Oracle Cloud Infrastructure管理者のためのファーストステップ (ユーザー管理編)

Transcript

1. Oracle Cloud Infrastructure 管理者のためのファーストステップ (ユーザー管理編) OCI管理者のための、管理者業務の概要 日本オラクル株式会社 OCIソリューション部 趙 聖志（Cho,

   Seongji） June 2nd, 2021

2. 本資料の対象はOracle Cloud Infrastructureのテナンシ管理者を対象とした資料になります 。 テナンシ管理者とは • テナンシ内のすべてのリソースへのアクセスを許可する「Tenant Admin Policy」というポリシーがデフォルトで適用済 ⇒

   テナンシ全体の管理権限を所有 • すべてのコンパートメントに対する完全なアクセス権を所有 ⇒ コンパートメントの設計者 • Oracle Identity Cloud Serviceで管理される他のサービスとともに、 Oracle Cloud Infrastructureのすべてのリソースを作成・管理可能 ⇒ 最も強い管理権限を持つスーパーユーザー はじめに Copyright © 2021, Oracle and/or its affiliates 2

3. テナンシ管理者の役目は、次の４つのカテゴリに分類することができます。 本資料では、このうちの「ユーザーの管理」についての内容を扱います。 テナンシ管理者のタスク概要 Copyright © 2021, Oracle and/or its affiliates

   3 サポート管理 • クラウド環境のサービスの稼働状況の確認 • リソースの運用 • サービスの監視 • メンテナンス通知の受け取り • オラクル提供のサポートサービスの管理 • サポートサービスを受けるユーザの追加 契約・課金管理 • クラウドサービス自体の購入 • 購入したサービスの確認 • 課金 バジェット ユーザーの管理 • ユーザーの作成・削除 • ユーザーロールの管理 • コンパートメントの作成・削除 サービス管理

4. Copyright © 2021, Oracle and/or its affiliates 4 ユーザーの作成と権限管理 The

   Guide for User Management

5. ①テナンシのプランを作成する • Identity and Access Management (IAM)のコンポーネント・機能を理解する • コンパートメント •

   ユーザー • グループ・ポリシー ②ユーザーの作成と権限を付与する • IDCSの場合 • IAMの場合 ③ユーザーを管理する • ユーザー・ライフサイクルの管理 • マルチファクタ認証の有効化 • ユーザー資格証明の管理 アジェンダ Copyright © 2021, Oracle and/or its affiliates 5

6. テナンシのプランとは？ • 誰が、どのリソースに、アクセスする必要があるかを検討する なぜプランが必要なのか？ • 様々なユーザーがリソースにアクセスする方法を定義することで、リソースを最も効率的に編成する方法を計画する どのように計画するのか？ • リソースを作成する時点で、どのコンパートメントにリソースを配置するかを決定する必要がある ⇒

   1. コンパートメントについて理解する • ユーザーにリソースへのアクセス権限を付与する必要がある ⇒ 2. IDCSユーザーもしくはIAMユーザーのいずれかを選択する ⇒ 3. 権限付与には、IAMグループとIAMポリシーの理解が必要 ①テナンシのプランを作成する Copyright © 2021, Oracle and/or its affiliates 6 Oracle Cloud Infrastructure Identity and Access Management (IAM)のコンポーネント・機能を理解する

7. • コンパートメントを使用してリソースを編成および分離することで、管理が容易に ➢コンパートメント・エクスプローラーを使用して、特定のコンパートメントに存在する全てのリソースを取得 ➢コンパートメント別のコスト管理が可能 • セキュリティ要件に合わせたコンパートメントを作成することが可能 ➢一般的な方法は、組織・プロジェクトごとのリソースを区別するためにコンパートメントを作成 Memo📒： • コンパートメントは物理的ではなく論理的な区分け

   ⇒ 異なるコンパートメントにリソースの配置が可能 • コンパートメントは階層化させることが可能 ⇒ 最大6層まで • 異なる親コンパートメントへのコンパートメント移動も可能 ⇒ サブコンパートメントとリソースも一緒に移動される *参考ドキュメント：コンパートメント移動に関する制限事項* ①テナンシのプランを作成する Copyright © 2021, Oracle and/or its affiliates 7 １．コンパートメントについて理解する 部署ごとにCompartment(サブアカウント)を作成 Tenancy Compartment A Compartment B Users Groups 部署-A 部署-B Policy Policy Policy

8. ユースケース①： プロジェクトやシステム単位での リソースの分離 • 1つのプロジェクトは、 すべてのリソースを1つの コンパートメントに収めるこ とが可能 • 管理者はプロジェクト単位

   に関連情報を簡単に取得 し、プロジェクトのアクセスと 支出を制御可能 ユースケース②： リソース種別での管理体系の分 離 • ネットワークのすべてが ネットワーク管理者グループ によって管理されることを 望む場合 • あるコンパートメントの ネットワークのリソースを 一元管理するために、 ネットワーク管理者グルー プのみが、そのコンパートメ ント内のネットワーク・リ ソースを管理する権限を 保持 ユースケース③： 環境毎の分離 • 開発、テスト、本番の 各コンパートメントには、 これらの環境毎にリソース を管理することが可能 ユースケース④： ユーザ単位の分離 • コンパートメントは、 ユーザ毎に作成して、特 定のプロジェクトのリソース へのアクセスを許可したり、 サンドボックスとしての独自 の使用を可能にしたりする ことが可能 ①テナンシのプランを作成する Copyright © 2021, Oracle and/or its affiliates 8 コンパートメントのユースケース

9. Oracle Identity Cloud Service (IDCS) • Oracle Cloudの全てのサービスで使用される 統合的な認証・ID管理サービス OCI

   Identity and Access Management (IAM) • Oracle Cloud Infrastructure 環境のみで 使用される認証・ID管理サービス 9 Copyright © 2021, Oracle and/or its affiliates Oracle Cloud OCI以外のサービス OCI OCIのユーザー Identity and Access Management (IAM) ユーザー Oracle Identity Cloud Service (IDCS) ユーザー Oracle Cloud全体のユーザー Oracle Cloudのすべてのサービスへの認証が可能 Cloud Applications ①テナンシのプランを作成する ２．ユーザー（IDCS or IAM）を選択して作成する *参考資料：OCI IAMとIDCSの違いとIDCSを利用するメリット* OCIを含むOracle Cloud (SaaS、PaaS、IaaS) とオンプレミスのサービスを扱うユーザーを作成する場合は、 IDCSユーザーを作成し、OCIのみを扱うユーザーを作成する場合はIAMユーザーを作成する

10. ポリシー • どの<IAMグループ>が、どのような<操作>を、 どの<リソース>にアクセス可能か • 操作が可能な<範囲>はテナンシ全体、または コンパートメントから指定可能 • オプションで<条件>を指定することも可能 *参考ドキュメント：ポリシー・リファレンス*

    Copyright © 2021, Oracle and/or its affiliates 10 ①テナンシのプランを作成する ３．IAMグループとポリシーについて理解する IAMグループ • 特定のコンパートメントやリソースに対して同じ アクセス権限を必要とするユーザーの集り • デフォルトでユーザーは何の操作も許可されていない = デフォルトでポリシーは何も定義されていない （管理者グループを除く） • ユーザーはポリシーが定義されているグループに所属 して初めて操作可能 Policies Groups 例）Allow group <group_name> to <verb> <resource_type> in tenancy / in compartment <compartment_name> [where <condition>]

11. ポリシーの定義例 ケース① すべてのリソースに対する完全な 権限を保有するが、 特定のコンパートメント内のみに限定 ケース② 複数のコンパートメントで特定の リソースのみを作成・更新する (例：クラウド・ネットワークなどを管 理するネットワーク管理者)

    ケース③ 監査ユーザーへテナンシ全体の リソースの表示を許可するが、 リソースの編集・作成は不可 ①テナンシのプランを作成する Copyright © 2021, Oracle and/or its affiliates 11 Allow group<group_name> to manage all-resources in compartment <compartment_name> Allow group NetworkAdmins to manage virtual-network-family in tenancy Allow group Auditors to inspect all-resources in tenancy Allow group NetworkAdmins to manage load-balancers in tenancy Allow group Auditors to read instances in tenancy Allow group Auditors to read audit-events in tenancy *これらのポリシーでは、サンプルのグループ名を使用しています。*

12. 補足）Identity and Access Management (IAM)のコンポーネント Copyright © 2021, Oracle and/or

    its affiliates 12 Tenancy • アカウントと同義 • すべてのCompartmentを束ねる概念 Compartment • 部門やプロジェクトごとに、リソースの整理と分離を行う際に使用される論理的な コンテナ • 各リソースは、いずれか1つコンパートメント内に作成される • コンパートメント間でリソースを共有(または接続)させることも可能 • Users • IDCSユーザー：Oracle Cloudから認証を受けるユーザー • IAMユーザー：OCIから認証を受けるユーザー • Group • ユーザーの集まり • 作成したポリシーはグループに適用する ※ポリシーをユーザーに適用することはできない • Policy • どのユーザーが、どのコンパートメント・テナンシの、何のリソースにアクセス可能かという ルールを記述したもの IDCSユーザー IAMユーザー User User Tenancy Policies Groups User User User Groups User User User Policies

13. ユーザーを作成するためのワークフロー概要： IAMユーザーを作成する場合 1. コンパートメントの作成 • IAM: 「アイデンティティ」 → 「コンパートメント」から 監視、請求、組織・プロ

    ジェクトごとのリソースを区 別するコンパートメントを 作成する 2.ユーザーを作成する • IAM: 「アイデンティティ」 → 「ユーザー」からユーザーを 作成する 3.グループを作成する • IAM: 「アイデンティティ」 → 「グループ」からグループを 作成し、対象のユーザー をグループに追加する 4.ポリシーを作成する • IAM: 「アイデンティティ」 → 「ポリシー」からポリシーを 作成する 13 Copyright © 2021, Oracle and/or its affiliates ②ユーザーの作成と権限を付与する

14. 1. コンパートメントの作成 14 Copyright © 2021, Oracle and/or its affiliates

    ① ② ③ ④ ①メニュー ②アイデンティティとセキュリティ ③コンパートメント ④「コンパートメントの作成」をクリック ⑤「名前」と「説明」を入力、親コンパートメント選択 ⑥「コンパートメントの作成」ボタンをクリック テナント名（ルート） ⑤ ⑥ ②ユーザーの作成と権限を付与する

15. 2.ユーザーの作成：ユーザー管理にIAMを利用する場合 15 Copyright © 2021, Oracle and/or its affiliates ②ユーザーの作成と権限を付与する

    ①メニュー ②アイデンティティとセキュリティ ③ユーザー ④「ユーザの作成」をクリック ⑤「名前」、「説明」と「電子メール」を入力 ⑥「作成」ボタンをクリック ① ② ③ ④ ⑤ ⑥

16. 3. グループの作成 16 Copyright © 2021, Oracle and/or its affiliates

    ②ユーザーの作成と権限を付与する ① ② ③ ④ ①メニュー ②アイデンティティとセキュリティ ③グループ ④「グループの作成」をクリック ⑤「名前」と「説明」を入力 ⑥「作成」ボタンをクリック ⑤ ⑥

17. 3. グループの設定 17 Copyright © 2021, Oracle and/or its affiliates

    ②ユーザーの作成と権限を付与する ① ② ③ ⑦ ⑤ ④ ①メニュー ②アイデンティティとセキュリティ ③グループ ④対象グループ名をクリック ⑤「ユーザーをグループに追加」タブクリック ⑥追加するユーザー名を選択 ⑦追加ボタンをクリック ⑥

18. 4. ポリシーの作成 18 Copyright © 2021, Oracle and/or its affiliates

    ②ユーザーの作成と権限を付与する ① ② ③ ④ ①メニュー ②アイデンティティとセキュリティ ③コンパートメント ④「ポリシーの作成」をクリック ⑤「名前」と「説明」を入力 、「ステートメント」を入力 ⑥「作成」ボタンをクリック ⑤ ⑥ ステートメントの入力例： Allow group <グループ名> to <動詞> <リソース・タイプ> in compartment <コンパートメント名>

19. ユーザーを作成するためのワークフロー概要：IDCSユーザーを作成する場合 1. コンパートメントの作成 • IDCS： 「アイデンティティ」 → 「コンパートメント」から 監視、請求、組織・プロ ジェクトごとのリソースを

    区別するコンパートメント を作成する 2.ユーザーを作成する IDCS： 「アイデンティティ」 → 「フェデレーション」から Oracle Identity Cloud Service を選択 し、ユーザーを作成する 3.グループを作成する • IDCS： Oracle Identity Cloud Service の「グ ループ」から、IDCSグルー プを作成し、先に作成し たユーザーを選択する。 その後、IDCSグループと OCIのグループを紐づける 4.ポリシーを作成する • IDCS： 「アイデンティティ」 → 「ポリシー」からポリシーを 作成する 19 Copyright © 2021, Oracle and/or its affiliates ②ユーザーの作成と権限を付与する

20. 1. コンパートメントの作成 20 Copyright © 2021, Oracle and/or its affiliates

    ① ② ③ ④ ①メニュー ②アイデンティティとセキュリティ ③コンパートメント ④「コンパートメントの作成」をクリック ⑤「名前」と「説明」を入力、親コンパートメント選択 ⑥「コンパートメントの作成」ボタンをクリック テナント名（ルート） ⑤ ⑥ ②ユーザーの作成と権限を付与する

21. ④ 2. ユーザーの作成：ユーザー管理にIDCSを利用する場合 21 Copyright © 2021, Oracle and/or its

    affiliates ②ユーザーの作成と権限を付与する ① ② ③ ①メニュー ②アイデンティティとセキュリティ ③フェデレーション ④「OracleIdentityCloudService」をクリック ⑤「ユーザーの作成」をクリック ⑥「ユーザー名」、「電子メール」、「性」、「名」を入力 ⑦「作成」ボタンをクリック テナント名（ルート） ⑤ ⑦ ⑥

22. ⑤ ⑥ ⑦ ⑧ 3. IDCSグループの作成 22 Copyright © 2021,

    Oracle and/or its affiliates ②ユーザーの作成と権限を付与する ① ② ③ ④ ①メニュー ②アイデンティティとセキュリティ ③フェデレーション ④「OracleIdentityCloudService」をクリック ⑤リソース・リストの「グループ」をクリック ⑥「IDCSグループの作成」をクリック ⑦「名前」、「説明」、「ユーザー」（前の手順で作成したユーザを選択 ⑧「作成」ボタンをクリック

23. ⑤ ⑥ ⑦ ⑧ 3. IDCSグループのマッピング 23 Copyright © 2021,

    Oracle and/or its affiliates ②ユーザーの作成と権限を付与する ① ② ③ ④ ①メニュー ②アイデンティティとセキュリティ ③フェデレーション ④「OracleIdentityCloudService」をクリック ⑤リソース・リストの「グループ・マッピング」をクリック ⑥「マッピングの追加」をクリック ⑦「IDCSグループ」（前の手順で作成した)とOCIグループを選択 ⑧「マッピングの追加」ボタンをクリック

24. 4. ポリシーの作成 24 Copyright © 2021, Oracle and/or its affiliates

    ②ユーザーの作成と権限を付与する ① ② ③ ④ ①メニュー ②アイデンティティとセキュリティ ③コンパートメント ④「ポリシーの作成」をクリック ⑤「名前」と「説明」を入力 、「ステートメント」を入力 ⑥「作成」ボタンをクリック ⑤ ⑥ ステートメントの入力例： Allow group <グループ名> to <動詞> <リソース・タイプ> in compartment <コンパートメント名>

25. ユーザー・ライフサイクルの管理 • ユーザーの削除： • 削除できるのは、対象のユー ザーがどのグループのメンバーで もない場合のみ • パスワードの作成・リセット： •

    対象のユーザーが次回コンソー ルにサインインする際に、パス ワードを変更するよう求められ る新しいワンタイム・パスワード を生成 • パスワード期限の7日以内に 変更されない場合、パスワード は期限切れとなる *参考ドキュメント：ユーザーの管理* マルチファクタ認証の有効化 • リソースへのアクセスを時間制限付 きのワンタイムパスワードを使用して 認証されたユーザーのみに制限する ことが可能 ポリシーの例： [allow group GroupA to manage instance-family in tenancy where request.user.mfaTotpVerified= ‘true’ ] ユーザー資格証明の管理 • コンソール・パスワード: コンソールにサインインするために必要な パスワード • API署名キー(PEM形式): 認証が必要なAPIリクエストの送信元 • 認証トークン: サード・パーティAPIを使用した認証に 使用できる、Oracle生成のトークン • 顧客秘密キー: オブジェクト・ストレージでAmazon S3 互換APIを使用する場合 • OAuth 2.0クライアント資格証明: OAuth 2.0認可を使用するサービスの APIと対話する場合 • SMTP資格証明: 電子メール配信サービスを使用する場合 25 Copyright © 2021, Oracle and/or its affiliates ③ユーザーを管理する

26. パスワードの作成・リセット：ユーザー管理にIAMを利用する場合 26 Copyright © 2021, Oracle and/or its affiliates ③ユーザーを管理する

    ①メニュー ②アイデンティティとセキュリティ ③ユーザー ④対象ユーザー名をクリック ⑤「パスワードの作成/リセット」タブクリック ⑥「パスワードの作成/リセット」ボタンクリック ⑦新しいパスワードを記録する ① ② ③ ④ ⑥ ⑤ [email protected] Taro Oracle

27. 本資料では、テナンシ管理者が行う業務の一つである、「ユーザーの管理」の概要についてご紹介しました。 ユーザー管理で必要なステップは、 • 誰が、どのリソースに、アクセスする必要があるかプランを策定し、 • プランを基にユーザを作成し、権限を付与したら、 • 作成したユーザーのライフサイクルや認証の管理をはじめることができる などのステップがありますが、より有効的なユーザーの管理には 日常の業務から得たノウハウ・知見から管理知識のアップデートを図ることも大切になります。

    本資料がOracle Cloud Infrastructureの管理者としての業務を理解し、作業の開始に役立つガイドとなれば幸いです。 まとめ Copyright © 2021, Oracle and/or its affiliates 27

28. Thank you 28 Copyright © 2021, Oracle and/or its affiliates

29. None

30. Our mission is to help people see data in new

    ways, discover insights, unlock endless possibilities.