Upgrade to Pro — share decks privately, control downloads, hide ads and more …

oci-cli-tips

kenjiro
July 19, 2023
Technology
1
310

 oci-cli-tips

kenjiro

July 19, 2023
Tweet

More Decks by kenjiro

See All by kenjiro
In the final chapter of Service Request
otsuka04
0
49
Service Request Aword 2022
otsuka04
0
31
BaseDBはすごい
otsuka04
0
30
Oracle CloudだけでOracleDB運用したい
otsuka04
0
20
Service Request Award
otsuka04
0
20
MySQL_Technology_Cafe-MDSのHA構成検証報告.pdf
otsuka04
0
380
OCIJP_LT#2
otsuka04
0
64
OCIjp-LT Oracle Cloud-SRworst3
otsuka04
0
130
MySQLCafe_Oracle Cloud-MDS(MySQL)の検証報告
otsuka04
0
56

Other Decks in Technology

See All in Technology
LINEヤフーにおけるPrerender技術の導入とその効果
narirou
1
150
複雑なState管理からの脱却
sansantech
PRO
1
160
OCI Network Firewall 概要
oracle4engineer
PRO
0
4.2k
10XにおけるData Contractの導入について: Data Contract事例共有会
10xinc
7
690
"とにかくやってみる"で始めるAWS Security Hub
maimyyym
2
100
20241120_JAWS_東京_ランチタイムLT#17_AWS認定全冠の先へ
tsumita
2
310
適材適所の技術選定 〜GraphQL・REST API・tRPC〜 / Optimal Technology Selection
kakehashi
1
710
初心者向けAWS Securityの勉強会mini Security-JAWSを9ヶ月ぐらい実施してきての近況
cmusudakeisuke
0
130
OCI Security サービス 概要
oracle4engineer
PRO
0
6.5k
Making your applications cross-environment - OSCG 2024 NA
salaboy
0
200
Zennのパフォーマンスモニタリングでやっていること
ryosukeigarashi
0
230
100 名超が参加した日経グループ横断の競技型 AWS 学習イベント「Nikkei Group AWS GameDay」の紹介/mediajaws202411
nikkei_engineer_recruiting
1
170

Featured

See All Featured
[RailsConf 2023] Rails as a piece of cake
palkan
52
4.9k
BBQ
matthewcrist
85
9.3k
The Cult of Friendly URLs
andyhume
78
6k
Learning to Love Humans: Emotional Interface Design
aarron
273
40k
The Illustrated Children's Guide to Kubernetes
chrisshort
48
48k
How GitHub (no longer) Works
holman
310
140k
Stop Working from a Prison Cell
hatefulcrawdad
267
20k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
191
16k
Building an army of robots
kneath
302
43k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
26
1.4k
Building Adaptive Systems
keathley
38
2.3k
Thoughts on Productivity
jonyablonski
67
4.3k

Transcript

  1. OCI-CLIの活用Tips ~資格勉強は役に立つ~ By kenjiro otsuka

  2. 大塚 健治朗(29歳 独身) 株式会社アトミテック 7年目 好きなサービス:コマンドライン・インターフェース(CLI) 最近の出来事:クーラー我慢チャレンジの翌日、 1日中頭痛に悩まされる 最近の悩み :クーラーの停止タイミングがわからない

    1 @koko_kotsu @otsuka04 @koko_kotsu 自己紹介 1 Ope Pro よてい

  3. ところでみなさん OCI-CLIつかってますか? 2 • 常時は使わないけどふとした時に使っている • スクリプト組むときに使っている • GUIなんて要らない

  4. 認証について • デフォルトの認証方式 • APIキーを持つすべてのマシンからCLI操作可能 API署名キー認証 • ブラウザのセッションを利用した認証方式 • APIキーなしでCLI操作が可能

    • 原則Webブラウザが必要 セッショントークン認証 • OCI内に構築したリソースはすでに認証済 • 動的グループを利用したポリシー設定が必要 インスタンスプリンシパル認証 3

  5. API署名キー認証 【特徴】 • チュートリアルで紹介されている認証方法 • APIキーを作成しコンソールを使用してIAMユーザと紐づける • 紐づけ時したIAMユーザグループのポリシーに依存 【セットアップ】 $

    oci setup keys $ oci setup config など 【認証オプション】 • --auth api_key 4

  6. セッショントークン認証 【特徴】 • ブラウザを利用した認証方法 ※ APIキーの作成や紐づけ作業不要 • セッションは最大24時間(延長しない場合1時間) • サインイン時のIAMユーザグループのポリシーに依存

    • セッションのExp/Impが可能 【セットアップ】 $ oci session authenticate $ oci session refresh --profile <profile name> $ oci session export --profile <profile name> --output-file <output file> $ oci session import --session-archive /root/.oci/<output file> 【認証オプション】 --auth security_token oci session authenticate 5

  7. インスタンスプリンシパル認証 【特徴】 • OCI内に構築したサーバの認証方法 ※ 構築した時点で認証されている状態 • サーバを動的グループに所属させておく必要がある • 動的グループのポリシーに依存

    【セットアップ】 $ oci setup instance-principal ※ API署名キー認証環境限定 ※ 実質無し 【認証オプション】 • --auth instance_principal 6 詳しくは:https://speakerdeck.com/ocise/ociji-shu-zi-liao-idoyobiakusesuguan-li-iam-xiang-xi?slide=15

  8. メリット/デメリットを紹介 7 ・ チュートリアルがあるため設定が容易 ・ configファイルの使いまわしが可能 API署名キー セッショントークン インスタンス プリンシパル

    メリット ・ログインID/PWのみでCLI利用可能 ・キーを作成しないためセキュリティリスク の削減に繋がる ・OCI環境内であればセットアップ無し で利用可能 ・APIキーやconfig流出時にどこからでも環 境にアクセスされてしまう ・キーの自動失効無し (手動で削除) ・Webブラウザの無い環境では原則利用 不可(exp/imp除く) ・トークンTTLが1時間のためスクリプト用途 の場合は利用不可(最長24時間) ・OCI環境外では利用不可 デメリット

  9. 使い分けのポイント API署名キー • 外部(オンプレやクライア ントPC)通信によるシェル スクリプト運用 • APIキー及びconfigを複 数ユーザで使いまわす運 用

    セッショントークン • 左右以外 インスタンスプリンシパル • OCI内部通信によるシェ ルスクリプト運用 • OCIにIDを所持していな い利用者がCLIを利用す る場合 8

  10. おすすめっていったっていちいちオプションめんどいよ! 9 OCI_CLI_AUTH • --auth オプションに対応 • export OCI_CLI_AUTH=security_token •

    export OCI_CLI_AUTH=instance_principal OCI_CLI_PROFILE • --profile オプションに対応 • export OCI_CLI_PROFILE=demo (出典)https://docs.public.oneportal.content.oci.oraclecloud.com/ja-jp/iaas/Content/API/SDKDocs/clienvironmentvariables.htm

  11. 参考元 10 Oracle University - Oracle Cloud Infrastructure Operations Professional

    https://mylearn.oracle.com/ou/learning- path/japanese-become-an-oci-cloud- operations-professional-jp-2022/111018 Oracle Cloud Infrastructure Ansible Collection - Authentication Guide https://oci-ansible- collection.readthedocs.io/en/latest/guide s/authentication.html Oracle Cloud Infrastructure ドキュメント - コマンドライン・インタ フェース(CLI) https://docs.oracle.com/ja- jp/iaas/Content/API/Concepts/cliconcept s.htm