OCIユーザへのポリシーの適用方法

こんにちは！テリロジーのY.Tです。
今回はOCIのユーザに対し、ポリシーを適用する方法についてご紹介したいと思います。

OCIではユーザに直接ポリシーを適用するのではなく、ユーザが所属するグループに対してポリシーを適用します。ユーザの作成後、1つ以上のグループに追加することで、ユーザに対してポリシーを適用することができます。

ここでは、以下の手順で、新規にIAMユーザを作成し、ポリシーを適用していきます。

IAMユーザの作成

OCIの左メニューから、「アイデンティティ」>「ユーザー」へと推移し、「ユーザの作成」をクリックします。

IDCSユーザ、IAMユーザの選択画面がございますが、IDCSユーザはOCI以外のオラクルクラウドサービスでも利用可能なユーザであり、IAMユーザはOCIのみで利用可能なユーザになります。

イメージは以下の通りです。

• Oracle Identity Cloud Service（IDCS）
  　Oracle Cloudの全サービスが利用できる認証の仕組み
• OCI Identity and Access Management（IAM）
  　OCIの環境のみが利用できる認証の仕組み

今回はIAMユーザを作成します。
ユーザの作成後はポリシーが適用されたグループに所属させない限り、すべての権限がありません。

グループの作成

次に、OCIの左メニューから「アイデンティティ」>「グループ」へと推移し、「グループの作成」をクリックします。グループ名と説明に「TestGroup」と、入力し、保存します。

ポリシーをグループに適用

次に、OCIの左メニューから「アイデンティティ」>「ポリシー」へと推移し、「ポリシーの作成」をクリックします。ここでは、TestGroupに所属しているユーザーに対して、「Administrators」という名前のグループ以外のユーザ、グループが確認可能なポリシーを作成します。
名前は「UserAdminPolicy」とし、ポリシー・ビルダーから以下の項目を設定します。

• ポリシー・ユース・ケース：ユーザー管理
• 共通ポリシー・テンプレート：グループ管理者がグループ・メンバーシップを管理できるようにします
• グループ：TestGroup
• コンパートメント：任意

ポリシー・ユース・ケースでは管理・操作の対象をあらかじめ用意されているリストから選択します。
共通ポリシー・テンプレートでは具体的な管理・操作の内容をあらかじめ用意されているリストから選択します。

今回は、TestGroupに所属しているユーザーに対して、「Administrators」という名前のグループ以外のユーザ、グループが確認可能なポリシーの作成を行いたいので、ポリシー・ユース・ケースに「ユーザ管理」、共通ポリシー・テンプレートに「グループ管理者がグループ・メンバーシップを管理できるようにします」を選択し、グループを「TestGroup」、コンパートメントは「任意」に設定しました。

設定が完了すると、下部にポリシー・ステートメントが表示されます。

OCIのポリシー・ステートメントは以下の構文で構成されます。直接編集する場合は、右上の「カスタマイズ(拡張)」を選択することで編集可能です。

Allow <subject> to <verb> <resource-type> in <location> where <conditions>

• <subject>：主にグループ名を指定します
• <verb>：inspect、read、use、manageのいずれかの設定が可能です
• <resource-type>：all-resources、database-family、dnsなどを指定します
• <location>：テナンシーを指定します
• <conditions>：特定のリージョンに適用するなど、適用する条件を細かく指定します

※各設定値の詳細はOracle Cloud Infrastructureドキュメントのポリシー・リファレンスをご確認ください

ユーザをグループに所属

OCIの左メニューから「アイデンティティ」>「ユーザー」へと推移後、ユーザの作成で作成したユーザを選択します。
「ユーザーをグループに追加」から、ポリシーをグループに適用でポリシーを適用した「TestGroup」を選択し、追加します。上部の「パスワードの作成/リセット」からパスワードを確認後、OCIからログアウトします。

作成したユーザーアカウントでログインすると、他のユーザを確認することができます。

以上がユーザへの権限の適用方法でした。
最後までお読みいただき、ありがとうございました🙇