1. IAMコンソールを開きます。
  2. ユーザーを開きます メニューをクリックし、テナントをクリックします 。
  3. [サービス制限]をクリックします 。

インスタンスが特定のリソースのサービス制限に達したときに、サービス制限を増やし、必要に応じて新しいリソースを作成するリクエストを送信できます。

サービス制限の引き上げをリクエストするには、次の手順を実行します。

  1. ヘルプを開きます メニューをクリックして、サポートに移動します 、[サービス制限の引き上げをリクエスト]をクリックします 。
  1. 次の詳細を入力します:
      主な連絡先の詳細 サービスカテゴリ リソース
    • リクエストの理由
  1. [リクエストの送信]をクリックします 。

IDプロバイダーとのフェデレーション

OCIは、次のコンポーネントとIDプロバイダーのフェデレーションをサポートしています。

  • IDCS

  • Microsoft®ActiveDirectory®

  • MicrosoftAzure®ActiveDirectory

  • Okta®

  • Security Assertion Markup Language(SAML)2.0プロトコルをサポートするIDプロバイダー

このブログ投稿の例では、IDプロバイダーとしてIDCSを使用しています。

IDCSと連携するための手順

IDCSと連携するには、次の手順を実行します。

ステップ1:IDCSから必要な情報を取得します

  1. 管理者権限でOCIIDCSコンソールにログインします。

  2. IDCSコンソールで、[アプリケーション]をクリックします 。

  3. COMPUTEBAREMETALをクリックします 。

  4. 構成をクリックします 。

  5. 一般情報を展開します クライアントIDを表示します。

  6. 秘密を表示をクリックします クライアントシークレットを確認します。

  7. クライアントIDとクライアントシークレットを保存します。

ステップ2:OCIにIDプロバイダーを追加する

  1. OCIログイン資格情報を使用してコンソールにサインインします。

  2. ガバナンスと管理を開きます ナビゲーションメニューをクリックし、ID->フェデレーションをクリックします 。

  3. IDプロバイダーの追加をクリックします 。

  1. 次の詳細を入力します。
    1. 名前 :名前は、すべてのIDプロバイダーで一意である必要があります。 Oracleはその名前をテナンシーに追加しますが、変更することはできません。
    2. 説明 :明確な説明。
    3. IDCSベースURL :リソースURL。
    4. クライアントID :以前に収集したクライアント識別子。
    5. クライアントシークレット :以前に収集したクライアントシークレット。
  2. [詳細オプションを表示]をクリックします 次の詳細を入力します。
    1. 暗号化アサーション :チェックボックスを選択して、IDPからの暗号化を有効にします。このチェックボックスを選択しない場合は、IDCSでアサーションの暗号化を設定する必要があります。
    2. タグ :リソースを作成する権限がある場合は、タグを適用することもできます。定義されたタグを適用するには、タグの名前空間を使用する権限が必要です。
  3. [続行]をクリックします 。
  4. OCIでIDCSグループとIAMグループ間のマッピングを定義します。 IDCSグループを0、1、または複数のIAMグループにマッピングしたり、その逆を行うことができます。

フェデレーション ページに、テナンシーリストにIDプロバイダーが表示されるようになりました。 OracleはOCIDを各グループマッピングに割り当てます。

ステップ3:グループのIAMポリシーを設定する

標準の手順に従って、グループのIAMポリシーを設定します。

ステップ4:フェデレーションユーザーにテナントとURLを提供する

フェデレーションユーザーにテナントの名前とサインインURLを提供します。URLは次の例のようになります。

https://console.us-cshburn-1.oraclecloud.com
コンソールでIDプロバイダーを管理する

このセクションでは、IDプロバイダーを削除し、IDCSのグループマッピングを追加、更新、または削除する手順について説明します。

アイデンティティプロバイダーを削除する

IDプロバイダーを削除するには、次の手順を実行します。

  1. テナントからIDプロバイダーを削除します。
      ガバナンスと管理を開きます ナビゲーションメニューをクリックし、ID->フェデレーションをクリックします テナンシー内のIDプロバイダーのリストを表示します。
    1. 削除するIDプロバイダーをクリックして、詳細を表示します。
    2. 削除をクリックします 確認してください。
  2. IDCSアカウントからテナンシーを削除します。
    1. IDCSコンソールを開き、フェデレーションアカウントにサインインします。
      2. アプリケーションをクリックします アプリケーションのリストを表示します。
    2. テナントを見つけ、その名前をクリックして詳細ページを表示します。
      3. 非アクティブ化をクリックします 確認してください。
    3. 削除をクリックします 確認してください。

IDCSのグループマッピングを追加

IDCSのグループマッピングを追加するには、次の手順を実行します。

  1. ガバナンスと管理を開きます ナビゲーションメニューをクリックし、 IDをクリックします テナンシー内のIDプロバイダーのリストを表示します。

  2. フェデレーションをクリックします IDCSフェデレーション名をクリックして詳細を表示します。

  3. プロバイダーの詳細の編集をクリックします 。

  1. 少なくとも1つのマッピングを追加します。
    1. +マッピングの追加をクリックします 。
      2. アイデンティティプロバイダーグループからIDCSグループを選択します リスト。 IAMグループを選択します OCIグループのリストを取得します。
    2. 新しいOCIグループを選択します 新しいIAMグループではなくIAMに新しいOCIグループを作成し、新しいOCIグループをIDPグループにマップします。
  2. マッピングごとに手順4を繰り返し、送信をクリックします。 すべてのマッピングを追加した後。
グループマッピングを更新または削除します

グループマッピングを更新または削除するには、次の手順を実行します。

  1. ガバナンスと管理を開きます ナビゲーションメニューをクリックし、ID->フェデレーションをクリックします テナンシー内のIDプロバイダーのリストを表示します。

  2. 詳細を表示するには、IDプロバイダーをクリックしてください。

  3. マッピングの編集をクリックします 。

  4. マッピングを更新するか、 Xをクリックします マッピングを削除します。

  5. 送信をクリックします 。

結論

このブログ投稿では、さまざまなIAMコンポーネントがどのように連携し、OCIで複数のIDCSアカウントを統合する方法について説明しています。

コメントや質問をするには、[フィードバック]タブを使用します。今すぐチャットして会話を開始することもできます。

データベースサービスの詳細


  1. クラウドにOracleデータベース(DBaaS)を作成する

    この投稿では、Oracle®Cloudでサービスとしてのデータベース(DBaaS)データベースを作成するために必要なすべての手順を説明します。 はじめに このサービスにより、ユーザーは、物理ハードウェアをセットアップしたり、オペレーティングシステムをインストールしたり、Oracle Databaseのインストール前提条件を処理したりすることなく、データベースを作成できます。データベースの作成に時間はかからず、最小限のシステム管理者権限が必要です。 この投稿では、OracleCloudでDBaaSをセットアップするための次の手順を学習します。 コンパートメントを作成します。 仮想クラウドネ

  2. Oracle19cでDBCAコマンドを使用してデータベースのクローンを作成する

    このブログでは、Oracle19cの新機能であるDatabaseConfiguration Assistant(DBCA)を使用して、ソースデータベースのバックアップを作成せずにリモートプラガブルデータベース(PDB)をコンテナデータベース(CDB)に複製する方法を紹介します。 ソースからターゲットへのクローン作成にかかる時間は最小限です。 ソースDBの詳細 CDB:LCONCDBPDB:LCON 以下は総数です。ソース内の各コンテナ(CDBおよびPDB)の下にあるDBFファイルのうち、クローンがターゲット内にある後に検証する必要があります。上記のソースDBから、ターゲットホスト内にCDB